•Этапы работ по защите персональных Этапы работ по защите персональных данных, реализованные проекты.данных, реализованные проекты.

Руководитель проектов ЗАО «Калуга Астрал»Кухтинов Алексей Анатольевич+7 909 251 7676 alex@astralnalog.ru

В течение августа 2011 года на портале ИСПДн.ру проводился опрос по самым актуальным вопросам информационной безопасности.

Зачем нужно тратить силы и средства на защиту ПДн в организации?

А зачем на самом деле все это нужно?

1) Являюсь ли я оператором персональных данных?Если в Вашей организации более одного сотрудника – то Вы являетесь оператором персональных данных, и Вам необходимо соблюдать требования законодательства РФ в области защиты персональных данных.

2) Да, я оператор персональных данных. Что делать дальше?Необходимо обеспечить защиту персональных данных до 1 июля 2011г., в соответствии с требованиями государственных органов, регулирующих обработку персональных данных. К данным органам относятся:Роскомнадзор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций;ФСТЭК России – Федеральная служба по техническому и экспортному контролю;ФСБ России – Федеральная Служба Безопасности.

Цель Федерального закона «О персональных данных» (ст.2)

Целью Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Далее возникают следующие вопросы:

4) Как тогда поступить?Оператор может выбрать один из следующих путей:а) Не делать ничего.В этом случае оператор продолжает обработку персональных данных на свой страх и риск, надеясь на «авось».

б) Отказаться от обработки персональных данных или уйти от автоматизированной обработки персональных данных.Если в Вашей компании более одного сотрудника, то Вам не удастся полностью отказаться от обработки персональных данных. Если перейти к обработке персональных данных без использования средств автоматизации, то Вам придется обрабатывать все персональные данные вручную, но и в этом случае необходимо соблюдать требования Постановления Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

в) Выполнить требования.В данном случае Вы успешно пройдете проверки, защитите персональные данные, снизите риски поступления жалоб от граждан и сможете избежать санкций со стороны контролирующих органов.

3) Что будет, если не выполнять данные требования?В данном случае оператор персональных данных может понести гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

5) Как мне защитить персональные данные: самостоятельно или привлечь стороннюю организацию?

При самостоятельном подходе Вы сможете уйти от затрат по договору с лицензиатом ФСТЭК, НО:

-Появятся дополнительные затраты на обучение собственных сотрудников;-В данном случае есть риск ошибок в выполнении проекта, которые могут привести :

- к значительным финансовым потерям для компании при проверке регуляторов; - к неправильной классификации, а как следствие, к увеличению стоимости СЗИ; - к неправильной оценке процессов и ресурсов , обрабатывающих персональные данные и пр….

Если доверимся профессионалам?

-СОСТАВЛЕНИЕ ПРЕДВАРИТЕЛЬНОГО КОММЕРЧЕСКОГО ПРЕДЛОЖЕНИЯНа основании первичного опросного листа. БЕСПЛАТНО. Это необходимо для предварительной классификации системы и определения ориентировочной стоимости ее защиты.

Пример рекламы Яндекса: «ЗАЩИТА ИС ПДн от ….тыс.руб.»- вывод, люди сами НЕ знают как это делать

Есть компании, которые это делают за деньги, получив лицензию «ВЧЕРА». Пытаются заработать деньгина популярности вопроса, а не на долгосрочном сотрудничестве с ЗАКАЗЧИКОМ

-ПРАВИЛЬНОЕ ПРОВЕДЕНИЕ ПРЕДПРОЕКТНОГО ОБСЛЕДОВАНИЯПроведение комплексного аудита ИБ и нормативно-регламентирующей Документации. Разработка организационно-технических мероприятийОпределения оптимального решения для Заказчика.Согласование разработанной документации во ФСТЭК России и ФСБ России

На основании чего формируется стоимость приведения системы в соответствие?

1. Предварительная классификация ИСПДн (приказ ФСТЭК, ФСБ и Мининформсвязи России № 55/86/20 от 13 февраля 2008 г)

2. Определение предварительного набора требований (Положение о методах и способах защиты информации в ИСПДн(утв. Приказом ФСТЭК от 5 февраля 2010 г. №58)

3. Определение стоимости обследования ИСПДн

4. Подбор средств защиты информации (СЗИ) удовлетворяющих требования нормативно-методических документов и специфики системы

5. Определение стоимости установки, настройки и ввода в эксплуатацию СЗИ

6. Определение стоимости аттестации (если таковая требуется) ИСПДн

Пути минимизации затрат на создание СЗПДн

–максимальное использование возможностей уже имеющихся в ИС СЗИ, а также возможностей ОС и прикладного ПО, сертифицированных или имеющих перспективы сертификации в системах сертификации ФСТЭК России или ФСБ России;

–максимальное использование возможностей уже имеющихся в ИС СЗИ, а также возможностей ОС и прикладного ПО, сертифицированных или имеющих перспективы сертификации в системах сертификации ФСТЭК России или ФСБ России;

– сокращение количества персонала (АРМ), обрабатывающих ПДн, разделение функций, снижающих возможность одновременной обработки ПДн из разных систем;– сокращение количества персонала (АРМ), обрабатывающих ПДн, разделение функций, снижающих возможность одновременной обработки ПДн из разных систем;

– обезличивание части ИСПДн (переход на абонентские и табельные номера, номера лицевых счетов и т.п.);– обезличивание части ИСПДн (переход на абонентские и табельные номера, номера лицевых счетов и т.п.);

–разделение ИС сертифицированными межсетевыми экранами на отдельные сегменты, классификация каждого сегмента (ИСПДн) и снижения требований к части из них;–разделение ИС сертифицированными межсетевыми экранами на отдельные сегменты, классификация каждого сегмента (ИСПДн) и снижения требований к части из них;

– исключение части ПДн, хранение их на бумажных или иных носителях вне ИСПДн;– исключение части ПДн, хранение их на бумажных или иных носителях вне ИСПДн;

Этапы построения защиты ИСПДн: 1.        Обследование ИСПДн На данном этапе проводятся работы по описанию информационной системы в которой обрабатываются ПДн, так же проводится категорирование и классификация обрабатываемых ПДн, проводится описание и учет объектов защиты, включая состав и характеристики средств обработки ПДн. 2.       Разработка организационно-распорядительной документации  Основной целью данного этапа работ является разработка комплекта документации, регламентирующих обработку персональных данных. 3.         Проектирование и внедрение системы защиты персональных данных (СЗПДн) По результатам обследования информационных систем персональных данных с учетом категории ПДн и установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности ПДн, включаемые в техническое (частное техническое) задание (ТЗ) на разработку СЗПДн. Осуществляется установка и настройка средств защиты информации 4.         Оценка соответствия ИСПДн  Оценка соответствия объектов информатизации по требованиям безопасности информации включает в себя следующие работы:Разработка пакета аттестационных документов (программа и методика аттестационных испытаний, технический паспорт ИСПдн) Проведение аттестационных испытаний (протоколы испытаний, заключение по результатам аттестационных испытаний) Оформление «Аттестата соответствия»

Нам доверяют:

www. genproc.gov.ru

www.ispdn.ru

ЗАО «Калуга Астрал»г. Калуга, пер. Теренинский,6, тел. (4842) 788-999 доб. 7050www.astralnalog.rue-mail: astral@kaluga.ru

Кухтинов Алексей АнатольевичРуководитель проектов+7 909 251 76 76

СПАСИБО ЗАВНИМАНИЕ!