Алгоритм
<<  Что такое алгоритм 6 класс босова Алгоритм инновационной работы и планирование инновационной деятельности на один год (этап)  >>
Методика минимизации затрат при создании системы защиты ПДн и алгоритм
Методика минимизации затрат при создании системы защиты ПДн и алгоритм
Действия оператора по выполнению требований Федерального закона
Действия оператора по выполнению требований Федерального закона
Подход к решению задач по защите ПДн
Подход к решению задач по защите ПДн
Организационно-правовое направление работ
Организационно-правовое направление работ
Выявление наличия/отсутствия признаков организации работы с
Выявление наличия/отсутствия признаков организации работы с
Формирование перечня информации, относимой к персональным данным
Формирование перечня информации, относимой к персональным данным
Формирование перечня информационных систем персональных данных
Формирование перечня информационных систем персональных данных
Разработка или совершенствование существующей нормативной правовой
Разработка или совершенствование существующей нормативной правовой
Техническое направление работ
Техническое направление работ
Порядок классификации информационных систем
Порядок классификации информационных систем
Характеристики безопасности персональных данных
Характеристики безопасности персональных данных
Характеристики безопасности персональных данных
Характеристики безопасности персональных данных
Типовая система
Типовая система
Специальная система
Специальная система
Специальная система
Специальная система
Выявление уязвимых звеньев и возможных угроз безопасности персональным
Выявление уязвимых звеньев и возможных угроз безопасности персональным
Формирование требований по обеспечению безопасности персональных
Формирование требований по обеспечению безопасности персональных
Обоснование требований по обеспечению безопасности персональных данных
Обоснование требований по обеспечению безопасности персональных данных
Информационная система по требованиям ФСБ России
Информационная система по требованиям ФСБ России
Системы обработки персональных данных без использования средств
Системы обработки персональных данных без использования средств
Обоснование требований по обеспечению безопасности персональных данных
Обоснование требований по обеспечению безопасности персональных данных
Система моделей угроз
Система моделей угроз
Организация работы с персональными данными
Организация работы с персональными данными
Организация работы с персональными данными
Организация работы с персональными данными
Разработка концептуальных документов по обеспечению безопасности
Разработка концептуальных документов по обеспечению безопасности
Организация работы в рамках разработки (модернизации) информационной
Организация работы в рамках разработки (модернизации) информационной
Спасибо за внимание
Спасибо за внимание

Презентация на тему: «Методика минимизации затрат при создании системы защиты ПДн и алгоритм действий оператора персональных данных». Автор: . Файл: «Методика минимизации затрат при создании системы защиты ПДн и алгоритм действий оператора персональных данных.ppt». Размер zip-архива: 2002 КБ.

Методика минимизации затрат при создании системы защиты ПДн и алгоритм действий оператора персональных данных

содержание презентации «Методика минимизации затрат при создании системы защиты ПДн и алгоритм действий оператора персональных данных.ppt»
СлайдТекст
1 Методика минимизации затрат при создании системы защиты ПДн и алгоритм

Методика минимизации затрат при создании системы защиты ПДн и алгоритм

действий оператора персональных данных

2 Действия оператора по выполнению требований Федерального закона

Действия оператора по выполнению требований Федерального закона

Начинать надо с определения: переченя персональных данных категорий обрабатываемых персональных данных целей их обработки Затем: необходимо направить уведомление в Уполномоченный орган После этого: разработать систему защиты персональных данных разработать документы, регламентирующие обработку персональных данных в организации реализовать требования по инженерно- технической защите помещений провести аттестацию или осуществить декларирование соответствия по требованиям безопасности информации

2

Защита персональных данных

10.11.2015

3 Подход к решению задач по защите ПДн

Подход к решению задач по защите ПДн

Оптимальное логическое структурирование При помощи различных технологий минимизации: композиция/декомпозиция систем, обезличивание, разделение БД и т.д. Отнесение системы к классу специальная Позволяет гибко понижать требования за счет отсутствия необходимости защиты от неактуальных угроз Максимальное использование текущих средств защиты при разработке ТЗ Выполнение требований закона не превращается в закупку дорогого и ненужного программно-аппаратного обеспечения

