SlideShare uma empresa Scribd logo

Альтернатива лицензированию - аутсорсинг

Transferir como PPTX, PDF
У
Учебный центр "Эшелон"
1 de 25
VII Международная выставка InfoSecurity Russia Альтернатива лицензированию - Шахалов И.Ю. Заместитель Генерального директора ЗАО «НПО «Эшелон» Москва, Сокольники, 19 ноября 2010 г.
2Москва, Сокольники, 19 ноября 2010 г. Почему при защите ПДн требуется лицензирование деятельности по ТЗКИ?
3Москва, Сокольники, 19 ноября 2010 г. Указ Президента РФ от 6 марта 1997 г. №188 Федеральный закон от 27.07.2006 г. № 152-ФЗ Постановление Правительства РФ от 17.11.2007 № 781 Федеральный закон от 8.08.2001 г. № 128-ФЗ Постановление Правительства РФ от 26.01.2006 № 45 Постановление правительства РФ от 15.08.2006 № 504 Логическая цепочка нормативно-правовых актов
4Москва, Сокольники, 19 ноября 2010 г. Лицензирование по ТЗКИ при защите ПДн Указ Президента РФ от 6 марта 1997 г. №188 «Об утверждении перечня сведений конфиденциального характера» п.1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
5Москва, Сокольники, 19 ноября 2010 г. Лицензирование по ТЗКИ при защите ПДн Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» Ст.19 ч.2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных…
6Москва, Сокольники, 19 ноября 2010 г. Лицензирование по ТЗКИ при защите ПДн Постановление Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» п.3. Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
7Москва, Сокольники, 19 ноября 2010 г. Лицензирование по ТЗКИ при защите ПДн Федеральный закон от 8.08.2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности» Статья 17. Перечень видов деятельности, на осуществление которых требуются лицензии. ч. 1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности: 11) деятельность по технической защите конфиденциальной информации
8Москва, Сокольники, 19 ноября 2010 г. Лицензирование по ТЗКИ при защите ПДн Постановление Правительства РФ от 26.01.2006 № 45 «Об организации лицензирования отдельных видов деятельности» ФСТЭК России Деятельность по технической защите конфиденциальной информации
9Москва, Сокольники, 19 ноября 2010 г. Лицензирование по ТЗКИ при защите ПДн Постановление Правительства РФ От 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» 1. Настоящее Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации, осуществляемой юридическими лицами и индивидуальными предпринимателями.
10Москва, Сокольники, 19 ноября 2010 г. Лицензирование по ТЗКИ при защите ПДн ПДн КИ ТЗКИ Лицензия Обобщая сказанное выше: При ИСПДн любого класса.
11Москва, Сокольники, 19 ноября 2010 г. Лицензирование по ТЗКИ при защите ПДн 1.3. … Для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации. Приказ Директора ФСТЭК России От 5.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в ИСПДн» Зарегистрировано в Минюсте РФ 19 февраля 2010 г. N 16456
12Москва, Сокольники, 19 ноября 2010 г. Аутсорсинг как альтернатива лицензированию
13Москва, Сокольники, 19 ноября 2010 г. Договоримся о терминах Аутсорсинг в сфере информационной безопасности подразумевает под собой передачу от компании-заказчика стороннему подрядчику на обслуживание ряда бизнес-процессов (в том числе на основе использования подрядчиком своих лицензий, программных продуктов, технических средств и фрагментов инфраструктуры) вместе с ответственностью за результат выполнения этих процессов.
14Москва, Сокольники, 19 ноября 2010 г. Цели привлечения аутсорсинга Снижение затрат на обеспечение ИБ Повышение качества услуг Отказ от непрофильных видов деятельности Повышение эффективности обеспечения ИБ
