Защита информации
<<  Обработка и защита персональных данных Информатика «Защита информации»  >>
Особенности защиты персональных данных
Особенности защиты персональных данных
Российский бизнес
Российский бизнес
Малый и средний бизнес
Малый и средний бизнес
Немного статистики
Немного статистики
Неоднородность
Неоднородность
Проблемные сегменты МСБ
Проблемные сегменты МСБ
Статистика
Статистика
Персональные данные
Персональные данные
Анализ рисков
Анализ рисков
Вероятность проверок
Вероятность проверок
Плановые проверки
Плановые проверки
План некоторых проверок
План некоторых проверок
Отношение СМБ пока настороженное
Отношение СМБ пока настороженное
Пути организации
Пути организации
Общность организации защиты информации
Общность организации защиты информации
Построение системы защиты
Построение системы защиты
Ключевые требования
Ключевые требования
Проблемные вопросы практической реализации
Проблемные вопросы практической реализации
Средства предотвращения несанкционированного доступа
Средства предотвращения несанкционированного доступа
Средства защиты информации
Средства защиты информации
Бюджет
Бюджет
Построение системы защиты ПДн
Построение системы защиты ПДн
Сроки
Сроки
Возможные сроки
Возможные сроки
Позитивные моменты
Позитивные моменты
Спасибо за внимание
Спасибо за внимание
Презентация «Особенности защиты персональных данных». Размер 514 КБ. Автор: Alexey.

Загрузка...

Особенности защиты персональных данных

содержание презентации «Особенности защиты персональных данных.ppt»
СлайдТекст
1 Особенности защиты персональных данных

Особенности защиты персональных данных

Особенности защиты персональных данных в организациях малого и среднего бизнеса. Марков Алексей Сергеевич, к.т.н., с.н.с., CISSP, SBCI, Генеральный директор ЗАО «НПО «Эшелон».

2 Российский бизнес

Российский бизнес

Российский бизнес: Актуальные вопросы. Выполнять или не выполнять требования? Если выполнять, то как минимизировать расходы? Если выполнять, то когда? 2.

3 Малый и средний бизнес

Малый и средний бизнес

Малый и средний бизнес. К малому и среднему бизнесу отнесены компании, где: Средняя численность работников до 100 и до 250 чел. соответственно; Выручка от реализации товаров (работ, услуг) без учета налога на добавленную стоимость или балансовая стоимость активов (остаточная стоимость основных средств и нематериальных активов) за предшествующий календарный год не должна превышать 400 млн. руб. и 1 млрд. руб. соответственно. ФЗ №209 "О развитии малого и среднего предпринимательства в Российской Федерации", ст.4. 3.

4 Немного статистики

Немного статистики

Малый и средний бизнес. Немного статистики. Малый и средний бизнес – это: 92-96% всех субъектов хозяйственной деятельности >56% ИТ- бюджета страны более 8 млн. компаний. 4.

5 Неоднородность

Неоднородность

Малый и средний бизнес. Неоднородность – нет единого похода. Малый и средний бизнес неоднороден по многим показателям: уровень образования и квалификация сотрудников IT-уровень и уровень внутреннего менеджмента ИБ-уровень, опыт защиты информации ограниченного доступа степень обработки государственного информационного ресурса значимость для компании обработки (информационных услуг) ПДн и категория обрабатываемых ПДн и др. 5.

6 Проблемные сегменты МСБ

Проблемные сегменты МСБ

Малый и средний бизнес. Проблемные сегменты МСБ. Причины, по которым в компаниях МСБ затруднена защита ПДн Дефицит бюджета Дефицит ИБ-специалистов Специализированные уникальные IT-решения Непонимание или отсутствие опыта защиты информации ограниченного доступа и др. 6.

7 Статистика

Статистика

Малый и средний бизнес. Статистика (выборка из практики). 7.

8 Персональные данные

Персональные данные

Защищать персональные данные? Аргументы «за»: Мы имеем: Законодательство Нормативно-методические требования Уголовная, административная и иная ответственность Проверки со стороны регуляторов Судебная практика Положительные примеры создания систем защиты ПДн. 8.

9 Анализ рисков

Анализ рисков

Что может быть в случае невыполнения требований: Анализ рисков: возможный ущерб от нарушений. Остановка деятельности Прямой материальный ущерб Косвенный материальный ущерб Нематериальный ущерб (имидж) Ущерб моральной концепции компании (коллектива) Персональный ущерб (смена руководителя, его ответственность). 9.

10 Вероятность проверок

Вероятность проверок

Вероятность проверок. Анализ рисков: возможный ущерб от нарушений. 10. Плановые проверки регуляторов Внеплановые проверки регуляторов Перекрестные и смежные проверки. Инциденты, жалобы сотрудников и недобросовестная конкуренция. Недобросовестные партнеры и соисполнители.

11 Плановые проверки

Плановые проверки

Плановые проверки. Анализ рисков: возможный ущерб от нарушений. Роскомнадзор – 3 829 проверок МСБ (план 2010) www.rsoc.ru/plan-and-reports/contolplan/ ФСБ России ФСТЭК России Прокуратура: сводный план проверок 79.125.23.79 Другие … 11.

12 План некоторых проверок

План некоторых проверок

! План некоторых проверок на 2010 год. 12. 1. 2. 3. Утверждён план проверок Роскомнадзора субъектов предпринимательства на 2010 год по выполнению требований 152-ФЗ.

13 Отношение СМБ пока настороженное

Отношение СМБ пока настороженное

Отношение СМБ пока настороженное. Число субъектов СМБ – более 8 000 000 Число зарегистрированных операторов ПДн (Роскомнадзор) – 82 105 Число лицензиатов ФСТЭК России (ТЗКИ) – 863. Текущее состояние процесс защиты ПДн. 13.

