Этапы работ по защите персональных данных, реализованные проекты.Этапы работ по защите персональных данных, реализованные проекты. Руководитель проектов ЗАО «Калуга Астрал» Кухтинов Алексей Анатольевич

В течение августа 2011 года на портале ИСПДн.ру проводился опрос по самым актуальным вопросам информационной безопасности. Зачем нужно тратить силы и средства на защиту ПДн в организации?

А зачем на самом деле все это нужно? 1) Являюсь ли я оператором персональных данных? Если в Вашей организации более одного сотрудника – то Вы являетесь оператором персональных данных, и Вам необходимо соблюдать требования законодательства РФ в области защиты персональных данных. 2) Да, я оператор персональных данных. Что делать дальше? Необходимо обеспечить защиту персональных данных до 1 июля 2011г., в соответствии с требованиями государственных органов, регулирующих обработку персональных данных. К данным органам относятся: Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; ФСТЭК России – Федеральная служба по техническому и экспортному контролю; ФСБ России – Федеральная Служба Безопасности. Цель Федерального закона «О персональных данных» (ст.2) Целью Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Далее возникают следующие вопросы:

4) Как тогда поступить? Оператор может выбрать один из следующих путей: а) Не делать ничего. В этом случае оператор продолжает обработку персональных данных на свой страх и риск, надеясь на « авось ». б) Отказаться от обработки персональных данных или уйти от автоматизированной обработки персональных данных. Если в Вашей компании более одного сотрудника, то Вам не удастся полностью отказаться от обработки персональных данных. Если перейти к обработке персональных данных без использования средств автоматизации, то Вам придется обрабатывать все персональные данные вручную, но и в этом случае необходимо соблюдать требования Постановления Правительства РФ от N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" в) Выполнить требования. В данном случае Вы успешно пройдете проверки, защитите персональные данные, снизите риски поступления жалоб от граждан и сможете избежать санкций со стороны контролирующих органов. 3) Что будет, если не выполнять данные требования? В данном случае оператор персональных данных может понести гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

5) Как мне защитить персональные данные: самостоятельно или привлечь стороннюю организацию? При самостоятельном подходе Вы сможете уйти от затрат по договору с лицензиатом ФСТЭК, НО: -Появятся дополнительные затраты на обучение собственных сотрудников; -В данном случае есть риск ошибок в выполнении проекта, которые могут привести : - к значительным финансовым потерям для компании при проверке регуляторов; - к неправильной классификации, а как следствие, к увеличению стоимости СЗИ; - к неправильной оценке процессов и ресурсов, обрабатывающих персональные данные и пр….

Если доверимся профессионалам? -СОСТАВЛЕНИЕ ПРЕДВАРИТЕЛЬНОГО КОММЕРЧЕСКОГО ПРЕДЛОЖЕНИЯ На основании первичного опросного листа. БЕСПЛАТНО. Это необходимо для предварительной классификации системы и определения ориентировочной стоимости ее защиты. Пример рекламы Яндекса: «ЗАЩИТА ИС ПДн от ….тыс.руб.»- вывод, люди сами НЕ знают как это делать Есть компании, которые это делают за деньги, получив лицензию «ВЧЕРА». Пытаются заработать деньги на популярности вопроса, а не на долгосрочном сотрудничестве с ЗАКАЗЧИКОМ -ПРАВИЛЬНОЕ ПРОВЕДЕНИЕ ПРЕДПРОЕКТНОГО ОБСЛЕДОВАНИЯ Проведение комплексного аудита ИБ и нормативно-регламентирующей Документации. Разработка организационно-технических мероприятий Определения оптимального решения для Заказчика. Согласование разработанной документации во ФСТЭК России и ФСБ России

На основании чего формируется стоимость приведения системы в соответствие? 1.Предварительная классификация ИСПДн (приказ ФСТЭК, ФСБ и Мининформсвязи России 55/86/20 от 13 февраля 2008 г) 2.Определение предварительного набора требований (Положение о методах и способах защиты информации в ИСПДн(утв. Приказом ФСТЭК от 5 февраля 2010 г. 58) 3.Определение стоимости обследования ИСПДн 4.Подбор средств защиты информации (СЗИ) удовлетворяющих требования нормативно-методических документов и специфики системы 5.Определение стоимости установки, настройки и ввода в эксплуатацию СЗИ 6.Определение стоимости аттестации (если таковая требуется) ИСПДн

Пути минимизации затрат на создание СЗПДн –максимальное использование возможностей уже имеющихся в ИС СЗИ, а также возможностей ОС и прикладного ПО, сертифицированных или имеющих перспективы сертификации в системах сертификации ФСТЭК России или ФСБ России; – сокращение количества персонала (АРМ), обрабатывающих ПДн, разделение функций, снижающих возможность одновременной обработки ПДн из разных систем; – обезличивание части ИСПДн (переход на абонентские и табельные номера, номера лицевых счетов и т.п.); –разделение ИС сертифицированными межсетевыми экранами на отдельные сегменты, классификация каждого сегмента (ИСПДн) и снижения требований к части из них; – исключение части ПДн, хранение их на бумажных или иных носителях вне ИСПДн;

Этапы построения защиты ИСПДн: 1. Обследование ИСПДн На данном этапе проводятся работы по описанию информационной системы в которой обрабатываются ПДн, так же проводится категорирование и классификация обрабатываемых ПДн, проводится описание и учет объектов защиты, включая состав и характеристики средств обработки ПДн. 2. Разработка организационно-распорядительной документации Основной целью данного этапа работ является разработка комплекта документации, регламентирующих обработку персональных данных. 3. Проектирование и внедрение системы защиты персональных данных (СЗПДн) По результатам обследования информационных систем персональных данных с учетом категории ПДн и установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности ПДн, включаемые в техническое (частное техническое) задание (ТЗ) на разработку СЗПДн. Осуществляется установка и настройка средств защиты информации 4. Оценка соответствия ИСПДн Оценка соответствия объектов информатизации по требованиям безопасности информации включает в себя следующие работы: Разработка пакета аттестационных документов (программа и методика аттестационных испытаний, технический паспорт ИСПдн) Проведение аттестационных испытаний (протоколы испытаний, заключение по результатам аттестационных испытаний) Оформление «Аттестата соответствия»

Нам доверяют:

www. genproc.gov.ru

ЗАО «Калуга Астрал» г. Калуга, пер. Теренинский,6, тел. (4842) доб Кухтинов Алексей Анатольевич Руководитель проектов СПАСИБО ЗА ВНИМАНИЕ!