ПРАКТИКА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ. МЕРЫ ПО ЗАЩИТЕ.

Презентация:



Advertisements
Похожие презентации
ЧТО МЕШАЕТ ЗАКОНУ О ПЕРСОНАЛЬНЫХ ДАННЫХ СТАТЬ «РЕАЛЬНЫМ» ИНСТРУМЕНТОМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ?
Advertisements

УСПЕЛ ЛИ РЫНОК ПОДГОТОВИТСЯ К ВСТУПЛЕНИЮ В СИЛУ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ?
Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.
Общий порядок действий оператора по выполнению требований Федерального закона от ФЗ «О персональных данных»
Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 1 Тема:
Защита персональных данных в информационных системах 24 ноября 2010 года.
Федеральный закон 152-ФЗ «О персональных данных» от 27 июля 2006 года ( с последними изменениями от 25 июля 2011 года) Требования к юридическим лицам.
Федеральный закон РФ от 27 июля 2006 года 152-ФЗ «О персональных данных»
ПЛАН ПЕРВООЧЕРЕДНЫХ МЕРОПРИЯТИЙ по приведению процессов обработки и защиты персональных данных в соответствие с требованиями ФЗ 152 «О персональных данных»
М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.
Федеральный закон о персональных данных. Необходимо: 1.Получать разрешение на обработку и передачу персональных данных. 2.Уведомлять РОСКОМНАДЗОР о том,
Бикбулатов Тагир Ахатович Управление Роскомнадзора по Республике Башкортостан Специалист-эксперт отдела по защите прав субъектов персональных данных.
Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Костромской области г. Кострома, микрорайон.
Законодательная и нормативная база правового регулирования вопросов защиты персональных данных. Руководящие документы по защите персональных данных Законодательная.
ВОПРОСЫ ЗАЩИТЫ ИНФОРМАЦИИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ В СВЯЗИ С ИЗДАНИЕМ ПРИКАЗА ФСТЭК РОССИИ.
Защита персональных данных 2008 г.. CNews Forum 2008 Информация о компании О компании ReignVox - российская компания, специализирующаяся на разработках.
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ АСТРАХАНСКОЙ ОБЛАСТИ О соблюдении требований Федерального закона от ФЗ «О персональных данных» при организации.
Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в.
ПЕРСОНАЛЬНЫЕ ДАННЫЕ Докладчик к. т. н., доцент ГЛИЗНУЦИН Владимир Евгеньевич.
Общий порядок действия оператора по выполнению требований Федерального закона от «О персональных данных» (Часть 1): ШАГ 1 Определить структурное.
Транксрипт:

ПРАКТИКА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

МЕРЫ ПО ЗАЩИТЕ

ПЕРЕЧЕНЬ ДОКУМЕНТОВ 1. Приказ о назначении ответственного за обработку и обеспечение безопасности обрабатываемых персональных данных на предприятии 2. Приказ о назначении администратора информационной безопасности 3. Описание технологических процессов обработки персональных данных 4. Перечень персональных данных, обрабатываемых на предприятии 5. Реестр информационных систем персональных данных предприятия и архивов, содержащих персональных данных 6. Описание разрешительной системы доступа (матрица доступа) 7. Утвержденная типовая форма расписки сотрудника предприятия о сохранении конфиденциальности, обрабатываемых им персональных данных 8. Модель угроз безопасности обрабатываемых персональных данных в информационной системе персональных данных предприятия 9. Приказ о создании комиссии по классификации информационных систем персональных данных предприятия 10. Акт классификации информационной системы персональных данных предприятия 11. Технический паспорт информационной системы персональных данных предприятия 12. Политика предприятия в области обработки и обеспечения безопасности персональных данных 13. Положение о защите персональных данных предприятия 14. Положение о порядке уничтожения вышедших из строя носителей информации 15. Дополнение к трудовому договору с сотрудником предприятия о согласии сотрудника на обработку его персональных данных в информационных системах персональных данных предприятия 16. Утвержденный типовой раздел в должностных инструкциях сотрудников предприятия и в анкете кандидата на работу 17. Утвержденный типовой раздел в договорах с контрагентами предприятия 18. Схема границ контролируемой зоны (для ИСПДн класса К1) 19. Акт уничтожения персональных данных субъектов персональных данных 20. Журнал учета носителей конфиденциальной информации 21. Журнал учета обращений граждан по вопросам обработки персональных данных 22. Форма ответа физическому лицу на запрос об обработки его персональных данных в информационных системах персональных данных предприятия 23. Акт об уничтожении носителей персональных данных 24. Инструкция администратора информационной безопасности 25. Уведомление об обработке (о намерении осуществлять обработку) персональных данных 26. Частное техническое задание на систему защиты 27. Эскизный проект системы защиты

ПЕРЕЧЕНЬ ДОКУМЕНТОВ 1. Приказ о назначении ответственного за обработку и обеспечение безопасности обрабатываемых персональных данных на предприятии 2. Приказ о назначении администратора информационной безопасности 3. Описание технологических процессов обработки персональных данных 4. Перечень персональных данных, обрабатываемых на предприятии 5. Реестр информационных систем персональных данных предприятия и архивов, содержащих персональных данных 6. Описание разрешительной системы доступа (матрица доступа) 7. Утвержденная типовая форма расписки сотрудника предприятия о сохранении конфиденциальности, обрабатываемых им персональных данных 8. Модель угроз безопасности обрабатываемых персональных данных в информационной системе персональных данных предприятия 9. Приказ о создании комиссии по классификации определению УЗ информационных систем персональных данных предприятия 10. Акт классификации определения УЗ информационной системы персональных данных предприятия 11. Положение о применимости защитных мер для поддержания УЗ ИСПДн 12. Технический паспорт информационной системы персональных данных предприятия 13. Политика предприятия в области обработки и обеспечения безопасности персональных данных 14. Положение о защите персональных данных предприятия 15. Положение о порядке уничтожения вышедших из строя носителей информации 16. Дополнение к трудовому договору с сотрудником предприятия о согласии сотрудника на обработку его персональных данных в информационных системах персональных данных предприятия 17. Утвержденный типовой раздел в должностных инструкциях сотрудников предприятия и в анкете кандидата на работу 18. Утвержденный типовой раздел в договорах с контрагентами предприятия 19. Схема границ контролируемой зоны (для ИСПДн класса К1) 20. Акт уничтожения персональных данных субъектов персональных данных 21. Журнал учета носителей конфиденциальной информации 22. Журнал учета обращений граждан по вопросам обработки персональных данных 23. Форма ответа физическому лицу на запрос об обработки его персональных данных в информационных системах персональных данных предприятия 24. Акт об уничтожении носителей персональных данных 25. Инструкция администратора информационной безопасности 26. Уведомление об обработке (о намерении осуществлять обработку) персональных данных 27. Частное техническое задание на систему защиты 28. Эскизный проект системы защиты

ЧТО ДОЛЖНО ПОЛУЧИТЬСЯ

ЖЕСТКИЕ ТРЕБОВАНИЯ ЗАТРАТЫ НА СОЗДАНИЕ СИСТЕ- МЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ЯВЛЯЮТСЯ ОБЯЗА- ТЕЛЬНЫМИ, НЕ УЧИТЫВАЮТ ПОТЕНЦИАЛЬНОГО УЩЕРБА СУБЪЕКТАМ И СТОИМОСТИ РИСКОВ ОПЕРАТОРА

ЖЕСТКИЕ ТРЕБОВАНИЯ ЛИЦЕНЗИРОВАНИЕ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИ- ДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ДЛЯ СОБСТВЕННЫХ НУЖД

ЖЕСТКИЕ ТРЕБОВАНИЯ ОБЯЗАТЕЛЬНАЯ СЕРТИФИКАЦИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ КАК БЕЗАЛЬТЕРНАТИВНЫЙ СПОСОБ ОЦЕНКИ (ПОДТВЕРЖДЕНИЯ) СООТВЕТСТВИЯ

ЖЕСТКИЕ ТРЕБОВАНИЯ ИСПОЛЬЗОВАНИЕ ИСКЛЮЧИТЕЛЬНО СЕРТИФИЦИРОВАННЫХ (ГОСТ) СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ

И МИЗЕРНЫЕ ШТРАФЫ КоАП РФ, ст Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)*: р р р.- юридические лица должностные лица граждане * Приведены максимально возможные суммы

СУРОВЫЕ ШТРАФЫ Проект федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»* (март 2014 года): р р р.- ЮЛ ДЛ Гр р.- ИП * Приведены максимально возможные суммы

ОБЯЗАТЕЛЬНО ДЛЯ ВСЕХ ИСПОЛЬЗОВАНИЕ ИСКЛЮЧИТЕЛЬНО СЕРТИФИЦИРОВАННЫХ (ГОСТ) СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ

ОБЯЗАТЕЛЬНО ДЛЯ ГИС АТТЕСТАЦИЯ ИНФОРМАЦИОННЫХ СИСТЕМ И ОБЯЗАТЕЛЬНАЯ СЕРТИФИКАЦИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ - БЕЗАЛЬТЕРНАТИВНЫЕ СПОСОБЫ ОЦЕНКИ (ПОДТВЕРЖДЕНИЯ) СООТВЕТСТВИЯ

ЛИБЕРАЛИЗАЦИЯ МЕР УРОВЕНЬ ЗАЩИЩЕННОСТИ И АКТУАЛЬНЫЕ УГРОЗЫ ОПРЕ- ДЕЛЯЮТСЯ ОПЕРАТОРОМ САМОСТОЯТЕЛЬНО

ЛИБЕРАЛИЗАЦИЯ МЕР МЕРЫ ЗАЩИТЫ ВЫБИРАЮТСЯ ИСХОДЯ ИЗ АКТУАЛЬНЫХ УГРОЗ И ОСОБЕННОСТЕЙ ИНФРАСТРУКТУРЫ КОНКРЕТНОЙ ИНФОРМАЦИОН- НОЙ СИСТЕМЫ

ОРГАНИЗАЦИОННЫЕ И ТЕХНИЧЕСКИЕ МЕРЫ РЕАЛИЗУЮТСЯ ОПЕРАТОРОМ САМОСТОЯТЕЛЬНО ЛИБО С ПРИВЛЕЧЕНИЕМ ЛИЦЕНЗИАТОВ ФСТЭК

ОБЕЗЛИЧИВАНИЕ ОБЯЗАТЕЛЬНО ДЛЯ ГИС «согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ» П.п. З п. 1 ПП-211

ВОЗМОЖНОСТЬ ВЫБОРА ОПЕРАТОР МОЖЕТ ИСКЛЮЧАТЬ МЕРЫ В СЛУЧАЕ НЕВОЗМОЖ- НОСТИ ИХ РЕАЛИ- ЗАЦИИ, ВЫБИРАТЬ КОМПЕНСИРУЮЩИЕ МЕРЫ И ОЦЕНИВАТЬ ИХ ДОСТАТОЧНОСТЬ ПРИ АТТЕСТАЦИОН- НЫХ ИСПЫТАНИЯХ

ИНФОРМИРОВАНИЕ

РАЗЪЯСНЕНИЯ

ОБСУЖДЕНИЯ

ТАК УСПЕЛИ? ЧТО ЕЩЕ МЕШАЕТ? ЧТО ЕЩЕ МЕШАЕТ?

ОТСУТСТВИЕ ПРИНЦИПА ДОБРО- СОВЕСТНОСТИ У ОПЕРАТОРОВ ОТСУТСТВИЕ ПРИНЦИПА ДОБРО- СОВЕСТНОСТИ У ОПЕРАТОРОВ

СПАСИБО ЗА ВНИМАНИЕ! Алексей Волков Mail: Блог: anvolkov.blogspot.com