14 Пути организации

Пути организации

С чего начать? Два пути организации защиты ПДн. Организация защиты персональных данных как продолжение защиты информации ограниченного доступа (конфиденциальной информации) Организация защиты информации с «нуля»? 14.

15 Общность организации защиты информации

Общность организации защиты информации

Общность организации защиты информации ограниченного доступа и защиты ПДн. Традиционные требования по защите конфиденциальной информации (СТР-К) ЧТЗ, ТЗ, ТП, модель нарушителя, модель угроз Лицензии по ТЗКИ Сертифицированные СЗИ Аттестованные объекты информатизации Организационно-распорядительная и эксплуатационная документация на АСЗИ Наличие квалифицированных специалистов. Дополнительные требования (мет.документы по ПДн) Идентификация и классификация ИСПДн Частная модель угроз – оптимизация системы ЗИ Доп.организационно-распорядительная документация Возможна модернизация СЗИ (ИСПДн К1), а также доп.СЗИ. 15.

16 Построение системы защиты

Построение системы защиты

Построение системы защиты ПДн. Основные этапы. 16. Обследование информационной системы и объекта информатизации Проектирование системы защиты персональных данных Макетирование системы защиты персональных данных Реализация системы защиты персональных данных Сертификация СЗИ, проверка СЗИ и ПО на отсутствие недекларированных возможностей (при необходимости) Аттестация (декларация) ИСПДн по требованиям безопасности Обучение персонала Подготовка к получению лицензии ФСТЭК России на ТЗКИ Сопровождение системы защиты персональных данных.

17 Ключевые требования

Ключевые требования

Построение системы защиты ПДн. Ключевые требования по защите ПДн. Должны быть выполнены необходимые организационные и технические мероприятия в зависимости от класса ИСПДн Средства защиты информации должны быть сертифицированы Программное обеспечение должно пройти проверку на отсутствие недекларированных возможностей ИСПДн К1, К2 (К3) должны быть аттестованы по требованиям безопасности информации. 17.

18 Проблемные вопросы практической реализации

Проблемные вопросы практической реализации

Построение системы защиты ПДн. Проблемные вопросы практической реализации. Лицензирование деятельности по ТЗИ. Дополнительные требования к составу и возможностям СЗИ Необходимость сертификации СЗИ при отсутствии соответствующего сертификата. Предоставление разработчиками исходных кодов для проведения процедуры сертификации ПО на отсутствие НДВ Аттестация и декларация ИСПДн Ограниченные сроки – уже до 01.01.11! Необходимость дополнительных инвестиций . 18.

19 Средства предотвращения несанкционированного доступа

Средства предотвращения несанкционированного доступа

Построение системы защиты ПДн Перечень применяемых СЗИ в ИСПДн. средства предотвращения несанкционированного доступа антивирусные средства средства защиты информации при межсетевом взаимодействии средства анализа защищенности средства обнаружения вторжений криптографические средства защиты информации средства от утечки за счет ПЭМИН (для 1-2 класса ИСПДн К 1,2).

20 Средства защиты информации

Средства защиты информации

Средства защиты информации. Сертифицированы в ФСТЭК России. СЗИ для ИСПДн К1 – 47 СЗИ для ИСПДн К2 – 201 СЗИ для ИСПДн К3 – 204. 20.

21 Бюджет

Бюджет

Построение системы защиты ПДн. Как оптимизировать бюджет?

22 Построение системы защиты ПДн

Построение системы защиты ПДн

! Построение системы защиты ПДн. Как оптимизировать бюджет? 22. Оптимизация состава обрабатываемых ПДн. Обоснованная классификация ИСПДн. Правильное моделирование угроз безопасности ПДн. Оптимизация структуры ИСПДн и процессов обработки ПДн. В том числе локализация ПДн в защищённом сегменте ИСПДн, разделение ИСПДн на сегменты разных классов. Оптимизация состава применяемых организационных и технических мер обеспечения безопасности ПДн. Унификация состава применяемых СЗИ. Привлечение специализированных организаций, имеющих лицензии на право деятельности в области защиты информации конфиденциального характера .

23 Сроки

Сроки

Сроки. По технической защите персональных данных. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года (ст.25 ФЗ-152). 23.

24 Возможные сроки

Возможные сроки

Возможные сроки. по защите персональных данных МСБ. Обследование – 2 мес. Проектирование – 1 мес. Поставка – 2 мес. Реализация – 2 мес. Сертификация – 5 мес. Аттестация – 1 мес. Обучение – 0.5 мес. 24.

25 Позитивные моменты

Позитивные моменты

Заключение. Позитивные моменты: повышение общего уровня осведомленности МСБ в области защиты информации ограниченного доступа и осознание ответственности за нарушения, а также понимание прав субъектов персональных данных внедрением взвешенного организационно-технического подхода к защите информации, основанного на разработке модели угроз и связанных с ней оптимальных технических решений, а также оценке их соответствия. В то же время, очевидны направления доработки методических документов, связанных с исключением противоречий, касающихся самих документов, соотношения с требованиями к защите разного рода тайн, а также гармонизации с современными стандартами. 25.

26 Спасибо за внимание

Спасибо за внимание

Спасибо за внимание! Марков Алексей Сергеевич ЗАО «НПО «Эшелон». 26. Тел./факс: +7 (495) 645-38-09 +7 (495) 645-38-10. Эл.почта: mail@npo-echelon.ru. Сайт: www.npo-echelon.ru Информационная поддержка: www.ispdn.ru.

«Особенности защиты персональных данных»
Сайт

5informatika.net

115 тем
5informatika.net > Защита информации > Особенности защиты персональных данных.ppt