'

Разработка автоматизированной системы категорирования и выбора средств защиты информационных систем персональных данных

Понравилась презентация – покажи это...





Слайд 0

Разработка автоматизированной системы категорирования и выбора средств защиты информационных систем персональных данных В.И.Аверченков, М.Ю.Рытов, О.М.Голембиовская, Е.В.Лексиков


Слайд 1

2 Постановка проблемы В 2007 году в силу вступил федеральный закон «О персональных данных». Не готовность операторов персональных данных привела к отсрочке выполнения требований закона до 1 января 2011 года. Причины неподготовленности: 1.Объемная законодательная база в области защиты персональных данных, требующая изучения. 2. Дорогостоящая процедура защиты информационных систем персональных данных.


Слайд 2

3 Законодательство в области ПДн Конституция Российской Федерации (принята на всенародном голосовании 12 декабря 1993 г.); Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63–ФЗ ( Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195–ФЗ Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197–ФЗ Основы законодательства Российской Федерации об охране здоровья граждан от 22 июля 1993 г. №  Федеральный закон от 8 августа 2001 г. № 129–ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей» Федеральный закон от 27 мая 2003 г. № 58–ФЗ «О системе государственной службы Российской Федерации» Федеральный закон от 27 июля 2004 г. № 79–ФЗ «О государственной гражданской службе Российской Федерации» Федеральный закон от 22 октября 2004 г. № 125–ФЗ «Об архивном деле в Российской Федерации» Федеральный закон № 160–ФЗ от 19 декабря 2005 г. «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»; Федеральный закон от 27 июля 2006 г. № 149–ФЗ «Об информации, информационных технологиях и о защите информации»; Федеральный закон от 27 июля 2006 г. № 152–ФЗ «О персональных данных» Федеральный закон от 29 декабря 2006 г. № 256–ФЗ «О дополнительных мерах государственной поддержки семей, имеющих детей» (с изменениями от 23 июля, 25 декабря 2008 г.); Федеральный закон от 2 марта 2007 г. № 25–ФЗ «О муниципальной службе в Российской Федерации». Статья 29. Персональные данные муниципального служащего (с изменениями от 23 июля, 27 октября, 25 ноября, 22, 25 декабря 2008 г., 17 июля 2009 г.); Федеральный закон Российской Федерации от 3 декабря 2008 г. № 242–ФЗ «О Государственной геномной регистрации в Российской Федерации» (с изменениями от 17 декабря 2009 г.); Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера» (с изменениями от 23 сентября 2005 № 1111); Указ Президента Российской Федерации от 12 мая 2008 № 724 «Вопросы системы и структуры федеральных органов исполнительной власти» (с изменениями от 30 мая, 24 июля, 6 сентября, 7, 14 октября, 3, 25, 31 декабря 2008 г., 11 сентября, 5 октября 2009 г.);


Слайд 3

На территории Российской Федерации более 7 миллионов юридических лиц и предпринимателей. Дорогостоящую и длительную процедуру по приведении ИСПДн в соответствие ФЗ №152 «О персональных данных» может позволить себе небольшой процент из этих 7 миллионов. Разработанная автоматизированная система позволит снизить трудоемкость работ и уменьшить материальные затраты. Актуальность и необходимость разработки 4


Слайд 4

Схема работы автоматизированной системы Информация, позволяющая дать оценку ИСПДн Категорирование ПДн Выявление угроз ПДн Конкретный перечень мер и средств, необходимых для должной защиты выявленной категории ИСПДн Оценка состояния обработки ПДн На входе На выходе 5 Обработка данных


Слайд 5

6 Формализация процесса категорирования


Слайд 6

7 Групповой показатель GP1 - Обеспечение защиты ИСПДн от угроз утечки видовой информации GPi=?1 Ch 1+?2 Ch2 +…+?k Chk, Шкала защищенности ИСПДн: 1 – высокий достаточный уровень защиты [0,8;1) – высокий недостаточный уровень защиты [0,5;0,8) – средний недостаточный уровень защиты [0;0,2) – низкий недостаточный уровень защиты 0– система не защищена Расчет оценки защищенности ИСПДн


