Вторая Всероссийская конференция-семинар «Персональные данные».
Подробнее о мероприятии http://www.croc.ru/action/partners/detail/2266/
Презентация Евгения Чугунова, Эксперта по информационной безопасности компании КРОК
Реализация на практике основных мероприятий ФСТЭК по защите персональных данныхКРОК
Семинар «Защита персональных данных: соблюдение Федерального Закона. Практический опыт».
Подробнее о мероприятии http://www.croc.ru/action/detail/2221/
Презентация Евгения Чугунова, эксперта по информационной безопасности компании КРОК
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
Технология Infiniband скорость, легкость, надежностьКРОК
Вебинар «Технология Infiniband: скорость, легкость, надежность» http://www.croc.ru/action/detail/23033/
Презентация Андрея Фролова, руководителя направления систем передачи данных.
Стандарт Uptime Institute. Новый виток развития центров обработки данных в Ро...КРОК
Информационный семинар «Сертификация The Uptime Institute по программе Accredited Tier Designer».
Подробнее о мероприятии http://www.croc.ru/action/detail/2632/
Презентация Руслана Заединова, руководителя направления центров обработки данных компании КРОК
Реализация на практике основных мероприятий ФСТЭК по защите персональных данныхКРОК
Семинар «Защита персональных данных: соблюдение Федерального Закона. Практический опыт».
Подробнее о мероприятии http://www.croc.ru/action/detail/2221/
Презентация Евгения Чугунова, эксперта по информационной безопасности компании КРОК
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
Технология Infiniband скорость, легкость, надежностьКРОК
Вебинар «Технология Infiniband: скорость, легкость, надежность» http://www.croc.ru/action/detail/23033/
Презентация Андрея Фролова, руководителя направления систем передачи данных.
Стандарт Uptime Institute. Новый виток развития центров обработки данных в Ро...КРОК
Информационный семинар «Сертификация The Uptime Institute по программе Accredited Tier Designer».
Подробнее о мероприятии http://www.croc.ru/action/detail/2632/
Презентация Руслана Заединова, руководителя направления центров обработки данных компании КРОК
Повышение производительности бизнес-приложенийКРОК
Практический семинар «Оптимизация производительности корпоративных приложений».
Подробнее о мероприятии http://www.croc.ru/action/detail/2465/
Презентация Андрея Мостовых, эксперта направления системных решений компании КРОК
Основные инженерные решения сети дата-центра КРОККРОК
Презентация Петра Вашкевича, главного инженера департамента интеллектуальных зданий КРОК.
На вебинаре эксперты КРОК поделились своим опытом создания идеального ЦОД. Были освещены следующие проблемы: сложно ли соответствовать требованиям сертификации Uptime Institute, с какими трудностями можно столкнуться в процессе создания отказоустойчивых систем, как можно экономить с энергоэффективными системами, и как создать ЦОД с доступностью 99,982%.
Специалисты КРОК рассказали про дата-центр «Компрессор» — один из первых ЦОД, сертифицированных Uptime Institute по высокому уровню отказоустойчивости TIER III, что гарантирует высокую надежность и автономность, вкупе с резервированием всех инженерных систем и возможностью их обслуживания без остановки работы дата-центра.
Сертифицированные сервисы безопасности из «облака» КРОККРОК
Вебинар «Ускоряемся: миграция «облака» КРОК на flash-СХД» http://www.croc.ru/action/detail/40451/
Презентация Евгения Дружинина, эксперта по информационной безопасности
Бюджетное моделирование по индивидуальному пошиву практический подходКРОК
Конференция «Корпоративное бюджетирование» http://www.croc.ru/action/detail/40556/
Евгений Завьялов, руководитель направления финансовых и CPM-систем КРОКБ
Мария Кузьменко, эксперт по внедрению систем бюджетирования
Мобильное предприятие как инструмент для повышения доступности и снижения изд...КРОК
Практический семинар "Как мобильные устройства повышают производительность сотрудников".
Подробнее о мероприятии http://www.croc.ru/action/detail/12769/
Презентация Астахова Константина, руководителя проектов компании КРОК
«Инь и Янь Вселенной ИТ». Как сделать ИТ понятным для бизнесаКРОК
Семинар «Как извлечь из ITSM пользу для бизнеса?» http://www.croc.ru/action/detail/40456/
Дмитрий Лыков, технический менеджер проектов направления «Мониторинг и управление ИТ»
Правильная автоматизация залог успеха вашего бизнеса. Как правильно выстроить...КРОК
Семинар «Все дороги ведут… Грамотная транспортная логистика как трамплин для вашего бизнеса» http://www.croc.ru/action/detail/40283/
Презентация Евгения Завьялова, руководителя направления бизнес-приложений КРОК
Вебинар «VDI. Факторы успеха проекта» http://www.croc.ru/action/detail/29384/
Презентация Щербакова Олега, руководителя направления решений по виртуализации; Бонева Игоря,технического менеджера компании КРОК
КРОК предлагает полный спектр услуг в области информационной безопасности (ИБ) — от внедрения конкретных программно-аппаратных решений ИБ до создания комплексной системы управления информационной безопасностью.
Подробнее http://www.croc.ru/solution/integration/insecurity/
III Конференция «BCM: теория и практика управления непрерывностью бизнеса»
Подробнее о мероприятии http://www.croc.ru/action/detail/10080/
Презентация Руслана Заединова, Заместителя генерального директора, руководителя направления ЦОД компании КРОК
Защита облачных данных или Как сделать Dropbox в корпоративной средеКРОК
Семинар «ITSM и частное «облако» — просто созданы друг для друга!» http://www.croc.ru/action/detail/23917/
Презентация Александра Беляева, технического менеджера компании КРОК
Правовые и технические аспекты защиты персональных данных в электронной комме...Demian Ramenskiy
Доклад: Правовые и технические аспекты защиты персональных данных в электронной коммерции
Форум: Экосистема электронной коммерции
(30 марта 2017, Москва, Шератон Палас)
Аттестация объектов информатизации по требованиям безопасности информациSoftline
Аттестация объектов информатизации по требованиям безопасности информации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
Почему любой интернет-магазин — это информационная система обработки персональных данных (ИСПДн)?
Какие основные нормы законодательства сейчас действуют в данной сфере и напрямую затрагивают Интернет-торговлю?
Что нужно сделать владельцу интернет-магазина, чтобы спать спокойно, хотя бы в части соблюдения законодательства о персональных данных?
Какая сейчас сложилась практика по защите персональных данных на веб-сайтах и куда смотрит Роскомнадзор?
Какие существуют типовые походы к обеспечению должного уровня защищенности ИСПДн?
Как выбрать правильного провайдера для хостинга интернет-магазина?
Обзор современных технологий и программного обеспечения для защиты от инсайдеровDialogueScience
Современные тенденции в области защиты информации от внутренних угроз, комплексный подход к защите от утечки конфиденциальной информации, а также с ведущие разработки в этой области.
Продуктовая линейка компании «Код Безопасности» LETA IT-company
Презентация компании «Код Безопасности», проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
Применение криптографических средств при построении системы защиты персональн...КРОК
Семинар «Защита персональных данных: соблюдение Федерального Закона. Практический опыт».
Подробнее о мероприятии http://www.croc.ru/action/detail/2221/
Презентация Евгения Дружинина, эксперта по информационной безопасности компании КРОК
Презентация с вебинара InfoWatch "Как сделать защиту бизнеса простой и эффек...InfoWatch
Предлагаем вам посетить открытый вебинар по вопросам информационной безопасности для небольших компаний. На вебинаре речь пойдет о простых и понятных способах защиты, которые доказали свою эффективность и не требуют больших временных затрат и финансовых вложений.
http://www.infowatch.ru/webinar/infosecurity_for_small_business
Комплекс инструментов для управления эксплуатацией позволит заказчику создать централизованную базу данных на основе информационной 3D-модели по всей инфраструктуре здания или сооружения. Инструменты позволят осуществлять комплексное управление активами организации, техническое, коммерческое и инфраструктурное обслуживание объектов недвижимости, а также оперативно разрабатывать необходимые процессы и управлять ресурсами. Единая информационная площадка объединяет в себе средства контроля и планирования работ по обслуживанию объектов недвижимости, взаимодействию с сервисными подрядчиками и отслеживанию зон ответственности.
Бизнес-ужин «Деловой подход к хранению данных: экономим и повышаем эффективность».
Презентация Сергея Скрыля, эксперта по технологиям виртуализации «КРОК».
Бизнес-ужин «Деловой подход к хранению данных: экономим и повышаем эффективность».
Презентация Ивана Шумовского, руководителя направления программной инфраструктуры «КРОК».
ЕЭК. Создание Программно-Аппаратного Комплекса Мультимедийных СистемКРОК
Специалисты КРОК внедрили в Евразийской Экономической Комиссии программно-аппаратный комплекс мультимедийных систем
(ПАКМС), Комплекс объединил 3 зала совещаний, пресс-центр, видеостудию, 39 перего-
ворных комнат, 18 кабинетов руководителей, расположенных в двух территориально-
распределенных офисах в Москве.
