Защита информации
<<  Защита данных Закон о защите персональных данных  >>
Картинок нет
Картинки из презентации «Актуальные проблемы защиты персональных данных и пути их решений» к уроку информатики на тему «Защита информации»

Автор: Manoenko. Чтобы познакомиться с картинкой полного размера, нажмите на её эскиз. Чтобы можно было использовать все картинки для урока информатики, скачайте бесплатно презентацию «Актуальные проблемы защиты персональных данных и пути их решений.ppt» со всеми картинками в zip-архиве размером 10203 КБ.

Актуальные проблемы защиты персональных данных и пути их решений

содержание презентации «Актуальные проблемы защиты персональных данных и пути их решений.ppt»
Сл Текст Сл Текст
1Актуальные проблемы защиты 18источники ПДн? Ответ Да, есть (это -
персональных данных и пути их решений. корпоративные справочники, AD, почтовая
Маноенко Игорь Владимирович Консультант- система и т.д.) В качестве вывода отметим
аналитик Компания «ЭЛВИС-ПЛЮС» 2010 год. © В информационной системе Компании есть
ОАО «ЭЛВИС-ПЛЮС», 2010 г., процессы обработки ПДн, которые необходимо
2Внимание! Материалы, представленные в привести к 4 классу ИСПДн.
данной презентации не претендуют на 19Детализируем. Вопрос 2 В
полноту анализа рассматриваемых в ней информационной системе Компании есть
проблем. процессы, в которых ведется обработка
3Пролог. В соответствии с Законом «О конфиденциальных ПДн? Ответ Есть, во всех
персональных данных» организация или процессах управления персоналом,
физическое лицо, осуществляющее и/или предоставления услуг клиентам Компании, в
организующее обработку персональных процессах взаимодействия с внешней
данных, является оператором персональных стороной имеют место ПДн, которые привести
данных и обязано обеспечить их защиту. в категорию общедоступные крайне
Перенос сроков приведения ИСПДн в затруднительно, а в большинстве случаях
соответствие с требованиями ФЗ № 152 на 1 невозможно Вывод В информационной системе
января 2011 года, как ожидалось не решил Компании есть процессы, которые необходимо
проблем, стоящих перед Операторами ПДн. привести в соответствие с 3 или 2 классом
4Актуальность. Стоимость вложений в ИСПДн.
создание (приведение) ИСПДн для всех 20Далее. Вопрос 3 В информационной
операторов ПДн является актуальной. системе Компании есть электронные архивы
Рассмотрим несколько проблем, решение длительного хранения со сроками хранения
которых существенно влияет на стоимость до 3, 5 лет? Ответ Есть (это архивы
создаваемых операторами ИСПДн. документов строгой отчетности: финансовой,
5Проблема 1. Или как построить управленческой, платежной и др.
недорогую, но эффективную информационную отчетности) Вывод В информационной системе
систему персональных данных? Проблема 1 Компании есть процессы, которые необходимо
Почему после выполнения работ по привести ко 2-му или даже к 1-му классу
приведению ИСПДн в соответствие ИСПДн.
требованиям федерального законодательства 21Обобщим выводы. В качестве общего
желаемый результат не достигается? вывода отметим: «Для большинства
6Только факты. Анализ сложившейся операторов ПДн характерным является
практики приведения ИСПДн в соответствие с наличие в информационной системе Компании
требованиями ФЗ показывает, что ПЕРСОНАЛЬНЫХ ДАННЫХ разного уровня
большинство интеграторов в ходе приведения критичности. То есть наличие нескольких
ИСПДн в соответствие требованиям ФЗ строят ИСПДн – для которых требования к
или пытается строить систему защиты ПДн, обеспечению безопасности ПЕРСОНАЛЬНЫХ
которая, как правило у Заказчика уже есть. ДАННЫХ будут различны». И так по факту - в
В то же время внедрение в процессы информационной системе практически каждого
обработки ПДн организационных мер, оператора имеют место несколько ИСПДн с
выполнение которые, определяется ПДн разного уровня критичности. Например,
требованиями ФЗ № 152, требованиями ТК, по категориям ПДн.
Постановления правительства № 687, не 22В условиях, когда ПДн используются
реализуется, а точнее - реализуется не в практически во всех процессах управления
полном объеме. деятельностью Компаний возникает
7Кто прав, а кто виноват в том, что закономерный вопрос. Что это значит для
требования ФЗ к процессам обработки ПДн не Оператора построение нескольких систем
выполняются? Виноваты оба. Заказчик, как персональных данных? Для полноты картины
оператор ПДн Интегратор, как и исполнитель ВОПРОС МОЖНО СФОРМУЛИРОВАТЬ КАК –
договора, в котором заявлено: - «Построение нескольких систем управления
«Приведение ИСПДн Заказчика в соответствие ПРОЦЕССАМИ ДЕЯТЕЛЬНОСТИ КОМПАНИИ – КАЖДАЯ
требованиям федеральным законодательством» ИЗ КОТОРЫХ - СО СВОИМИ ПРАВИЛАМИ И
