Разработка автоматизированной системы категорирования и выбора средств защиты информационных систем персональных данных

Содержание

Слайд 2

2

Постановка проблемы

В 2007 году в силу вступил федеральный
закон «О персональных данных».
Не готовность

2 Постановка проблемы В 2007 году в силу вступил федеральный закон «О
операторов персональных
данных привела к отсрочке выполнения
требований закона до 1 января 2011
года.

Причины неподготовленности:
1.Объемная законодательная база в области
защиты персональных данных, требующая изучения.
2. Дорогостоящая процедура защиты
информационных систем персональных данных.

Слайд 3

3

Законодательство в области ПДн

Конституция Российской Федерации (принята на всенародном голосовании 12 декабря 1993 г.);

3 Законодательство в области ПДн Конституция Российской Федерации (принята на всенародном голосовании
Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63–ФЗ (
Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195–ФЗ
Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197–ФЗ
Основы законодательства Российской Федерации об охране здоровья граждан от 22 июля 1993 г. № 
Федеральный закон от 8 августа 2001 г. № 129–ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»
Федеральный закон от 27 мая 2003 г. № 58–ФЗ «О системе государственной службы Российской Федерации»
Федеральный закон от 27 июля 2004 г. № 79–ФЗ «О государственной гражданской службе Российской Федерации»
Федеральный закон от 22 октября 2004 г. № 125–ФЗ «Об архивном деле в Российской Федерации»
Федеральный закон № 160–ФЗ от 19 декабря 2005 г. «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
Федеральный закон от 27 июля 2006 г. № 149–ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 27 июля 2006 г. № 152–ФЗ «О персональных данных»
Федеральный закон от 29 декабря 2006 г. № 256–ФЗ «О дополнительных мерах государственной поддержки семей, имеющих детей» (с изменениями от 23 июля, 25 декабря 2008 г.);
Федеральный закон от 2 марта 2007 г. № 25–ФЗ «О муниципальной службе в Российской Федерации». Статья 29. Персональные данные муниципального служащего (с изменениями от 23 июля, 27 октября, 25 ноября, 22, 25 декабря 2008 г., 17 июля 2009 г.);
Федеральный закон Российской Федерации от 3 декабря 2008 г. № 242–ФЗ «О Государственной геномной регистрации в Российской Федерации» (с изменениями от 17 декабря 2009 г.);
Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера» (с изменениями от 23 сентября 2005 № 1111);
Указ Президента Российской Федерации от 12 мая 2008 № 724 «Вопросы системы и структуры федеральных органов исполнительной власти» (с изменениями от 30 мая, 24 июля, 6 сентября, 7, 14 октября, 3, 25, 31 декабря 2008 г., 11 сентября, 5 октября 2009 г.);

Слайд 4

На территории Российской Федерации более 7 миллионов
юридических лиц и предпринимателей.
Дорогостоящую

На территории Российской Федерации более 7 миллионов юридических лиц и предпринимателей. Дорогостоящую
и длительную процедуру по приведении ИСПДн в
соответствие ФЗ №152 «О персональных данных» может позволить
себе небольшой процент из этих 7 миллионов.
Разработанная автоматизированная система позволит снизить
трудоемкость работ и уменьшить материальные затраты.

Актуальность
и необходимость разработки

4

Слайд 5

Схема работы
автоматизированной системы

Информация, позволяющая дать оценку ИСПДн

Категорирование
ПДн

Выявление угроз
ПДн

Конкретный перечень мер и

Схема работы автоматизированной системы Информация, позволяющая дать оценку ИСПДн Категорирование ПДн Выявление
средств, необходимых для должной защиты выявленной категории ИСПДн

Оценка состояния
обработки
ПДн

На входе

На выходе

5

Обработка данных

Слайд 6

Формализация
процесса категорирования

Формализация процесса категорирования

Слайд 7


Групповой показатель GP1 - Обеспечение защиты ИСПДн от угроз утечки видовой информации
GPi=α1

Групповой показатель GP1 - Обеспечение защиты ИСПДн от угроз утечки видовой информации
Ch 1+α2 Ch2 +…+αk Chk,
Шкала защищенности ИСПДн:
1 – высокий достаточный уровень защиты
[0,8;1) – высокий недостаточный уровень защиты [0,5;0,8) – средний недостаточный уровень защиты [0;0,2) – низкий недостаточный уровень защиты
0– система не защищена

Расчет оценки защищенности ИСПДн

Слайд 8



Класс ИСПДн
Анализ защищенности
и выбор средств защиты ИСПДн

БД программных средств защиты ИСПДн

Объем

Класс ИСПДн Анализ защищенности и выбор средств защиты ИСПДн БД программных средств
ПДн

