SlideShare a Scribd company logo

внедрение защиты пдн практикум

A
a_a_a
1 of 8
Download to read offline
Агентство Активного Аудита Мы знаем ВСЕ об информационной безопасности Практические рекомендации по созданию системы управления персональными данными на предприятии Владимир Ткаченко Директор ООО «Агентство Активного Аудита» Киев 2012
ЗАЧЕМ? • обеспечить обработку персональных данных (ПДн) в соответствии с требованиями законодательства Украины ; • предотвратить утечки, хищения, утрату, искажения и подделку персональной информации клиентов; • предотвратить несанкционированные действия по уничтожению, модификации, искажению, копированию, блокированию ПДн; • снизить вероятность других форм незаконного вмешательства в информационные ресурсы и системы компании, обеспечить Цели правовой режим информации как объекта собственности; • адекватно и своевременно реагировать на угрозы информационной безопасности путем выбора мер по защите информации на основе анализа рисков и расчета показателя возврата инвестиций в информационную безопасность (Return On Security Investments - ROSI).
Роль и место системы управления и обработки персональных данных в системе ИБ предприятия
Схема проекта по внедрению системы управления и обработки персональных данных на предприятии Инвентаризация баз Определение 1 Определение текущего состояния СУПДн (аудит) 2 ПДн и подгот. действия к внедрению СУПДн 3 мероприятий защиты в отношении баз ПДн 4 Внедрение СУПДн Подготовительные действия Анализ рисков в отношении ПДн Сбор и анализ информации Устранение недостатков Инвентаризация баз ПДн Определение мероприятий по защите Определение критичности баз ПДн Уведомление субъектов ПДн Описание баз ПДн Создание политик и процедур Подготовка отчета Постановка необходимых процессов Определение порядка обработки ПДн Регистрация баз в Гос. реестре Приказ об организации Отчет по результатам работ по проекту аудита Отчет об оценке рисков Процессы обновления, Приказ о назначении Презентация хранения, утилизации и ответственных лиц за СУПДн План мероприятий защиты передачи баз ПДн третьим результатов аудита Внесение изменений в ПДн (План обработки рисков) сторонам руководству должностные обязанности ответственных лиц. Процесс уведомления субъектов Порядок обработки ПДн на персональных данных Реестр баз персональных предприятии + формы уведомлений данных предприятия Процедуры и политики по Приложение к Реестру с обработке, хранению и Зарегистрированные описанием баз ПДн передаче баз ПДн в ГРБПДн базы ПДн Реестр владельцев баз персональных данных Положение об обработке ПДн на предприятии
Определение ролей Распределение ответственности и обязанностей: документы Приказ о назначении руководителя проекта по внедрению и функционированию СУПДн . Приказ о назначении ответственных (владельцев баз ПДн) за систему обработки ПДн Реестр баз ПДн предприятия с приложениями. Обязательство о неразглашении информации содержащей ПДн и резрешение на обработку от клиента (должны подписать все клиенты предприятия (физлица)) Коррекция должностных инструкций, Порядок обработки ПДн на предприятии
Внедрение. Практические аспекты При аудите и внедрении СУПДн необходимо обратить внимание на следующие статьи Закона «О защите персональных данных» • Ст. 6 Общие требования к обработке ПДн • Ст. 7 Особенные условия обработки ПДн (раса, взгляды и пр.) • Ст. 9 Регистрация баз ПДн • Ст. 10 Использование персональных данных (только если защитили и не разглашаем кому попало) • Ст.11 Основания возникновения права на использование ПДн • Ст.12 Сбор ПДн (10 дней +профессиональная/служебная необходимость) • Ст. 13 Накопление и хранение ПДн (целостность и ограничение доступа) • Ст. 14 Распространение ПДн (с согласия субъекта ПДн) • Ст. 15 Уничтожение ПДн • Ст. 16 Порядок доступа к ПДн (в соответствии с соглашением с физлицом) • Ст. 21 Уведомление о действиях с ПДн (тоже) • Ст. 24 Обеспечение защиты ПДн в базах ПДн • Ст. 29 Международное сотрудничество
Внедрение Доведение целей до персонала • Информирование персонала о требованиях Закона Украины «О защите персональных данных» и внутренних процедурах • Подписание «Соглашения об обработке ПДн в ИС предприятия» с клиентами-физлицами • Создание ресурсов для общего доступа к политикам, процедурам и прочей документации по защите ПДн на предприятии
Questions info@auditagency.com.ua www.auditagency.com.ua 044 228 15 88

Recommended

1
11
1a_a_a
 
LETA_Мастер-класс_ПДн_АНХ_Бондаренко
LETA_Мастер-класс_ПДн_АНХ_БондаренкоLETA_Мастер-класс_ПДн_АНХ_Бондаренко
LETA_Мастер-класс_ПДн_АНХ_Бондаренкоguestfa9aa
 
Закон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыЗакон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыValery Bychkov
 
RoadShow Docsvision: Внедрение Docsvision в Администрации г. Екатеринбурга
RoadShow Docsvision: Внедрение Docsvision в Администрации г. ЕкатеринбургаRoadShow Docsvision: Внедрение Docsvision в Администрации г. Екатеринбурга
RoadShow Docsvision: Внедрение Docsvision в Администрации г. ЕкатеринбургаDocsvision
 
Presentation on Personal Data Protection in Russia at Moscow Times Conference
Presentation on Personal Data Protection in Russia at Moscow Times ConferencePresentation on Personal Data Protection in Russia at Moscow Times Conference
Presentation on Personal Data Protection in Russia at Moscow Times ConferenceAnastasiya Lemysh
 
7 поводов перейти на электронный документооборот
7 поводов перейти на электронный документооборот7 поводов перейти на электронный документооборот
7 поводов перейти на электронный документооборотИНТЕРСОФТ
 
ОЦО: Решение на базе ECM платформы LanDocs и ABBYY FlexiCapture
ОЦО: Решение на базе ECM платформы LanDocs и ABBYY FlexiCapture ОЦО: Решение на базе ECM платформы LanDocs и ABBYY FlexiCapture
ОЦО: Решение на базе ECM платформы LanDocs и ABBYY FlexiCapture LANIT
 
IT Managed Services in Ukraine
IT Managed Services in UkraineIT Managed Services in Ukraine
IT Managed Services in UkraineAlexey Kushka
 

Recommended

1
11
1a_a_a
 
LETA_Мастер-класс_ПДн_АНХ_Бондаренко
LETA_Мастер-класс_ПДн_АНХ_БондаренкоLETA_Мастер-класс_ПДн_АНХ_Бондаренко
LETA_Мастер-класс_ПДн_АНХ_Бондаренкоguestfa9aa
 
Закон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыЗакон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыValery Bychkov
 
RoadShow Docsvision: Внедрение Docsvision в Администрации г. Екатеринбурга
RoadShow Docsvision: Внедрение Docsvision в Администрации г. ЕкатеринбургаRoadShow Docsvision: Внедрение Docsvision в Администрации г. Екатеринбурга
RoadShow Docsvision: Внедрение Docsvision в Администрации г. ЕкатеринбургаDocsvision
 
Presentation on Personal Data Protection in Russia at Moscow Times Conference
Presentation on Personal Data Protection in Russia at Moscow Times ConferencePresentation on Personal Data Protection in Russia at Moscow Times Conference
Presentation on Personal Data Protection in Russia at Moscow Times ConferenceAnastasiya Lemysh
 
7 поводов перейти на электронный документооборот
7 поводов перейти на электронный документооборот7 поводов перейти на электронный документооборот
7 поводов перейти на электронный документооборотИНТЕРСОФТ
 
ОЦО: Решение на базе ECM платформы LanDocs и ABBYY FlexiCapture
ОЦО: Решение на базе ECM платформы LanDocs и ABBYY FlexiCapture ОЦО: Решение на базе ECM платформы LanDocs и ABBYY FlexiCapture
ОЦО: Решение на базе ECM платформы LanDocs и ABBYY FlexiCapture LANIT
 
IT Managed Services in Ukraine
IT Managed Services in UkraineIT Managed Services in Ukraine
IT Managed Services in UkraineAlexey Kushka
 
Мастер класс ПДн Бондаренко
Мастер класс ПДн БондаренкоМастер класс ПДн Бондаренко
Мастер класс ПДн Бондаренкоguest5a2f763
 