3

Защита персональных данных

10.11.2015

4 Организационно-правовое направление работ

Организационно-правовое направление работ

1

2

3

4

Выявление наличия/отсутствия признаков организации работы с персональными данными Формирование перечня информации, относимой к персональным данным Формирование перечня информационных систем персональных данных Разработка или совершенствование существующей нормативной правовой базы, регламентирующей обработку персональных данных

4

Защита персональных данных

10.11.2015

5 Выявление наличия/отсутствия признаков организации работы с

Выявление наличия/отсутствия признаков организации работы с

персональными данными

Анализ нормативной правовой базы, регламентирующей деятельность предприятия анализ функциональной структуры предприятия и схемы взаимодействия его подразделений анализ взаимодействия предприятия с внешними организациями анализ бизнес-процессов на предприятии с целью выявления наличия/отсутствия признаков организации работы с персональными данными

5

Защита персональных данных

10.11.2015

6 Формирование перечня информации, относимой к персональным данным

Формирование перечня информации, относимой к персональным данным

Определение правовых оснований для обработки персональных данных на предприятии категорирование персональных данных предприятия определение владельца персональных данных, обрабатываемых на предприятии выявление способов обработки персональных данных и действий с персональными данными специалистов предприятия: с использованием средств автоматизации без использования средств автоматизации выявление особенностей обработки персональных данных на предприятии: внутри одного подразделения в разных подразделениях предприятия в подразделениях с учетом филиальной сети с передачей персональных данных во внешние организации исследование возможности снижения категории персональных данных на основании оптимизации бизнес-процессов и правовых оснований для обработки персональных данных на предприятии

6

Защита персональных данных

10.11.2015

7 Формирование перечня информационных систем персональных данных

Формирование перечня информационных систем персональных данных

Определение правовых оснований для создания и использования информационных систем персональных данных на предприятии определение состава и структуры каждой информационной системы персональных данных и технических особенностей ее построения и функционирования, в том числе: состав и структура программного обеспечения технические средства обработки персональных данных топология информационной системы персональных данных определение состава и структуры информационного взаимодействия с внешними системами

7

Защита персональных данных

10.11.2015

8 Разработка или совершенствование существующей нормативной правовой

Разработка или совершенствование существующей нормативной правовой

базы, регламентирующей обработку персональных данных

1

2

3

4

5

6

7

Административно-распорядительные документы предприятия, направленные на организацию работы с персональными данными Положение об обработке персональных данных Инструкция о порядке обработки персональных данных без использования средств автоматизации Инструкция о порядке обработки персональных данных с использованием средств автоматизации Должностные инструкции специалистов, непосредственно осуществляющих обработку персональных данных Соглашение о неразглашении сведений, составляющих персональные данные Регламент взаимодействия с внешними организациями при обработке персональных данных и т.д.

8

Защита персональных данных

10.11.2015

9 Техническое направление работ

Техническое направление работ

1

2

3

4

Выявление уязвимых звеньев и возможных угроз безопасности персональным данным в информационной системе персональных данных Разработка концептуальных документов обеспечения безопасности персональных данных предприятия и в его информационных системах персональных данных Разработка новой или совершенствование существующей нормативной правовой базы, регламентирующей обеспечение безопасности в информационной системе персональных данных предприятия Организация работы с персональными данными в рамках разработки (модернизации) информационной системы персональных данных предприятия в соответствии с утвержденными концептуальными документами обеспечения безопасности персональных данных предприятия

9

Защита персональных данных

10.11.2015

10 Порядок классификации информационных систем

Порядок классификации информационных систем

Информация оператора

Идентификация систем обработки персональных данных

Определение характеристик персональных данных

Первичная классификация систем обработки персональных данных

Система обработки персональных данных с использованием средств автоматизации

Система обработки персональных данных без использования средств автоматизации

10

Защита персональных данных

10.11.2015

11 Характеристики безопасности персональных данных

Характеристики безопасности персональных данных

ОСНОВНЫЕ: Конфиденциальность (обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания) Целостность (способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения/разрушения) Доступность (обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости)

