'

Защита персональных данных в организациях малого и среднего бизнеса

Понравилась презентация – покажи это...





Слайд 0

Защита персональных данных в организациях малого и среднего бизнеса (Практический опыт) © ОАО «ЭЛВИС-ПЛЮС», 2010 г., Сергей ВИХОРЕВ Заместитель Генерального директора по развитию ОАО «ЭЛВИС-ПЛЮС» 2010 год


Слайд 1

ВОПРОСЫ ПРЕЗЕНТАЦИИ Особенности SMB-сегмента Особенности IT-структуры SMB-сегмента Особенности построения защиты ПДн Примеры из жизни


Слайд 2

ПРОЛОГ Развитие малого и среднего предпринимательства рассматривается не только как одно из важнейших средств создания гибкого, мобильного сектора экономики с высоким потенциалом развития и самоорганизации, но и как социально и политически стабилизирующий фактор О.Е. Никонова, Академия управления «ТИСБИ» Сегмент SMB из-за кризиса сдал позиции – количество предприятий и их оборот заметно уменьшились. По данным Росстата на 2009 год в РФ зарегистрировано 1 млн. 348 тыс. малых предприятий. Общий годовой оборот SMB-сегмента составляет 18 трлн. 685 млрд. рублей


Слайд 3

Муниципальные учреждения Медицина и рекреация ЖКХ и бытовое обслуживание Образование и юридические услуги Почтовые рассылки и электронная коммерция Строительство и недвижимость Автосервис и автотрейдинг Инвестиции и финансы Консалтинг и аудит Издательство и печать ЧЕМ ЗАНЯТ МАЛЫЙ БИЗНЕС Основной спектр деятельности компаний SMB-сегмента SMB-предприятия в основном работают в сфере обслуживания населения, поэтому их деятельность постоянно связана с обработкой персональных данных клиентов


Слайд 4

Дефицит финансовых средств и, особенно IT-бюджетов Отсутствие штатных специалистов по ИБ и ИТ Малый размер информационных систем Ограниченный состав необходимых прикладных систем Ориентирование на применение «коробочных» IT-решений Широкое использование Интернета и открытых сетей Осторожность к решениям, отдача от которых не очевидна Настороженность со стороны крупных IT-интеграторов Необходимость полноценного обеспечения защиты ПДн ХАРАКТЕРНЫЕ ЧЕРТЫ БИЗНЕСА Что надо учитывать при работе в SMB-сегменте SMB отличается крупного бизнеса тем, что у этих компаний зачастую нет ни IT-департаментов, ни выделенного штатного сотрудника, занимающегося ИБ


Слайд 5

Используемые типовые прикладные системы Бухгалтерский учет и расчет заработной платы Кадровый учет и медицинское страхование Базы данных о клиентах по профилю SMB-компании Характеристика типовой ИСПДн количество рабочих станций – от 1 до 10 единиц количество серверов – от 1 до 2 единиц количество субъектов ПДн – от 100 до 1 000 (+ до 50 000 клиентов) режим обработки – многопользовательский с разными правами тип ПДн – идентификационные и дополнительные сведения выход в ССОП и Интернет – имеется взаимодействие с другими ИС – имеется, в т.ч. удаленные АРМ уже используемые средства защиты – AVP, МЭ Несмотря на малые размеры ИС, категория обрабатываемых ПДн может быть достаточно высокой ХАРАКТЕРНЫЕ ЧЕРТЫ ИС Типовой портрет ИСПДн предприятия SMB-сегмента


Слайд 6

ВАЖНОЕ ЗАМЕЧАНИЕ! Субъекта персональных данных не интересует крупное или малое предприятие занято обработкой его данных. При противоправных действиях с такой информацией и в том, и в другом случае ему может быть причинен ущерб. Да и Закон ориентируется на защиту интересов субъекта, а не на размер бизнеса оператора ПДн. Защита ПДн, независимо от размера бизнеса оператора ПДн, должна быть адекватна имеющимся угрозам


Слайд 7

Минимальный состав программных и аппаратных средств Малая трудоемкость и простота настройки средств защиты Легкость технического обслуживания и сопровождения Минимальная необходимость конфигурирования и управления Простота эксплуатации и незаметность для пользователя Дешевизна внедрения и эксплуатации ОСОБЕННОСТИ СИСТЕМЫ ЗАЩИТЫ ПДн Что хочет видеть SMB-сегмент от системы защиты ПДн Чем проще и дешевле система защиты ПДн, тем лучше для пользователей SMB-предприятия


Слайд 8

Организационный аспект Экспресс-аудит ИС Консультационная поддержка организации защиты Разработка организационных документов по защите ПДн Оценка соответствия ИСПДн (декларация, аттестация) Технический аспект Сегментирование ИСПДн и снижение класса отдельных сегментов Использование механизмов защиты ОС и СУБД Переход на технологии терминального доступа (Citrix, RDP, Sun Ray) Переход на Web-технологии (тонкий клиент) Даже если ИСПДн имеет высокий класс, всегда остаются пути снижения затрат на защиту ПДн КАК СТРОИТЬ ЗАЩИТУ ПДн Что предложить SMB-сегменту


Слайд 9

Особенности терминального доступа обмен с сервером только кодами клавиш и «снимками» экранов данные не обрабатываются и не хранятся изоляция терминальных сессии по данным Снижение требований к рабочему месту простая модель угроз ПДн ПДн не обрабатываются и не хранятся невозможность передать на сервер (в ЦОД) вредоносный код параллельная работа с открытыми и конфиденциальными данными из функции ИБ – защита канала и защита от клавиатурных шпионов Экономия на защите ИСПДн снижение стоимости аудита только защита канала и целостности (защита от снифинга клавиатуры) экономия на СЗИ, AVP, IPS снижение стоимости аттестации ИСПДн с архитектурой терминального доступа – реально снижает затраты на защиту ПДн КАК СТРОИТЬ ЗАЩИТУ ПДн Терминальный доступ


Слайд 10

КАК СТРОИТЬ СИСТЕМУ ЗАЩИТЫ ПДн Пример: применение терминального доступа для SMB-сегмента Внутри тонкого клиента обработка персональных данных не ведется!


Слайд 11

КАКОЕ РЕШЕНИЕ ВЫБРАТЬ? Сравнение различных решений терминального доступа


Слайд 12

Остальные требования надо решать организационно МИНИМУМ МИНИМОРУМ Что предложить совсем уж малому бизнесу Техническое решение Аутсорсинг Управление СЗИ Техническое обслуживание Анализ защищенности


Слайд 13

Спасибо за внимание ! 124460, МОСКВА, Зеленоград, Центральный проспект, 11 тел. 777-42-92, факс 531-8863 e-mail: vsv@elvis.ru http://www.elvis.ru


×

HTML:





Ссылка: