'

Чермак Константин Руководитель проекта DIRECTUM

Понравилась презентация – покажи это...





Слайд 0

Чермак Константин Руководитель проекта DIRECTUM


Слайд 1

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.


Слайд 2

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных  ИСПДн - информационная система представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств


Слайд 3


Слайд 4


Слайд 5


Слайд 6


Слайд 7

Требования к операторам


Слайд 8

DIRECTUM – какие ПДн хранятся в системе Не структурированные документы – в зависимости от содержания Структурированные данные


Слайд 9

Персональные данные имеют свою цену и эта цена высока! Удалить персональные данные: которые собирались «до кучи» которые более не нужны хранение которых неоправданно дорого Разбить ИСПДн на отдельные системы Обезличивать уже обработанные данные


Слайд 10

Оставить права доступа к ПДн только тем пользователям, кому это действительно необходимо для исполнения должностных обязанностей При передаче ПД на обработку 3-му лицу включить в договор пункт об обязанности обеспечения оператором и 3-ми лицами конфиденциальности и безопасности персональных данных при их обработке


Слайд 11

DIRECTUM. Превентивные меры Снижение класса ИСПДн (что касается DIRECTUM): Не внесение лишних данных Уменьшение количества – удаление записей, введение срока жизни записи Уменьшение сведений о субъекте ПДн – скрытие «лишних» полей Обезличивание – формирование и хранение статистики, но удаление идентифицирующей информации


Слайд 12

DIRECTUM. Превентивные меры


Слайд 13

DIRECTUM. Превентивные меры Разделение систем обычной и выделение отдельной системы, в которой будут обрабатываться ПДн. Основная система входит в ИСПДн низкого класса (К4,К3) Дополнительная система с ограниченным доступом (К2,К1) Соответствующая своему классу защита систем Сквозные процессы


Слайд 14

DIRECTUM. Превентивные меры


Слайд 15

Создание регламентов Назначение ответственных Получение от субъектов ПДн согласия на обработку их ПДн Уведомление регулятора Аттестация (ИСПДН 1-2 класса) Сертификация СЗИ Получение лицензии ФСТЭК на ТЗКИ (операторы ИСПДн 1-2 класса)


Слайд 16

Необходимо согласие в письменной форме (за исключением установленных законом случаев): обработка специальных категорий персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни) обработка биометрических данных Согласие не требуется: обработка на основании закона (отчетность в ПФР, в ФНС, в соцстрах) обработка на основании договора (трудовой договор, услуги, купля-продажа) доставка почты организациями почтовой связи и для осуществления расчетов операторами электросвязи В остальных случаях согласие требуется (например, рассылка информации покупателям)


Слайд 17

Уведомление направляется в Роскомнадзор http://rsoc.ru Уведомление не требуется: трудовые отношения иные договорные отношения (услуги, купля-продажа, консалтинг) ФИО и иные общедоступные данные однократный пропуск на территорию оператора обработка без использования средств автоматизации


Слайд 18

Технические меры. Требования ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Сайт ФСТЭК www.fstec.ru/_razd/_ispo.htm


Слайд 19

Все меры защиты регламентируются ФСТЭК, степень защиты зависит от класса ИСПДн Антивирусы (Касперский, NOD32) Сертифицированные ОС (Windows XP, Server 2003) Модули доверенной загрузки (Эшелон) Электронные замки («Соболь», «КРИПТОН-ЗАМОК») Средства криптографической защиты информации (КриптоПро) Межсетевые экраны и шлюзы безопасности Системы акустической и виброакустической защиты Инструменты для организации физической защиты оборудования и зданий Технические меры


Слайд 20

DIRECTUM. Технические меры Шифрование документов в системе (с использованием сертифицированных средств защиты) Разграничение прав доступа Шифрование дисков с БД (минус – снижение быстродействия) Шифрование файловых хранилищ Windows-аутентификация Организация отдельных подсетей для работы ИСПДн, защита серверов Применение межсетевых экранов (защита периметров подсетей файерволом) Наличие антивирусной защиты разного класса для разного класса ИСПДн (ПМВ)


Слайд 21

Сертификации подлежат только средства защиты информации (СЗИ), DIRECTUM – средство обработки Не все ПДн организации хранятся в DIRECTUM (также в учетных системах, CRM, в файловой системе). Не все хранимые в DIRECTUM данные относятся к ПДн Наличие сертификата не отменяет обязанности выстроить систему защиты ПДн Частые вопросы к DIRECTUM


Слайд 22


×

HTML:





Ссылка: