Защита персональных данных. Практический алгоритм проведения работ в организациях, учреждениях, на предприятиях www.USSC.ru Истомин Дмитрий distomin@ussc.ru.

Презентация:



Advertisements
Похожие презентации
М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.
Advertisements

Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.
Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.
В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет: Положение об обеспечении 1.
Текущая ситуация Законодательство, нормативы ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 27 ИЮЛЯ 2006 Г. 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА.
Федеральный закон о персональных данных. Необходимо: 1.Получать разрешение на обработку и передачу персональных данных. 2.Уведомлять РОСКОМНАДЗОР о том,
ЗАМЕСТИТЕЛЬ ДИРЕКТОРА ФИЛИАЛА ОАО «БИТК» В г. ВОРОНЕЖЕ СЕЛИФАНОВА НАТАЛИЯ НИКОЛАЕВНА ЗАМЕСТИТЕЛЬ ДИРЕКТОРА ФИЛИАЛА ОАО «БИТК» В г. ВОРОНЕЖЕ СЕЛИФАНОВА.
Обеспечение безопасности персональных данных. Проблемы и решения 9 марта 2011 года.
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ в информационных системах операторов связи.
Защита персональных данных в информационных системах 24 ноября 2010 года.
Компания «Инфо-Оберег» Дорофеев Владимир Игоревич.
Защита персональных данных: основные аспекты. Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Персональные данные (ПДн) Кто? От кого?
Защита персональных данных от несанкционированного доступа.
Требования и методы защиты персональных данных ООО "МКЦ "АСТА-информ", (351) ,
Общий порядок действий оператора по выполнению требований Федерального закона от ФЗ «О персональных данных»
Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в.
Аттестация по требованиям информационной безопасности Информационных систем персональных данных Попов Игорь Сергеевич Старший консультант ООО «Гелиос Компьютер»
Персональные данные (ПДн). Организация работы по защите ПДн в образовательном учреждении 14 апреля 2010 года.
Законодательная и нормативная база правового регулирования вопросов защиты персональных данных. Руководящие документы по защите персональных данных Законодательная.
» ГБУ СО «СОЦИ» 1 31 января 2011 года Докладчик: Заместитель начальника отдела информационной безопасности ГБУ СО «СОЦИ» Колгин Антон Александрович 14.
Транксрипт:

Защита персональных данных. Практический алгоритм проведения работ в организациях, учреждениях, на предприятиях Истомин Дмитрий

2 Содержание Обследование ИСПДн Оптимизация ИСПДн Разработка внутренней документации Создание проекта СЗПДн Внедрение СЗПДн Аттестация СЗПДн Сопровождение СЗПДн

3 Этап 1. Обследование ИСПДн Анализ процессов обработки ПДн Определение категорий обрабатываемых ПДн Определение подразде- лений и сотрудников, допущенных к обработке ПДн Идентификация ИСПДн

4 Этап 2. Оптимизация ИСПДн Сегментирование – разделение одной ИСПДн на несколько с целью уменьшения числа субъектов, чьи данные обрабатываются в каждой ИСПДн Уточнение объема ПДн, необходимого к обработке (список необходимых данных)

5 Этап 2. Оптимизация ИСПДн Обезличивание персональных данных Статья 3. Основные понятия, используемые в настоящем Федеральном законе действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных; 152-ФЗ «О персональных данных»

6 Этап 2. Оптимизация ИСПДн Неавтоматизированная обработка Обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что ПДн содержатся в информационной системе либо были извлечены из нее. ПП 687 от г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

7 Этап 3. Разработка внутренней документации. Модель угроз 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз; ПП 781 от г. «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

8 Этап 3. Разработка внутренней документации. Модель угроз Заместителем директора ФСТЭК России г. утверждены документы: Базовая модель угроз безопасности ПДн при их обработке в ИСПДн Порядок проведения классификации информационных систем персональных данных

9 Этап 3. Разработка внутренней документации. Акт классификации категория 1 -касающиеся расовой, национальной принад- лежности, политических взглядов, религиозных и философ- ских убеждений, состояния здоровья, интимной жизни; категория 2 - позволяющие иден- тифицировать субъекта и полу- чить о нем дополнительную информацию; категория 3 - ПДн, позволяющие идентифицировать субъекта; «Порядок проведения классификации информационных систем персональных данных» от г.

10 Этап 3. Разработка внутренней документации. ОРД Положение о защите персональных данных Приказ о назначении администратора безопасности ИСПДн Приказ об утверждении списка лиц, которым необходим доступ к ПДн, обрабатываемым в ИСПДн, для выполнения служебных (трудовых) обязанностей Журнал учета средств защиты информации …

11 Этап 3. Разработка внутренней документации. ОРД В общем виде положение должно содержать: организационную структуру системы обеспечения безопасности ПДн обязанности должностных лиц, в части обеспечения безопасности ПДн порядок обучения администраторов средств (систем) защиты информации, и первичного инструктажа пользователей правила антивирусной защиты

12 Этап 3. Разработка внутренней документации. ОРД В общем виде положение должно содержать: порядок организации ведения и периодической проверки электронного журнала обращений пользователей информационной системы к ПДн порядок контроля за соблюдением условий использования средств защиты информации «Методические рекомендации по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные УФСТЭК по УрФО

13 Этап 4. Проектирование СЗПДн Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. 152-ФЗ «О персональных данных»

14 Этап 4. Проектирование СЗПДн Защита информации от утечки по техническим каналам Защита информации от несанкционированного доступа, обеспечивающая функции управления доступом, регистрации и учета, обеспечения целостности и безопасного межсетевого взаимодействия

15 Этап 4. Проектирование СЗПДн ГОСТ Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы. ГОСТ Р Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения.

16 Этап 5. Внедрение СЗПДн Подготовка персонала Пусконаладочные работы Проведение предварительных испытаний Проведение опытной эксплуатации Проведение приёмочных испытаний ГОСТ Информационная технология. Комплекс стандартов на автоматизированные системы. Стадии создания

17 Этап 6. Аттестация СЗПДн Оценка соответствия ИСПДн по требованиям безопасности ПДн проводится: для ИСПДн 1 и 2 классов - обязательная сертификация (аттестация) по требованиям безопасности информации; для ИСПДн 3 класса - декларирование соответствия требованиям безопасности информации; «Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн»

18 Этап 7. Сопровождение СЗПДн 12. Мероприятия по обеспечению безопасности ПДн при их обработке в ИСПДн включают в себя: з) контроль за соблюдением условий использования СЗИ, предусмотренных эксплуатационной и технической документацией; и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн… ПП 781 от г.

Проблемные вопросы Отсутствие ответственных лиц Отсутствие специалистов по ИБ Отсутствие средств СЗИ для ПДн Неконкретность требований законодательства Противоречия при выполнении некоторых требований 19

ООО «УЦСБ» , Екатеринбург, ул.Красноармейская, д.78Б, оф.902 Тел.: +7 (343) Факс: +7 (343)