15Москва, Сокольники, 19 ноября 2010 г. Пример: проект по защите ИСПДн • Обучение специалистов компании в области ИБ • Аттестация объекта информатизации • Приобретение контрольно-измерительных средств • Приобретение документации Лицензирование деятельности • Предпроектное обследование • Проектирование системы обеспечения ИБ • Макетирование • Реализация Проектирование и реализация системы обеспечения ИБ • Периодическое тестирование • Техническая поддержка • Реагирование на инциденты в области ИБ Поддержка системы обеспечения ИБ
16Москва, Сокольники, 19 ноября 2010 г. Бизнес-процессы, передаваемые на аутсорсинг • Обучение специалистов компании в области ИБ • Аттестация объекта информатизации • Приобретение контрольно-измерительных средств • Приобретение документации Лицензирование деятельности • Предпроектное обследование • Проектирование системы обеспечения ИБ • Макетирование • Реализация Проектирование и реализация системы обеспечения ИБ • Периодическое тестирование • Техническая поддержка • Реагирование на инциденты в области ИБ Поддержка системы обеспечения ИБ
17Москва, Сокольники, 19 ноября 2010 г. Типовые варианты реализации Полный аутсорсинг ИБ Позволяет максимально оптимизировать затраты Не всегда позволяет учесть нестандартные ситуации и особенности заказчика Аутсорсинг отдельных бизнес-процессов Максимально гибкий подход Затраты на собственную службу ИБ остаются высокими
18Москва, Сокольники, 19 ноября 2010 г. Общая статистика по результатам применения аутсорсинга в области ИБ Снижение единовременных затрат Снижение регулярных затрат Дополнительные преимущества • 20 - 30% • До 40% • Повышение качества услуг • Минимизация ответственности • Отказ от непрофильных видов деятельности
19Москва, Сокольники, 19 ноября 2010 г. Уровень профессионализма сотрудников аутсорсинговой компании может оказаться недостаточным для выполнения работ или оказания услуг на должном уровне Недостаточность рычагов управляющего воздействия, что может привести к снижению эффективности процессов Наличие рисков нарушения безопасности и утечки сведений конфиденциального характера, в результате предоставления нерегулируемого доступа к документам, данным и материальным ценностям предприятия Риски Заказчика
20Москва, Сокольники, 19 ноября 2010 г. Привлечение добросовестных партнеров, хорошо зарекомендовавших себя на рынке услуг Фиксация всех необходимых условий снижения финансовых, человеческих и других видов рисков Совместная разработка проектов и технического задания Расстановка контрольных точек проекта и поэтапная оплата Строгая и четкая фиксация ответственности аутсорсера Снижение рисков Заказчика
21Москва, Сокольники, 19 ноября 2010 г. Критерии выбора аутсорсера На что обратить внимание? • Наличие всех необходимых лицензий. • Опыт проведения аналогичных проектов. • Наличие сопутствующих аккредитаций (органа по аттестации, учебного центра и т.д.). • Наличие специализированного оборудования и ПО в собственности аутсорсера.
22Москва, Сокольники, 19 ноября 2010 г. Аутсорсинг. Резюме.  Аусорсинг ИБ становится все более востребованным, особенно в свете выполнения положений 152-ФЗ «О персональных данных»  Аутсорсинг, с правовой точки зрения, это прежде всего договорная работа, основанная на доверии.  Аутсорсинг — это не просто взаимоотношения «заказчик — исполнитель», это партнерство.
23Москва, Сокольники, 19 ноября 2010 г. «Золотое правило» аутсорсера: Надо понять, что даст заказчику возможность доверять партнеру, и на этой основе выстраивать бизнес-отношения
24Москва, Сокольники, 19 ноября 2010 г. Выбор оператора персональных данных Лицензия Аутсорсинг
25Москва, Сокольники, 19 ноября 2010 г. Шахалов И.Ю. Заместитель Генерального директора ЗАО «НПО «Эшелон» Тел. (495) 645 38 10 E-mail: info@npo-echelon.ru www. npo-echelon.ru Информационная поддержка: www.ispdn.ru

