Презентация на тему «Методика минимизации затрат при создании системы защиты ПДн и алгоритм действий оператора персональных данных» |
| Алгоритм | ||
| << Что такое алгоритм 6 класс босова | Алгоритм инновационной работы и планирование инновационной деятельности на один год (этап) >> |
Презентация на тему: «Методика минимизации затрат при создании системы защиты ПДн и алгоритм действий оператора персональных данных». Автор: . Файл: «Методика минимизации затрат при создании системы защиты ПДн и алгоритм действий оператора персональных данных.ppt». Размер zip-архива: 2002 КБ.
Методика минимизации затрат при создании системы защиты ПДн и алгоритм действий оператора персональных данных
содержание презентации «Методика минимизации затрат при создании системы защиты ПДн и алгоритм действий оператора персональных данных.ppt»| № | Слайд | Текст |
| 1 |  |
Методика минимизации затрат при создании системы защиты ПДн и алгоритмдействий оператора персональных данных |
| 2 |  |
Действия оператора по выполнению требований Федерального законаНачинать надо с определения: переченя персональных данных категорий обрабатываемых персональных данных целей их обработки Затем: необходимо направить уведомление в Уполномоченный орган После этого: разработать систему защиты персональных данных разработать документы, регламентирующие обработку персональных данных в организации реализовать требования по инженерно- технической защите помещений провести аттестацию или осуществить декларирование соответствия по требованиям безопасности информации 2 Защита персональных данных 10.11.2015 |
| 3 |  |
Подход к решению задач по защите ПДнОптимальное логическое структурирование При помощи различных технологий минимизации: композиция/декомпозиция систем, обезличивание, разделение БД и т.д. Отнесение системы к классу специальная Позволяет гибко понижать требования за счет отсутствия необходимости защиты от неактуальных угроз Максимальное использование текущих средств защиты при разработке ТЗ Выполнение требований закона не превращается в закупку дорогого и ненужного программно-аппаратного обеспечения 3 Защита персональных данных 10.11.2015 |
| 4 |  |
Организационно-правовое направление работ1 2 3 4 Выявление наличия/отсутствия признаков организации работы с персональными данными Формирование перечня информации, относимой к персональным данным Формирование перечня информационных систем персональных данных Разработка или совершенствование существующей нормативной правовой базы, регламентирующей обработку персональных данных 4 Защита персональных данных 10.11.2015 |
| 5 |  |
Выявление наличия/отсутствия признаков организации работы сперсональными данными Анализ нормативной правовой базы, регламентирующей деятельность предприятия анализ функциональной структуры предприятия и схемы взаимодействия его подразделений анализ взаимодействия предприятия с внешними организациями анализ бизнес-процессов на предприятии с целью выявления наличия/отсутствия признаков организации работы с персональными данными 5 Защита персональных данных 10.11.2015 |
| 6 |  |
Формирование перечня информации, относимой к персональным даннымОпределение правовых оснований для обработки персональных данных на предприятии категорирование персональных данных предприятия определение владельца персональных данных, обрабатываемых на предприятии выявление способов обработки персональных данных и действий с персональными данными специалистов предприятия: с использованием средств автоматизации без использования средств автоматизации выявление особенностей обработки персональных данных на предприятии: внутри одного подразделения в разных подразделениях предприятия в подразделениях с учетом филиальной сети с передачей персональных данных во внешние организации исследование возможности снижения категории персональных данных на основании оптимизации бизнес-процессов и правовых оснований для обработки персональных данных на предприятии 6 Защита персональных данных 10.11.2015 |
| 7 |  |
Формирование перечня информационных систем персональных данныхОпределение правовых оснований для создания и использования информационных систем персональных данных на предприятии определение состава и структуры каждой информационной системы персональных данных и технических особенностей ее построения и функционирования, в том числе: состав и структура программного обеспечения технические средства обработки персональных данных топология информационной системы персональных данных определение состава и структуры информационного взаимодействия с внешними системами 7 Защита персональных данных 10.11.2015 |
| 8 |  |
Разработка или совершенствование существующей нормативной правовойбазы, регламентирующей обработку персональных данных 1 2 3 4 5 6 7 Административно-распорядительные документы предприятия, направленные на организацию работы с персональными данными Положение об обработке персональных данных Инструкция о порядке обработки персональных данных без использования средств автоматизации Инструкция о порядке обработки персональных данных с использованием средств автоматизации Должностные инструкции специалистов, непосредственно осуществляющих обработку персональных данных Соглашение о неразглашении сведений, составляющих персональные данные Регламент взаимодействия с внешними организациями при обработке персональных данных и т.д. 8 Защита персональных данных 10.11.2015 |
| 9 |  |
Техническое направление работ1 2 3 4 Выявление уязвимых звеньев и возможных угроз безопасности персональным данным в информационной системе персональных данных Разработка концептуальных документов обеспечения безопасности персональных данных предприятия и в его информационных системах персональных данных Разработка новой или совершенствование существующей нормативной правовой базы, регламентирующей обеспечение безопасности в информационной системе персональных данных предприятия Организация работы с персональными данными в рамках разработки (модернизации) информационной системы персональных данных предприятия в соответствии с утвержденными концептуальными документами обеспечения безопасности персональных данных предприятия 9 Защита персональных данных 10.11.2015 |
| 10 |  |
Порядок классификации информационных системИнформация оператора Идентификация систем обработки персональных данных Определение характеристик персональных данных Первичная классификация систем обработки персональных данных Система обработки персональных данных с использованием средств автоматизации Система обработки персональных данных без использования средств автоматизации 10 Защита персональных данных 10.11.2015 |
| 11 |  |
Характеристики безопасности персональных данныхОСНОВНЫЕ: Конфиденциальность (обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания) Целостность (способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения/разрушения) Доступность (обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости) 11 Защита персональных данных 10.11.2015 |
| 12 |  |
Характеристики безопасности персональных данныхДОПОЛНИТЕЛЬНЫЕ: Неотказуемость (способность доказать, что действие или событие произошло таким образом, что факт действия или события не может быть опровергнут) Учетность (обеспечение того, что действия субъекта по отношению к объекту могут быть прослежены уникально по отношению к субъекту) Аутентичность (идентичность объекта тому, что заявлено) Адекватность (свойство соответствия преднамеренному поведению и результатам) 12 Защита персональных данных 10.11.2015 |
| 13 |  |
Типовая системаТребования ФСТЭК России и ФСБ России к информационным системам персональных данных Классификация информационной системы персональных данных 13 Защита персональных данных 10.11.2015 |
| 14 |  |
Специальная система1 2 3 Конфиденциальность + …………… Информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья объектов персональных данных Информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы 14 Защита персональных данных 10.11.2015 |
| 15 |  |
Специальная системаТребования ФСТЭК и ФСБ к ИСПДн Организационно-технические требования к системе защиты информации КЛАССИФИКАЦИЯ ИСПДн Влияние на бизнес-процессы Минимизация затрат Определение актуальных угроз Документальное оформление 15 Защита персональных данных 10.11.2015 |
| 16 |  |
Выявление уязвимых звеньев и возможных угроз безопасности персональнымданным в информационной системе персональных данных Анализ информационных систем персональных данных, в том числе: Оценка возможности физического доступа к персональным данным Выявление возможных каналов утечки информации, в том числе с использованием программно-технических средств Анализ возможностей программно-математического воздействия на информационную систему персональных данных Анализ возможностей электромагнитного воздействия на информационную систему персональных данных Оценка ущерба от реализации угроз безопасности персональным данным Анализ имеющихся в распоряжении мер и средств защиты персональных данных 16 Защита персональных данных 10.11.2015 |
| 17 |  |
Формирование требований по обеспечению безопасности персональныхданных при организации работы с ними Составление перечня и проведение оценки актуальных угроз безопасности персональных данных разработка модели угроз безопасности персональных данных с учетом конкретных условий функционирования информационных систем персональных данных разработка модели нарушителя безопасности персональных данных с учетом конкретных условий функционирования информационных систем персональных данных, функциональных групп пользователей данных информационных систем персональных данных исследование возможности оптимизации требований к информационной системе персональных данных предприятия формирование требований по обеспечению безопасности 17 Защита персональных данных 10.11.2015 |
| 18 |  |
