Реализация положений Федерального закона «О персональных данных»: время действовать

Содержание

Слайд 2

Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального

Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального
закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

Слайд 3

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
Оператор при

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке Оператор
обработке персданных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персданных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персданных, а также от иных неправомерных действий.

ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

Слайд 4

технически сложные
требуют:
высокой квалификации исполнителей
специальных знаний
глубокого понимания функциональности:
приложений, обрабатывающих персональные данные
средств защиты

технически сложные требуют: высокой квалификации исполнителей специальных знаний глубокого понимания функциональности: приложений,
информации, необходимых для нейтрализации актуальных угроз персональным данным

РЕШЕНИЯ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Слайд 5

ЧТО МОЖНО И НУЖНО БЫЛО СДЕЛАТЬ ЕЩЕ ВЧЕРА

Первые необходимые шаги
1. Выявить все

ЧТО МОЖНО И НУЖНО БЫЛО СДЕЛАТЬ ЕЩЕ ВЧЕРА Первые необходимые шаги 1.
информационные системы, обрабатывающие персональные данные
2. Классифицировать все ИСПДн
3. Сформировать и актуализировать модели угроз персональным данным применительно к каждой системе или однотипным системам

Слайд 6

Приказ ФСТЭК/ФСБ/Мининформсвязи от 13.02 2008 № 55/86/20
«Об утверждении порядка проведения классификации ИС

Приказ ФСТЭК/ФСБ/Мининформсвязи от 13.02 2008 № 55/86/20 «Об утверждении порядка проведения классификации
персональных данных»
Классификация - задача неформальная
На этапе сбора и анализ исходных данных по ИСПДн:
Определение целей обработки ПДн
Формирование перечня ПДн (состав сведений, отнесенных к такой категории)
Оценка необходимости и целесообразности отнесения ИСПДн к специальным

КЛАССИФИКАЦИЯ ИСПДн

Слайд 7

Проблемы классификации
Следование духу, а не формальной букве закона
Разумный выбор параметров определяющих класс

Проблемы классификации Следование духу, а не формальной букве закона Разумный выбор параметров
ИСПДн:
количество субъектов Vs локальность обработки
персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию
Отсутствие формальных (законодательно определенных) определений таких понятий, как:
«состояние здоровья»,
«принятие решений, порождающих юридические последствия в отношении субъекта персональных данных»

КЛАССИФИКАЦИЯ ИСПДн

Слайд 8

Защита персональных данных

ФОРМИРОВАНИЕ ПЕРЕЧНЯ ПДн

Защита персональных данных ФОРМИРОВАНИЕ ПЕРЕЧНЯ ПДн

Слайд 9

Защита персональных данных

ФОРМИРОВАНИЕ ПЕРЕЧНЯ ПДн

Защита персональных данных ФОРМИРОВАНИЕ ПЕРЕЧНЯ ПДн

Слайд 10

Актуализация угроз:
Полномочия, но не произвол оператора
Необходимость следования методологии регуляторов и установленным критериям

Актуализация угроз: Полномочия, но не произвол оператора Необходимость следования методологии регуляторов и
актуализации
Необходимость принятия мер по нейтрализации актуальных угроз

СОЗДАНИЕ МОДЕЛИ УГРОЗ ПДн

Слайд 11

На основе исходных данных, указанных в акте классификации и актуализированной модели угроз

На основе исходных данных, указанных в акте классификации и актуализированной модели угроз
определяются:
механизмы безопасности, которые должны быть реализованы в системе защиты
конкретные требования к функциональности этих механизмов

ПРОЕКТИРОВАНИЕ СИСТЕМЫ БЕЗОПАСНОСТИ ИСПДн

Слайд 12

Мероприятия по защите ПДн при их обработке в ИСПДн от НСД и

Мероприятия по защите ПДн при их обработке в ИСПДн от НСД и
неправомерных действий, включают:
Управление доступом
Регистрацию и учет
Обеспечение целостности
Контроль отсутствия недекларированных возможностей
Антивирусную защиту
Обеспечение безопасного межсетевого взаимодействия ИСПДн
Анализ защищенности
Обнаружение вторжений

ПРОЕКТИРОВАНИЕ СИСТЕМЫ БЕЗОПАСНОСТИ ИСПДн

Слайд 13

Подсистема управления доступом рекомендуется реализовывать на базе программных средств блокирования НСД, сигнализации

Подсистема управления доступом рекомендуется реализовывать на базе программных средств блокирования НСД, сигнализации
и регистрации – специальных, не входящих в ядро какой-либо ОС программных и программно-аппаратных средства защиты самих ОС, электронных баз ПДн и прикладных программ, реализующих функции:
Диагностики
Регистрации
Уничтожения
Сигнализации
Имитации

ПРОЕКТИРОВАНИЕ СИСТЕМЫ БЕЗОПАСНОСТИ ИСПДн

Слайд 14

Средства сигнализации предназначены для:
предупреждения операторов при их обращении к защищаемым ПДн
для предупреждения

Средства сигнализации предназначены для: предупреждения операторов при их обращении к защищаемым ПДн
администратора об обнаружении факта
НСД к ПДн
Искажения программных средств защиты
Выходе или выводе из строя аппаратных средств защиты
Других фактах нарушения штатного режима функционирования ИСПДн

ПРОЕКТИРОВАНИЕ СИСТЕМЫ БЕЗОПАСНОСТИ ИСПДн

Слайд 15

Межсетевое экранирование:

Системы обнаружения вторжений:

ПРОЕКТИРОВАНИЕ СИСТЕМЫ БЕЗОПАСНОСТИ ИСПДн

Межсетевое экранирование: Системы обнаружения вторжений: ПРОЕКТИРОВАНИЕ СИСТЕМЫ БЕЗОПАСНОСТИ ИСПДн