11

Защита персональных данных

10.11.2015

12 Характеристики безопасности персональных данных

Характеристики безопасности персональных данных

ДОПОЛНИТЕЛЬНЫЕ: Неотказуемость (способность доказать, что действие или событие произошло таким образом, что факт действия или события не может быть опровергнут) Учетность (обеспечение того, что действия субъекта по отношению к объекту могут быть прослежены уникально по отношению к субъекту) Аутентичность (идентичность объекта тому, что заявлено) Адекватность (свойство соответствия преднамеренному поведению и результатам)

12

Защита персональных данных

10.11.2015

13 Типовая система

Типовая система

Требования ФСТЭК России и ФСБ России к информационным системам персональных данных

Классификация информационной системы персональных данных

13

Защита персональных данных

10.11.2015

14 Специальная система

Специальная система

1

2

3

Конфиденциальность + …………… Информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья объектов персональных данных Информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы

14

Защита персональных данных

10.11.2015

15 Специальная система

Специальная система

Требования ФСТЭК и ФСБ к ИСПДн

Организационно-технические требования к системе защиты информации

КЛАССИФИКАЦИЯ ИСПДн

Влияние на бизнес-процессы

Минимизация затрат

Определение актуальных угроз

Документальное оформление

15

Защита персональных данных

10.11.2015

16 Выявление уязвимых звеньев и возможных угроз безопасности персональным

Выявление уязвимых звеньев и возможных угроз безопасности персональным

данным в информационной системе персональных данных

Анализ информационных систем персональных данных, в том числе: Оценка возможности физического доступа к персональным данным Выявление возможных каналов утечки информации, в том числе с использованием программно-технических средств Анализ возможностей программно-математического воздействия на информационную систему персональных данных Анализ возможностей электромагнитного воздействия на информационную систему персональных данных Оценка ущерба от реализации угроз безопасности персональным данным Анализ имеющихся в распоряжении мер и средств защиты персональных данных

16

Защита персональных данных

10.11.2015

17 Формирование требований по обеспечению безопасности персональных

Формирование требований по обеспечению безопасности персональных

данных при организации работы с ними

Составление перечня и проведение оценки актуальных угроз безопасности персональных данных разработка модели угроз безопасности персональных данных с учетом конкретных условий функционирования информационных систем персональных данных разработка модели нарушителя безопасности персональных данных с учетом конкретных условий функционирования информационных систем персональных данных, функциональных групп пользователей данных информационных систем персональных данных исследование возможности оптимизации требований к информационной системе персональных данных предприятия формирование требований по обеспечению безопасности

17

Защита персональных данных

10.11.2015

18 Обоснование требований по обеспечению безопасности персональных данных

Обоснование требований по обеспечению безопасности персональных данных

с использованием криптосредств

определение целесообразности использования криптосредств в информационных системах персональных данных разработка модели угроз безопасности персональным данным, обрабатываемым с использованием криптосредств разработка модели нарушителя безопасности персональным данным, обрабатываемым с использованием криптосредств определение требуемого уровня криптографической защиты персональных данных определение требуемого уровня защиты от утечки по техническим каналам и защиты от НСД СВТ, на которых реализованы криптосредства

18

Защита персональных данных

10.11.2015

19 Информационная система по требованиям ФСБ России

Информационная система по требованиям ФСБ России

Требования ФСБ России к информационным системам персональных данных

Требования ФСБ России информационной системе

Разработка модели нарушителя и классификация информационной системы

19

Защита персональных данных

10.11.2015

20 Системы обработки персональных данных без использования средств

Системы обработки персональных данных без использования средств

автоматизации

20

Защита персональных данных

10.11.2015

21 Обоснование требований по обеспечению безопасности персональных данных

Обоснование требований по обеспечению безопасности персональных данных

при взаимодействии с внешними организациями и их системами

Проводится с учетом: требований Федерального закона «О персональных данных» категорий внешних информационных систем способов взаимодействия с ними и в соответствии: с требованиями руководящих документов федеральных органов исполнительной власти, уполномоченных в области обеспечения безопасности и в области противодействия техническим разведкам и технической защиты информации

