- Главная
- Разное
- Дизайн
- Бизнес и предпринимательство
- Аналитика
- Образование
- Развлечения
- Красота и здоровье
- Финансы
- Государство
- Путешествия
- Спорт
- Недвижимость
- Армия
- Графика
- Культурология
- Еда и кулинария
- Лингвистика
- Английский язык
- Астрономия
- Алгебра
- Биология
- География
- Детские презентации
- Информатика
- История
- Литература
- Маркетинг
- Математика
- Медицина
- Менеджмент
- Музыка
- МХК
- Немецкий язык
- ОБЖ
- Обществознание
- Окружающий мир
- Педагогика
- Русский язык
- Технология
- Физика
- Философия
- Химия
- Шаблоны, картинки для презентаций
- Экология
- Экономика
- Юриспруденция
Чермак Константин Руководитель проекта DIRECTUM презентация
Содержание
- 1. Чермак Константин Руководитель проекта DIRECTUM
- 2. Персональные данные - любая информация, относящаяся к
- 3. Оператор - государственный орган, муниципальный орган, юридическое
- 8. Требования к операторам
- 9. DIRECTUM – какие ПДн хранятся в системе
- 10. Персональные данные имеют свою цену и эта
- 11. Оставить права доступа к ПДн только тем
- 12. DIRECTUM. Превентивные меры Снижение класса ИСПДн (что
- 13. DIRECTUM. Превентивные меры
- 14. DIRECTUM. Превентивные меры Разделение систем обычной и
- 15. DIRECTUM. Превентивные меры
- 16. Создание регламентов Назначение ответственных Получение от субъектов
- 17. Необходимо согласие в письменной форме (за исключением
- 18. Уведомление направляется в Роскомнадзор http://rsoc.ru Уведомление не
- 19. Технические меры. Требования ФСТЭК «Основные мероприятия по
- 20. Все меры защиты регламентируются ФСТЭК, степень защиты
- 21. DIRECTUM. Технические меры Шифрование документов в системе
- 22. Сертификации подлежат только средства защиты информации (СЗИ),
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место
Слайд 2Персональные данные - любая информация, относящаяся к определенному или определяемому на
основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Слайд 3Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие
и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных
ИСПДн - информационная система представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств
ИСПДн - информационная система представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств
Слайд 9DIRECTUM – какие ПДн хранятся в системе
Не структурированные документы – в
зависимости от содержания
Структурированные данные
Слайд 10Персональные данные имеют свою цену и эта цена высока!
Удалить персональные данные:
которые собирались «до кучи»
которые более не нужны
хранение которых неоправданно дорого
Разбить ИСПДн на отдельные системы
Обезличивать уже обработанные данные
Слайд 11Оставить права доступа к ПДн только тем пользователям, кому это действительно
необходимо для исполнения должностных обязанностей
При передаче ПД на обработку 3-му лицу включить в договор пункт об обязанности обеспечения оператором и 3-ми лицами конфиденциальности и безопасности персональных данных при их обработке
При передаче ПД на обработку 3-му лицу включить в договор пункт об обязанности обеспечения оператором и 3-ми лицами конфиденциальности и безопасности персональных данных при их обработке
Слайд 12DIRECTUM. Превентивные меры
Снижение класса ИСПДн (что касается DIRECTUM):
Не внесение лишних данных
Уменьшение
количества – удаление записей, введение срока жизни записи
Уменьшение сведений о субъекте ПДн – скрытие «лишних» полей
Обезличивание – формирование и хранение статистики, но удаление идентифицирующей информации
Уменьшение сведений о субъекте ПДн – скрытие «лишних» полей
Обезличивание – формирование и хранение статистики, но удаление идентифицирующей информации
Слайд 14DIRECTUM. Превентивные меры
Разделение систем обычной и выделение отдельной системы, в которой
будут обрабатываться ПДн.
Основная система входит в ИСПДн низкого класса (К4,К3)
Дополнительная система с ограниченным доступом (К2,К1)
Соответствующая своему классу защита систем
Сквозные процессы
Основная система входит в ИСПДн низкого класса (К4,К3)
Дополнительная система с ограниченным доступом (К2,К1)
Соответствующая своему классу защита систем
Сквозные процессы
Слайд 16Создание регламентов
Назначение ответственных
Получение от субъектов ПДн согласия на обработку их ПДн
Уведомление
регулятора
Аттестация (ИСПДН 1-2 класса)
Сертификация СЗИ
Получение лицензии ФСТЭК на ТЗКИ (операторы ИСПДн 1-2 класса)
Аттестация (ИСПДН 1-2 класса)
Сертификация СЗИ
Получение лицензии ФСТЭК на ТЗКИ (операторы ИСПДн 1-2 класса)
Слайд 17 Необходимо согласие в письменной форме (за исключением установленных законом случаев):
обработка специальных
категорий персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни)
обработка биометрических данных
обработка биометрических данных
Согласие не требуется:
обработка на основании закона (отчетность в ПФР, в ФНС, в соцстрах)
обработка на основании договора (трудовой договор, услуги, купля-продажа)
доставка почты организациями почтовой связи и для осуществления расчетов операторами электросвязи
В остальных случаях согласие требуется (например, рассылка информации покупателям)
Слайд 18Уведомление направляется в Роскомнадзор http://rsoc.ru
Уведомление не требуется:
трудовые отношения
иные договорные отношения (услуги,
купля-продажа, консалтинг)
ФИО и иные общедоступные данные
однократный пропуск на территорию оператора
обработка без использования средств автоматизации
ФИО и иные общедоступные данные
однократный пропуск на территорию оператора
обработка без использования средств автоматизации
Слайд 19Технические меры. Требования ФСТЭК
«Основные мероприятия по организации и техническому обеспечению безопасности
персональных данных, обрабатываемых в информационных системах персональных данных»
«Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Сайт ФСТЭК www.fstec.ru/_razd/_ispo.htm
«Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Сайт ФСТЭК www.fstec.ru/_razd/_ispo.htm
Слайд 20Все меры защиты регламентируются ФСТЭК, степень защиты зависит от класса ИСПДн
Антивирусы
(Касперский, NOD32)
Сертифицированные ОС (Windows XP, Server 2003)
Модули доверенной загрузки (Эшелон)
Электронные замки («Соболь», «КРИПТОН-ЗАМОК»)
Средства криптографической защиты информации (КриптоПро)
Межсетевые экраны и шлюзы безопасности
Системы акустической и виброакустической защиты
Инструменты для организации физической защиты оборудования и зданий
Сертифицированные ОС (Windows XP, Server 2003)
Модули доверенной загрузки (Эшелон)
Электронные замки («Соболь», «КРИПТОН-ЗАМОК»)
Средства криптографической защиты информации (КриптоПро)
Межсетевые экраны и шлюзы безопасности
Системы акустической и виброакустической защиты
Инструменты для организации физической защиты оборудования и зданий
Технические меры
Слайд 21DIRECTUM. Технические меры
Шифрование документов в системе (с использованием сертифицированных средств защиты)
Разграничение
прав доступа
Шифрование дисков с БД (минус – снижение быстродействия)
Шифрование файловых хранилищ
Windows-аутентификация
Организация отдельных подсетей для работы ИСПДн, защита серверов
Применение межсетевых экранов (защита периметров подсетей файерволом)
Наличие антивирусной защиты разного класса для разного класса ИСПДн (ПМВ)
Шифрование дисков с БД (минус – снижение быстродействия)
Шифрование файловых хранилищ
Windows-аутентификация
Организация отдельных подсетей для работы ИСПДн, защита серверов
Применение межсетевых экранов (защита периметров подсетей файерволом)
Наличие антивирусной защиты разного класса для разного класса ИСПДн (ПМВ)
Слайд 22Сертификации подлежат только средства защиты информации (СЗИ), DIRECTUM – средство обработки
Не
все ПДн организации хранятся в DIRECTUM (также в учетных системах, CRM, в файловой системе).
Не все хранимые в DIRECTUM данные относятся к ПДн
Наличие сертификата не отменяет обязанности выстроить систему защиты ПДн
Не все хранимые в DIRECTUM данные относятся к ПДн
Наличие сертификата не отменяет обязанности выстроить систему защиты ПДн
Частые вопросы к DIRECTUM
