Проектирование СЗПДн на примере типовой коммерческой компании

Содержание

Слайд 2

Актуальность Сегодня в РФ (особенно у компаний, которые содержат ИСПДн) существуют

Актуальность

Сегодня в РФ (особенно у компаний, которые содержат ИСПДн) существуют 2

понятия информационной безопасности:
состояние защищенности информационной системы компании от различного вида угроз безопасности;
состояние «защищенности» компании от возможных санкций, при невыполнении требований законодательства.
ИСПДн – информационная система персональных данных
Слайд 3

В соответствии с №152-ФЗ, в орбиту процессов, связанных с защитой ПДн,

В соответствии с №152-ФЗ, в орбиту процессов, связанных с защитой ПДн,

вовлечены три органа государственной власти:

Регуляторы

Слайд 4

ФЗ РФ от 27.07.2006 N 149 ; ФЗ РФ от 27.07.2006

ФЗ РФ от 27.07.2006 N 149 ;
ФЗ РФ от 27.07.2006 N

152 ;
ФЗ РФ от 27.12.2002 N 184;
ФЗ РФ от 04.05.2011 N 99;
ПП РФ от 01.11.2012 N 1119;
ПП РФ от 15.09.2008 N 687;
ПП РФ от 21.03.2012 N 211;
ПП РФ от 3.02.2012 N 79;
Приказ ФСТЭК РФ от 18.02.2013 N 21;
Приказ ФСТЭК РФ от 11.02.2013 N 17;
Приказ ФСБ РФ от 10.07.2014 N 378;

Законодательство

Слайд 5

Нужно ли выполнять требования? Законопроекты № 683952-6, 1131107-6 вносят изменения в

Нужно ли выполнять требования?

Законопроекты № 683952-6, 1131107-6 вносят изменения в ст.

13.11 КоАП РФ. Штрафы увеличатся, будут суммироваться, штрафы сможет «выписывать» сам РКН, без участия прокуратуры и суда.
Слайд 6

Базовые этапы проектирования СЗПДн произвести аудит ИС и определить уровни защищенности

Базовые этапы проектирования СЗПДн

произвести аудит ИС и определить уровни защищенности ПДн,

которые обрабатываются в ИСПДн;
разработать модель угроз (МУ);
определить базовый состав и содержание мер по обеспечению безопасности ПДн;
адаптировать базовый состав и содержание мер по обеспечению безопасности ПДн;
разработать технический проект на СЗПДн;
внедрить СЗПДн;
разработать пакет требуемых законодательством организационно-правовых документов (приказы, политики) по защите ПДн (30-50 документов);
провести оценку соответствия ИСПДн;
обеспечить защиту ПДн в ходе эксплуатации ИСПДн.
Для типовой коммерческой организации, весь перечень работ может быть выполнен внутренними силами компании!!!
Слайд 7

Уровни защищенности ПДн

Уровни защищенности ПДн

Слайд 8

Модель угроз Модель угроз – это документ, разрабатываемый внутри компании с

Модель угроз

Модель угроз – это документ, разрабатываемый внутри компании с целью

определения актуальных угроз ИСПДн. Грамотно разработанная МУ поможет не только спроектировать СЗПДн высокого уровня защищенности, но и избавить компанию от необходимости выполнять дополнительные «ненужные» требования законодательства.
Слайд 9

Технический проект Технический проект – это совокупность технических документов, которые содержат

Технический проект

Технический проект – это совокупность технических документов, которые содержат окончательные

проектные решения по системе (по СЗПДн). В данном документе описывают решения, которые планируют внедрить с целью выполнения всех задач, стоящих перед компанией в плане обеспечения защиты ПДн.
Слайд 10

Ключевые вопросы Вопросы Обязательно ли использовать сертифицированные СЗИ для построения СЗПДн?

Ключевые вопросы

Вопросы

Обязательно ли использовать сертифицированные СЗИ для построения СЗПДн?

Ответы

Коммерческие компании не

обязаны использовать сертифицированные СЗИ (ФЗ 184).
ГИС/МИС, обязаны использовать СЗИ, прошедшие оценку соответствия в форме сертификации по линии ФСТЭК или ФСБ исходя из требований ФЗ 149 и Приказа ФСТЭК №17.
Слайд 11

В каких ситуациях компания обязана использовать криптографические СЗИ, работающие с отечественными

В каких ситуациях компания обязана использовать криптографические СЗИ, работающие с отечественными

криптоалгоритмами ГОСТ?