То есть, Перед законом виноват Оператор ПОРЯДКОМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ».
ПДн Перед Оператором ПДн виноват Продолжаем разговор.
Интегратор. 23К чему это приводит? Во-первых, это
8Начнем сначала. Во-первых. Рассмотрим появление сложной системы управления
вопрос построения системы защиты ПДн Если процессам обработки ПДн, в которой
перечислить все необходимые для необходимо учитывать все особенности
обеспечения безопасности Пдн средства и (требования) к обеспечению безопасности
системы защиты, то в информационных ПДн разного уровня критичности. Во-вторых,
системах большинства операторов они давно это дополнительные временные, материальные
созданы и используются. - У кого нет и финансовые расходы на организацию и
антивирусной защиты? - У кого нет системы выполнение процедур контроля за
защиты сетевого периметра? - У кого не выполнением процессов обработки ПДн. И
используются средства защиты от НСД т .д. в-третьих, границы между ИСПДн разного
9Во-вторых. Что есть персональные уровня критичности настолько условны, что
данные? Это один из видов конфиденциальной традиционные (организационно-технические)
информации, которую мы защищали и до меры изоляции процессов обработки
принятия ФЗ №152. Практически все информации, применяемые для защиты
операторы защищают коммерческую тайну, информационных систем с разным уровнем
другие виды тайн, и вопрос защиты ПДн - критичности невозможно применить. Порой
это лишь вопрос дополнительных граница между двумя ИСПДн проходит в
организационных мер и использования мозгах сотрудников Компании.
сертифицированных средств защиты. 24Напрашивается очередной вопрос – А
10А что нам предлагают? Вернемся к стоит ли городить огород? Не проще ли
практике. Что же мы видим. «Нам» усиленно создать единую (привести в соответствие)
предлагают проекты по СОЗДАНИЮ СИСТЕМ систему, в которой ведется обработка ПДн с
ЗАЩИТЫ ПДн. Целый ряд Интеграторов разным уровнем критичности. Подводим
предлагает - даже аттестацию объектов черту.
ИСПДн, как некую панацею от всех бед. И 25Для ИСПДн без использования средств
так подводим итог – «Построение систем автоматизации. В случае, когда обработка
защиты персональных данных, для ПДн ведется без использования средств
большинства Операторов – ЭТО ВОПРОС автоматизации – вопрос о создании единой
МОДИФИКАЦИИ РАНЕЕ СОЗДАННОЙ СИСТЕМЫ ЗАЩИТЫ системы обработки ПДн вообще не стоит.
КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ». Система уже существует Необходимо
11Теперь о ГЛАВНОМ. А что же, с регламентировать процедуры обработки ПДн в
внедрением в ИС Заказчика требований ФЗ № соответствии с требованиями: ФЗ №152, ТК и
152, ТК, требований Постановления Постановления правительства № 687.
правительства № 687? Работы по приведению 26Для ИСПДн с использованием средств
процессов обработки ПДн – это, прежде автоматизации. А как быть с процессами
всего работы, порядок выполнения которых обработки ПДн в автоматизированных
требует от Оператора принятие системах? Обратимся к базовому документу
управленческих решений, которые ни один ФСТЭК «Положение о методах и способах
Интегратор за Оператора не выполнит. А защиты информации в информационных
если и «возмется» за их выполнение, то системах персональных данных» и рассмотрим
цена вопроса уже не 300-500 тысяч РУБЛЕЙ. - насколько требования ФСТЭК для разных
Следствием сложившейся практики является - классов ИСПДн могут повлиять на решение о
Не выполнение всего комплекса работ по создании единой системы обработки ПДн.
приведению ИС Заказчика в соответствие 27Чему нас учит ФСТЭК России? Сравним
требованиям федерального законодательства. требования к наиболее распространенным
12Кто виноват? Виновного найти крайне классам многопользовательских ИСПДн с
сложно. Интегратор свои работы в объеме ТЗ разными правами доступа, а именно к 3 и 2
выполнил, получил деньги и ушел. Сам классам. Требования к подсистемам:
Оператор в большинстве случаев управления доступом, регистрации и учету,
самостоятельно не в состоянии привести обеспечения целостности Пункт 3.3.
свои процессы обработки ПДн в соответствие Положения ... Для информационных систем 2
с требованиями федерального класса при многопользовательском режиме
законодательства. обработки персональных данных и разных
13Что делать? Пути решения 1. В правах доступа к ним пользователей
организации должна быть создана рабочая реализуются все методы и способы защиты
группа с полномочиями в принятии информации от несанкционированного
управленческих решений. 2. Работы по доступа, соответствующие информационным
приведению процессов обработки ПДн в системам 3 класса при
соответствие с требованиями ФЗ должно многопользовательском режиме обработки
