close

Вход

Забыли?

вход по аккаунту

?

Анализ и проектирование

код для вставкиСкачать
Защита
персональных данных
2008 г.
Информация о компании
О компании
ReignVox - российская компания, специализирующаяся
на разработках в области информационных технологий
и безопасности. Создана двумя компаниями - Bell
Integrator и РНТ для оказания услуг в области
безопасности,
защиты
персональных
данных
и
реализации инновационных проектов.
CNews Forum 2008
Защита персональных данных
23.09.2014
2
Защита персональных данных
Нормативная база
Указ Президента РФ от 6 марта 1997 г. № 188 "Об утверждении
перечня сведений конфиденциального характера";
ФЗ от 19 декабря 2005 г. №160-ФЗ «О ратификации Конвенции Совета
Европы «О защите физических лиц при автоматизированной обработке
персональных данных»;
ФЗ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
Постановление Правительства РФ от 17 ноября 2007 г. № 781,
утверждающее «Положение об обеспечении безопасности персональных
данных при их обработке в информационных системах персональных
данных»;
CNews Forum 2008
Защита персональных данных
23.09.2014
3
Нормативная база
Совместный приказ от 13 февраля 2008 г. № 55/86/20 ФСТЭК, ФСБ,
Мининформсвязь, утверждающий «Порядок проведения классификации
информационных систем персональных данных»;
Постановление Правительства РФ от 15 сентября 2008 г. № 687
«Об утверждении Положения об особенностях обработки персональных
данных, осуществляемой без использования средств автоматизации»;
Проект ФЗ "О внесении изменений в некоторые законодательные акты
Российской Федерации в связи с принятием Федерального закона
"О ратификации Конвенции Совета Европы о защите физических лиц
при автоматизированной обработке персональных данных" и
Федерального закона "О персональных данных".
CNews Forum 2008
Защита персональных данных
23.09.2014
4
Нормативная база
Документы ФСТЭК России:
«Базовая модель угроз безопасности персональных
данных при их обработке в информационных
системах персональных данных»;
«Методика
определения
актуальных
угроз
безопасности
персональных
данных
при
их
обработке
в
информационных
системах
персональных данных»;
«Основные
мероприятия
по
организации
и
техническому
обеспечению
безопасности
персональных
данных,
обрабатываемых
в
информационных системах персональных данных»;
«Рекомендации
по
обеспечению
безопасности
персональных
данных
при
их
обработке
в
информационных системах персональных данных».
CNews Forum 2008
Защита персональных данных
23.09.2014
5
Нормативная база
Документы ФСБ России:
«Типовые требования по организации и обеспечению
функционирования шифровальных (криптографических) средств,
предназначенных для защиты информации, не содержащей
сведений, составляющих государственную тайну, в случае их
использования для обеспечения безопасности персональных
данных при их обработке в информационных системах
персональных данных»;
«Методические рекомендации по обеспечению
с
помощью
криптосредств
безопасности
персональных данных при их обработке в
информационных
системах
персональных
данных
с
использованием
средств
автоматизации».
CNews Forum 2008
Защита персональных данных
23.09.2014
6
Нормативная база
Документы Россвязькомнадзора:
Положение о Федеральной службе по
надзору в сфере связи и массовых
коммуникаций (Постановление Правительства
РФ от 2 июня 2008 г. №419 «О федеральной
службе по надзору в сфере связи и массовых
коммуникаций»)
Приказ Россвязькомнадзора от 28 марта 2008
г. № 154 «Об утверждении положения о
ведении реестра операторов, осуществляющих
обработку персональных данных»
Приказ Россвязькомнадзора от 17 июля 2008
г. №8 «Об утверждении образца формы
уведомления об обработке персональных
данных»
CNews Forum 2008
Защита персональных данных
23.09.2014
7
Установленные сроки
Статья 25 Федерального закона Российской Федерации
от 27 июля 2006 г. N 152-ФЗ О персональных данных
"…
3. Информационные системы персональных данных, созданные
до дня вступления в силу настоящего Федерального закона,
должны быть приведены в соответствие с требованиями
настоящего Федерального закона не позднее 1 января 2010
года.
4. Операторы, которые осуществляют обработку персональных
данных до дня вступления в силу настоящего Федерального
закона и продолжают осуществлять такую обработку после дня
его вступления в силу, обязаны направить в уполномоченный
орган по защите прав субъектов персональных данных, за