Recomendados

Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановSergey Borisov
 
Information Security Presentation (B.E.E.R - 2019)
Information Security Presentation (B.E.E.R - 2019)Information Security Presentation (B.E.E.R - 2019)
Information Security Presentation (B.E.E.R - 2019)Вячеслав Аксёнов
 
Legislation and Responsibility (VMUG Presentation)
Legislation and Responsibility (VMUG Presentation)Legislation and Responsibility (VMUG Presentation)
Legislation and Responsibility (VMUG Presentation)Вячеслав Аксёнов
 
Почему нужна лицензия
Почему нужна лицензияПочему нужна лицензия
Почему нужна лицензияcnpo
 
Risks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirementsRisks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirementsВячеслав Аксёнов
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнSergey Borisov
 
Информационная безопасность бизнеса
Информационная безопасность бизнесаИнформационная безопасность бизнеса
Информационная безопасность бизнесаDmitri Budaev
 
17 приказ ФСТЭК
17 приказ ФСТЭК17 приказ ФСТЭК
17 приказ ФСТЭКАлексей Кураленко
 

Recomendados

Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановSergey Borisov
 
Information Security Presentation (B.E.E.R - 2019)
Information Security Presentation (B.E.E.R - 2019)Information Security Presentation (B.E.E.R - 2019)
Information Security Presentation (B.E.E.R - 2019)Вячеслав Аксёнов
 
Legislation and Responsibility (VMUG Presentation)
Legislation and Responsibility (VMUG Presentation)Legislation and Responsibility (VMUG Presentation)
Legislation and Responsibility (VMUG Presentation)Вячеслав Аксёнов
 
Почему нужна лицензия
Почему нужна лицензияПочему нужна лицензия
Почему нужна лицензияcnpo
 
Risks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirementsRisks of non-compliance with regulatory requirements
Risks of non-compliance with regulatory requirementsВячеслав Аксёнов
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнSergey Borisov
 
Информационная безопасность бизнеса
Информационная безопасность бизнесаИнформационная безопасность бизнеса
Информационная безопасность бизнесаDmitri Budaev
 
17 приказ ФСТЭК
17 приказ ФСТЭК17 приказ ФСТЭК
17 приказ ФСТЭКАлексей Кураленко
 
Курс по законодательству в области ИБ
Курс по законодательству в области ИБКурс по законодательству в области ИБ
Курс по законодательству в области ИБAleksey Lukatskiy
 
Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)Вячеслав Аксёнов
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Техническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиТехническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиВячеслав Аксёнов
 
обучение в области защиты информации
обучение в области защиты информацииобучение в области защиты информации
обучение в области защиты информацииSergey Borisov
 
InfoWatch
InfoWatchInfoWatch
InfoWatchMNUCIB
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)Вячеслав Аксёнов
 
Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗAndrew Fadeev
 
GDPR intro
GDPR intro GDPR intro
GDPR intro Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииОсновные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииAleksey Lukatskiy
 
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФКакой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФAleksey Lukatskiy
 
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Sergey Borisov
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company
 
Политика обработки ПДн
Политика обработки ПДнПолитика обработки ПДн
Политика обработки ПДнSergey Borisov
 
Проектирование_СЗИ_персональных_данных_практикум.pdf
Проектирование_СЗИ_персональных_данных_практикум.pdfПроектирование_СЗИ_персональных_данных_практикум.pdf
Проектирование_СЗИ_персональных_данных_практикум.pdftrenders
 
V4 instructions
V4 instructionsV4 instructions
V4 instructionsVELESNTC
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?LETA IT-company
 
Безопасная передача ядерных технологий в мирных целях в соответствии с россий...
Безопасная передача ядерных технологий в мирных целях в соответствии с россий...Безопасная передача ядерных технологий в мирных целях в соответствии с россий...
Безопасная передача ядерных технологий в мирных целях в соответствии с россий...MetaverMedia
 

Mais conteúdo relacionado

Mais procurados

Курс по законодательству в области ИБ
Курс по законодательству в области ИБКурс по законодательству в области ИБ
Курс по законодательству в области ИБAleksey Lukatskiy
 
Техническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиТехническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиВячеслав Аксёнов
 
обучение в области защиты информации
обучение в области защиты информацииобучение в области защиты информации
обучение в области защиты информацииSergey Borisov
 
InfoWatch
InfoWatchInfoWatch
InfoWatchMNUCIB
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗAndrew Fadeev
 
Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииОсновные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииAleksey Lukatskiy
 
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФКакой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФAleksey Lukatskiy
 
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Sergey Borisov
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company
 
Политика обработки ПДн
Политика обработки ПДнПолитика обработки ПДн
Политика обработки ПДнSergey Borisov
 

Mais procurados (18)

Курс по законодательству в области ИБ
Курс по законодательству в области ИБКурс по законодательству в области ИБ
Курс по законодательству в области ИБ
 
Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04
 
Техническая защита персональных данных в Беларуси
Техническая защита персональных данных в БеларусиТехническая защита персональных данных в Беларуси
Техническая защита персональных данных в Беларуси
 
обучение в области защиты информации
обучение в области защиты информацииобучение в области защиты информации
обучение в области защиты информации
 
InfoWatch
InfoWatchInfoWatch
InfoWatch
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLP
 
Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)Legislation and Responsibility (VMUG #7 Belarus)
Legislation and Responsibility (VMUG #7 Belarus)
 
Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗ
 
GDPR intro
GDPR intro GDPR intro
GDPR intro
 
тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)
 
Основные направления регулирования ИБ в России
Основные направления регулирования ИБ в РоссииОсновные направления регулирования ИБ в России
Основные направления регулирования ИБ в России
 
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФКакой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
 
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...Требования к помещениям в которых обрабатываются персональные данные и эксплу...
Требования к помещениям в которых обрабатываются персональные данные и эксплу...
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012
 
Политика обработки ПДн
Политика обработки ПДнПолитика обработки ПДн
Политика обработки ПДн
 

Semelhante a Альтернатива лицензированию - аутсорсинг

Проектирование_СЗИ_персональных_данных_практикум.pdf
Проектирование_СЗИ_персональных_данных_практикум.pdfПроектирование_СЗИ_персональных_данных_практикум.pdf
Проектирование_СЗИ_персональных_данных_практикум.pdftrenders
 
V4 instructions
V4 instructionsV4 instructions
V4 instructionsVELESNTC
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?LETA IT-company
 
Безопасная передача ядерных технологий в мирных целях в соответствии с россий...
Безопасная передача ядерных технологий в мирных целях в соответствии с россий...Безопасная передача ядерных технологий в мирных целях в соответствии с россий...
Безопасная передача ядерных технологий в мирных целях в соответствии с россий...MetaverMedia
 
Обзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеОбзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеguestfa9aa
 
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети Компания ИНТРО
 
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days
 
Aksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdfAksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdftrenders
 
закон о пдн_последние_изменения_разбегаев_в_авг_2014
закон о пдн_последние_изменения_разбегаев_в_авг_2014закон о пдн_последние_изменения_разбегаев_в_авг_2014
закон о пдн_последние_изменения_разбегаев_в_авг_2014Vladimir Razbegaev
 
закон о пдн_последние_изменения_разбегаев_в_авг_2014
закон о пдн_последние_изменения_разбегаев_в_авг_2014закон о пдн_последние_изменения_разбегаев_в_авг_2014
закон о пдн_последние_изменения_разбегаев_в_авг_2014Vladimir Razbegaev
 
Вопросы деятельности Минкомсвязи
Вопросы деятельности МинкомсвязиВопросы деятельности Минкомсвязи
Вопросы деятельности МинкомсвязиVadim Novikov
 
Решения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных системРешения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных системCisco Russia
 
Кадры, Инфтрукция по Сборке
Кадры, Инфтрукция по СборкеКадры, Инфтрукция по Сборке
Кадры, Инфтрукция по СборкеPositive Hack Days
 
Тихая электронная революция в делопроизводстве и архивном деле
Тихая электронная революция в делопроизводстве и архивном делеТихая электронная революция в делопроизводстве и архивном деле
Тихая электронная революция в делопроизводстве и архивном делеNatasha Khramtsovsky
 
Персональные данные Saransk 2009 Timur Aitov
Персональные данные Saransk 2009 Timur AitovПерсональные данные Saransk 2009 Timur Aitov
Персональные данные Saransk 2009 Timur AitovTimur AITOV
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиAleksey Lukatskiy
 
лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...elenae00
 
Перспективы трансграничного обмена персональными данными и иной информацией о...
Перспективы трансграничного обмена персональными данными и иной информацией о...Перспективы трансграничного обмена персональными данными и иной информацией о...
Перспективы трансграничного обмена персональными данными и иной информацией о...Корус Консалтинг СНГ
 

Semelhante a Альтернатива лицензированию - аутсорсинг (20)

Проектирование_СЗИ_персональных_данных_практикум.pdf
Проектирование_СЗИ_персональных_данных_практикум.pdfПроектирование_СЗИ_персональных_данных_практикум.pdf
Проектирование_СЗИ_персональных_данных_практикум.pdf
 
V4 instructions
V4 instructionsV4 instructions
V4 instructions
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?
 
