Презентация на тему Проектирование СЗПДн на примере типовой коммерческой компании

ИСПДн) существуют 2 понятия информационной безопасности:
состояние защищенности информационной

системы компании от различного вида угроз безопасности;
состояние «защищенности» компании от возможных санкций, при невыполнении требований законодательства.

ИСПДн – информационная система персональных данных

с защитой ПДн, вовлечены три органа государственной власти:
Регуляторы

от 27.07.2006 N 152 ;
ФЗ РФ от 27.12.2002 N

184;
ФЗ РФ от 04.05.2011 N 99;
ПП РФ от 01.11.2012 N 1119;
ПП РФ от 15.09.2008 N 687;
ПП РФ от 21.03.2012 N 211;
ПП РФ от 3.02.2012 N 79;
Приказ ФСТЭК РФ от 18.02.2013 N 21;
Приказ ФСТЭК РФ от 11.02.2013 N 17;
Приказ ФСБ РФ от 10.07.2014 N 378;
…

Законодательство

изменения в ст. 13.11 КоАП РФ. Штрафы увеличатся, будут

суммироваться, штрафы сможет «выписывать» сам РКН, без участия прокуратуры и суда.

уровни защищенности ПДн, которые обрабатываются в ИСПДн;
разработать модель угроз

(МУ);
определить базовый состав и содержание мер по обеспечению безопасности ПДн;
адаптировать базовый состав и содержание мер по обеспечению безопасности ПДн;
разработать технический проект на СЗПДн;
внедрить СЗПДн;
разработать пакет требуемых законодательством организационно-правовых документов (приказы, политики) по защите ПДн (30-50 документов);
провести оценку соответствия ИСПДн;
обеспечить защиту ПДн в ходе эксплуатации ИСПДн.

Для типовой коммерческой организации, весь перечень работ может быть выполнен внутренними силами компании!!!

компании с целью определения актуальных угроз ИСПДн. Грамотно разработанная

МУ поможет не только спроектировать СЗПДн высокого уровня защищенности, но и избавить компанию от необходимости выполнять дополнительные «ненужные» требования законодательства.

которые содержат окончательные проектные решения по системе (по СЗПДн).

В данном документе описывают решения, которые планируют внедрить с целью выполнения всех задач, стоящих перед компанией в плане обеспечения защиты ПДн.

СЗПДн?

Ответы
Коммерческие компании не обязаны использовать сертифицированные СЗИ (ФЗ 184).

ГИС/МИС, обязаны использовать СЗИ, прошедшие оценку соответствия в форме сертификации по линии ФСТЭК или ФСБ исходя из требований ФЗ 149 и Приказа ФСТЭК №17.

работающие с отечественными криптоалгоритмами ГОСТ?
Коммерческие организации могут использовать СЗИ,

работающие либо с отечественными алгоритмами шифрования ГОСТ, либо с американскими алгоритмами шифрования (AES, 3DES и т.п.).

Использование сертифицированных в ФСБ СКЗИ обязательно для ГИС и МИС, при актуальности соответствующих угроз исходя из требований ФЗ 149 и Приказа ФСТЭК №17. Все сертифицированные в ФСБ СКЗИ используют отечественный криптоалгоритм ГОСТ.

Вопросы

Ответы

Ключевые вопросы

защиту конфиденциальной информации (ТЗКИ)?
Если компания обрабатывает ПДн исключительно для

собственных нужд, то она не обязана получать лицензию на ТЗКИ.

Если компания оказывает услуги по защите ПДн (или по ТЗКИ), либо деятельность по защите ПДн прописана в учредительных документах компании, то лицензия обязательна.

Вопросы

Ответы

Ключевые вопросы

ФСТЭК или можно оценить соответствие ИСПДн самостоятельно?
Аттестация ИСПДн не

обязательна для коммерческих компаний. В законодательстве нет требований по обязательной аттестации ИС коммерческих предприятий.

Исходя из требований Приказа ФСТЭК №17 аттестация ИС (включая ИСПДн) в ГИС/МИС обязательна.

Вопросы

Ответы

Ключевые вопросы

ли использовать криптографические СЗИ?
Должны ли криптографические СЗИ использовать ГОСТ?
Нужна

ли лицензия по ТЗКИ?
Обязательно ли аттестовать ИСПДн?

Ответы

УЗ-4
Нет
Да
Нет
Нет
Нет

Разбор