исключением случаев, предусмотренных частью 2 статьи 22
настоящего
Федерального
закона,
уведомление,
предусмотренное частью 3 статьи 22 настоящего Федерального
закона, не позднее 1 января 2008 года."
CNews Forum 2008
Защита персональных данных
23.09.2014
8
Риски неисполнения
требований закона
Гражданско-правовые иски со стороны
клиентов или работников
Репутационные риски
Принудительное приостановление или
прекращение обработки персональных
данных в компании
Привлечение компании и (или) ее
руководителя к административной или
иным видам ответственности
Приостановление
действия
аннулирование
лицензий
определенных условиях)
или
(при
…
CNews Forum 2008
Защита персональных данных
23.09.2014
9
Обязанности оператора
Статья 19 Федерального закона Российской Федерации
от 27 июля 2006 г. N 152-ФЗ О персональных данных
"1. Оператор при обработке персональных
данных обязан принимать необходимые
организационные и технические меры, в том
числе
использовать
шифровальные
(криптографические) средства, для защиты
персональных данных от неправомерного
или случайного доступа к ним, уничтожения,
изменения, блокирования, копирования,
распространения персональных данных,
а также от иных неправомерных действий."
CNews Forum 2008
Защита персональных данных
23.09.2014
10
Действия оператора для
выполнения требований закона
Уведомление уполномоченного органа по защите прав
субъектов персональных данных о своем намерении
осуществлять обработку персональных данных.
Разработка документов, регламентирующих обработку
персональных данных в организации (положение по
обработке персональных данных, регламенты, положения
по защите персональных данных).
Создание системы защиты персональных данных.
Выполнение требования по инженернотехнической защите помещений.
Аттестация или декларирование соответствия
по требованиям безопасности информации.
Повышение квалификации сотрудников
в области защиты персональных данных.
CNews Forum 2008
Защита персональных данных
23.09.2014
11
Цель классификации
«ИСПДн класса КП с уровнем криптографической защиты КЗ»
КЛАСС СИСТЕМЫ (ФСТЭК + ФСБ)
Требования к
средствам защиты
ВЫБОР МЕР И
СРЕДСТВ ЗАЩИТЫ
CNews Forum 2008
Защита персональных данных
23.09.2014
12
СИСТЕМЫ ИНФОРМАЦИИ
ОРГАНИЗАЦИИ
ИДЕНТИФИКАЦИЯ СИСТЕМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ОПРЕДЕЛЕНИЕ ХАРАКТЕРИСТИК ПДН
ПЕРВИЧНАЯ КЛАССИФИКАЦИЯ СИСТЕМ ОБРАБОТКИ ПДН
СИСТЕМА ОБРАБОТКИ ПДН С
ИСПОЛЬЗОВАНИЕМ СРЕДСТВ
АВТОМАТИЗАЦИИ
CNews Forum 2008
СИСТЕМА ОБРАБОТКИ ПДН
БЕЗ ИСПОЛЬЗОВАНИЯ
СРЕДСТВ АВТОМАТИЗАЦИИ
Защита персональных данных
23.09.2014
13
Характеристики безопасности
ОСНОВНЫЕ:
Конфиденциальность
Целостность
Доступность
ДОПОЛНИТЕЛЬНЫЕ:
Неотказуемость
Учетность (подконтрольность)
Аутентичность (достоверность)
Адекватность (соответствие)
CNews Forum 2008
Защита персональных данных
23.09.2014
14
СИСТЕМА ОБРАБОТКИ ПДн С
ИСПОЛЬЗОВАНИЕМ СРЕДСТВ
АВТОМАТИЗАЦИИ
ОПРЕДЕЛЕНИЕ ТИПА СИСТЕМЫ ОБРАБОТКИ ПДн
ТИПОВАЯ ИСПДн
(ФСТЭК)
СПЕЦИАЛЬНАЯ ИСПДн
(ФСТЭК)
АВТОМАТИЗИРОВАННАЯ
ИНФОРМАЦИОННАЯ СИСТЕМА
(ФСБ)
CNews Forum 2008
Защита персональных данных
23.09.2014
15
Специальная система
1. Конфиденциальность + …………….
2. Информационные системы, в которых обрабатываются
персональные данные, касающиеся состояния здоровья
субъектов персональных данных;
3.
Информационные системы, в которых
предусмотрено принятие на основании
исключительно
автоматизированной
обработки
персональных
данных
решений, порождающих юридические
последствия в отношении субъекта
персональных
данных
или
иным
образом затрагивающих его права и
законные интересы.
CNews Forum 2008
Защита персональных данных
23.09.2014
16
СПЕЦИАЛЬНАЯ ИСПДн
(ФСТЭК)
Требования ФСТЭК
и ФСБ к ИСПДн
ВЛИЯНИЕ НА
БИЗНЕС-ПРОЦЕССЫ
КЛАССИФИКАЦИЯ ИСПДН
МИНИМИЗАЦИЯ
ЗАТРАТ
ОПРЕДЕЛЕНИЕ АКТУАЛЬНЫХ УГРОЗ
ДОКУМЕНТАЛЬНОЕ ОФОРМЛЕНИЕ
Специальные требования к
системе защиты
информации
CNews Forum 2008
Защита персональных данных
23.09.2014
17
Система моделей угроз
Базовая модель угроз
Типовая отраслевая модель
угроз
Частная/детализированная
модель угроз ИСПДн
CNews Forum 2008
Защита персональных данных
23.09.2014
18
Спасибо за внимание!
ЗАО "Рэйнвокс"
www.reignvox.ru
125130, Москва,
Старопетровский проезд, 7а
Тел:
+7 (495) 981-61-82
Факс: +7 (495) 981-61-83
info@reignvox.ru
CNews Forum 2008
Защита персональных данных
23.09.2014
19
Документ
Категория
Презентации
Просмотров
7
Размер файла
2 526 Кб
Теги
1/--страниц
Пожаловаться на содержимое документа