Embed Size (px)
Citation preview
1/19 © 2008 Cisco Systems, Inc. All rights reserved. Security Training
Алгоритм оптимизации усилий операторов ПДн
Алексей Лукацкий
Бизнес-консультант по безопасности
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 3/19
План
1. Изучить бизнес-процессы организации и технологические процессы обработки информации
2. Идентифицировать и описать все бизнес-процессы (технологические процессы), в рамках которых обрабатываются ПДн
Данные этапы позволят исключить ненужные для дальнейшего контроля и защиты процессы
3. Определить какие программные и технические средства используются в технологических процессах, в рамках которых обрабатываются ПДн
Данный этап позволит оценить затраты на ТЗКИ
4. Определить работников организации (должности), участвующих в технологических процессах, в рамках которых обрабатываются ПДн
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 4/19
Информационная модель в НИР Тритон
<<include>><<include>>
<<include>>
<<include>>
<<include>>
Отчет для ПФР
+
+
+
+
Номер пенс. страхования
Фамилия
Имя
Отчество
Отчет для ФМС
+
+
+
+
+
+
+
+
+
+
Фамилия
Имя
Отчество
Пол
Дата рождения
Место рождения
Гражданство
Удостоверяющий документ
Квалификация
Должность
Отчет для ФНС
+
+
+
+
+
+
ИНН
Фамилия
Имя
Отчество
Документ
Адрес регистрации
Отчет для ФОМС
+
+
+
+
Фамилия
Имя
Отчетство
Адрес регистрации
Справочник работников
+
+
+
+
+
+
+
Фамилия
Имя
Отчество
Должность
Подразделение
Внутренний контакт
Фотография
Работник : 2
+
+
+
+
+
+
+
+
+
+
+
+
+
Табельный номер
Фамилия
Имя
Отчество
Должность
Подразделение
ИНН
Пенс.страхование
Семейное положение
Воинская обязанность
Фотография
Гражданство
Бизнес-аттрибуты
Государственный орган
Орган, осуществляющий
оперативно-розыскную
деятельность
Пенсионный фонд
Фонд обязательного
медицинского
страхования
Федеральная
миграционная служба
Федеральная налогвая
служба
Государственный орган,
получающий данные по
персоналу Военно-учетный стол
<<include>>
<<include>>
<<include>>
<<include>>
<<include>>
<<include>>
<<include>>
<<1>>
Работа с абонентами
<<1.1>>
Управление
продажами : 1
<<1.3>>
Расчеты с абонентами :
1
Деятельность
оператора связи
<<2>>
Управление
организацией связи
<<2.1>>
Управление персоналом : 1
<<2.2.>>
Управление
безопасностью : 1
<<1.2>>
Управление
взаимоотношенияи с
абонентами : 1
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 5/19
План (продолжение)
5. Определить состав обрабатываемых в организации ПДн (тип, категория, объем)
Ненужные ПДн удалить и не обрабатывать
6. Определить цели, правовое основание, условия и принципы обработки ПДн
Уточнить, оператор вы или обработчик ПДн
7. Определить, выполняется ли обработка специальных категорий ПДн. Если да, то на каком основании?
8. Определить к какому типу защищаемой (коммерческая тайна, банковская тайна и др.) информации относятся ПДн
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 6/19
План (продолжение)
9. Сопоставить объем собираемых ПДн целям обработки
Убрать избыточные данные
10.Определить срок хранения ПДн
Не придется уничтожать ПДн по каждой кляузе субъекта ПДн
11.Определить необходимость получения согласия на обработку ПДн и для тех случаев, когда необходимо, получить такое согласие в письменном виде по форме, определенной законом
Сценариев получения письменной формы согласия всего 5
Письменное согласие ≠ письменная форма согласия
Не забывайте про конклюдентность
Читайте ГК и другие ФЗ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 7/19
План (продолжение)
12.Сообщать субъекту ПДн о целях обработки при сборе сведений, составляющих ПДн
При условии, что вы оператор, а не обработчик
13.Определить ПДн, получаемые не непосредственно от субъекта ПДн, и для таких случаев уведомить субъектов
При условии, что вы оператор, а не обработчик
14.Определить порядок передачи ПДн сторонним организациям и лицам
15.Определить договорные взаимоотношения, в рамках которых выполняется передача ПДн третьей стороне и внести в такие договора требования об обеспечении конфиденциальности передаваемых ПДн
Проработать договор в части этих требований
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 8/19
План (продолжение)
16.Определить, выполняется ли трансграничная передача ПДн. Если да, то убедиться что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, или в противном случае имеется обоснование для такой передачи
17.Определить порядок реагирования на запросы со стороны субъектов ПДн и предоставления им их ПДн, внесения изменений, прекращения обработки ПДн
18.Определить порядок уничтожения ПДн после достижения целей обработки
Не делайте это ежедневно – раз в квартал или в полгода
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 9/19
План (продолжение)
18.Определить необходимость уведомления уполномоченного органа по защите ПДн о начале обработки ПДн. Если необходимость есть, то составить и отправить уведомление
Существует 6 исключений
19.Определить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн
Привлеките юристов
20.Провести анализ систем организации и составить перечень систем, в которых обрабатываются персональные данные. Выделить ИСПДн
Задокументировать принципы отнесения различных ИС к ИСПДн
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 10/19
План (продолжение)
22.Выявить ИСПДн (в том числе государственные) и их границы (в рамках организации), в отношении которых организация не определяет цели обработки и требования по защите (например, передача отчетности в Пенсионный фонд, ФНС, ФОМС и др.)