21

Защита персональных данных

10.11.2015

22 Система моделей угроз

Система моделей угроз

Состав персональных данных предметные риски классы специальных информационных систем персональных данных

Базовая модель / модель угроз верхнего уровня

Типовая отраслевая модель угроз

Частная / детализированная модель угроз информационной системы персональных данных

22

Защита персональных данных

10.11.2015

23 Организация работы с персональными данными

Организация работы с персональными данными

Необходимость организации работы обусловлена рядом факторов, среди которых: требование Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» оператору о необходимости принятия организационных мер для защиты персональных данных от неправомерного доступа к ним отсутствие в Федеральном законе «О персональных данных» перечня нормативных правовых актов, наличие которого необходимо компании-оператору персональных данных для взаимодействия с Уполномоченным органом по защите прав субъектов персональных данных при проведении контрольно-надзорных мероприятий необходимость четкого взаимодействия с субъектами персональных данных при реализации оператором их прав на правомерную обработку их данных

23

Защита персональных данных

10.11.2015

24 Организация работы с персональными данными

Организация работы с персональными данными

Позволит: оптимизировать бизнес-процессы компании, связанные с обработкой персональных данных снизить трудозатраты сотрудников компании, связанные с обработкой персональных данных и взаимодействием с субъектами персональных данных нормативно закрепить основы обработки персональных данных в компании сократить жалобы и обращения граждан в уполномоченные органы на действия оператора успешно проходить проверки контрольно-надзорных органов

24

Защита персональных данных

10.11.2015

25 Разработка концептуальных документов по обеспечению безопасности

Разработка концептуальных документов по обеспечению безопасности

персональных данных

Разработка концепции обеспечения безопасности персональных данных на предприятии Заказчика Разработка плана мероприятий по защите персональных данных на предприятии Заказчика Обоснование выбора оптимальных способов (мер и средств) защиты персональных данных в соответствии с задачами защиты Разработка технического задания на создание системы защиты персональных данных в рамках разработки (модернизации) информационной системы персональных данных в соответствии с утвержденной концепцией обеспечения безопасности Разработка финансово-экономического обоснования создания системы защиты персональных данных в рамках разработки (модернизации) информационной системы персональных данных в соответствии с утвержденной концепцией обеспечения безопасности

25

Защита персональных данных

10.11.2015

26 Организация работы в рамках разработки (модернизации) информационной

Организация работы в рамках разработки (модернизации) информационной

системы персональных данных в соответствии с концептуальными документами

проведение работ по созданию системы защиты персональных данных в рамках разработки (модернизации) информационной системы персональных данных в соответствии с утвержденными концептуальными документами разработка эксплуатационной документации на систему защиты персональных данных проведение мероприятий по получению лицензии ФСТЭК России по технической защите конфиденциальной информации проведение развертывания и ввода в опытную эксплуатацию технических средств защиты персональных данных осуществление доработки системы защиты персональных данных по результатам опытной эксплуатации аттестация (декларирование соответствия) автоматизированной системы

26

Защита персональных данных

10.11.2015

27 Спасибо за внимание

Спасибо за внимание

ЗАО "Рэйнвокс" www.reignvox.ru 125130, Москва, Старопетровский проезд, 7а Тел: +7 (495) 981-61-82 Факс: +7 (495) 981-61-83 info@reignvox.ru

«Методика минимизации затрат при создании системы защиты ПДн и алгоритм действий оператора персональных данных»
http://900igr.net/prezentacija/informatika/metodika-minimizatsii-zatrat-pri-sozdanii-sistemy-zaschity-pdn-i-algoritm-dejstvij-operatora-personalnykh-dannykh-190696.html
cсылка на страницу

Алгоритм

31 презентация об алгоритме
Урок

Информатика

130 тем
Слайды
900igr.net > Презентации по информатике > Алгоритм > Методика минимизации затрат при создании системы защиты ПДн и алгоритм действий оператора персональных данных