17 мая, 2017 г. «Тест-драйв новинок ВКС и UC. Ещё быстрее, надёжнее и эффективнее». Презентация Михаила Никифорова, руководителя направления видеоконференцсвязи КРОК
18 мая, 2017 г. Бизнес-практикум «Полезные ИТ-инструменты на пути к цифровой трансформации бизнеса». Презентация Вячеслава Петровского, ведущего инженера КРОК.
Решения для видеосвязи в среде Skype for businessКРОК
18 мая, 2017 г. Бизнес-практикум «Полезные ИТ-инструменты на пути к цифровой трансформации бизнеса». Презентация Евгения Нищего, ведущего эксперта КРОК.
Клиент хочет знать! Аргументы по защите ПДн. Опыт КРОК, специфика отраслей и видов бизнеса
1. КЛИЕНТ ХОЧЕТ ЗНАТЬ!
АРГУМЕНТЫ ПО ЗАЩИТЕ ПДН:
ОПЫТ КРОК, СПЕЦИФИКА ОТРАСЛЕЙ
И ВИДОВ БИЗНЕСА
Евгений Чугунов
ЭКСПЕРТ ПО
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
КОМПАНИИ КРОК
2. СОДЕРЖАНИЕ
• Основные понятия
• Определение статуса организации
• Получение согласия субъектов
• Обеспечение безопасности ПДн
• Создание системы защиты ПДн
• Трансграничная передача ПДн
3. ВВЕДЕНИЕ
• Персональные данные о сотрудниках организации
«Внутренние данные»
«Внешние данные»
• Персональные данные не сотрудников организации
Акцент на обработке «внешних» ПДн
4. СТАТУС КОМПАНИЙ С ВНЕШНИМИ ПДН
• Определяет цели обработки
• Осуществляет (организует) обработку ПДн
Оператор всех данных
• Частично определяет цели обработки
• Целиком осуществляет (организует)
Уполномоченное лицо:
• Осуществляет обработку
• Организует обработку
… и тот и другой:
5. СТАТУС - ВЕЩЬ НЕ ПРОСТАЯ!
Признак: ИНТЕНСИВНЫЙ ОБМЕН ПДн между юр. лицами
Актуально для:
• Групп компаний, холдингов
• Партнерских сетей, сбытовых сетей
• Компаний, оказывающих услуги
Характерно для:
• Финансового сектора
• Гос. Организаций
• Транспортных компаний
• Ритейла
6. НЕ ОПЕРАТОР – НЕ ДОЛЖЕН…
• … взаимодействовать с субъектами
• … уведомлять регулятора
• … получать согласие
• … и т.д.
Должен:
• Проработать договор с Оператором
• Выполнять договор с Оператором
7. И ВСЕ ЖЕ … ОПЕРАТОР
Сложности и вопросы:
• Как получить согласие от ВСЕХ субъектов?
• Как взаимодействовать с регулятором?
• Как обеспечить безопасность ПДн?
• Надо ли получать лицензии?
• Как осуществлять трансграничную передачу?
Есть мнение, все
просто?...
8. КАК ПОЛУЧИТЬ СОГЛАСИЕ?
• Письменно! не всегда возможно… как быть?
• Принцип: публичная оферта
− характерен для: интернет бизнеса
− необходим для: оказания услуг для нового клиента без
его присутствия
• Принцип: молчание – знак согласия
− характерен для: фин. сектора, ритейла и др.
− необходим для: обработки данных бывших
или существующих клиентов
Железобетонно? Нет, но лучше чем ничего.
9. ВЗАИМОДЕЙСТВИЕ С РЕГУЛЯТОРОМ
• 321 плановая проверка в 2009 г.
• 854 проверки запланировано на 2010 г.
• 19 предписаний за 2008 г.
• 0 случаев запрета обработки ПДн.
Роскомнадзор
• Уведомление об обработке
• Запросы, пишите запросы!
• Согласование планов. Возможно ли?
• Консультационный совет
10. КАК ОБЕСПЕЧИТЬ БЕЗОПАСНОСТЬ?
Камни преткновения
• Как классифицировать специальную систему?
• Как оценить ущерб субъекту ПДн?
• Как выбрать нужные мероприятия
и средства защиты ПДн?
• Надо ли получать лицензии ФСТЭК и ФСБ?
Есть мнение, в
точку...
11. КЛАССИФИКАЦИЯ ИСПДН
Типовые
Специальные
1 класс
Для всех ИСПДн необходимо обеспечить конфиденциальность ПДн
2 класс 3 класс 4 класс
В ИСПДн имеются данные
о состоянии здоровья
В ИСПДн автоматически
принимается решение,
порождающее
юридические последствия
Либо при необходимости обеспечения
защищенности от уничтожения,
изменения, блокирования,
а также иных
несанкционированных действий
13. ОПРЕДЕЛЕНИЕ УЩЕРБА СУБЪЕКТУ
• Непосредственный ущерб субъекту
• Опосредованный ущерб субъекту
• Определение шкалы и величины ущерба
• Значительный негативный ущерб субъекту: ущерб
жизни и здоровью
• Негативный ущерб: материальный и/или
значительный моральный ущерб
• Незначительный ущерб: моральный вред
14. КАК ВЫБРАТЬ МЕРОПРИЯТИЯ
ПО ЗАЩИТЕ ПДН?
Стратегия защиты:
• Централизация обработки ПДн
• Неавтоматизированная обработка на местах
Модель угроз – основа компромисса:
• Только актуальные системе угрозы
• Основа выбора способов защиты,
предусмотренных для соответствующего класса
информационных систем
Постановление 781 п. 12 б)
16. СИСТЕМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ
ДАННЫХ. ПРОЕКТ
Что внедряется в рамках СЗПДн?
Подсистема управления доступом
Подсистема регистрации и учета
Подсистема обеспечения целостности
Подсистема антивирусной защиты
Подсистема контроля защищенности
Подсистема криптографической защиты
Подсистема обнаружения вторжений
Акустическая защита
ПЭМИН К1 и К2
Только К1
Только К1
17. СИСТЕМА ЗАЩИТЫ. БАЗОВЫЕ
Сертифицированные системы доверенной загрузки
и контроля целостности
Сертифицированные средства
межсетевого экранирования, сегментация ИСПДн
Сертифицированные средства обнаружения
и предотвращения вторжений (сетевых атак)
Сертифицированные средства и системы
антивирусной защиты
Сертифицированные средства контроля
защищенности
18. СИСТЕМА ЗАЩИТЫ. РАСШИРЕННЫЕ
Сертифицированные ОС, СУБД
и приложения по требованиям
безопасности
Сертификация средств защиты
по уровню отсутствия НДВ
Сертифицированные ФСБ средства
криптографической защиты
19. СИСТЕМА ЗАЩИТЫ. РЕДКИЕ
ПЭМИН: обеспечение необходимой контролируемой
зоны, использование генераторов
электромагнитных помех
Акустическая защита помещений: организационные
мероприятия, звукоизоляция, использование зашумления
Сертифицированные по уровню отсутствия НДВ
компоненты ИСПДн
20. ЗАЩИТА ВНЕШНИХ КАНАЛОВ СВЯЗИ
• Угроза: перехват ПДн во внешних каналах связи
• Мероприятия ФСТЭК не могут минимизировать
угрозу
• Использование сертифицированных СКЗИ:
− Разработка модели нарушителя ФСБ
− Выбор соответствующего СКЗИ
− Реализация мероприятий по защите СКЗИ от НСД и
ПЭМИН
Почему не ФСТЭК?
21. НЕОБХОДИМА ЛИ ЛИЦЕНЗИЯ?
• Текущее положение дел
(Комитет Государственной Думы
по собственности, Комитет
Государственной Думы
по безопасности)
• Требования регуляторов
(ФСТЭК – ИСПДн 1 и 2 класса; ФСБ
(при использовании
криптографических СЗИ – лицензия
на обслуживание, и т.д.)
• Рекомендации КРОК
22. КАК ОБРАБАТЫВАТЬ ПДН ЗА РУБЕЖОМ?
• Нельзя запрещать передачу (за исключением …)
• Необходимо иметь свидетельства адекватной
защиты ПДн
• Не требуется согласия регулятора
• Регулятора достаточно уведомить
• Необходимо письменное согласие субъекта,
если нет адекватной защиты ПДн
Актуально для: международных компаний
Необходимо для: оказания услуг, управления
компанией и проч.
23. ЗАЩИТА ВНЕШНИХ КАНАЛОВ СВЯЗИ
• Нельзя ввозить зарубежные СКЗИ
• Нельзя вывозить отечественные СКЗИ
• Защита каналов связи:
− Встроенными в ОС средствами
− Встроенными в средства МЭ
− Встроенными средствами приложений
Трансграничная передача
24. ПЛАН МЕРОПРИЯТИЙ КРОК
Этап 1. Проведение аудита
Этап 2. Разработка модели угроз для ИСПДн.
Классификация ИСПДн
Этап 3. Создание нормативно-методической базы
Этап 4. Техническое проектирование СЗПДн
Этап 5. Сертификация средств защиты
Этап 6. Внедрение СЗПДн
Этап 7. Получение лицензии на ТЗКИ
Этап 8. Проведение аттестации ИСПДн
www.CROC.ru/PD
25. СПАСИБО ЗА ВНИМАНИЕ!
Евгений Чугунов
ЭКСПЕРТ ПО
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
КОМПАНИИ КРОК
Тел: (495) 974 2274
E-mail: echugunov@croc.ru