выполняться проектной командой, состоящей персональных данных и разных правах
как из специалистов Исполнителя, так и доступа к ним пользователей. Вывод.
сотрудников Заказчика из состава рабочей Требования одинаковы. Практически такая же
группы. ситуация и при сравнении требований
14Особенности Российской предъявляемых к другим классами ИСПДн.
действительности или почему Заказчик 28А что с требованиями к межсетевому
должен выполнять работы на которые он взаимодействию? А как быть с требованиями
СОБСТВЕННО нанял Исполнителя? Ответ можно к организации межсетевого взаимодействия?
получить – обратив внимание на стоимость Различия в требованиях есть. А сколько
работ, выполняемых Исполнителем в ходе будут стоить эти различия? Ответ на это
аудита информационной системы. Для того, вопрос можно найти проведя оценку
чтобы определить требования к процедурам возможностей средств межсетевого
обработки ПДн необходимо как минимум экранирования. Современный парк
провести обследование всех процедур сертифицированных межсетевых экранов
управления предприятием, в границах обеспечивает выполнение требований для
объекта выполняемых работ. Стоимость таких любого класса ИСПДн. Следовательно,
работ (обследованием бизнес процессов) пытаясь оптимизировать ИСПДн, «лукавя» на
крайне высока. Реально – в случае понижении ее класса мы боремся с
проведение полного аудита бизнес процессов «ветряными мельницами». Ведь стоимость
Исполнителя, стоимость проекта возрастет в необходимо оборудования, что для 1-ого,
3-5 раз и он становиться не по карману для что для 2-ого, что для 3 класса одна и та
большинства Заказчиков. же.
15Особенности Российской 29Заключение или зачем строить единую
действительности или почему Заказчик ИСПДн. Достоинства построения единой
должен выполнять работы на которые он ИСПДн, состоящей из нескольких частей
нанял Исполнителя? Следующая особенность. разного класса защищенности ПДн :
– На волне актуальности выполнения Стоимость создания (приведения) одной,
требований ФЗ № 152, на российском рынке состоящей из нескольких частей ИСПДн
появилась масса разного рода компаний, существенно ниже чем создание нескольких
которые до этого вообще проблемами систем Единая система управления, как на
информационной безопасности не занимались. уровне управления процессам деятельности
Но «приобрели» соответствующие лицензии и организации, так и на уровне процессов
сертификаты, планируя «срубить на волне обеспечения технической защиты ПДн. Единая
защиты ПДн». Появление массы «крышующихся» система защиты ПДн, а для большинства
интеграторов привело к тому, что привести Компаний это то вопрос внесения изменений
ИСПДн в соответствие с требованием в конфигурации уже используемых средств
законодательства можно чуть ли не за 50 защиты в границах ранее построенной
тыс. рублей. В таких условиях и серьезные системы защиты коммерческой и/или
Интеграторы вынуждены сбрасывать свои цены банковской информации. Масштабируемость
– И как результат выполнять работы не в системы. С увеличением количества видов
полном объеме, а лишь ровно на столько – деятельности организации, в которых имеют
насколько им заплатил Заказчик. место ПДн, с единой ИСПДн уже нет
16Подводим результат. Что же делать, в необходимости строить новую ИСПДн.
сложившихся условиях Единственно Необходимо лишь, определить активы с ПДн и
правильным на сегодняшний день решением процессы их обработки, включить их в
является выполнение работ Исполнителем с состав уже созданной ИСПДн,
привлечением со стороны Заказчика рабочей регламентировав приказом по организации
команды, имеющий опыт работы в организации требования к обеспечению безопасности ПДн
и способной без серьезных трудозатрат на в соответствии с ранее установленными для
проведение аудита процессов обработки ПДн той или иной части уже созданной ИСПДн.
определить где и как выполняются данные Адаптивность системы. Способность быстро и
процессы, а Исполнитель укажет для них как своевременно реагировать на внешние и
правильно внедрить в них требования внутренние изменения в процессах обработки
федерального законодательства Российской ПДн. и т.д.
Федерации. 30Спасибо за внимание ! 124460, МОСКВА,
17Проблема 2. Проблема 2 Как определить Зеленоград, Центральный проспект, 11 тел.
сколько ИСПДн в организации? 531-4633, факс 531-8863 e-mail:
18Почему? Вопрос 1 В информационной vsv@elvis.ru http://www.elvis.ru.
системе Компании есть общедоступные
Актуальные проблемы защиты персональных данных и пути их решений.ppt
http://900igr.net/kartinka/informatika/aktualnye-problemy-zaschity-personalnykh-dannykh-i-puti-ikh-reshenij-198340.html
cсылка на страницу