Обоснование требований по обеспечению безопасности персональных данныхс использованием криптосредств определение целесообразности использования криптосредств в информационных системах персональных данных разработка модели угроз безопасности персональным данным, обрабатываемым с использованием криптосредств разработка модели нарушителя безопасности персональным данным, обрабатываемым с использованием криптосредств определение требуемого уровня криптографической защиты персональных данных определение требуемого уровня защиты от утечки по техническим каналам и защиты от НСД СВТ, на которых реализованы криптосредства 18 Защита персональных данных 10.11.2015 |
| 19 |  |
Информационная система по требованиям ФСБ РоссииТребования ФСБ России к информационным системам персональных данных Требования ФСБ России информационной системе Разработка модели нарушителя и классификация информационной системы 19 Защита персональных данных 10.11.2015 |
| 20 |  |
Системы обработки персональных данных без использования средствавтоматизации 20 Защита персональных данных 10.11.2015 |
| 21 |  |
Обоснование требований по обеспечению безопасности персональных данныхпри взаимодействии с внешними организациями и их системами Проводится с учетом: требований Федерального закона «О персональных данных» категорий внешних информационных систем способов взаимодействия с ними и в соответствии: с требованиями руководящих документов федеральных органов исполнительной власти, уполномоченных в области обеспечения безопасности и в области противодействия техническим разведкам и технической защиты информации 21 Защита персональных данных 10.11.2015 |
| 22 |  |
Система моделей угрозСостав персональных данных предметные риски классы специальных информационных систем персональных данных Базовая модель / модель угроз верхнего уровня Типовая отраслевая модель угроз Частная / детализированная модель угроз информационной системы персональных данных 22 Защита персональных данных 10.11.2015 |
| 23 |  |
Организация работы с персональными даннымиНеобходимость организации работы обусловлена рядом факторов, среди которых: требование Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» оператору о необходимости принятия организационных мер для защиты персональных данных от неправомерного доступа к ним отсутствие в Федеральном законе «О персональных данных» перечня нормативных правовых актов, наличие которого необходимо компании-оператору персональных данных для взаимодействия с Уполномоченным органом по защите прав субъектов персональных данных при проведении контрольно-надзорных мероприятий необходимость четкого взаимодействия с субъектами персональных данных при реализации оператором их прав на правомерную обработку их данных 23 Защита персональных данных 10.11.2015 |
| 24 |  |
Организация работы с персональными даннымиПозволит: оптимизировать бизнес-процессы компании, связанные с обработкой персональных данных снизить трудозатраты сотрудников компании, связанные с обработкой персональных данных и взаимодействием с субъектами персональных данных нормативно закрепить основы обработки персональных данных в компании сократить жалобы и обращения граждан в уполномоченные органы на действия оператора успешно проходить проверки контрольно-надзорных органов 24 Защита персональных данных 10.11.2015 |
| 25 |  |
Разработка концептуальных документов по обеспечению безопасностиперсональных данных Разработка концепции обеспечения безопасности персональных данных на предприятии Заказчика Разработка плана мероприятий по защите персональных данных на предприятии Заказчика Обоснование выбора оптимальных способов (мер и средств) защиты персональных данных в соответствии с задачами защиты Разработка технического задания на создание системы защиты персональных данных в рамках разработки (модернизации) информационной системы персональных данных в соответствии с утвержденной концепцией обеспечения безопасности Разработка финансово-экономического обоснования создания системы защиты персональных данных в рамках разработки (модернизации) информационной системы персональных данных в соответствии с утвержденной концепцией обеспечения безопасности 25 Защита персональных данных 10.11.2015 |
| 26 |  |
Организация работы в рамках разработки (модернизации) информационнойсистемы персональных данных в соответствии с концептуальными документами проведение работ по созданию системы защиты персональных данных в рамках разработки (модернизации) информационной системы персональных данных в соответствии с утвержденными концептуальными документами разработка эксплуатационной документации на систему защиты персональных данных проведение мероприятий по получению лицензии ФСТЭК России по технической защите конфиденциальной информации проведение развертывания и ввода в опытную эксплуатацию технических средств защиты персональных данных осуществление доработки системы защиты персональных данных по результатам опытной эксплуатации аттестация (декларирование соответствия) автоматизированной системы 26 Защита персональных данных 10.11.2015 |
| 27 |  |
Спасибо за вниманиеЗАО "Рэйнвокс" www.reignvox.ru 125130, Москва, Старопетровский проезд, 7а Тел: +7 (495) 981-61-82 Факс: +7 (495) 981-61-83 info@reignvox.ru |
| «Методика минимизации затрат при создании системы защиты ПДн и алгоритм действий оператора персональных данных» | ||
