Конференция: «152 ФЗ – основные ловушки и способы разминирования» Управляя технологиями, приближаем будущее!

Презентация:



Advertisements
Похожие презентации
М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.
Advertisements

Хостинг для операторов персональных данных. IT – инфраструктура в аренду Сеть центров обработки данных на территории РФ Катастрофоустойчивая инфраструктура.
Центр безопасности информации Процедуры аттестации и сертификации и их взаимосвязь в свете реализации требований 152 ФЗ.
Отраслевой подход к вопросу обработки и защиты персональных данных Бондаренко Александр Руководитель отдела внешнего аудита и консалтинга, CISA +7 (495)
Результаты выполнения проектов по соответствию требованиям Федерального закона 152-ФЗ «О персональных данных»: статистика, проблемы, решения Тесцов Алексей.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОФИСА Антивирусные РЕШЕНИЯ Антивирусные РЕШЕНИЯ План обеспечения соответствия как механизм.
Требования и методы защиты персональных данных ООО "МКЦ "АСТА-информ", (351) ,
Группа компаний МАСКОМ Компания Digital Security ТЕМА: Выполнение требований 152 ФЗ и PCI DSS в современных информационных системах - эффект синергии Сергей.
Типовая пошаговая структура реализации комплексного проекта защиты ПДн с учетом последних изменений и опыта LETA в 2009–2010 гг. Малявкин Александр, Отдел.
Практический опыт создания отраслевого стандарта защиты ПДн для операторов связи Дмитрий Устюжанин ВымпелКом
Практический опыт реализации положений Федерального закона от ФЗ «О персональных данных» в повседневной банковской деятельности Казакевич.
Служба информационной безопасности – это самостоятельное подразделение предприятия, которое занимается решением проблем информационной безопасности данной.
Ответственность за радиационную безопасность. Ответственность за безопасность Цель Понять роль юридического лица в обеспечении необходимой безопасности.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ НА УРОВНЕ ППЭ. Ответственность оператора БД ЕГЭ За разглашение информации За передачу данных третьим лицам Утрату данных,
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.
УПРАВЛЕНИЕ ИНФОРМАТИЗАЦИИ ГОРОДА МОСКВЫ Организация работы в органах исполнительной власти города Москвы по защите информационных систем, обрабатывающих.
Персональные данные (ПДн). Организация работы по защите ПДн в образовательном учреждении 14 апреля 2010 года.
Обзор ситуации со стандартами НАПФ в свете изменения законодательства Касина Светлана Алексеевна Исполнительный директор «Национального НПФ» - члена Совета.
Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.
Удостоверяющий центр ООО «ПНК» Лукашина Елена Юрьевна Заместитель генерального директора по проектам в сфере информационной безопасности ООО "ПНК"
Транксрипт:

Конференция: «152 ФЗ – основные ловушки и способы разминирования» Управляя технологиями, приближаем будущее!

Методическое пособие для ИТ Директора К конференции мы подготовили методическое пособие, которое имеется у каждого из присутствующих здесь. Мы рассчитываем, что данное методическое пособие, будет иметь продолжение, если оно вызовет интерес. Свои заявки, мнения, предложения по пособию просим высылать на адрес:

Секция 1 Программный комитет: ФИОКомпания Алмазов АндрейТелеком Сервис Зверянская ЕкатеринаVDEL Ltd. Конопкин НиколайLeta IT Кочуров ДмитрийМечел Сапрыкина ВикторияПрофМедиа Менеджмент Сумманен КарлВТБ Тагиев АркадийВНИИНС Устюжанин ДмитрийБилайн

Секция 1 Панельная дискуссия. Ключевые вопросы встающие перед ИТ подразделением, в связи с реализацией 152 ФЗ. Ведущая: В. Сапрыкина, Начальник Отдела Информационных Технологий, ПрофМедиа Менеджмент. Эксперты: Н. Конопкин, Заместитель директора Департамента внедрения и консалтинга, LETA IT Company Д.Устюжанин, Руководитель департамента информационной безопасности, CISSP, MBCI, Beeline

Вопрос 1 Классификация систем. Есть ли документы, определяющие точный перечень ПДн? Например, ФИО + год рождения – это какой класс, ФИО + фото + телефон – какой класс и т.п. Где тонкая грань между 2 и 3 классом? Обязательная аттестация систем определенных классов, подходы к аттестации для различных типов ИС (медицина, страхование и т.п.). Что будет, если не пройти обязательную аттестацию. Как проходит процедура аттестации. С какими документами и условиями оператор должен подойти к аттестации. Реально ли сделать все своими силами – экспертная оценка?

Вопрос 2 Нужна ли сертификация ПО, с помощью которого обрабатываются ПДн и которое не является средством защиты. И с какого момента ПО можно назвать средством защиты. (Пояснение: производители и интеграторы пользуясь неоднозначностью ситуации и предлагают внедрение версий бухгалтерских и кадровых систем, прошедших сертификацию. Насколько это нужно)? Какие системы можно не сертифицировать. ОС - это система обработки или защиты? Можно ли обновлять сертифицированное ПО.?

Вопрос 3 Нужна ли сертификация ПО, с помощью которого обрабатываются ПДн и которое не является средством защиты. И с какого момента ПО можно назвать средством защиты. (Пояснение: производители и интеграторы пользуясь неоднозначностью ситуации и предлагают внедрение версий бухгалтерских и кадровых систем, прошедших сертификацию. Насколько это нужно)? Какие системы можно не сертифицировать. ОС - это система обработки или защиты? Можно ли обновлять сертифицированное ПО?

Вопрос 4 Организация провела обследование ИС, определила и утвердила класс системы. Может ли надзорный орган оспорить это и требовать изменить повысить) класс? Как это происходит, на каком основании, какие механизмы? Как проходит сама проверка?

Вопрос 5 Структура предприятия : Головная (управляющая) Компания и филиалы в рамках одного Юридического лица. В этом случае уведомление за себя и все филиалы рассылается Головной компанией? Как оформляется передача данных между филиалами? Что делать в случае Холдинговой структуры?

Вопрос 6 Сертификация аппаратной части. Надо ли заменять все или достаточно поставить сертифицированную железку «для галочки»? Насколько сложнее сертифицировать свое оборудование самому нежели чем заменять на то, что уже сертифицировано под нужных класс?

Вопрос 7 Практика применения санкций. Не проще ли будет оспорить возможные взыскания в суде, чем тратить сейчас деньги на реализацию? Чем это грозит компании? Если компания – интегратор, которая имеет лицензию ФСТЭК провела обследование и выдала сертификат с нарушениями ошибочными заключениями как распространяется ответственность?

Вопрос 8 Передача ПДн третьим лицам (партнерам, вышестоящей организации). Как это регламентировать? Какие должны быть документы и как защищать каналы передачи в случае, например, использования почты для передачи файлов с данными?

Вопрос 9 Модель угроз. Что такое типовая модель угроз? Порядок разработки? Для каждой ли ИС она отдельно разрабатывается и утверждается? Что можно отнести к специальной ИС и как разрабатывать для нее модель угроз?

Вопрос 10 В каких случаях необходимо использовать криптозащиту и всегда ли при использовании криптозащиты надо получать лицензию ФСБ? Что делать при передаче данных через Интернет, ВОЛС? Действительно ли при трансграничной передаче использовать шифрованные каналы не обязательно, а при передаче из ИС в ИС, расположенных в разных комнатах надо?