Актуальные проблемы защиты персональных данных и пути их решений

другие презентации на тему «Актуальные проблемы защиты персональных данных и пути их решений»

«Устройство персонального компьютера» - Периферийными называют устройства, подключаемые к компьютеру извне. Информация вводиться в виде алфавитно-цифровых символьных данных. Периферийные устройства ПК. Что такое «базовая конфигурация ПК»? Иногда говорят «персональный компьютер». Что означает «персональный компьютер»? Устройство компьютера.

«Типы баз данных» - Любое поле должно иметь уникальное имя. Столица. Определить ключевое поле. Иерархическая БД. Структура школы: Языки. Лучше всего отражает структуру некоторых задач (сетевое планирование в экономике). Числовой. Табличные БД. Текстовый. Поля могут быть обязательными для заполнения или нет. Выбрать одну из предложенных ниже БД.

«Поиск данных» - Шаг 2. Рассмотрим лишь первые 4 элемента массива. Линейный поиск. Бинарный поиск с использованием фиктивного «барьерного» элемента. Задача. Идея бинарного метода. Где L – индекс первого, а R – индекс последнего элемента рассматриваемой части массива. Иначе двоичный поиск или метод половинного деления.

«Архивация данных» - Характеристики программ–архиваторов: Принцип сжатия данных: Книга. Резервное копирование – создание архивированных копий файла или группы файлов. По pасшиpению аpхивного файла можно опpеделить, каким аpхиватоpом создан аpхив. Программы-архиваторы: Создание резервных копий документов. Архивация. Самораспаковывающиеся архивы.

«Структура данных» - Индексирование в структурированных мультимедийных базах данных. Организация мультимедийной информации. Абстрактное представление возможных приложений на основе MPEG-7: Стандартизация: MPEG-7. Рисунок из http://book.itep.ru/2/25/mpeg_7.htm. Абстрактные представления. Информация о взаимодействии пользователя с материалом (предпочтения пользователя, история использования).

«База данных» - Данные образовательной статистики. Основное отличие новой БД от старой. Интерфейс БД. Инструментарий сбора, обработки и анализа данных для управления качеством образования. Используемые данные в БД. Демографические данные. Функции усовершенствованной БД. Вид главного меню. Дополнительная информация (ЕГЭ и др.).

Защита информации

15 презентаций о защите информации
Урок

Информатика

130 тем
Картинки
900igr.net > Презентации по информатике > Защита информации > Актуальные проблемы защиты персональных данных и пути их решений