Защита ИСПДН
Защита ИСПДНЗащита ИСПДН
Защита ИСПДНMNUCIB
 
Артём Кабиров: Нужна ли оператору ПДн модель угроз?
Артём Кабиров: Нужна ли оператору ПДн модель угроз?Артём Кабиров: Нужна ли оператору ПДн модель угроз?
Артём Кабиров: Нужна ли оператору ПДн модель угроз?ЭЛВИС-ПЛЮС
 
Обзор Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»
Обзор Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»Обзор Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»
Обзор Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»Павел Семченко
 
Защита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУЗащита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУГБОУ № 509
 
нпа обеспечение пдн
нпа обеспечение пдннпа обеспечение пдн
нпа обеспечение пднExpolink
 
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...Expolink
 
Как определить уровень защищенности ПДн?
Как определить уровень защищенности ПДн?Как определить уровень защищенности ПДн?
Как определить уровень защищенности ПДн?Cisco Russia
 
Надо ли применять сертифицированные средства защиты ПДн
Надо ли применять сертифицированные средства защиты ПДнНадо ли применять сертифицированные средства защиты ПДн
Надо ли применять сертифицированные средства защиты ПДнAleksey Lukatskiy
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данныхАлексей Кураленко
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиAleksey Lukatskiy
 
Моделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктурыМоделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктурыAleksey Lukatskiy
 
Курс по законодательству в области ИБ
Курс по законодательству в области ИБКурс по законодательству в области ИБ
Курс по законодательству в области ИБAleksey Lukatskiy
 
Можно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данныхМожно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данныхAleksey Lukatskiy
 
Ключевые правовые аспекты регулирования обработки персональных данных на пред...
Ключевые правовые аспекты регулирования обработки персональных данных на пред...Ключевые правовые аспекты регулирования обработки персональных данных на пред...
Ключевые правовые аспекты регулирования обработки персональных данных на пред...КРОК
 
Какие документы должны быть у оператора персональных данных
Какие документы должны быть у оператора персональных данныхКакие документы должны быть у оператора персональных данных
Какие документы должны быть у оператора персональных данныхКонстантин Бажин
 
Threat Modeling (Part 1)
Threat Modeling (Part 1)Threat Modeling (Part 1)
Threat Modeling (Part 1)Aleksey Lukatskiy
 
Fomchenkov
FomchenkovFomchenkov
FomchenkovAKlimchuk
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOCAleksey Lukatskiy
 
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данныхРеализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данныхКРОК
 
Uuisg itgov 10_bcp
Uuisg itgov 10_bcpUuisg itgov 10_bcp
Uuisg itgov 10_bcpuisgslide
 

More Related Content

Viewers also liked

Мастер класс ПДн Бондаренко
Мастер класс ПДн БондаренкоМастер класс ПДн Бондаренко
Мастер класс ПДн Бондаренкоguest5a2f763
 
Защита ИСПДН
Защита ИСПДНЗащита ИСПДН
Защита ИСПДНMNUCIB
 
Артём Кабиров: Нужна ли оператору ПДн модель угроз?
Артём Кабиров: Нужна ли оператору ПДн модель угроз?Артём Кабиров: Нужна ли оператору ПДн модель угроз?
Артём Кабиров: Нужна ли оператору ПДн модель угроз?ЭЛВИС-ПЛЮС
 
Обзор Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»
Обзор Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»Обзор Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»
Обзор Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»Павел Семченко
 
Защита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУЗащита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУГБОУ № 509
 
нпа обеспечение пдн
нпа обеспечение пдннпа обеспечение пдн
нпа обеспечение пднExpolink
 
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...Expolink
 
Как определить уровень защищенности ПДн?
Как определить уровень защищенности ПДн?Как определить уровень защищенности ПДн?
Как определить уровень защищенности ПДн?Cisco Russia
 
Надо ли применять сертифицированные средства защиты ПДн
Надо ли применять сертифицированные средства защиты ПДнНадо ли применять сертифицированные средства защиты ПДн
Надо ли применять сертифицированные средства защиты ПДнAleksey Lukatskiy
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012LETA IT-company
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиAleksey Lukatskiy
 
Моделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктурыМоделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктурыAleksey Lukatskiy
 
Курс по законодательству в области ИБ
Курс по законодательству в области ИБКурс по законодательству в области ИБ
Курс по законодательству в области ИБAleksey Lukatskiy
 
Можно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данныхМожно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данныхAleksey Lukatskiy
 
Ключевые правовые аспекты регулирования обработки персональных данных на пред...
Ключевые правовые аспекты регулирования обработки персональных данных на пред...Ключевые правовые аспекты регулирования обработки персональных данных на пред...
Ключевые правовые аспекты регулирования обработки персональных данных на пред...КРОК
 
Какие документы должны быть у оператора персональных данных
Какие документы должны быть у оператора персональных данныхКакие документы должны быть у оператора персональных данных
Какие документы должны быть у оператора персональных данныхКонстантин Бажин
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOCAleksey Lukatskiy
 

Viewers also liked (20)

Мастер класс ПДн Бондаренко
Мастер класс ПДн БондаренкоМастер класс ПДн Бондаренко
Мастер класс ПДн Бондаренко
 
Защита ИСПДН
Защита ИСПДНЗащита ИСПДН
Защита ИСПДН
 
Артём Кабиров: Нужна ли оператору ПДн модель угроз?
Артём Кабиров: Нужна ли оператору ПДн модель угроз?Артём Кабиров: Нужна ли оператору ПДн модель угроз?
Артём Кабиров: Нужна ли оператору ПДн модель угроз?
 
Обзор Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»
Обзор Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»Обзор Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»
Обзор Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных»
 
Защита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУЗащита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУ
 
нпа обеспечение пдн
нпа обеспечение пдннпа обеспечение пдн
нпа обеспечение пдн
 
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
 
Как определить уровень защищенности ПДн?
Как определить уровень защищенности ПДн?Как определить уровень защищенности ПДн?
Как определить уровень защищенности ПДн?
 
Надо ли применять сертифицированные средства защиты ПДн
Надо ли применять сертифицированные средства защиты ПДнНадо ли применять сертифицированные средства защиты ПДн
Надо ли применять сертифицированные средства защиты ПДн
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данных
 
Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012Защита персональных данных. Презентация с вебинара 29.11.2012
Защита персональных данных. Презентация с вебинара 29.11.2012
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасности
 
Моделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктурыМоделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктуры
 
Курс по законодательству в области ИБ
Курс по законодательству в области ИБКурс по законодательству в области ИБ
Курс по законодательству в области ИБ
 
Можно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данныхМожно ли обойтись без шифрования при защите персональных данных
Можно ли обойтись без шифрования при защите персональных данных
 
Ключевые правовые аспекты регулирования обработки персональных данных на пред...
Ключевые правовые аспекты регулирования обработки персональных данных на пред...Ключевые правовые аспекты регулирования обработки персональных данных на пред...
Ключевые правовые аспекты регулирования обработки персональных данных на пред...
 
Какие документы должны быть у оператора персональных данных
Какие документы должны быть у оператора персональных данныхКакие документы должны быть у оператора персональных данных
Какие документы должны быть у оператора персональных данных
 
Threat Modeling (Part 1)
Threat Modeling (Part 1)Threat Modeling (Part 1)
Threat Modeling (Part 1)
 
Fomchenkov
FomchenkovFomchenkov
Fomchenkov
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
 

Similar to внедрение защиты пдн практикум

Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данныхРеализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данныхКРОК
 
Uuisg itgov 10_bcp
Uuisg itgov 10_bcpUuisg itgov 10_bcp
Uuisg itgov 10_bcpuisgslide
 
сзпдн первый шаг к ксиб
сзпдн первый шаг к ксибсзпдн первый шаг к ксиб
сзпдн первый шаг к ксибExpolink
 
сзпдн первый шаг к ксиб
сзпдн первый шаг к ксибсзпдн первый шаг к ксиб
сзпдн первый шаг к ксибExpolink
 
Александр Ерофеев. Газпромнефть. Управление качеством данных, инструмент и пр...
Александр Ерофеев. Газпромнефть. Управление качеством данных, инструмент и пр...Александр Ерофеев. Газпромнефть. Управление качеством данных, инструмент и пр...
Александр Ерофеев. Газпромнефть. Управление качеством данных, инструмент и пр...Global Innovation Labs
 
сзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе ибсзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе ибExpolink
 
сзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе ибсзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе ибExpolink
 
It-tuning itsm_business_continuity
It-tuning itsm_business_continuityIt-tuning itsm_business_continuity
It-tuning itsm_business_continuitySergey Polazhenko
 
проект супа и его компоненты
проект супа и его компонентыпроект супа и его компоненты
проект супа и его компонентыRnD_SM
 