Безопасная передача ядерных технологий в мирных целях в соответствии с россий...
Безопасная передача ядерных технологий в мирных целях в соответствии с россий...Безопасная передача ядерных технологий в мирных целях в соответствии с россий...
Безопасная передача ядерных технологий в мирных целях в соответствии с россий...
 
Закупки в ит
Закупки в итЗакупки в ит
Закупки в ит
 
Обзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеОбзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли проще
 
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети
 
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
 
Aksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdfAksionov_B_E_E_R_2022.pdf
Aksionov_B_E_E_R_2022.pdf
 
Information security systems development
Information security systems developmentInformation security systems development
Information security systems development
 
закон о пдн_последние_изменения_разбегаев_в_авг_2014
закон о пдн_последние_изменения_разбегаев_в_авг_2014закон о пдн_последние_изменения_разбегаев_в_авг_2014
закон о пдн_последние_изменения_разбегаев_в_авг_2014
 
закон о пдн_последние_изменения_разбегаев_в_авг_2014
закон о пдн_последние_изменения_разбегаев_в_авг_2014закон о пдн_последние_изменения_разбегаев_в_авг_2014
закон о пдн_последние_изменения_разбегаев_в_авг_2014
 
Вопросы деятельности Минкомсвязи
Вопросы деятельности МинкомсвязиВопросы деятельности Минкомсвязи
Вопросы деятельности Минкомсвязи
 
Решения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных системРешения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных систем
 
Кадры, Инфтрукция по Сборке
Кадры, Инфтрукция по СборкеКадры, Инфтрукция по Сборке
Кадры, Инфтрукция по Сборке
 
Тихая электронная революция в делопроизводстве и архивном деле
Тихая электронная революция в делопроизводстве и архивном делеТихая электронная революция в делопроизводстве и архивном деле
Тихая электронная революция в делопроизводстве и архивном деле
 
Персональные данные Saransk 2009 Timur Aitov
Персональные данные Saransk 2009 Timur AitovПерсональные данные Saransk 2009 Timur Aitov
Персональные данные Saransk 2009 Timur Aitov
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасности
 
лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...
 
Перспективы трансграничного обмена персональными данными и иной информацией о...
Перспективы трансграничного обмена персональными данными и иной информацией о...Перспективы трансграничного обмена персональными данными и иной информацией о...
Перспективы трансграничного обмена персональными данными и иной информацией о...
 

Mais de Учебный центр "Эшелон"

Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...Учебный центр "Эшелон"
 
Сканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасностиСканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасностиУчебный центр "Эшелон"
 
Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?
Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?
Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?Учебный центр "Эшелон"
 
Концепция построения безопасной сети нового поколения
Концепция построения безопасной сети нового поколенияКонцепция построения безопасной сети нового поколения
Концепция построения безопасной сети нового поколенияУчебный центр "Эшелон"
 

Mais de Учебный центр "Эшелон" (12)

ДПО в области ИБ: проблемы и решения
ДПО в области ИБ: проблемы и решенияДПО в области ИБ: проблемы и решения
ДПО в области ИБ: проблемы и решения
 
Изучение С/С++
Изучение С/С++Изучение С/С++
Изучение С/С++
 
Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...
 
Подготовка к оценке соответствия
Подготовка к оценке соответствияПодготовка к оценке соответствия
Подготовка к оценке соответствия
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновение
 
Технические требования к ИСПДн
Технические требования к ИСПДнТехнические требования к ИСПДн
Технические требования к ИСПДн
 
Сканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасностиСканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасности
 
Сертификация и персональные данные
Сертификация и персональные данныеСертификация и персональные данные
Сертификация и персональные данные
 
Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?
Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?
Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?
 