Коммерческие организации могут использовать СЗИ, работающие либо с отечественными алгоритмами шифрования ГОСТ, либо с американскими алгоритмами шифрования (AES, 3DES и т.п.).
Использование сертифицированных в ФСБ СКЗИ обязательно для ГИС и МИС, при актуальности соответствующих угроз исходя из требований ФЗ 149 и Приказа ФСТЭК №17. Все сертифицированные в ФСБ СКЗИ используют отечественный криптоалгоритм ГОСТ.

Вопросы

Ответы

Ключевые вопросы

Слайд 12

Должна ли коммерческая компания получать лицензию на техническую защиту конфиденциальной информации

Должна ли коммерческая компания получать лицензию на техническую защиту конфиденциальной информации

(ТЗКИ)?

Если компания обрабатывает ПДн исключительно для собственных нужд, то она не обязана получать лицензию на ТЗКИ.
Если компания оказывает услуги по защите ПДн (или по ТЗКИ), либо деятельность по защите ПДн прописана в учредительных документах компании, то лицензия обязательна.

Вопросы

Ответы

Ключевые вопросы

Слайд 13

Нужно ли проводить аттестацию ИСПДн с помощью лицензиата ФСТЭК или можно

Нужно ли проводить аттестацию ИСПДн с помощью лицензиата ФСТЭК или можно

оценить соответствие ИСПДн самостоятельно?

Аттестация ИСПДн не обязательна для коммерческих компаний. В законодательстве нет требований по обязательной аттестации ИС коммерческих предприятий.
Исходя из требований Приказа ФСТЭК №17 аттестация ИС (включая ИСПДн) в ГИС/МИС обязательна.

Вопросы

Ответы

Ключевые вопросы

Слайд 14

Разбор

Разбор

Слайд 15

Вопросы Какой уровень защищенности? Обязательно ли использовать сертифицированные СЗИ? Обязательно ли

Вопросы

Какой уровень защищенности?
Обязательно ли использовать сертифицированные СЗИ?
Обязательно ли использовать криптографические

СЗИ?
Должны ли криптографические СЗИ использовать ГОСТ?
Нужна ли лицензия по ТЗКИ?
Обязательно ли аттестовать ИСПДн?

Ответы

УЗ-4
Нет
Да
Нет
Нет
Нет

Разбор

Слайд 16

Базовый набор мер защиты

Базовый набор мер защиты

Слайд 17

Схема функциональной структуры

Схема функциональной структуры

- Предыдущая
Химическая связь
Следующая -
Облака. Характеристики облачности

Похожие презентации

Виды освобождения от наказания и отбывания наказания
Природоресурсные правоотношения. Право природопользования (тема 2)
Консультант плюс. Общероссийская сеть распространения правовой информации
Программа антикоррупционных этических норм и обеспечения соблюдения антикоррупционных требований для деловых предприятий
Миротворческий контроль внутригосударственных конфликтов
История становления российской избирательной системы
12 декабря - День конституции Российской Федерации
Особенности правового режима земель водного фонда
Порядок финансирования льгот
Право собственности
Понятие, система, задачи криминалистической методики расследования преступлений
Семинар для ответственных СМ СО
Уголовная ответственность за террористическую деятельность
Жер учаскесін есепке алу
Правоустанавливающие документы
Душа России в символах её
Правоспособность и дееспособность гражданина
Граждане как субъекты гражданского права
Понятие реализации права. Применение правовых норм как особая форма реализации права
Государственная кадастровая оценка земель
Гражданское общество. Правовое государство
Правомерное и противоправное поведение. Правонарушение, его признаки. Виды правонарушений. Соучастие в преступлении
Договор передачи личных сбережений
Конституционное право, как отрасль права
Юридические нормы. Юридические факты
Великобритания и её доминионы
Формы правления. Монархия и ее типы
Основы конституционного права РК
Вы можете прислать нам Вашу презентацию и мы опубликуем ее на сайте.
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть