Защита персональных данных на базе типовых решений ЭЛВИС-ПЛЮС © ОАО «ЭЛВИС-ПЛЮС», 2008 г. - презентация

1 Защита персональных данных на базе типовых решений ЭЛВИС-ПЛЮС © ОАО «ЭЛВИС-ПЛЮС», 2008 г.

2 Пролог В период годов ФСТЭК России разработаны и введены в действие ряд нормативных и методических документов в области защиты информации во исполнение: Федерального закона 2006 г. 152-ФЗ «О персональных данных» Постановления Правительства РФ от 17 ноября 2007 г. 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в ИС персональных данных» определяющих требования по защите персональных данных - 5 документов определяющих требования по защите ключевых систем - 3 документа Среди документов:

3 Мероприятия по обеспечению безопасности ПД включают: определение угроз безопасности ПД и формирование модели угроз; разработку на основе модели угроз системы защиты ПД; проверку готовности СЗИ к использованию; обучение персонала правилам работы с СЗИ; учет применяемых СЗИ и носителей ПД; учет лиц, допущенных к работе с ПД; контроль за соблюдением условий использования СЗИ; реагирование на нарушение режима защиты ПД; описание системы защиты персональных данных. Положение об обеспечении безопасности ПД при их обработке в ИС ПД Постановление Правительства РФ от г. 781

4 Этапы создания системы защиты (ПД) 1.Из общего спектра ИС Заказчика выделить ИС, обрабатывающие ПД; 2.Сформировать перечень обрабатываемых ПД; 3.Определить угрозы безопасности ПД; 4.Классифицировать ПД; 5.Классифицировать ИС по категориям обрабатываемых ПД; 6.Документально регламентировать работу с ПД; 7.Сформировать модель угроз ПД; 8.Создать подсистему ИБ для ИС, обрабатывающих ПД; 9.Сертифицировать ИС по требованиям безопасности информации; 10.Организовать эксплуатацию ИС, обрабатывающей ПД, и контроль за безопасностью.

5 I. Услуги предпроектного этапа II. Услуги и решения по построению системы защиты ПД III. Услуги заключительного этапа Построение системы защиты ПД

6 Типовые услуги ОАО «ЭЛВИС-ПЛЮС» Комплексное обследование ИС и разработка модели угроз в соответствии с новыми РД. Классификация (оценка) защищаемых информационных ресурсов (с целью выявления в их составе персональных данных и их категорирования). Разработка требований по ИБ для конкретной ИС с учетом присвоенного ей класса защиты. Разработка и внедрение СОБИ в соответствии с требованиями новых руководящих документов на базе типовых решений. Разработка пакета типовых внутренних организационно-распорядительных документов. Аттестация ОИ на соответствие требованиям новых РД. Консультирование по вопросам практического применения требований новых РД.

7 Этапы создания системы защиты ПД 1.Из общего спектра ИС выделить ИС, обрабатывающие ПД; 2.Сформировать перечень обрабатываемых ПД; 3.Определить угрозы безопасности ПД; 4.Классифицировать ПД; 5.Классифицировать ИС по категориям обрабатываемых ПД; 6.Документально регламентировать работу с ПД; Комплексное обследование ИС и разработка модели угроз в соответствии с новыми РД. Классификация (оценка) защищаемых информационных ресурсов (с целью выявления в их составе персональных данных и их категорирования). Разработка пакета типовых внутренних организационно-распорядительных документов. Типовые услуги ОАО «ЭЛВИС-ПЛЮС»

8 7.Сформировать модель угроз ПД; 8.Создать подсистему ИБ для ИС, обрабатывающих ПД; 9.Сертифицировать ИС по требованиям безопасности информации; 10.Организовать эксплуатацию ИС, обрабатывающей ПД, и контроль за безопасностью. Комплексное обследование ИС и разработка модели угроз в соответствии с новыми РД. Разработка требований по ИБ для конкретной ИС, Разработка и внедрение СОБИ Аттестация СОБИ на соответствие требованиям новых РД. Техническая поддержка СОБИ, Консультирование по вопросам практического применения требований новых РД. Этапы создания системы защиты ПД Типовые услуги ОАО «ЭЛВИС-ПЛЮС»

9 Почему ТИПОВЫЕ решения ? Надежнее Быстрее Дешевле Внедрено не менее трех раз у разных заказчиков, имеется положительный опыт эксплуатации Имеются типовые комплекты рабочей и эксплуатационной документации. Подготовлены и сертифицированы специалисты. Сокращение сроков работ удешевляет этап внедрения. Применение однотипной техники дает возможность получать скидки вендоров. Уменьшаются затраты на техподдержку.

10 Примеры типовых решений Инфраструктура Открытых ключей и УЦ

11 Примеры типовых решений. IdM

12 Типовые решения ОАО «ЭЛВИС-ПЛЮС» Система управления учетными записями и доступом пользователей к ресурсам КИС (Sun Identity Manager и др.) Удостоверяющий Центр Защита от утечек через съемные устройства Мониторинг событий безопасности (RSA, enVision) Защита корпоративного хранилища данных Система защиты КИС, содержащей конфиденциальную и секретную информацию. Система защищенного взаимодействия распределенных сегментов КИС и мобильных пользователей. Система антивирусной защиты распределенной корпоративной сети Защищенный электронный документооборот

13 Спасибо за внимание ! , МОСКВА, Зеленоград, Центральный проспект, 11 тел ,