Вторая Всероссийская конференция-семинар «Персональные данные».
Подробнее о мероприятии http://www.croc.ru/action/partners/detail/2266/
Презентация Михаила Башлыкова, Руководителя направления информационной безопасности компании КРОК
Защита ПДн. Что еще можно успеть сделать до 1 января. Экспресс-метод
1. ЗАЩИТА ПДн: ЧТО ЕЩЕ МОЖНО
УСПЕТЬ СДЕЛАТЬ ДО 1 ЯНВАРЯ.
ЭКСПРЕСС-МЕТОД
Михаил Башлыков
РУКОВОДИТЕЛЬ НАПРАВЛЕНИЯ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
КОМПАНИИ КРОК
2. ПЛАН МЕРОПРИЯТИЙ
Этап 1. Проведение аудита
Этап 2. Разработка модели угроз для ИСПДн.
Классификация ИСПДн
Этап 3. Создание нормативно-методической базы
Этап 4. Техническое проектирование СЗПДн
Этап 5. Сертификация средств защиты ?
Этап 6. Внедрение СЗПДн ?
Этап 7. Получение лицензии на ТЗКИ ?
Этап 8. Проведение аттестации ИСПДн ?
3. Обследование бизнес-процессов, ИСПДн, способов
и режимов обработки ПДн, мер и средств защиты ПДн
ПРОВЕДЕНИЕ АУДИТА ИСПДН
• Описание и анализ ИС, обрабатывающих ПДн (ИСПДн)
• Определение перечня ПДн, оснований и целей обработки ПДн
• Создание схем информационных потоков ПДн
• Обследование режимов обработки ПДн
• Обследование и анализ ИТ-инфраструктуры ИСПДн
• Обследование и анализ применяемых системы защиты ПДн
• Изучение и анализ процедур обработки ПДн
• Обследование и анализ договоров
• Изучение и анализ НМД в части обработки ПДн
Обследование организации обработки ПДн
Обследование ИСПДн
4. • Процедуры и порядок распространения ПДн как
по организации в целом, так и внешним контрагентам
• Инструкция пользователя ИСПДн по работе
с ПДн для каждой ИСПДн
• Инструкция администратора информационной
безопасности по обработке ПДн для каждой ИСПДн
• Процедура взаимодействия с субъектами
персональных данных
• Должностные инструкции персоналу ИСПДн
в части обеспечения безопасности ПДн при их
обработке в ИСПДн
РАЗРАБОТКА
ОРГАНИЗАЦИОННЫХ НМД
5. РАЗРАБОТКА
ОРГАНИЗАЦИОННЫХ НМД
• Регламент мониторинга и контроля обработки ПДн
для каждой ИСПДн
• Регламент предоставления доступа к ПДн
для каждой ИСПДн
• Перечень подразделений и сотрудников,
допущенных к работе с ИСПДн
• Приказ о защите ПДн
• Проект Уведомления Роскомнадзора
• Положение об организации обработки ПДн
• Типовые разделы договоров в части обработки ПДн
6. МОДЕЛЬ УГРОЗ И КЛАССИФИКАЦИЯ
Разработка модели угроз:
• Определение уровня защищенности ИСПДн
• Идентификация актуальных угроз ПДн
• Анализ и оценка вероятности реализации угроз ПДн
• Определение возможных мер и средств снижения вероятности
реализации угроз ПДн
Определение класса ИСПДн:
• Обоснование класса ИСПДн
• Акт классификации ИСПДн
7. ПЛАН МЕРОПРИЯТИЙ
И РЕКОМЕНДАЦИИ
Рекомендации по организации:
• Рекомендации по изменению и совершенствованию процессов
и процедур обработки ПДн
• Требования к составу и содержанию НМД
Рекомендации по созданию СЗПДн
• Рекомендации и обоснования выбора
класса ИСПДн
• Рекомендациии и требования по выбору средств
и мер обеспечения безопасности ПДн
План работ
• Календарный план работ
• Спецификация на работы и средства
8. ПОДГОТОВКА ПРОЕКТА СИСТЕМЫ
ЗАЩИТЫ
Подготовка технического задания
Подготовка пояснительной записки
Подготовка эксплуатационной документации
• Инструкции администратора
• Инструкции пользователя
• Регламент штатного обслуживания
• Регламент аварийного обслуживания
Разработка программы и методика испытаний
9. СИСТЕМА ЗАЩИТЫ. БАЗОВЫЕ
Сертифицированные системы доверенной загрузки
и контроля целостности
Сертифицированные средства
межсетевого экранирования, сегментация ИСПДн
Сертифицированные средства и системы
антивирусной защиты
Сертифицированные средства обнаружения и
предотвращения вторжений (сетевых атак)
Сертифицированные средства контроля
защищенности
10. СПАСИБО ЗА ВНИМАНИЕ!
Михаил Башлыков
РУКОВОДИТЕЛЬ НАПРАВЛЕНИЯ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
КОМПАНИИ КРОК
Тел. (495) 974 2274
E-mail: MBashlykov@croc.ru