close

Вход

Забыли?

вход по аккаунту

?

Презентация выступления Юрия Черкаса

код для вставкиСкачать
Методика минимизации
затрат при создании
системы защиты ПДн и
алгоритм действий
оператора персональных
данных
2009 г.
Действия оператора по выполнению
требований Федерального закона
Начинать надо с определения:
переченя персональных данных
категорий обрабатываемых персональных данных
целей их обработки
Затем:
необходимо направить уведомление в Уполномоченный орган
После этого:
разработать систему защиты персональных данных
разработать документы, регламентирующие
обработку персональных данных
в организации
реализовать требования по инженернотехнической защите помещений
провести аттестацию или осуществить
декларирование соответствия по
требованиям безопасности информации
© ReignVox
Защита персональных данных
19.09.2014
2
Подход к решению задач по
защите ПДн
1. Оптимальное логическое структурирование
При помощи различных технологий минимизации:
композиция/декомпозиция систем, обезличивание,
разделение БД и т.д.
2. Отнесение системы к классу специальная
Позволяет гибко понижать требования за счет отсутствия
необходимости защиты от неактуальных угроз
3. Максимальное использование текущих средств
защиты при разработке ТЗ
Выполнение требований закона не превращается в
закупку дорогого и ненужного программно-аппаратного
обеспечения
© ReignVox
Защита персональных данных
19.09.2014
3
Организационно-правовое
направление работ
1 Выявление наличия/отсутствия признаков
организации работы с персональными
данными
2 Формирование перечня информации,
относимой к персональным данным
3 Формирование перечня информационных
систем персональных данных
4
Разработка или совершенствование
существующей нормативной правовой базы,
регламентирующей обработку персональных
данных
© ReignVox
Защита персональных данных
19.09.2014
4
Выявление наличия/отсутствия
признаков организации работы
с персональными данными
анализ нормативной правовой базы,
регламентирующей деятельность
предприятия
анализ функциональной структуры
предприятия и схемы взаимодействия его
подразделений
анализ взаимодействия предприятия с
внешними организациями
анализ бизнес-процессов на
предприятии с целью выявления
наличия/отсутствия признаков организации
работы с персональными данными
© ReignVox
Защита персональных данных
19.09.2014
5
Формирование перечня информации,
относимой к персональным данным
определение правовых оснований для обработки персональных данных на
предприятии
категорирование персональных данных предприятия
определение владельца персональных данных, обрабатываемых на
предприятии
выявление способов обработки персональных данных и действий с
персональными данными специалистов предприятия:
с использованием средств автоматизации
без использования средств автоматизации
выявление особенностей обработки персональных данных на предприятии:
внутри одного подразделения
в разных подразделениях предприятия
в подразделениях с учетом филиальной сети
с передачей персональных данных во внешние организации
исследование возможности снижения категории персональных
данных на основании оптимизации бизнес-процессов и правовых
оснований для обработки персональных данных на предприятии
© ReignVox
Защита персональных данных
19.09.2014
6
Формирование перечня
информационных систем
персональных данных
определение правовых оснований для создания
и использования информационных систем
персональных данных на предприятии
определение состава и структуры каждой
информационной системы персональных данных
и технических особенностей ее построения и
функционирования, в том числе:
состав и структура программного обеспечения
технические средства обработки
персональных данных
топология информационной системы
персональных данных
определение состава и структуры
информационного взаимодействия с внешними
системами
© ReignVox
Защита персональных данных
19.09.2014
7
Разработка или совершенствование
существующей нормативной правовой базы,
регламентирующей обработку персональных
данных
1
Административно-распорядительные документы
предприятия, направленные на организацию работы с
персональными данными
2
Положение об обработке персональных данных
3
Инструкция о порядке обработки персональных данных
без использования средств автоматизации
4
Инструкция о порядке обработки персональных данных
с использованием средств автоматизации
5
Должностные инструкции специалистов,
непосредственно осуществляющих обработку
персональных данных
6
Соглашение о неразглашении сведений,
составляющих персональные данные
7
Регламент взаимодействия с внешними
организациями при обработке персональных данных
и т.д.
© ReignVox
Защита персональных данных
19.09.2014
8
Техническое направление
работ
Выявление уязвимых звеньев и возможных угроз безопасности
1 персональным данным в информационной системе персональных
данных
2 Разработка концептуальных документов обеспечения безопасности
персональных данных предприятия и в его информационных
системах персональных данных
3
Разработка новой или совершенствование существующей
нормативной правовой базы, регламентирующей обеспечение
безопасности в информационной системе персональных данных
предприятия
4 Организация работы с персональными данными в рамках разработки
(модернизации) информационной системы персональных данных
предприятия в соответствии с утвержденными концептуальными
документами обеспечения безопасности персональных данных
предприятия
© ReignVox
Защита персональных данных
19.09.2014
9
Порядок классификации
информационных систем
ИНФОРМАЦИЯ ОПЕРАТОРА
ИДЕНТИФИКАЦИЯ СИСТЕМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ОПРЕДЕЛЕНИЕ ХАРАКТЕРИСТИК ПЕРСОНАЛЬНЫХ ДАННЫХ
ПЕРВИЧНАЯ КЛАССИФИКАЦИЯ СИСТЕМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
СИСТЕМА ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ С
ИСПОЛЬЗОВАНИЕМ СРЕДСТВ
АВТОМАТИЗАЦИИ
© ReignVox
СИСТЕМА ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ БЕЗ
ИСПОЛЬЗОВАНИЯ СРЕДСТВ
АВТОМАТИЗАЦИИ
Защита персональных данных
19.09.2014
10
Характеристики безопасности
персональных данных
ОСНОВНЫЕ:
Конфиденциальность (обязательное для соблюдения
оператором или иным получившим доступ к персональным
данным лицом требование не допускать их распространения без
согласия субъекта персональных данных или наличия иного
законного основания)
Целостность (способность средства
вычислительной техники или автоматизированной
системы обеспечивать неизменность информации
в условиях случайного и/или преднамеренного
искажения/разрушения)
Доступность (обеспечение доступа к
информации и связанным с ней активам
авторизованных пользователей по
мере необходимости)
© ReignVox
Защита персональных данных
19.09.2014
11
Характеристики безопасности
персональных данных
ДОПОЛНИТЕЛЬНЫЕ:
Неотказуемость (способность доказать, что действие или
событие произошло таким образом, что факт действия или
события не может быть опровергнут)
Учетность (обеспечение того, что действия субъекта по
отношению к объекту могут быть прослежены
уникально по отношению к субъекту)
Аутентичность (идентичность объекта
тому, что заявлено)
Адекватность (свойство соответствия
преднамеренному поведению
и результатам)
© ReignVox
Защита персональных данных
19.09.2014
12
Типовая система
Требования ФСТЭК России и ФСБ
России к информационным
системам персональных данных
КЛАССИФИКАЦИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
ВЫБОР МЕР И
СРЕДСТВ ЗАЩИТЫ
© ReignVox
Защита персональных данных
19.09.2014
13
Специальная система
1 Конфиденциальность + ……………
2 Информационные системы, в которых
обрабатываются персональные данные,
касающиеся состояния здоровья объектов
персональных данных
3 Информационные системы, в которых
предусмотрено принятие на основании
исключительно автоматизированной
обработки персональных данных решений,
порождающих юридические последствия в
отношении субъекта персональных данных
или иным образом затрагивающих его права и
законные интересы
© ReignVox
Защита персональных данных
19.09.2014
14
Специальная система
Требования ФСТЭК
и ФСБ к ИСПДн
ВЛИЯНИЕ НА
БИЗНЕС-ПРОЦЕССЫ
КЛАССИФИКАЦИЯ ИСПДн
МИНИМИЗАЦИЯ
ЗАТРАТ
ОПРЕДЕЛЕНИЕ АКТУАЛЬНЫХ УГРОЗ
ДОКУМЕНТАЛЬНОЕ ОФОРМЛЕНИЕ
Организационнотехнические требования к
системе защиты
информации
© ReignVox
Защита персональных данных
19.09.2014
15
Выявление уязвимых звеньев и возможных
угроз безопасности персональным данным
в информационной системе персональных
данных
Анализ информационных систем персональных данных, в том числе:
Оценка возможности физического доступа к персональным
данным
Выявление возможных каналов утечки информации, в том числе с
использованием программно-технических средств
Анализ возможностей программно-математического воздействия
на информационную систему персональных данных
Анализ возможностей электромагнитного воздействия на
информационную систему персональных данных
Оценка ущерба от реализации угроз
безопасности персональным данным
Анализ имеющихся в распоряжении мер
и средств защиты персональных данных
© ReignVox
Защита персональных данных
19.09.2014
16
Формирование требований по
обеспечению безопасности персональных
данных при организации работы с ними
составление перечня и проведение оценки актуальных угроз
безопасности персональных данных
разработка модели угроз безопасности персональных данных с
учетом конкретных условий функционирования информационных
систем персональных данных
разработка модели нарушителя безопасности персональных
данных с учетом конкретных условий функционирования
информационных систем персональных данных, функциональных
групп пользователей данных информационных систем
персональных данных
исследование возможности оптимизации требований к
информационной системе персональных данных предприятия
формирование требований по обеспечению безопасности
© ReignVox
Защита персональных данных
19.09.2014
17
Обоснование требований по обеспечению
безопасности персональных данных с
использованием криптосредств
определение целесообразности использования криптосредств в
информационных системах персональных данных
разработка модели угроз безопасности персональным данным,
обрабатываемым с использованием криптосредств
разработка модели нарушителя безопасности персональным
данным, обрабатываемым с использованием криптосредств
определение требуемого уровня криптографической защиты
персональных данных
определение требуемого уровня защиты от утечки по техническим
каналам и защиты от НСД СВТ, на которых реализованы
криптосредства
© ReignVox
Защита персональных данных
19.09.2014
18
Информационная система по
требованиям ФСБ России
Требования ФСБ России к информационным системам
персональных данных
РАЗРАБОТКА МОДЕЛИ НАРУШИТЕЛЯ И КЛАССИФИКАЦИЯ
ИНФОРМАЦИОННОЙ СИСТЕМЫ
Требования ФСБ России
информационной системе
ВЫБОР МЕР И
СРЕДСТВ ЗАЩИТЫ
© ReignVox
Защита персональных данных
19.09.2014
19
Системы обработки персональных
данных без использования средств
автоматизации
Постановление Правительства Российской Федерации от 15.09.2008 № 687
«Об утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации»
ОПРЕДЕЛЕНИЕ ПЕРЕЧНЯ «МАТЕРИАЛЬНЫХ НОСИТЕЛЕЙ» ДЛЯ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
ОПРЕДЕЛЕНИЕ УГРОЗ «МАТЕРИАЛЬНЫМ НОСИТЕЛЯМ» И ПЕРСОНАЛЬНЫМ ДАННЫМ
ВЫРАБОТКА ТРЕБОВАНИЙ ОПЕРАТОРА ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Требования
законодательства
Российской Федерации,
ФСТЭК России и ФСБ
России
© ReignVox
Защита персональных данных
ВЫБОР МЕР И
СРЕДСТВ
ЗАЩИТЫ
19.09.2014
20
Обоснование требований по обеспечению
безопасности персональных данных при
взаимодействии с внешними организациями
и их системами
Проводится с учетом:
требований Федерального закона
«О персональных данных»
категорий внешних информационных систем
способов взаимодействия с ними
и в соответствии:
с требованиями руководящих документов
федеральных органов исполнительной власти,
уполномоченных в области обеспечения
безопасности и в области противодействия
техническим разведкам и технической защиты
информации
© ReignVox
Защита персональных данных
19.09.2014
21
Система моделей угроз
БАЗОВАЯ МОДЕЛЬ / МОДЕЛЬ УГРОЗ
ВЕРХНЕГО УРОВНЯ
ТИПОВАЯ ОТРАСЛЕВАЯ МОДЕЛЬ
УГРОЗ
состав персональных данных
предметные риски
классы специальных
информационных систем
персональных данных
ЧАСТНАЯ / ДЕТАЛИЗИРОВАННАЯ
МОДЕЛЬ УГРОЗ ИНФОРМАЦИОННОЙ
СИСТЕМЫ ПЕРСОНАЛЬНЫХ
ДАННЫХ
© ReignVox
Защита персональных данных
19.09.2014
22
Организация работы
с персональными данными
Необходимость организации работы обусловлена рядом
факторов, среди которых:
требование Федерального закона от 27.07.2006 года № 152-ФЗ
«О персональных данных» оператору о необходимости принятия
организационных мер для защиты персональных данных от
неправомерного доступа к ним
отсутствие в Федеральном законе «О персональных данных»
перечня нормативных правовых актов, наличие которого
необходимо компании-оператору персональных данных для
взаимодействия с Уполномоченным органом по защите прав
субъектов персональных данных при проведении контрольнонадзорных мероприятий
необходимость четкого взаимодействия с субъектами персональных
данных при реализации оператором их прав на правомерную
обработку их данных
© ReignVox
Защита персональных данных
19.09.2014
23
Организация работы
с персональными данными
Позволит:
оптимизировать бизнес-процессы компании,
связанные с обработкой персональных данных
снизить трудозатраты сотрудников компании,
связанные с обработкой персональных данных и
взаимодействием с субъектами персональных
данных
нормативно закрепить основы обработки
персональных данных в компании
сократить жалобы и обращения граждан в
уполномоченные органы на действия оператора
успешно проходить проверки контрольнонадзорных органов
© ReignVox
Защита персональных данных
19.09.2014
24
Разработка концептуальных
документов по обеспечению
безопасности персональных данных
Разработка концепции обеспечения безопасности персональных
данных на предприятии Заказчика
Разработка плана мероприятий по защите персональных данных на
предприятии Заказчика
Обоснование выбора оптимальных способов (мер и средств) защиты
персональных данных в соответствии с задачами защиты
Разработка технического задания на создание системы защиты
персональных данных в рамках разработки (модернизации)
информационной системы персональных данных в соответствии с
утвержденной концепцией обеспечения безопасности
Разработка финансово-экономического обоснования создания
системы защиты персональных данных в рамках разработки
(модернизации) информационной системы персональных данных в
соответствии с утвержденной концепцией обеспечения безопасности
© ReignVox
Защита персональных данных
19.09.2014
25
Организация работы в рамках разработки
(модернизации) информационной системы
персональных данных в соответствии с
концептуальными документами
проведение работ по созданию системы защиты персональных
данных в рамках разработки (модернизации) информационной
системы персональных данных в соответствии с утвержденными
концептуальными документами
разработка эксплуатационной документации на систему защиты
персональных данных
проведение мероприятий по получению лицензии ФСТЭК России по
технической защите конфиденциальной информации
проведение развертывания и ввода в опытную эксплуатацию
технических средств защиты персональных данных
осуществление доработки системы защиты персональных
данных по результатам опытной эксплуатации
аттестация (декларирование соответствия)
автоматизированной системы
© ReignVox
Защита персональных данных
19.09.2014
26
Спасибо за внимание!
ЗАО "Рэйнвокс"
www.reignvox.ru
125130, Москва,
Старопетровский проезд, 7а
Тел:
+7 (495) 981-61-82
Факс: +7 (495) 981-61-83
info@reignvox.ru
© ReignVox
Документ
Категория
Презентации
Просмотров
14
Размер файла
2 697 Кб
Теги
1/--страниц
Пожаловаться на содержимое документа