Слайд 16

Минимизация затрат на создание систем безопасности ИСПДн:
максимальное использование возможностей уже имеющихся в

Минимизация затрат на создание систем безопасности ИСПДн: максимальное использование возможностей уже имеющихся
КИС средств безопасности, а также ОС и прикладного ПО, сертифицированных или имеющих перспективы сертификации в системах ФСТЭК и ФСБ
принятие дополнительных мер, позволяющих снизить требования к части ИСПДн или сегментам сети, где такие ИСПДн расположены

ПРОЕКТИРОВАНИЕ СИСТЕМЫ БЕЗОПАСНОСТИ ИСПДн

Слайд 17

сокращение числа работников (АРМ), обрабатывающих ПДн, разделение функций, минимизирующее возможность одновременной обработки

сокращение числа работников (АРМ), обрабатывающих ПДн, разделение функций, минимизирующее возможность одновременной обработки
ПДн из разных систем;
обезличивание части ИСПДн (переход на абонентские и табельные номера, номера лицевых счетов и т.п.);
разделение КИС сертифицированными межсетевыми экранами на сегменты, классификация каждой (групп) ИСПДн и снижения требований к части из них;
организация терминального доступа к ИСПДн;
исключения части сведений, хранение их на бумажных или иных носителях вне ИСПДн.

МИНИМИЗАЦИЯ ЗАТРАТ НА БЕЗОПАСНОСТЬ ИСПДн

Слайд 18

Типичная ошибка:
наличие у СЗИ сертификата, позволяющего применять его в системе определенного класса

Типичная ошибка: наличие у СЗИ сертификата, позволяющего применять его в системе определенного
защищенности, является необходимым и достаточным для выполнения всего объема требований

ПРОЕКТИРОВАНИЕ СИСТЕМЫ БЕЗОПАСНОСТИ ИСПДн

Слайд 19

Имеющихся сертифицированных средств защиты информации достаточно для реализации практически всех требований, изложенных

Имеющихся сертифицированных средств защиты информации достаточно для реализации практически всех требований, изложенных
в нормативно-методических документах ФСТЭК и ФСБ.
Вопрос лишь в знании их функциональности и правильном сочетании

ПРОЕКТИРОВАНИЕ СИСТЕМЫ БЕЗОПАСНОСТИ ИСПДн

Слайд 20

Перечень персональных данных
Модель угроз безопасности персональных данных
Акт о классификации ИСПДн
Положение (инструкция, руководство)

Перечень персональных данных Модель угроз безопасности персональных данных Акт о классификации ИСПДн
об обеспечении безопасности персональных данных при их обработке
Описание системы защиты, обеспечивающей нейтрализацию угроз для соответствующего класса ИСПДн
Заключения о возможности эксплуатации средств защиты персональных данных
+ документы, предусмотренные для соответствующих процедур оценки соответствия (аттестация, сертификация)

МИНИМАЛЬНЫЙ ПАКЕТ НОРМОДОКОВ

Слайд 21

Операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальная информация) при

Операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальная информация) при
их обработке в ИСПДн 1 и 2 классов и распределенных ИС 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации
Альтернатива: договор об аутсорсинге системы безопасности ИСПДн с лицензиатом

ЛИЦЕНЗИРОВАНИЕ ДЕЯТЕЛЬНОСТИ ОПЕРАТОРОВ

Слайд 22

АЛЬТЕРНАТИВНЫЕ СЦЕНАРИИ

АЛЬТЕРНАТИВНЫЕ СЦЕНАРИИ

Слайд 23

ZKI.INFOSEC.RU

Вопросы-ответы

Законодательство

Публикации

Форум – скоро!

ZKI.INFOSEC.RU Вопросы-ответы Законодательство Публикации Форум – скоро!
Имя файла: Реализация-положений-Федерального-закона-«О-персональных-данных»:-время-действовать.pptx
Количество просмотров: 164
Количество скачиваний: 0
- Предыдущая
%
Следующая -
Новое в градостроительном законодательстве

Похожие презентации

Работающие примеры Как вести торговлю в социальных сетях? - презентация
ПСО 6 субсидии на оплату ЖКУ
ГОСУДАРСТВЕННО-ЧАСТНОЕ ПАРТНЕРСТВО В ЛЕСНОМ СЕКТОРЕ РОССИЙСКОЙ ФЕДЕРАЦИИ
Проект«Создание элективного курса по географии для предпрофильной подготовки учащихся 9 классов».
Лучшие практики продвижения в социальной сети «Одноклассники» Елена Яковенко
Учительница первая моя
Презентация на тему ТЭК Топливно-энергетический комплекс
Премудрости этикета
AFRICA IN YOUR MIND
Большие и маленькие дела социального педагога Ступиной Л.Н. и воспитанников нашего центра
Устное и письменное умножение и деление
Сдельная заработная плата
Оптическое явление М и р а ж
Припуски на механическую обработку
Восстановление гравийных, С/Х дорог, строительство аэродромов. Увеличение сроков эксплуатации
Добро пожаловать
Приглашение к сотрудничеству. Завод Агросфера Компания ООО Мир. Садово-дачные товары
Почему племена говорят на разных языках
Презентация на тему Типы галактик
МОДЕРН
О проблемах расчетов и оплаты услуг по холодному водоснабжению и сбережению водных ресурсов (доклад ООО «Энергокомфорт» Карелия)
20170225_prezentatsiya_seyidovoy_yu
Внутренние устройства ПК
Куприн
Создание проекций на глобалы Cache ObjectScript
Центр перманентного макияжа SECRET PM
Queen Elizabeth II
Презентация на тему Правила поведения школьников во время зимних каникул
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть