SlideShare uma empresa Scribd logo

Optimal algorithm for personal data operators

Aleksey Lukatskiy
Aleksey Lukatskiy
Aperfeiçoamento pessoal
1 de 18
Baixar para ler offline
1/19© 2008 Cisco Systems, Inc. All rights reserved.Security Training Алгоритм оптимизации усилий операторов ПДн Алексей Лукацкий Бизнес-консультант по безопасности
© 2008 Cisco Systems, Inc. All rights reserved.Security Training 3/19 План 1. Изучить бизнес-процессы организации и технологические процессы обработки информации 2. Идентифицировать и описать все бизнес-процессы (технологические процессы), в рамках которых обрабатываются ПДн Данные этапы позволят исключить ненужные для дальнейшего контроля и защиты процессы 3. Определить какие программные и технические средства используются в технологических процессах, в рамках которых обрабатываются ПДн Данный этап позволит оценить затраты на ТЗКИ 4. Определить работников организации (должности), участвующих в технологических процессах, в рамках которых обрабатываются ПДн
© 2008 Cisco Systems, Inc. All rights reserved.Security Training 4/19 Информационная модель в НИР Тритон <<include>> <<include>> <<include>> <<include>> <<include>> Отчет для ПФР + + + + Номер пенс. страхования Фамилия Имя Отчество Отчет для ФМС + + + + + + + + + + Фамилия Имя Отчество Пол Дата рождения Место рождения Гражданство Удостоверяющий документ Квалификация Должность Отчет для ФНС + + + + + + ИНН Фамилия Имя Отчество Документ Адрес регистрации Отчет для ФОМС + + + + Фамилия Имя Отчетство Адрес регистрации Справочник работников + + + + + + + Фамилия Имя Отчество Должность Подразделение Внутренний контакт Фотография Работник : 2 + + + + + + + + + + + + + Табельный номер Фамилия Имя Отчество Должность Подразделение ИНН Пенс.страхование Семейное положение Воинская обязанность Фотография Гражданство Бизнес-аттрибуты Государственный орган Орган, осуществляющий оперативно-розыскную деятельность Пенсионный фонд Фонд обязательного медицинского страхования Федеральная миграционная служба Федеральная налогвая служба Государственный орган, получающий данные по персоналу Военно-учетный стол <<include>> <<include>> <<include>> <<include>> <<include>> <<include>> <<include>> <<1>> Работа с абонентами <<1.1>> Управление продажами : 1 <<1.3>> Расчеты с абонентами : 1 Деятельность оператора связи <<2>> Управление организацией связи <<2.1>> Управление персоналом : 1 <<2.2.>> Управление безопасностью : 1 <<1.2>> Управление взаимоотношенияи с абонентами : 1
© 2008 Cisco Systems, Inc. All rights reserved.Security Training 5/19 План (продолжение) 5. Определить состав обрабатываемых в организации ПДн (тип, категория, объем) Ненужные ПДн удалить и не обрабатывать 6. Определить цели, правовое основание, условия и принципы обработки ПДн Уточнить, оператор вы или обработчик ПДн 7. Определить, выполняется ли обработка специальных категорий ПДн. Если да, то на каком основании? 8. Определить к какому типу защищаемой (коммерческая тайна, банковская тайна и др.) информации относятся ПДн
© 2008 Cisco Systems, Inc. All rights reserved.Security Training 6/19 План (продолжение) 9. Сопоставить объем собираемых ПДн целям обработки Убрать избыточные данные 10.Определить срок хранения ПДн Не придется уничтожать ПДн по каждой кляузе субъекта ПДн 11.Определить необходимость получения согласия на обработку ПДн и для тех случаев, когда необходимо, получить такое согласие в письменном виде по форме, определенной законом Сценариев получения письменной формы согласия всего 5 Письменное согласие ≠ письменная форма согласия Не забывайте про конклюдентность Читайте ГК и другие ФЗ
© 2008 Cisco Systems, Inc. All rights reserved.Security Training 7/19 План (продолжение) 12.Сообщать субъекту ПДн о целях обработки при сборе сведений, составляющих ПДн При условии, что вы оператор, а не обработчик 13.Определить ПДн, получаемые не непосредственно от субъекта ПДн, и для таких случаев уведомить субъектов При условии, что вы оператор, а не обработчик 14.Определить порядок передачи ПДн сторонним организациям и лицам 15.Определить договорные взаимоотношения, в рамках которых выполняется передача ПДн третьей стороне и внести в такие договора требования об обеспечении конфиденциальности передаваемых ПДн Проработать договор в части этих требований
© 2008 Cisco Systems, Inc. All rights reserved.Security Training 8/19 План (продолжение) 16.Определить, выполняется ли трансграничная передача ПДн. Если да, то убедиться что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, или в противном случае имеется обоснование для такой передачи 17.Определить порядок реагирования на запросы со стороны субъектов ПДн и предоставления им их ПДн, внесения изменений, прекращения обработки ПДн 18.Определить порядок уничтожения ПДн после достижения целей обработки Не делайте это ежедневно – раз в квартал или в полгода
© 2008 Cisco Systems, Inc. All rights reserved.Security Training 9/19 План (продолжение) 18.Определить необходимость уведомления уполномоченного органа по защите ПДн о начале обработки ПДн. Если необходимость есть, то составить и отправить уведомление Существует 6 исключений 19.Определить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн Привлеките юристов 20.Провести анализ систем организации и составить перечень систем, в которых обрабатываются персональные данные. Выделить ИСПДн Задокументировать принципы отнесения различных ИС к ИСПДн
© 2008 Cisco Systems, Inc. All rights reserved.Security Training 10/19 План (продолжение) 22.Выявить ИСПДн (в том числе государственные) и их границы (в рамках организации), в отношении которых организация не определяет цели обработки и требования по защите (например, передача отчетности в Пенсионный фонд, ФНС, ФОМС и др.) Для таких систем не вы определяете требования по ИБ 23.Разработать модель угроз ПДн Или взять готовую Не увлекайтесь угрозами 24.Провести классификацию ИСПДн Все системы специальные Методики классификации специальных систем не существует
© 2008 Cisco Systems, Inc. All rights reserved.Security Training 11/19 План (продолжение) 25.Оценить необходимость и возможности обезличивания ПДн. Провести обезличивание ПДн. При необходимости провести повторную классификацию ИСПДн Обезличивание не должно быть необратимым 26.Определить требования и меры по обеспечению безопасности ПДн А может эти требования уже разработаны? 27.Разработать требования по обеспечению безопасности ПДн при обработке в ИСПДн ГОСТ Р ИСО/МЭК 27002 – хороший пример требований 28.Разработать должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн
© 2008 Cisco Systems, Inc. All rights reserved.Security Training 12/19 План (продолжение) 29.Определить порядок действий должностных лиц в случае возникновения нештатных ситуаций 30.Определить порядок проведения контроля обеспечения безопасности ПДн 31.Анализ существующих защитных мер на предмет соответствия требованиям по ИБ регуляторов и требованиям, определенным на этапах 26, 27 32.Выявление невыполненных в организации требований регуляторов и требований, определенных на этапах 26, 27, принятие решений о создании системы защиты персональных данных, доработке ИСПДн, доработке документов организации и др.
© 2008 Cisco Systems, Inc. All rights reserved.Security Training 13/19 План (продолжение) 33.Организовать разработку системы обеспечения безопасности персональных данных на основе положений ГОСТ 34 серии Можно привлечь лицензиата, которые знает как это делается 34.Разработать систему защиты в соответствии с положениями регуляторов, и требованиями, определенным на этапах 26, 27 Можно обратиться к аутсорсингу ИБ Навесные решения не обязательны Примите решение относительно сертифицированных СЗИ 35.Разработка технических заданий на создание системы защиты. Разработка частных технических заданий на доработку ИСПДн
© 2008 Cisco Systems, Inc. All rights reserved.Security Training 14/19 План (продолжение) 36.Вести учет носителей ПДн, СЗИ, в том числе поэкземплярный учет СКЗИ, криптографических ключей 37.Назначить приказом ответственного пользователя СКЗИ, имеющего необходимый уровень квалификации 38.Обеспечить размещение, специальное оборудование, охрану и организацию режима в помещениях, где установлены СКЗИ или хранятся криптографические ключи 39.Определить подразделения и назначить лиц, ответственных за эксплуатацию средств защиты информации с их обучением по направлению обеспечения безопасности ПДн
© 2008 Cisco Systems, Inc. All rights reserved.Security Training 15/19 План (продолжение) 40.Провести обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними 41.Доработка существующих документов и разработка новых документов с целью приведения документов организации в соответствие с требованиями Федерального закона «О персональных данных» и требованиями регуляторов 42.Определить необходимость получения лицензий ФСТЭК и ФСБ Существует немало юридических оснований для неполучения таких лицензий Возможно лучшим решением является заключение договора с лицензиатом
© 2008 Cisco Systems, Inc. All rights reserved.Security Training 16/19 План (продолжение) 43.Проводить разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений 44.Выполнять постоянный контроль обеспечения безопасности ПДн 45.Провести самооценку соответствия информационной безопасности Это позволит еще раз проконтролировать все, что нужно
© 2008 Cisco Systems, Inc. All rights reserved.Security Training 17/19 План (окончание) 46.Провести внешнюю оценку соответствия информационной безопасности Если требуется Аттестация является добровольным мероприятием 47.Подготовить и утвердить «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-20хх» 48.Направить «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0- 20хх» Последние два для банков 49.Выполнять постоянный контроль обеспечения безопасности ПДн
© 2008 Cisco Systems, Inc. All rights reserved.Security Training 18/19 Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410
© 2008 Cisco Systems, Inc. All rights reserved.Security Training 19/19

Recomendados

Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
SQALab
 
Cisco 7 key data security trends
Cisco 7 key data security trendsCisco 7 key data security trends
Cisco 7 key data security trends
Tim Parson
 
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Cisco Russia
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
Aleksey Lukatskiy
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27k
Sergey Chuchaev
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Cisco Russia
 
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Cisco Russia
 
Russia Security furure regulations
Russia Security furure regulationsRussia Security furure regulations
Russia Security furure regulations
Aleksey Lukatskiy
 

Recomendados

Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
SQALab
 
Cisco 7 key data security trends
Cisco 7 key data security trendsCisco 7 key data security trends
Cisco 7 key data security trends
Tim Parson
 
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Требования к межсетевому экрану нового поколения для предприятий малого и сре...
Cisco Russia
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
Aleksey Lukatskiy
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27k
Sergey Chuchaev
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Cisco Russia
 
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Пять шагов для защиты ЦОД. Почему традиционная защита может оказаться неэффек...
Cisco Russia
 
Russia Security furure regulations
Russia Security furure regulationsRussia Security furure regulations
Russia Security furure regulations
Aleksey Lukatskiy
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
Glib Pakharenko
 
Incident management (part 5)
Incident management (part 5)Incident management (part 5)
Incident management (part 5)
Aleksey Lukatskiy
 
Personal data future regulations
Personal data future regulationsPersonal data future regulations
Personal data future regulations
Aleksey Lukatskiy
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
Alexey Evmenkov
 
Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)
Вячеслав Аксёнов
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001
Ivan Piskunov
 
Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...
VladimirMinakov3
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
Dmitry Savchenko
 
Мобильный доступ
Мобильный доступМобильный доступ
Мобильный доступ
Алексей Волков
 
спроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спроситьспроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
Solar Security
 
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4
a_a_a
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТППроект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТП
Aleksey Lukatskiy
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
BCP intro
BCP introBCP intro
BCP intro
Vladimir Matviychuk
 
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)
Aleksey Lukatskiy
 
Uuisg itgov 10_bcp
Uuisg itgov 10_bcpUuisg itgov 10_bcp
Uuisg itgov 10_bcp
uisgslide
 
4. ePlat4m Security GRC
4. ePlat4m Security GRC4. ePlat4m Security GRC
4. ePlat4m Security GRC
Компания УЦСБ
 
Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность. Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность.
Softline
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
Aleksey Lukatskiy
 
Cisco Security and Crisis
Cisco Security and CrisisCisco Security and Crisis
Cisco Security and Crisis
Aleksey Lukatskiy
 
Mobile security office
Mobile security officeMobile security office
Mobile security office
Aleksey Lukatskiy
 
DLP for top managers
DLP for top managersDLP for top managers
DLP for top managers
Aleksey Lukatskiy
 

Mais conteúdo relacionado

Mais procurados

Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
Glib Pakharenko
 
Incident management (part 5)
Incident management (part 5)Incident management (part 5)
Incident management (part 5)
Aleksey Lukatskiy
 
Personal data future regulations
Personal data future regulationsPersonal data future regulations
Personal data future regulations
Aleksey Lukatskiy
 
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4
a_a_a
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТППроект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТП
Aleksey Lukatskiy
 
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)
Aleksey Lukatskiy
 
Uuisg itgov 10_bcp
Uuisg itgov 10_bcpUuisg itgov 10_bcp
Uuisg itgov 10_bcp
uisgslide
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
Aleksey Lukatskiy
 

Mais procurados (19)

Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
 
Incident management (part 5)
Incident management (part 5)Incident management (part 5)
Incident management (part 5)
 
Personal data future regulations
Personal data future regulationsPersonal data future regulations
Personal data future regulations
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 
Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001
 
Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
 
Мобильный доступ
Мобильный доступМобильный доступ
Мобильный доступ
 
спроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спроситьспроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
 
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТППроект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТП
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
 
BCP intro
BCP introBCP intro
BCP intro
 
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)
 
Uuisg itgov 10_bcp
Uuisg itgov 10_bcpUuisg itgov 10_bcp
Uuisg itgov 10_bcp
 
4. ePlat4m Security GRC
4. ePlat4m Security GRC4. ePlat4m Security GRC
4. ePlat4m Security GRC
 
Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность. Система управления учетными записями (IDM). Информационная безопасность.
Система управления учетными записями (IDM). Информационная безопасность.
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
 

Destaque

Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
Aleksey Lukatskiy
 
Business model of cybercrime
Business model of cybercrimeBusiness model of cybercrime
Business model of cybercrime
Aleksey Lukatskiy
 
Future security regulations in Russia
Future security regulations in RussiaFuture security regulations in Russia
Future security regulations in Russia
Aleksey Lukatskiy
 
Banking Security Misunderstanding
Banking Security MisunderstandingBanking Security Misunderstanding
Banking Security Misunderstanding
Aleksey Lukatskiy
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
Aleksey Lukatskiy
 

Destaque (20)

Cisco Security and Crisis
Cisco Security and CrisisCisco Security and Crisis
Cisco Security and Crisis
 
Mobile security office
Mobile security officeMobile security office
Mobile security office
 
DLP for top managers
DLP for top managersDLP for top managers
DLP for top managers
 
Secure Mobile Office
Secure Mobile OfficeSecure Mobile Office
Secure Mobile Office
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
 
New security threats
New security threatsNew security threats
New security threats
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для бирж
 
Business model of cybercrime
Business model of cybercrimeBusiness model of cybercrime
Business model of cybercrime
 
Future security regulations in Russia
Future security regulations in RussiaFuture security regulations in Russia
Future security regulations in Russia
 
Information Security Trends
Information Security TrendsInformation Security Trends
Information Security Trends
 
Cyberwarfare examples
Cyberwarfare examplesCyberwarfare examples
Cyberwarfare examples
 
Banking Security Misunderstanding
Banking Security MisunderstandingBanking Security Misunderstanding
Banking Security Misunderstanding
 
Security Metrics.pdf
Security Metrics.pdfSecurity Metrics.pdf
Security Metrics.pdf
 
Как писать?
Как писать?Как писать?
Как писать?
 
Security and Crisis
Security and CrisisSecurity and Crisis
Security and Crisis
 
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
 
Threat Modeling (Part 4)
Threat Modeling (Part 4)Threat Modeling (Part 4)
Threat Modeling (Part 4)
 
Security punishment
Security punishmentSecurity punishment
Security punishment
 
Mobility and cloud security
Mobility and cloud securityMobility and cloud security
Mobility and cloud security
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 

Semelhante a Optimal algorithm for personal data operators

Incident management (part 3)
Incident management (part 3)Incident management (part 3)
Incident management (part 3)
Aleksey Lukatskiy
 
13 расширенные возможности корпоративных приложений, основы субд
13 расширенные возможности корпоративных приложений, основы субд13 расширенные возможности корпоративных приложений, основы субд
13 расширенные возможности корпоративных приложений, основы субд
KewpaN
 
аутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14октаутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14окт
finopolis
 
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Cisco Russia
 
Incident management (part 4)
Incident management (part 4)Incident management (part 4)
Incident management (part 4)
Aleksey Lukatskiy
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Expolink
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процесс
Expolink
 
Vertical approaches for personal data standartization
Vertical approaches for personal data standartizationVertical approaches for personal data standartization
Vertical approaches for personal data standartization
Aleksey Lukatskiy
 

Semelhante a Optimal algorithm for personal data operators (20)

Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИС
 
Incident management (part 3)
Incident management (part 3)Incident management (part 3)
Incident management (part 3)
 
Марина Макарчук, Практический опыт использования гибких методов в деятельност...
Марина Макарчук, Практический опыт использования гибких методов в деятельност...Марина Макарчук, Практический опыт использования гибких методов в деятельност...
Марина Макарчук, Практический опыт использования гибких методов в деятельност...
 
Как защитить персональные данные в "облаке"?
Как защитить персональные данные в "облаке"?Как защитить персональные данные в "облаке"?
Как защитить персональные данные в "облаке"?
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systems
 
Первые шаги нового CISO
Первые шаги нового CISOПервые шаги нового CISO
Первые шаги нового CISO
 
13 расширенные возможности корпоративных приложений, основы субд
13 расширенные возможности корпоративных приложений, основы субд13 расширенные возможности корпоративных приложений, основы субд
13 расширенные возможности корпоративных приложений, основы субд
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
аутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14октаутсорсинг It систем леонов-finopolis2016_14окт
аутсорсинг It систем леонов-finopolis2016_14окт
 
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
Решения Cisco и их соответствие требованиям 21-го приказа ФСТЭК по защите пер...
 
создание программы повышения осведомленности
создание программы повышения осведомленностисоздание программы повышения осведомленности
создание программы повышения осведомленности
 
Incident management (part 4)
Incident management (part 4)Incident management (part 4)
Incident management (part 4)
 
Aksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdfAksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdf
 
Information security systems development
Information security systems developmentInformation security systems development
Information security systems development
 
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
Ассоциация "Инфопарк". Владимир Анищенко. "Актуальные вопросы обеспечения инф...
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14
 
Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процесс
 
Vertical approaches for personal data standartization
Vertical approaches for personal data standartizationVertical approaches for personal data standartization
Vertical approaches for personal data standartization
 

Mais de Aleksey Lukatskiy

Mais de Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 

Optimal algorithm for personal data operators

  • 1. 1/19© 2008 Cisco Systems, Inc. All rights reserved.Security Training Алгоритм оптимизации усилий операторов ПДн Алексей Лукацкий Бизнес-консультант по безопасности
  • 2. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 3/19 План 1. Изучить бизнес-процессы организации и технологические процессы обработки информации 2. Идентифицировать и описать все бизнес-процессы (технологические процессы), в рамках которых обрабатываются ПДн Данные этапы позволят исключить ненужные для дальнейшего контроля и защиты процессы 3. Определить какие программные и технические средства используются в технологических процессах, в рамках которых обрабатываются ПДн Данный этап позволит оценить затраты на ТЗКИ 4. Определить работников организации (должности), участвующих в технологических процессах, в рамках которых обрабатываются ПДн
  • 3. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 4/19 Информационная модель в НИР Тритон <<include>> <<include>> <<include>> <<include>> <<include>> Отчет для ПФР + + + + Номер пенс. страхования Фамилия Имя Отчество Отчет для ФМС + + + + + + + + + + Фамилия Имя Отчество Пол Дата рождения Место рождения Гражданство Удостоверяющий документ Квалификация Должность Отчет для ФНС + + + + + + ИНН Фамилия Имя Отчество Документ Адрес регистрации Отчет для ФОМС + + + + Фамилия Имя Отчетство Адрес регистрации Справочник работников + + + + + + + Фамилия Имя Отчество Должность Подразделение Внутренний контакт Фотография Работник : 2 + + + + + + + + + + + + + Табельный номер Фамилия Имя Отчество Должность Подразделение ИНН Пенс.страхование Семейное положение Воинская обязанность Фотография Гражданство Бизнес-аттрибуты Государственный орган Орган, осуществляющий оперативно-розыскную деятельность Пенсионный фонд Фонд обязательного медицинского страхования Федеральная миграционная служба Федеральная налогвая служба Государственный орган, получающий данные по персоналу Военно-учетный стол <<include>> <<include>> <<include>> <<include>> <<include>> <<include>> <<include>> <<1>> Работа с абонентами <<1.1>> Управление продажами : 1 <<1.3>> Расчеты с абонентами : 1 Деятельность оператора связи <<2>> Управление организацией связи <<2.1>> Управление персоналом : 1 <<2.2.>> Управление безопасностью : 1 <<1.2>> Управление взаимоотношенияи с абонентами : 1
  • 4. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 5/19 План (продолжение) 5. Определить состав обрабатываемых в организации ПДн (тип, категория, объем) Ненужные ПДн удалить и не обрабатывать 6. Определить цели, правовое основание, условия и принципы обработки ПДн Уточнить, оператор вы или обработчик ПДн 7. Определить, выполняется ли обработка специальных категорий ПДн. Если да, то на каком основании? 8. Определить к какому типу защищаемой (коммерческая тайна, банковская тайна и др.) информации относятся ПДн
  • 5. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 6/19 План (продолжение) 9. Сопоставить объем собираемых ПДн целям обработки Убрать избыточные данные 10.Определить срок хранения ПДн Не придется уничтожать ПДн по каждой кляузе субъекта ПДн 11.Определить необходимость получения согласия на обработку ПДн и для тех случаев, когда необходимо, получить такое согласие в письменном виде по форме, определенной законом Сценариев получения письменной формы согласия всего 5 Письменное согласие ≠ письменная форма согласия Не забывайте про конклюдентность Читайте ГК и другие ФЗ
  • 6. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 7/19 План (продолжение) 12.Сообщать субъекту ПДн о целях обработки при сборе сведений, составляющих ПДн При условии, что вы оператор, а не обработчик 13.Определить ПДн, получаемые не непосредственно от субъекта ПДн, и для таких случаев уведомить субъектов При условии, что вы оператор, а не обработчик 14.Определить порядок передачи ПДн сторонним организациям и лицам 15.Определить договорные взаимоотношения, в рамках которых выполняется передача ПДн третьей стороне и внести в такие договора требования об обеспечении конфиденциальности передаваемых ПДн Проработать договор в части этих требований
  • 7. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 8/19 План (продолжение) 16.Определить, выполняется ли трансграничная передача ПДн. Если да, то убедиться что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, или в противном случае имеется обоснование для такой передачи 17.Определить порядок реагирования на запросы со стороны субъектов ПДн и предоставления им их ПДн, внесения изменений, прекращения обработки ПДн 18.Определить порядок уничтожения ПДн после достижения целей обработки Не делайте это ежедневно – раз в квартал или в полгода
  • 8. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 9/19 План (продолжение) 18.Определить необходимость уведомления уполномоченного органа по защите ПДн о начале обработки ПДн. Если необходимость есть, то составить и отправить уведомление Существует 6 исключений 19.Определить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн Привлеките юристов 20.Провести анализ систем организации и составить перечень систем, в которых обрабатываются персональные данные. Выделить ИСПДн Задокументировать принципы отнесения различных ИС к ИСПДн
  • 9. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 10/19 План (продолжение) 22.Выявить ИСПДн (в том числе государственные) и их границы (в рамках организации), в отношении которых организация не определяет цели обработки и требования по защите (например, передача отчетности в Пенсионный фонд, ФНС, ФОМС и др.) Для таких систем не вы определяете требования по ИБ 23.Разработать модель угроз ПДн Или взять готовую Не увлекайтесь угрозами 24.Провести классификацию ИСПДн Все системы специальные Методики классификации специальных систем не существует
  • 10. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 11/19 План (продолжение) 25.Оценить необходимость и возможности обезличивания ПДн. Провести обезличивание ПДн. При необходимости провести повторную классификацию ИСПДн Обезличивание не должно быть необратимым 26.Определить требования и меры по обеспечению безопасности ПДн А может эти требования уже разработаны? 27.Разработать требования по обеспечению безопасности ПДн при обработке в ИСПДн ГОСТ Р ИСО/МЭК 27002 – хороший пример требований 28.Разработать должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн
  • 11. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 12/19 План (продолжение) 29.Определить порядок действий должностных лиц в случае возникновения нештатных ситуаций 30.Определить порядок проведения контроля обеспечения безопасности ПДн 31.Анализ существующих защитных мер на предмет соответствия требованиям по ИБ регуляторов и требованиям, определенным на этапах 26, 27 32.Выявление невыполненных в организации требований регуляторов и требований, определенных на этапах 26, 27, принятие решений о создании системы защиты персональных данных, доработке ИСПДн, доработке документов организации и др.
  • 12. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 13/19 План (продолжение) 33.Организовать разработку системы обеспечения безопасности персональных данных на основе положений ГОСТ 34 серии Можно привлечь лицензиата, которые знает как это делается 34.Разработать систему защиты в соответствии с положениями регуляторов, и требованиями, определенным на этапах 26, 27 Можно обратиться к аутсорсингу ИБ Навесные решения не обязательны Примите решение относительно сертифицированных СЗИ 35.Разработка технических заданий на создание системы защиты. Разработка частных технических заданий на доработку ИСПДн
  • 13. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 14/19 План (продолжение) 36.Вести учет носителей ПДн, СЗИ, в том числе поэкземплярный учет СКЗИ, криптографических ключей 37.Назначить приказом ответственного пользователя СКЗИ, имеющего необходимый уровень квалификации 38.Обеспечить размещение, специальное оборудование, охрану и организацию режима в помещениях, где установлены СКЗИ или хранятся криптографические ключи 39.Определить подразделения и назначить лиц, ответственных за эксплуатацию средств защиты информации с их обучением по направлению обеспечения безопасности ПДн
  • 14. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 15/19 План (продолжение) 40.Провести обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними 41.Доработка существующих документов и разработка новых документов с целью приведения документов организации в соответствие с требованиями Федерального закона «О персональных данных» и требованиями регуляторов 42.Определить необходимость получения лицензий ФСТЭК и ФСБ Существует немало юридических оснований для неполучения таких лицензий Возможно лучшим решением является заключение договора с лицензиатом
  • 15. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 16/19 План (продолжение) 43.Проводить разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений 44.Выполнять постоянный контроль обеспечения безопасности ПДн 45.Провести самооценку соответствия информационной безопасности Это позволит еще раз проконтролировать все, что нужно
  • 16. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 17/19 План (окончание) 46.Провести внешнюю оценку соответствия информационной безопасности Если требуется Аттестация является добровольным мероприятием 47.Подготовить и утвердить «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-20хх» 48.Направить «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0- 20хх» Последние два для банков 49.Выполнять постоянный контроль обеспечения безопасности ПДн
  • 17. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 18/19 Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410
  • 18. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 19/19