Концепция построения безопасной сети нового поколения
Концепция построения безопасной сети нового поколенияКонцепция построения безопасной сети нового поколения
Концепция построения безопасной сети нового поколения
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данных
 
Information Security Certification process
Information Security Certification processInformation Security Certification process
Information Security Certification process
 

Альтернатива лицензированию - аутсорсинг

  • 1. VII Международная выставка InfoSecurity Russia Альтернатива лицензированию - Шахалов И.Ю. Заместитель Генерального директора ЗАО «НПО «Эшелон» Москва, Сокольники, 19 ноября 2010 г.
  • 2. 2Москва, Сокольники, 19 ноября 2010 г. Почему при защите ПДн требуется лицензирование деятельности по ТЗКИ?
  • 3. 3Москва, Сокольники, 19 ноября 2010 г. Указ Президента РФ от 6 марта 1997 г. №188 Федеральный закон от 27.07.2006 г. № 152-ФЗ Постановление Правительства РФ от 17.11.2007 № 781 Федеральный закон от 8.08.2001 г. № 128-ФЗ Постановление Правительства РФ от 26.01.2006 № 45 Постановление правительства РФ от 15.08.2006 № 504 Логическая цепочка нормативно-правовых актов
  • 4. 4Москва, Сокольники, 19 ноября 2010 г. Лицензирование по ТЗКИ при защите ПДн Указ Президента РФ от 6 марта 1997 г. №188 «Об утверждении перечня сведений конфиденциального характера» п.1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
  • 5. 5Москва, Сокольники, 19 ноября 2010 г. Лицензирование по ТЗКИ при защите ПДн Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» Ст.19 ч.2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных…
  • 6. 6Москва, Сокольники, 19 ноября 2010 г. Лицензирование по ТЗКИ при защите ПДн Постановление Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» п.3. Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
  • 7. 7Москва, Сокольники, 19 ноября 2010 г. Лицензирование по ТЗКИ при защите ПДн Федеральный закон от 8.08.2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности» Статья 17. Перечень видов деятельности, на осуществление которых требуются лицензии. ч. 1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности: 11) деятельность по технической защите конфиденциальной информации
  • 8. 8Москва, Сокольники, 19 ноября 2010 г. Лицензирование по ТЗКИ при защите ПДн Постановление Правительства РФ от 26.01.2006 № 45 «Об организации лицензирования отдельных видов деятельности» ФСТЭК России Деятельность по технической защите конфиденциальной информации
  • 9. 9Москва, Сокольники, 19 ноября 2010 г. Лицензирование по ТЗКИ при защите ПДн Постановление Правительства РФ От 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» 1. Настоящее Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации, осуществляемой юридическими лицами и индивидуальными предпринимателями.
  • 10. 10Москва, Сокольники, 19 ноября 2010 г. Лицензирование по ТЗКИ при защите ПДн ПДн КИ ТЗКИ Лицензия Обобщая сказанное выше: При ИСПДн любого класса.
  • 11. 11Москва, Сокольники, 19 ноября 2010 г. Лицензирование по ТЗКИ при защите ПДн 1.3. … Для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации. Приказ Директора ФСТЭК России От 5.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в ИСПДн» Зарегистрировано в Минюсте РФ 19 февраля 2010 г. N 16456
  • 12. 12Москва, Сокольники, 19 ноября 2010 г. Аутсорсинг как альтернатива лицензированию
  • 13. 13Москва, Сокольники, 19 ноября 2010 г. Договоримся о терминах Аутсорсинг в сфере информационной безопасности подразумевает под собой передачу от компании-заказчика стороннему подрядчику на обслуживание ряда бизнес-процессов (в том числе на основе использования подрядчиком своих лицензий, программных продуктов, технических средств и фрагментов инфраструктуры) вместе с ответственностью за результат выполнения этих процессов.
  • 14. 14Москва, Сокольники, 19 ноября 2010 г. Цели привлечения аутсорсинга Снижение затрат на обеспечение ИБ Повышение качества услуг Отказ от непрофильных видов деятельности Повышение эффективности обеспечения ИБ