План аварийного восстановления данных
План аварийного восстановления данныхПлан аварийного восстановления данных
План аварийного восстановления данныхDatamodel
 
Russia Security furure regulations
Russia Security furure regulationsRussia Security furure regulations
Russia Security furure regulationsAleksey Lukatskiy
 
Кейс МКД Партнер постановки системы управления знаниями
Кейс МКД Партнер постановки системы управления знаниями Кейс МКД Партнер постановки системы управления знаниями
Кейс МКД Партнер постановки системы управления знаниями МКД Партнер
 
Е.Николаев, IBS Datafort. Инфраструктура как сервис для финансовых корпораций
Е.Николаев, IBS Datafort. Инфраструктура как сервис для финансовых корпорацийЕ.Николаев, IBS Datafort. Инфраструктура как сервис для финансовых корпораций
Е.Николаев, IBS Datafort. Инфраструктура как сервис для финансовых корпорацийIBS
 
Optimal algorithm for personal data operators
Optimal algorithm for personal data operatorsOptimal algorithm for personal data operators
Optimal algorithm for personal data operatorsAleksey Lukatskiy
 
План управления проектом
План управления проектомПлан управления проектом
План управления проектомYury Kupriyanov
 

Similar to внедрение защиты пдн практикум (20)

Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данныхРеализация на практике основных мероприятий ФСТЭК по защите персональных данных
Реализация на практике основных мероприятий ФСТЭК по защите персональных данных
 
Uuisg itgov 10_bcp
Uuisg itgov 10_bcpUuisg itgov 10_bcp
Uuisg itgov 10_bcp
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
 
сзпдн первый шаг к ксиб
сзпдн первый шаг к ксибсзпдн первый шаг к ксиб
сзпдн первый шаг к ксиб
 
сзпдн первый шаг к ксиб
сзпдн первый шаг к ксибсзпдн первый шаг к ксиб
сзпдн первый шаг к ксиб
 
Александр Ерофеев. Газпромнефть. Управление качеством данных, инструмент и пр...
Александр Ерофеев. Газпромнефть. Управление качеством данных, инструмент и пр...Александр Ерофеев. Газпромнефть. Управление качеством данных, инструмент и пр...
Александр Ерофеев. Газпромнефть. Управление качеством данных, инструмент и пр...
 
сзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе ибсзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе иб
 
сзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе ибсзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе иб
 
ТеМП 2012. Проект команды ЗиО - Подольск
ТеМП 2012. Проект команды ЗиО - ПодольскТеМП 2012. Проект команды ЗиО - Подольск
ТеМП 2012. Проект команды ЗиО - Подольск
 
It-tuning itsm_business_continuity
It-tuning itsm_business_continuityIt-tuning itsm_business_continuity
It-tuning itsm_business_continuity
 
Управление инцидентами
Управление инцидентамиУправление инцидентами
Управление инцидентами
 
проект супа и его компоненты
проект супа и его компонентыпроект супа и его компоненты
проект супа и его компоненты
 
План аварийного восстановления данных
План аварийного восстановления данныхПлан аварийного восстановления данных
План аварийного восстановления данных
 
Russia Security furure regulations
Russia Security furure regulationsRussia Security furure regulations
Russia Security furure regulations
 
Кейс МКД Партнер постановки системы управления знаниями
Кейс МКД Партнер постановки системы управления знаниями Кейс МКД Партнер постановки системы управления знаниями
Кейс МКД Партнер постановки системы управления знаниями
 
106325
106325106325
106325
 
Е.Николаев, IBS Datafort. Инфраструктура как сервис для финансовых корпораций
Е.Николаев, IBS Datafort. Инфраструктура как сервис для финансовых корпорацийЕ.Николаев, IBS Datafort. Инфраструктура как сервис для финансовых корпораций
Е.Николаев, IBS Datafort. Инфраструктура как сервис для финансовых корпораций
 
Optimal algorithm for personal data operators
Optimal algorithm for personal data operatorsOptimal algorithm for personal data operators
Optimal algorithm for personal data operators
 
План управления проектом
План управления проектомПлан управления проектом
План управления проектом
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
 