Слайд 7

8 Класс ИСПДн Анализ защищенности и выбор средств защиты ИСПДн БД программных средств защиты ИСПДн Объем ПДн Перечень ПДн Данные об установленных средствах защиты Данные об утвержденных организационно-распорядительных документах Данные о системе обработки ПДн Модель угроз Оценка защищенности ИСПДн Рекомендации по внедрению необходимых средств защиты ИСПДн Рекомендации по утверждению организационно-распорядительной документации БД технических средств защиты ИСПДн БД организационно-распорядительной документации Представление процедуры анализа защищенности и выбора средств защиты ИСПДн


Слайд 8

7 Заполнение опросной электронной анкеты ОПРОСНЫЕ БЛОКИ Блок организационной документации (вопросы о наличии тех или иных организационно- распорядительных документов в области защиты ПДн) Программно-аппаратное оснащение (вопросы об оснащенности теми или иными программными средствами защиты ПДн) Техническое оснащение (вопросы об оснащенности техническими средствами защиты ПДн) Общий блок (вопросы о численности штата, квалификации работников)


Слайд 9

9 Формирование отчета по принципу «как есть» и «как должно быть» Общее состояние защиты информационной системы персональных данных «КАК ЕСТЬ» Общее состояние защиты информационной системы персональных данных «КАК ДОЛЖНО БЫТЬ» Общий блок Блок организационной- распорядительной документации 3. Блок программно-аппаратного оснащения 4. Блок технической оснащенности Общий блок Блок организационной- распорядительной документации 3. Блок программно-аппаратного оснащения 4. Блок технической оснащенности Основа - законодательная база:


Слайд 10

Определение диапазона цен, приемлемых для клиента 10 Система защиты 1 Система защиты 2 Система защиты 3 Система защиты 4 Система защиты будет соответствовать выявленной категории ИСПДн


Слайд 11

11 Перечень средств и методов, необходимых для защиты информационной системы персональных данных Организационные меры: Для соответствующей системы защиты персональных данных, вам необходимо дополнить вашу базу организационно-распорядительных документов следующими:…………………………………… В соответствии с выбранным диапазоном стоимости оборудования Вам необходимо установить следующие программно-аппаратные и технические средства защиты персональных данных:….


Слайд 12

Применение автоматизированной системы выбора средств и методов защиты персональных данных Частные и государственные организации различных форм собственности 12


Слайд 13

ОБЗОР УЧРЕЖДЕНИЙ ГОРОДА БРЯНСКА, ОБРАБАТЫВЮЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ СОТРУДНИКОВ Жилищно-коммунальное хозяйство - 392 Учреждения культуры и искусства - 42 Учреждения здравоохранения - 260 Заводы, фабрики - 250 в том числе ИП Муниципальные учреждения - 293 Учреждения образования и науки - 404 Общественные организации - 502 Оптовая торговля, склады, магазины - 361 Розничная торговля, магазины - 360 Развлекательные учреждения - 269 Спортивные учреждения - 74 Средства массовой информации - 64 Строительные организации - 500 Транспортные организации - 320 Организации, оказывающие различные виды услуг - 580 Банковские и финансовые организации, казначейства - 129 Данные представлены, в соответствии со сведениями сайта Брянских организаций www.yansk.ru Примерно: 4 800 14


Слайд 14

АНАЛОГИ Сторонние аудиторские компании: - Информзащита; - ООО «Анкад»; ЗАО «Калуга Астрал»; НТЦ «Сфера»; ЗАО «Орбита»; ОАО «ЭЛВИС-ПЛЮС» 13


Слайд 15

Структура решаемых задач в автоматизированной системе анализа и выбора средств защиты ИСПДн 16


Слайд 16

Категорирование ПДн 17


Слайд 17

Оценка защищенности ИСПДн 18


Слайд 18

Разработка автоматизированной системы категорирования и выбора средств защиты информационных систем персональных данных


×

HTML:





Ссылка: