SlideShare a Scribd company logo

Positive Hack Days. Токаренко. Compliance риски в информационной безопасности

Download as PPT, PDF
Positive Hack Days
Positive Hack Days

Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.

Business
1 of 24
Комплаенс-риски в информационной безопасности 19 мая 2011
Классический алгоритм потроения защиты Определяем объект защиты Определяем модель нарушителя Определяем модель угроз Формируем требования по защите информации ………… ..
Руководящий документ Гостехкомиссии России. Концепция защиты СВТ и АС от НСД к информации ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Руководящий документ Гостехкомиссии России. Концепция защиты СВТ и АС от НСД к информации ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Моделью нарушителя не предусматривается действие нарушителей в составе группы
Модель нарушителя из группы инсайдеров/ секретносителей ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Гос. тайна ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
Для информации ограниченного доступа, не составляющей государственную тайну, проверочные мероприятия и ограничения прав не предусмотрены
Закон «О персональных данных» Статья 6 . Условия обработки персональных данных 1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. 2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях: 1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора; 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных; Статья 10 . Специальные категории персональных данных 3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
Трудовой кодекс ,[object Object],[object Object],[object Object],[object Object],[object Object]
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Закон о частной детективной и охранной деятельности
Это все спецкатегория ПДн Должо-о-о-о-к!!!
[object Object],[object Object],[object Object],[object Object],Решение документами ФСТЭК не предлагается
[object Object],[object Object],Инсайдерские риски доверенного персонала Правило не действует для информации ограниченного доступа не составляющую государственную тайну
Инсайдерские риски доверенного персонала ,[object Object]
Актуальность угроз. ← Возможность: НИЗКАЯ Опасность: ОЧЕНЬ ВЫСОКАЯ Угроза: АКТУАЛЬНА! Возможность реализации угрозы Показатель опасности угрозы Низкая Средняя Высокая Низкая неактуальная неактуальная актуальная Средняя неактуальная актуальная актуальная Высокая актуальная актуальная актуальная Очень высокая актуальная актуальная актуальная
Учитывая отсутствие доверенного персонала шифрование информации необходимо производить на разных ключах. Каким образом обеспечивать обмен информацией между пользователями? Каким образом обеспечивать доступ к базе данных?
Режим коммерческой тайны ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]
И какую из них украдут раньше?
Куда клеим бирки с грифом?
КТ в преддоговорной деятельности ,[object Object],Соответственно получается, что все материалы до окончания переговоров должны быть прогрифованы, а после заключения удачного договора для всех них потребуется потом организовывать процедуру снятия грифа
[object Object],[object Object]

Recommended

пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Сертификация и персональные данные
Сертификация и персональные данныеСертификация и персональные данные
Сертификация и персональные данныеУчебный центр "Эшелон"
 
Гостайна
ГостайнаГостайна
Гостайна
Алексей Кураленко
 
Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.
Александр Лысяк
 
Изменения в фз 152
Изменения в фз 152Изменения в фз 152
Изменения в фз 152ivanishko
 
17 приказ ФСТЭК
17 приказ ФСТЭК17 приказ ФСТЭК
17 приказ ФСТЭК
Алексей Кураленко
 

Recommended

пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)тб меры защиты пдн при скзи (проект)
тб меры защиты пдн при скзи (проект)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Сертификация и персональные данные
Сертификация и персональные данныеСертификация и персональные данные
Сертификация и персональные данныеУчебный центр "Эшелон"
 
Гостайна
ГостайнаГостайна
Гостайна
Алексей Кураленко
 
Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.
Александр Лысяк
 
Изменения в фз 152
Изменения в фз 152Изменения в фз 152
Изменения в фз 152ivanishko
 
17 приказ ФСТЭК
17 приказ ФСТЭК17 приказ ФСТЭК
17 приказ ФСТЭК
Алексей Кураленко
 
Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ
«ГК ГЭНДАЛЬФ»
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данных
Алексей Кураленко
 
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Demian Ramenskiy
 
Хостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхХостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данных
webdrv
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLP
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данных
Ksenia Shudrova
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данныхСергей Сергеев
 
пр GDPR breach
пр GDPR breachпр GDPR breach
пр GDPR breach
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Информационная безопасность. Лекция 4.
Информационная безопасность. Лекция 4.Информационная безопасность. Лекция 4.
Информационная безопасность. Лекция 4.
Александр Лысяк
 
GDPR (scope) - Russia
GDPR (scope) - RussiaGDPR (scope) - Russia
GDPR (scope) - Russia
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"Victor Poluksht
 
GDPR and information security (ru)
GDPR and information security (ru)GDPR and information security (ru)
GDPR and information security (ru)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данных
Павел Семченко
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
Softline
 
Юридические аспекты Dlp
Юридические аспекты DlpЮридические аспекты Dlp
Юридические аспекты Dlp
MFISoft
 
Система управления информационной безопасностью
Система управления информационной безопасностьюСистема управления информационной безопасностью
Система управления информационной безопасностью
kzissu
 
пр Модель зрелости Dlp
пр Модель зрелости Dlpпр Модель зрелости Dlp
пр Модель зрелости Dlp
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженРоль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
SQALab
 
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...Защита от утечки конфиденциальной информации. Особенности внедрения решений з...
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...
КРОК
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до ума
InfoWatch
 
подход к внедрению Dlp2
подход к внедрению Dlp2подход к внедрению Dlp2
подход к внедрению Dlp2Expolink
 

More Related Content

What's hot

Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ
«ГК ГЭНДАЛЬФ»
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данных
Алексей Кураленко
 
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Demian Ramenskiy
 
Хостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхХостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данных
webdrv
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLP
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данных
Ksenia Shudrova
 
защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данныхСергей Сергеев
 
пр GDPR breach
пр GDPR breachпр GDPR breach
пр GDPR breach
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Информационная безопасность. Лекция 4.
Информационная безопасность. Лекция 4.Информационная безопасность. Лекция 4.
Информационная безопасность. Лекция 4.
Александр Лысяк
 
GDPR (scope) - Russia
GDPR (scope) - RussiaGDPR (scope) - Russia
GDPR (scope) - Russia
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"Victor Poluksht
 
GDPR and information security (ru)
GDPR and information security (ru)GDPR and information security (ru)
GDPR and information security (ru)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данных
Павел Семченко
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
Softline
 
Юридические аспекты Dlp
Юридические аспекты DlpЮридические аспекты Dlp
Юридические аспекты Dlp
MFISoft
 

What's hot (16)

Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ
 
Защита персональных данных
Защита персональных данныхЗащита персональных данных
Защита персональных данных
 
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
 
Хостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхХостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данных
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLP
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данных
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14
 
защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данных
 
пр GDPR breach
пр GDPR breachпр GDPR breach
пр GDPR breach
 
Информационная безопасность. Лекция 4.
Информационная безопасность. Лекция 4.Информационная безопасность. Лекция 4.
Информационная безопасность. Лекция 4.
 
GDPR (scope) - Russia
GDPR (scope) - RussiaGDPR (scope) - Russia
GDPR (scope) - Russia
 
Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"Семинар "Выполнение требований законодательства о персональных данных"
Семинар "Выполнение требований законодательства о персональных данных"
 
GDPR and information security (ru)
GDPR and information security (ru)GDPR and information security (ru)
GDPR and information security (ru)
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данных
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
 
Юридические аспекты Dlp
Юридические аспекты DlpЮридические аспекты Dlp
Юридические аспекты Dlp
 

Viewers also liked

Система управления информационной безопасностью
Система управления информационной безопасностьюСистема управления информационной безопасностью
Система управления информационной безопасностью
kzissu
 
пр Модель зрелости Dlp
пр Модель зрелости Dlpпр Модель зрелости Dlp
пр Модель зрелости Dlp
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженРоль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
SQALab
 
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...Защита от утечки конфиденциальной информации. Особенности внедрения решений з...
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...
КРОК
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до ума
InfoWatch
 
подход к внедрению Dlp2
подход к внедрению Dlp2подход к внедрению Dlp2
подход к внедрению Dlp2Expolink
 
Современные подходы к защите от утечки конфиденциальной информации
Современные подходы к защите от утечки конфиденциальной информацииСовременные подходы к защите от утечки конфиденциальной информации
Современные подходы к защите от утечки конфиденциальной информации
КРОК
 
Softline: защита персональных данных
Softline: защита персональных данныхSoftline: защита персональных данных
Softline: защита персональных данных
Softline
 
Закиров Т. ЗАО «КОМПАНИЯ БЕЗОПАСНОСТЬ»
Закиров Т. ЗАО «КОМПАНИЯ БЕЗОПАСНОСТЬ»Закиров Т. ЗАО «КОМПАНИЯ БЕЗОПАСНОСТЬ»
Закиров Т. ЗАО «КОМПАНИЯ БЕЗОПАСНОСТЬ»kvitkate
 
The Zero Trust Model of Information Security
The Zero Trust Model of Information Security The Zero Trust Model of Information Security
The Zero Trust Model of Information Security
Tripwire
 
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Cisco Russia
 
Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?
InfoWatch
 
Безопасность информационных систем
Безопасность информационных системБезопасность информационных систем
Безопасность информационных системyaevents
 
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Cisco Russia
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данных
Demian Ramenskiy
 
Техническая защита ИСПДн: проблемы... и решения?
Техническая защита ИСПДн: проблемы... и решения?Техническая защита ИСПДн: проблемы... и решения?
Техническая защита ИСПДн: проблемы... и решения?
Алексей Волков
 
Вопросы эффективности DLP-систем
Вопросы эффективности DLP-системВопросы эффективности DLP-систем
Вопросы эффективности DLP-систем
ЭЛВИС-ПЛЮС
 
Анализ и управление рисками
Анализ и управление рискамиАнализ и управление рисками
Анализ и управление рисками
Александр Лысяк
 
Клавиатурный почерк как средство аутентификации
Клавиатурный почерк как средство аутентификацииКлавиатурный почерк как средство аутентификации
Клавиатурный почерк как средство аутентификации
kzissu
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.
Александр Лысяк
 

Viewers also liked (20)

Система управления информационной безопасностью
Система управления информационной безопасностьюСистема управления информационной безопасностью
Система управления информационной безопасностью
 
пр Модель зрелости Dlp
пр Модель зрелости Dlpпр Модель зрелости Dlp
пр Модель зрелости Dlp
 
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженРоль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
 
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...Защита от утечки конфиденциальной информации. Особенности внедрения решений з...
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до ума
 
подход к внедрению Dlp2
подход к внедрению Dlp2подход к внедрению Dlp2
подход к внедрению Dlp2
 
Современные подходы к защите от утечки конфиденциальной информации
Современные подходы к защите от утечки конфиденциальной информацииСовременные подходы к защите от утечки конфиденциальной информации
Современные подходы к защите от утечки конфиденциальной информации
 
Softline: защита персональных данных
Softline: защита персональных данныхSoftline: защита персональных данных
Softline: защита персональных данных
 
Закиров Т. ЗАО «КОМПАНИЯ БЕЗОПАСНОСТЬ»
Закиров Т. ЗАО «КОМПАНИЯ БЕЗОПАСНОСТЬ»Закиров Т. ЗАО «КОМПАНИЯ БЕЗОПАСНОСТЬ»
Закиров Т. ЗАО «КОМПАНИЯ БЕЗОПАСНОСТЬ»
 
The Zero Trust Model of Information Security
The Zero Trust Model of Information Security The Zero Trust Model of Information Security
The Zero Trust Model of Information Security
 
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
Модель обеспечения ИБ «ДО – ВО ВРЕМЯ – ПОСЛЕ»
 
Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?
 
Безопасность информационных систем
Безопасность информационных системБезопасность информационных систем
Безопасность информационных систем
 
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данных
 
Техническая защита ИСПДн: проблемы... и решения?
Техническая защита ИСПДн: проблемы... и решения?Техническая защита ИСПДн: проблемы... и решения?
Техническая защита ИСПДн: проблемы... и решения?
 
Вопросы эффективности DLP-систем
Вопросы эффективности DLP-системВопросы эффективности DLP-систем
Вопросы эффективности DLP-систем
 
Анализ и управление рисками
Анализ и управление рискамиАнализ и управление рисками
Анализ и управление рисками
 
Клавиатурный почерк как средство аутентификации
Клавиатурный почерк как средство аутентификацииКлавиатурный почерк как средство аутентификации
Клавиатурный почерк как средство аутентификации
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.
 

Similar to Positive Hack Days. Токаренко. Compliance риски в информационной безопасности

законодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данныхзаконодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данныхDimOK AD
 
Режим коммерческой тайны в компании
Режим коммерческой тайны в компанииРежим коммерческой тайны в компании
Режим коммерческой тайны в компании
Марина Уменко
 
Комплексная защита персональных данных
Комплексная защита персональных данныхКомплексная защита персональных данных
Комплексная защита персональных данныхspiritussancti
 
Михаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияМихаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика применения
Надт Ассоциация
 
rrrrrrrrrrrr
rrrrrrrrrrrrrrrrrrrrrrrr
rrrrrrrrrrrr1111
 
COOL!w45
COOL!w45COOL!w45
COOL!w451111
 
программно аппаратная зи 01
программно аппаратная зи 01программно аппаратная зи 01
программно аппаратная зи 01guest211bf6d
 
Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)
Вячеслав Аксёнов
 
Защита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУЗащита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУ
ГБОУ № 509
 
Безопасность бумажная и техническая: им не жить друг без друга
Безопасность бумажная и техническая: им не жить друг без другаБезопасность бумажная и техническая: им не жить друг без друга
Безопасность бумажная и техническая: им не жить друг без друга
Positive Hack Days
 
DLP Hero: Используем DLP «по закону»
DLP Hero: Используем DLP «по закону»DLP Hero: Используем DLP «по закону»
DLP Hero: Используем DLP «по закону»
InfoWatch
 
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...
Константин Бажин
 
Решения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных системРешения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных системCisco Russia
 

Similar to Positive Hack Days. Токаренко. Compliance риски в информационной безопасности (20)

законодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данныхзаконодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данных
 
О проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУО проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУ
 
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1нн 2013 chugunov_v 1
нн 2013 chugunov_v 1
 
Режим коммерческой тайны в компании
Режим коммерческой тайны в компанииРежим коммерческой тайны в компании
Режим коммерческой тайны в компании
 
Fomchenkov
FomchenkovFomchenkov
Fomchenkov
 
О проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗО проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗ
 
Комплексная защита персональных данных
Комплексная защита персональных данныхКомплексная защита персональных данных
Комплексная защита персональных данных
 
Vbяценко 20 21 сентября
Vbяценко 20 21 сентябряVbяценко 20 21 сентября
Vbяценко 20 21 сентября
 
яценко 20 21 сентября
яценко 20 21 сентябряяценко 20 21 сентября
яценко 20 21 сентября
 
Михаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияМихаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика применения
 
rrrrrrrrrrrr
rrrrrrrrrrrrrrrrrrrrrrrr
rrrrrrrrrrrr
 
COOL!w45
COOL!w45COOL!w45
COOL!w45
 
программно аппаратная зи 01
программно аппаратная зи 01программно аппаратная зи 01
программно аппаратная зи 01
 
Information Security Legislations (BY)
Information Security Legislations (BY)Information Security Legislations (BY)
Information Security Legislations (BY)
 
Защита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУЗащита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУ
 
Безопасность бумажная и техническая: им не жить друг без друга
Безопасность бумажная и техническая: им не жить друг без другаБезопасность бумажная и техническая: им не жить друг без друга
Безопасность бумажная и техническая: им не жить друг без друга
 
DLP Hero: Используем DLP «по закону»
DLP Hero: Используем DLP «по закону»DLP Hero: Используем DLP «по закону»
DLP Hero: Используем DLP «по закону»
 
пр Pre dlp (юр.аспекты)
пр Pre dlp (юр.аспекты)пр Pre dlp (юр.аспекты)
пр Pre dlp (юр.аспекты)
 
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...
СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСН...
 
Решения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных системРешения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных систем
 

More from Positive Hack Days

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Positive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
Positive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
Positive Hack Days
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
Positive Hack Days
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
Positive Hack Days
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
Positive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Positive Hack Days
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
Positive Hack Days
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
Positive Hack Days
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
Positive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
Positive Hack Days
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
Positive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
Positive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Positive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
Positive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
Positive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
Positive Hack Days
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
Positive Hack Days
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
Positive Hack Days
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
Positive Hack Days
 

More from Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
 

Positive Hack Days. Токаренко. Compliance риски в информационной безопасности

  • 1. Комплаенс-риски в информационной безопасности 19 мая 2011
  • 2. Классический алгоритм потроения защиты Определяем объект защиты Определяем модель нарушителя Определяем модель угроз Формируем требования по защите информации ………… ..
  • 3.
  • 4.
  • 5. Моделью нарушителя не предусматривается действие нарушителей в составе группы
  • 6.
  • 7.
  • 8. Для информации ограниченного доступа, не составляющей государственную тайну, проверочные мероприятия и ограничения прав не предусмотрены
  • 9. Закон «О персональных данных» Статья 6 . Условия обработки персональных данных 1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. 2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях: 1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора; 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных; Статья 10 . Специальные категории персональных данных 3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
  • 10.
  • 11.
  • 12. Это все спецкатегория ПДн Должо-о-о-о-к!!!
  • 13.
  • 14.
  • 15.
  • 16. Актуальность угроз. ← Возможность: НИЗКАЯ Опасность: ОЧЕНЬ ВЫСОКАЯ Угроза: АКТУАЛЬНА! Возможность реализации угрозы Показатель опасности угрозы Низкая Средняя Высокая Низкая неактуальная неактуальная актуальная Средняя неактуальная актуальная актуальная Высокая актуальная актуальная актуальная Очень высокая актуальная актуальная актуальная
  • 17. Учитывая отсутствие доверенного персонала шифрование информации необходимо производить на разных ключах. Каким образом обеспечивать обмен информацией между пользователями? Каким образом обеспечивать доступ к базе данных?
  • 18.
  • 19. И какую из них украдут раньше?
  • 20. Куда клеим бирки с грифом?
  • 21.
  • 22.
  • 23.
  • 24.