  • 15. 15Москва, Сокольники, 19 ноября 2010 г. Пример: проект по защите ИСПДн • Обучение специалистов компании в области ИБ • Аттестация объекта информатизации • Приобретение контрольно-измерительных средств • Приобретение документации Лицензирование деятельности • Предпроектное обследование • Проектирование системы обеспечения ИБ • Макетирование • Реализация Проектирование и реализация системы обеспечения ИБ • Периодическое тестирование • Техническая поддержка • Реагирование на инциденты в области ИБ Поддержка системы обеспечения ИБ
  • 16. 16Москва, Сокольники, 19 ноября 2010 г. Бизнес-процессы, передаваемые на аутсорсинг • Обучение специалистов компании в области ИБ • Аттестация объекта информатизации • Приобретение контрольно-измерительных средств • Приобретение документации Лицензирование деятельности • Предпроектное обследование • Проектирование системы обеспечения ИБ • Макетирование • Реализация Проектирование и реализация системы обеспечения ИБ • Периодическое тестирование • Техническая поддержка • Реагирование на инциденты в области ИБ Поддержка системы обеспечения ИБ
  • 17. 17Москва, Сокольники, 19 ноября 2010 г. Типовые варианты реализации Полный аутсорсинг ИБ Позволяет максимально оптимизировать затраты Не всегда позволяет учесть нестандартные ситуации и особенности заказчика Аутсорсинг отдельных бизнес-процессов Максимально гибкий подход Затраты на собственную службу ИБ остаются высокими
  • 18. 18Москва, Сокольники, 19 ноября 2010 г. Общая статистика по результатам применения аутсорсинга в области ИБ Снижение единовременных затрат Снижение регулярных затрат Дополнительные преимущества • 20 - 30% • До 40% • Повышение качества услуг • Минимизация ответственности • Отказ от непрофильных видов деятельности
  • 19. 19Москва, Сокольники, 19 ноября 2010 г. Уровень профессионализма сотрудников аутсорсинговой компании может оказаться недостаточным для выполнения работ или оказания услуг на должном уровне Недостаточность рычагов управляющего воздействия, что может привести к снижению эффективности процессов Наличие рисков нарушения безопасности и утечки сведений конфиденциального характера, в результате предоставления нерегулируемого доступа к документам, данным и материальным ценностям предприятия Риски Заказчика
  • 20. 20Москва, Сокольники, 19 ноября 2010 г. Привлечение добросовестных партнеров, хорошо зарекомендовавших себя на рынке услуг Фиксация всех необходимых условий снижения финансовых, человеческих и других видов рисков Совместная разработка проектов и технического задания Расстановка контрольных точек проекта и поэтапная оплата Строгая и четкая фиксация ответственности аутсорсера Снижение рисков Заказчика
  • 21. 21Москва, Сокольники, 19 ноября 2010 г. Критерии выбора аутсорсера На что обратить внимание? • Наличие всех необходимых лицензий. • Опыт проведения аналогичных проектов. • Наличие сопутствующих аккредитаций (органа по аттестации, учебного центра и т.д.). • Наличие специализированного оборудования и ПО в собственности аутсорсера.
  • 22. 22Москва, Сокольники, 19 ноября 2010 г. Аутсорсинг. Резюме.  Аусорсинг ИБ становится все более востребованным, особенно в свете выполнения положений 152-ФЗ «О персональных данных»  Аутсорсинг, с правовой точки зрения, это прежде всего договорная работа, основанная на доверии.  Аутсорсинг — это не просто взаимоотношения «заказчик — исполнитель», это партнерство.
  • 23. 23Москва, Сокольники, 19 ноября 2010 г. «Золотое правило» аутсорсера: Надо понять, что даст заказчику возможность доверять партнеру, и на этой основе выстраивать бизнес-отношения
  • 24. 24Москва, Сокольники, 19 ноября 2010 г. Выбор оператора персональных данных Лицензия Аутсорсинг
  • 25. 25Москва, Сокольники, 19 ноября 2010 г. Шахалов И.Ю. Заместитель Генерального директора ЗАО «НПО «Эшелон» Тел. (495) 645 38 10 E-mail: info@npo-echelon.ru www. npo-echelon.ru Информационная поддержка: www.ispdn.ru