1 / 13

Этапы работ по защите персональных данных, реализованные проекты.

Этапы работ по защите персональных данных, реализованные проекты. Руководитель проектов ЗАО «Калуга Астрал» Кухтинов Алексей Анатольевич +7 909 251 7676 alex@astralnalog.ru.

noelle-williamson
Download Presentation

Этапы работ по защите персональных данных, реализованные проекты.

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Этапы работ по защите персональных данных, реализованные проекты. Руководитель проектов ЗАО «Калуга Астрал» Кухтинов Алексей Анатольевич +7 909 251 7676 alex@astralnalog.ru

  2. В течение августа 2011 года на портале ИСПДн.ру проводился опрос по самым актуальным вопросам информационной безопасности. Зачем нужно тратить силы и средства на защиту ПДн в организации?

  3. А зачем на самом деле все это нужно? Цель Федерального закона «О персональных данных» (ст.2)Целью Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Далее возникают следующие вопросы: 1) Являюсь ли я оператором персональных данных? Если в Вашей организации более одного сотрудника – то Вы являетесь оператором персональных данных, и Вам необходимо соблюдать требования законодательства РФ в области защиты персональных данных. 2) Да, я оператор персональных данных. Что делать дальше? Необходимо обеспечить защиту персональных данных до 1 июля 2011г., в соответствии с требованиями государственных органов, регулирующих обработку персональных данных. К данным органам относятся: Роскомнадзор– Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; ФСТЭК России – Федеральная служба по техническому и экспортному контролю; ФСБ России – Федеральная Служба Безопасности.

  4. 3) Что будет, если не выполнять данные требования? В данном случае оператор персональных данных может понести гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. 4) Как тогда поступить? Оператор может выбрать один из следующих путей:а) Не делать ничего.В этом случае оператор продолжает обработку персональных данных на свой страх и риск, надеясь на «авось».б) Отказаться от обработки персональных данных или уйти от автоматизированной обработки персональных данных.Если в Вашей компании более одного сотрудника, то Вам не удастся полностью отказаться от обработки персональных данных. Если перейти к обработке персональных данных без использования средств автоматизации, то Вам придется обрабатывать все персональные данные вручную, но и в этом случае необходимо соблюдать требования Постановления Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"в) Выполнить требования.В данном случае Вы успешно пройдете проверки, защитите персональные данные, снизите риски поступления жалоб от граждан и сможете избежать санкций со стороны контролирующих органов.

  5. 5) Как мне защитить персональные данные: самостоятельно или привлечь стороннюю организацию? • При самостоятельном подходе Вы сможете уйти от затрат по договору с лицензиатом ФСТЭК, НО: • Появятся дополнительные затраты на обучение собственных сотрудников; • -В данном случае есть риск ошибок в выполнении проекта, которые могут привести : • - к значительным финансовым потерям для компании при проверке регуляторов; • - к неправильной классификации, а как следствие, к увеличению стоимости СЗИ; • - к неправильной оценке процессов и ресурсов , обрабатывающих персональные данные и пр….

  6. Если доверимся профессионалам? • СОСТАВЛЕНИЕ ПРЕДВАРИТЕЛЬНОГО КОММЕРЧЕСКОГО ПРЕДЛОЖЕНИЯ • На основании первичного опросного листа. БЕСПЛАТНО. Это необходимо для • предварительной классификации системы и определения ориентировочной • стоимости ее защиты. • Пример рекламы Яндекса: «ЗАЩИТА ИС ПДн от ….тыс.руб.»- вывод, люди сами • НЕ знают как это делать • Есть компании, которые это делают за деньги, получив лицензию «ВЧЕРА». Пытаются заработать деньги • на популярности вопроса, а не на долгосрочном сотрудничестве с ЗАКАЗЧИКОМ • ПРАВИЛЬНОЕ ПРОВЕДЕНИЕ ПРЕДПРОЕКТНОГО ОБСЛЕДОВАНИЯ • Проведение комплексного аудита ИБ и нормативно-регламентирующей • Документации. Разработка организационно-технических мероприятий • Определения оптимального решения для Заказчика. • Согласование разработанной документации во ФСТЭК России и ФСБ России

  7. На основании чего формируется стоимость приведения системы в соответствие? • Предварительная классификация ИСПДн (приказ ФСТЭК, ФСБ и Мининформсвязи России № 55/86/20 от 13 февраля 2008 г) • Определение предварительного наборатребований (Положение о методах и способах защиты информации в ИСПДн(утв. Приказом ФСТЭК от 5 февраля 2010 г. №58) • Определение стоимости обследования ИСПДн • Подбор средств защиты информации (СЗИ) удовлетворяющих требования нормативно-методических документов и специфики системы • Определение стоимости установки, настройки и ввода в эксплуатацию СЗИ • Определение стоимости аттестации (если таковая требуется) ИСПДн

  8. максимальноеиспользованиевозможностейужеимеющихся в ИС СЗИ, а такжевозможностей ОС и прикладного ПО, сертифицированныхилиимеющихперспективысертификации в системахсертификации ФСТЭК Россииили ФСБ России; • сокращениеколичестваперсонала (АРМ), обрабатывающихПДн, разделениефункций, снижающихвозможностьодновременнойобработкиПДнизразныхсистем; • обезличиваниечастиИСПДн (переходнаабонентские и табельныеномера, номералицевыхсчетов и т.п.); • разделение ИС сертифицированнымимежсетевымиэкранаминаотдельныесегменты, классификациякаждогосегмента (ИСПДн) и снижениятребований к частиизних; • исключениечастиПДн, хранениеихнабумажныхилииныхносителяхвнеИСПДн; Пути минимизации затрат на создание СЗПДн

  9. Этапы построения защиты ИСПДн: 1.        Обследование ИСПДн На данном этапе проводятся работы по описанию информационной системы в которой обрабатываются ПДн, так же проводится категорирование и классификация обрабатываемых ПДн, проводится описание и учет объектов защиты, включая состав и характеристики средств обработки ПДн. 2.       Разработка организационно-распорядительной документации Основной целью данного этапа работ является разработка комплекта документации, регламентирующих обработку персональных данных. 3.         Проектирование и внедрение системы защиты персональных данных (СЗПДн) По результатам обследования информационных систем персональных данных с учетом категории ПДн и установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности ПДн, включаемые в техническое (частное техническое) задание (ТЗ) на разработку СЗПДн. Осуществляется установка и настройка средств защиты информации 4.         Оценка соответствия ИСПДн  Оценка соответствия объектов информатизации по требованиям безопасности информации включает в себя следующие работы: Разработка пакета аттестационных документов (программа и методика аттестационных испытаний, технический паспорт ИСПдн) Проведение аттестационных испытаний (протоколы испытаний, заключение по результатам аттестационных испытаний) Оформление «Аттестата соответствия»

  10. Нам доверяют:

  11. www. genproc.gov.ru

  12. www.ispdn.ru

  13. СПАСИБО ЗА ВНИМАНИЕ! ЗАО «Калуга Астрал» г. Калуга, пер. Теренинский,6, тел. (4842) 788-999доб. 7050 www.astralnalog.ru e-mail: astral@kaluga.ru Кухтинов Алексей Анатольевич Руководитель проектов +7 909 251 76 76

More Related