962c1ccb95953fa836f8009e3d7d9a9c.ppt
- Количество слайдов: 13
• Этапы работ по защите персональных данных, реализованные проекты. Руководитель проектов ЗАО «Калуга Астрал» Кухтинов Алексей Анатольевич +7 909 251 7676 alex@astralnalog. ru
В течение августа 2011 года на портале ИСПДн. ру проводился опрос по самым актуальным вопросам информационной безопасности. Зачем нужно тратить силы и средства на защиту ПДн в организации? 4. 05% 2. 70% Чтобы защититься от регулирующих органов 11. 26% Чтобы не останавливать бизнес-процессы из-за утраты информации 47. 75% 13. 96% Чтобы компания была белой и пушистой в глазах клиентов и партнеров Чтобы защититься от неадекватных сотрудников 19. 37% Чтобы защиться от жалоб субъектов ПДн В нашей компании есть другие, более важные статьи расходов
А зачем на самом деле все это нужно? Цель Федерального закона «О персональных данных» (ст. 2) Целью Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Далее возникают следующие вопросы: 1) Являюсь ли я оператором персональных данных? Если в Вашей организации более одного сотрудника – то Вы являетесь оператором персональных данных, и Вам необходимо соблюдать требования законодательства РФ в области защиты персональных данных. 2) Да, я оператор персональных данных. Что делать дальше? Необходимо обеспечить защиту персональных данных до 1 июля 2011 г. , в соответствии с требованиями государственных органов, регулирующих обработку персональных данных. К данным органам относятся: Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; ФСТЭК России – Федеральная служба по техническому и экспортному контролю; ФСБ России – Федеральная Служба Безопасности.
3) Что будет, если не выполнять данные требования? В данном случае оператор персональных данных может понести гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. 4) Как тогда поступить? Оператор может выбрать один из следующих путей: а) Не делать ничего. В этом случае оператор продолжает обработку персональных данных на свой страх и риск, надеясь на «авось» . б) Отказаться от обработки персональных данных или уйти от автоматизированной обработки персональных данных. Если в Вашей компании более одного сотрудника, то Вам не удастся полностью отказаться от обработки персональных данных. Если перейти к обработке персональных данных без использования средств автоматизации, то Вам придется обрабатывать все персональные данные вручную, но и в этом случае необходимо соблюдать требования Постановления Правительства РФ от 15. 09. 2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" в) Выполнить требования. В данном случае Вы успешно пройдете проверки, защитите персональные данные, снизите риски поступления жалоб от граждан и сможете избежать санкций со стороны контролирующих органов.
5) Как мне защитить персональные данные: самостоятельно или привлечь стороннюю организацию? При самостоятельном подходе Вы сможете уйти от затрат по договору с лицензиатом ФСТЭК, НО: -Появятся дополнительные затраты на обучение собственных сотрудников; -В данном случае есть риск ошибок в выполнении проекта, которые могут привести : - к значительным финансовым потерям для компании проверке регуляторов; - к неправильной классификации, а как следствие, к увеличению стоимости СЗИ; - к неправильной оценке процессов и ресурсов , обрабатывающих персональные данные и пр….
Если доверимся профессионалам? -СОСТАВЛЕНИЕ ПРЕДВАРИТЕЛЬНОГО КОММЕРЧЕСКОГО ПРЕДЛОЖЕНИЯ На основании первичного опросного листа. БЕСПЛАТНО. Это необходимо для предварительной классификации системы и определения ориентировочной стоимости ее защиты. Пример рекламы Яндекса: «ЗАЩИТА ИС ПДн от …. тыс. руб. » - вывод, люди сами НЕ знают как это делать Есть компании, которые это делают за деньги, получив лицензию «ВЧЕРА» . Пытаются заработать деньги на популярности вопроса, а не на долгосрочном сотрудничестве с ЗАКАЗЧИКОМ -ПРАВИЛЬНОЕ ПРОВЕДЕНИЕ ПРЕДПРОЕКТНОГО ОБСЛЕДОВАНИЯ Проведение комплексного аудита ИБ и нормативно-регламентирующей Документации. Разработка организационно-технических мероприятий Определения оптимального решения для Заказчика. Согласование разработанной документации во ФСТЭК России и ФСБ России
На основании чего формируется стоимость приведения системы в соответствие? 1. Предварительная классификация ИСПДн (приказ ФСТЭК, ФСБ и Мининформсвязи России № 55/86/20 от 13 февраля 2008 г) 2. Определение предварительного набора требований (Положение о методах и способах защиты информации в ИСПДн(утв. Приказом ФСТЭК от 5 февраля 2010 г. № 58) 3. Определение стоимости обследования ИСПДн 4. Подбор средств защиты информации (СЗИ) удовлетворяющих требования нормативно-методических документов и специфики системы 5. Определение стоимости установки, настройки и ввода в эксплуатацию СЗИ 6. Определение стоимости аттестации (если таковая требуется) ИСПДн
Пути минимизации затрат на создание СЗПДн –максимальное использование возможностей уже имеющихся в ИС СЗИ, а также возможностей ОС и прикладного ПО, сертифицированных или имеющих перспективы сертификации в системах сертификации ФСТЭК России или ФСБ России; – сокращение количества персонала (АРМ), обрабатывающих ПДн, разделение функций, снижающих возможность одновременной обработки ПДн из разных систем; – обезличивание части ИСПДн (переход на абонентские и табельные номера, номера лицевых счетов и т. п. ); –разделение ИС сертифицированными межсетевыми экранами на отдельные сегменты, классификация каждого сегмента (ИСПДн) и снижения требований к части из них; – исключение части ПДн, хранение их на бумажных или иных носителях вне ИСПДн;
Этапы построения защиты ИСПДн: 1. Обследование ИСПДн На данном этапе проводятся работы по описанию информационной системы в которой обрабатываются ПДн, так же проводится категорирование и классификация обрабатываемых ПДн, проводится описание и учет объектов защиты, включая состав и характеристики средств обработки ПДн. 2. Разработка организационно-распорядительной документации Основной целью данного этапа работ является разработка комплекта документации, регламентирующих обработку персональных данных. 3. Проектирование и внедрение системы защиты персональных данных (СЗПДн) По результатам обследования информационных систем персональных данных с учетом категории ПДн и установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности ПДн, включаемые в техническое (частное техническое) задание (ТЗ) на разработку СЗПДн. Осуществляется установка и настройка средств защиты информации 4. Оценка соответствия ИСПДн Оценка соответствия объектов информатизации по требованиям безопасности информации включает в себя следующие работы: Разработка пакета аттестационных документов (программа и методика аттестационных испытаний, технический паспорт ИСПдн) Проведение аттестационных испытаний (протоколы испытаний, заключение по результатам аттестационных испытаний) Оформление «Аттестата соответствия»
Нам доверяют:
www. genproc. gov. ru
www. ispdn. ru
СПАСИБО ЗА ВНИМАНИЕ! ЗАО «Калуга Астрал» г. Калуга, пер. Теренинский, 6, тел. (4842) 788 -999 доб. 7050 www. astralnalog. ru e-mail: astral@kaluga. ru Кухтинов Алексей Анатольевич Руководитель проектов +7 909 251 76 76
962c1ccb95953fa836f8009e3d7d9a9c.ppt