Перечень ПДн

Данные об установленных средствах защиты

Данные об утвержденных организационно-распорядительных документах

Данные о системе
обработки ПДн

Модель угроз

Оценка защищенности ИСПДн

Рекомендации по внедрению необходимых средств
защиты ИСПДн

Рекомендации по утверждению организационно-распорядительной документации

БД технических средств защиты ИСПДн

БД организационно-распорядительной документации

Представление процедуры анализа защищенности
и выбора средств защиты ИСПДн

Слайд 9

7

Заполнение опросной электронной анкеты

ОПРОСНЫЕ БЛОКИ

Блок организационной документации
(вопросы о наличии тех или иных

7 Заполнение опросной электронной анкеты ОПРОСНЫЕ БЛОКИ Блок организационной документации (вопросы о
организационно-
распорядительных документов в области защиты ПДн)

Программно-аппаратное оснащение
(вопросы об оснащенности теми или иными программными
средствами защиты ПДн)

Техническое оснащение
(вопросы об оснащенности техническими средствами защиты ПДн)

Общий блок
(вопросы о численности штата, квалификации работников)

Слайд 10

9

Формирование отчета по принципу «как есть»
и «как должно быть»
Общее состояние защиты

9 Формирование отчета по принципу «как есть» и «как должно быть» Общее

информационной
системы персональных данных
«КАК ЕСТЬ»

Общее состояние защиты
информационной
системы персональных данных
«КАК ДОЛЖНО БЫТЬ»

Общий блок
Блок организационной-
распорядительной документации
3. Блок программно-аппаратного
оснащения
4. Блок технической оснащенности

Общий блок
Блок организационной-
распорядительной документации
3. Блок программно-аппаратного
оснащения
4. Блок технической оснащенности

Основа - законодательная база:

Слайд 11

Определение диапазона цен,
приемлемых для клиента

10

Система защиты 1

Система защиты 2

Система защиты 3

Система

Определение диапазона цен, приемлемых для клиента 10 Система защиты 1 Система защиты
защиты 4

Система защиты будет соответствовать выявленной категории ИСПДн

Слайд 12

11

Перечень средств и методов, необходимых
для защиты информационной
системы персональных данных

Организационные

11 Перечень средств и методов, необходимых для защиты информационной системы персональных данных
меры:
Для соответствующей системы защиты персональных данных, вам необходимо дополнить вашу базу организационно-распорядительных документов следующими:……………………………………

В соответствии с выбранным диапазоном стоимости оборудования Вам необходимо установить следующие программно-аппаратные и технические средства защиты персональных данных:….

Слайд 13

Применение автоматизированной системы выбора
средств и методов защиты персональных данных

Частные и государственные

Применение автоматизированной системы выбора средств и методов защиты персональных данных Частные и
организации различных форм собственности

12

Слайд 14

ОБЗОР УЧРЕЖДЕНИЙ ГОРОДА БРЯНСКА,
ОБРАБАТЫВЮЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ СОТРУДНИКОВ

Жилищно-коммунальное хозяйство - 392

ОБЗОР УЧРЕЖДЕНИЙ ГОРОДА БРЯНСКА, ОБРАБАТЫВЮЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ СОТРУДНИКОВ Жилищно-коммунальное хозяйство - 392
Учреждения культуры и искусства - 42
Учреждения здравоохранения - 260
Заводы, фабрики - 250 в том числе ИП
Муниципальные учреждения - 293
Учреждения образования и науки - 404
Общественные организации - 502
Оптовая торговля, склады, магазины - 361
Розничная торговля, магазины - 360
Развлекательные учреждения - 269
Спортивные учреждения - 74
Средства массовой информации - 64
Строительные организации - 500
Транспортные организации - 320
Организации, оказывающие различные виды услуг - 580
Банковские и финансовые организации, казначейства - 129

Данные представлены, в соответствии со сведениями сайта Брянских организаций www.yansk.ru

Примерно: 4 800

14

Слайд 15

АНАЛОГИ

Сторонние аудиторские компании:
- Информзащита;
- ООО «Анкад»;
ЗАО «Калуга Астрал»;
НТЦ «Сфера»;
ЗАО «Орбита»;
ОАО «ЭЛВИС-ПЛЮС»

13

АНАЛОГИ Сторонние аудиторские компании: - Информзащита; - ООО «Анкад»; ЗАО «Калуга Астрал»;

Слайд 16

Структура решаемых задач в автоматизированной системе анализа и выбора средств защиты ИСПДн

Структура решаемых задач в автоматизированной системе анализа и выбора средств защиты ИСПДн

Слайд 17

Категорирование ПДн

Категорирование ПДн

Слайд 18

Оценка защищенности ИСПДн

Оценка защищенности ИСПДн
Имя файла: Разработка-автоматизированной-системы-категорирования-и-выбора-средств-защиты-информационных-систем-персональных-данных.pptx
Количество просмотров: 174
Количество скачиваний: 1