внедрение защиты пдн практикум

  • 1. Агентство Активного Аудита Мы знаем ВСЕ об информационной безопасности Практические рекомендации по созданию системы управления персональными данными на предприятии Владимир Ткаченко Директор ООО «Агентство Активного Аудита» Киев 2012
  • 2. ЗАЧЕМ? • обеспечить обработку персональных данных (ПДн) в соответствии с требованиями законодательства Украины ; • предотвратить утечки, хищения, утрату, искажения и подделку персональной информации клиентов; • предотвратить несанкционированные действия по уничтожению, модификации, искажению, копированию, блокированию ПДн; • снизить вероятность других форм незаконного вмешательства в информационные ресурсы и системы компании, обеспечить Цели правовой режим информации как объекта собственности; • адекватно и своевременно реагировать на угрозы информационной безопасности путем выбора мер по защите информации на основе анализа рисков и расчета показателя возврата инвестиций в информационную безопасность (Return On Security Investments - ROSI).
  • 3. Роль и место системы управления и обработки персональных данных в системе ИБ предприятия
  • 4. Схема проекта по внедрению системы управления и обработки персональных данных на предприятии Инвентаризация баз Определение 1 Определение текущего состояния СУПДн (аудит) 2 ПДн и подгот. действия к внедрению СУПДн 3 мероприятий защиты в отношении баз ПДн 4 Внедрение СУПДн Подготовительные действия Анализ рисков в отношении ПДн Сбор и анализ информации Устранение недостатков Инвентаризация баз ПДн Определение мероприятий по защите Определение критичности баз ПДн Уведомление субъектов ПДн Описание баз ПДн Создание политик и процедур Подготовка отчета Постановка необходимых процессов Определение порядка обработки ПДн Регистрация баз в Гос. реестре Приказ об организации Отчет по результатам работ по проекту аудита Отчет об оценке рисков Процессы обновления, Приказ о назначении Презентация хранения, утилизации и ответственных лиц за СУПДн План мероприятий защиты передачи баз ПДн третьим результатов аудита Внесение изменений в ПДн (План обработки рисков) сторонам руководству должностные обязанности ответственных лиц. Процесс уведомления субъектов Порядок обработки ПДн на персональных данных Реестр баз персональных предприятии + формы уведомлений данных предприятия Процедуры и политики по Приложение к Реестру с обработке, хранению и Зарегистрированные описанием баз ПДн передаче баз ПДн в ГРБПДн базы ПДн Реестр владельцев баз персональных данных Положение об обработке ПДн на предприятии
  • 5. Определение ролей Распределение ответственности и обязанностей: документы Приказ о назначении руководителя проекта по внедрению и функционированию СУПДн . Приказ о назначении ответственных (владельцев баз ПДн) за систему обработки ПДн Реестр баз ПДн предприятия с приложениями. Обязательство о неразглашении информации содержащей ПДн и резрешение на обработку от клиента (должны подписать все клиенты предприятия (физлица)) Коррекция должностных инструкций, Порядок обработки ПДн на предприятии
  • 6. Внедрение. Практические аспекты При аудите и внедрении СУПДн необходимо обратить внимание на следующие статьи Закона «О защите персональных данных» • Ст. 6 Общие требования к обработке ПДн • Ст. 7 Особенные условия обработки ПДн (раса, взгляды и пр.) • Ст. 9 Регистрация баз ПДн • Ст. 10 Использование персональных данных (только если защитили и не разглашаем кому попало) • Ст.11 Основания возникновения права на использование ПДн • Ст.12 Сбор ПДн (10 дней +профессиональная/служебная необходимость) • Ст. 13 Накопление и хранение ПДн (целостность и ограничение доступа) • Ст. 14 Распространение ПДн (с согласия субъекта ПДн) • Ст. 15 Уничтожение ПДн • Ст. 16 Порядок доступа к ПДн (в соответствии с соглашением с физлицом) • Ст. 21 Уведомление о действиях с ПДн (тоже) • Ст. 24 Обеспечение защиты ПДн в базах ПДн • Ст. 29 Международное сотрудничество
  • 7. Внедрение Доведение целей до персонала • Информирование персонала о требованиях Закона Украины «О защите персональных данных» и внутренних процедурах • Подписание «Соглашения об обработке ПДн в ИС предприятия» с клиентами-физлицами • Создание ресурсов для общего доступа к политикам, процедурам и прочей документации по защите ПДн на предприятии
  • 8. Questions info@auditagency.com.ua www.auditagency.com.ua 044 228 15 88