Для таких систем не вы определяете требования по ИБ
23.Разработать модель угроз ПДн
Или взять готовую
Не увлекайтесь угрозами
24.Провести классификацию ИСПДн
Все системы специальные
Методики классификации специальных систем не существует
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 11/19
План (продолжение)
25.Оценить необходимость и возможности обезличивания ПДн. Провести обезличивание ПДн. При необходимости провести повторную классификацию ИСПДн
Обезличивание не должно быть необратимым
26.Определить требования и меры по обеспечению безопасности ПДн
А может эти требования уже разработаны?
27.Разработать требования по обеспечению безопасности ПДн при обработке в ИСПДн
ГОСТ Р ИСО/МЭК 27002 – хороший пример требований
28.Разработать должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 12/19
План (продолжение)
29.Определить порядок действий должностных лиц в случае возникновения нештатных ситуаций
30.Определить порядок проведения контроля обеспечения безопасности ПДн
31.Анализ существующих защитных мер на предмет соответствия требованиям по ИБ регуляторов и требованиям, определенным на этапах 26, 27
32.Выявление невыполненных в организации требований регуляторов и требований, определенных на этапах 26, 27, принятие решений о создании системы защиты персональных данных, доработке ИСПДн, доработке документов организации и др.
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 13/19
План (продолжение)
33.Организовать разработку системы обеспечения безопасности персональных данных на основе положений ГОСТ 34 серии
Можно привлечь лицензиата, которые знает как это делается
34.Разработать систему защиты в соответствии с положениями регуляторов, и требованиями, определенным на этапах 26, 27
Можно обратиться к аутсорсингу ИБ
Навесные решения не обязательны
Примите решение относительно сертифицированных СЗИ
35.Разработка технических заданий на создание системы защиты. Разработка частных технических заданий на доработку ИСПДн
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 14/19
План (продолжение)
36.Вести учет носителей ПДн, СЗИ, в том числе поэкземплярный учет СКЗИ, криптографических ключей
37.Назначить приказом ответственного пользователя СКЗИ, имеющего необходимый уровень квалификации
38.Обеспечить размещение, специальное оборудование, охрану и организацию режима в помещениях, где установлены СКЗИ или хранятся криптографические ключи
39.Определить подразделения и назначить лиц, ответственных за эксплуатацию средств защиты информации с их обучением по направлению обеспечения безопасности ПДн
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 15/19
План (продолжение)
40.Провести обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними
41.Доработка существующих документов и разработка новых документов с целью приведения документов организации в соответствие с требованиями Федерального закона «О персональных данных» и требованиями регуляторов
42.Определить необходимость получения лицензий ФСТЭК и ФСБ
Существует немало юридических оснований для неполучения таких лицензий
Возможно лучшим решением является заключение договора с лицензиатом
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 16/19
План (продолжение)
43.Проводить разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений
44.Выполнять постоянный контроль обеспечения безопасности ПДн
45.Провести самооценку соответствия информационной безопасности
Это позволит еще раз проконтролировать все, что нужно
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 17/19
План (окончание)
46.Провести внешнюю оценку соответствия информационной безопасности
Если требуется
Аттестация является добровольным мероприятием
47.Подготовить и утвердить «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-20хх»
48.Направить «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-20хх»
Последние два для банков
49.Выполнять постоянный контроль обеспечения безопасности ПДн
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 18/19
Вопросы?
Дополнительные вопросы Вы можете задать по электронной почте [email protected] или по телефону: +7 495 961-1410
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 19/19
![Introduction to Artificial Intelligence Game Playingbeckert/teaching/... · Minimax Algorithm function MINIMAX-DECISION(game) returns an operator for each op in OPERATORS[game] do](https://img.pdfslide.tips/doc/110x75/5fcac810217fca008d2a9652/introduction-to-artiicial-intelligence-game-playing-beckertteaching-minimax.jpg)
