Разделы презентаций


Роль систем информационной безопасности в защите персональных данных

Содержание

Закон о «Персональных данных»www.searchinform.ru Согласно статье 25 закона «О персональных данных», информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями

Слайды и текст этой презентации

Слайд 1www.searchinform.ru
Роль систем информационной безопасности в защите персональных данных

www.searchinform.ruРоль систем информационной безопасности в защите персональных данных

Слайд 2Закон о «Персональных данных»
www.searchinform.ru
Согласно статье 25 закона «О персональных

данных», информационные системы персональных данных, созданные до дня вступления в

силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

По информации Роскомнадзора на сегодня в России более 56000 операторов персональных данных.

Операторами персональных данных могут являться государственные органы, муниципальные органы, юридические или физические лица, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

К операторам персональных данных можно отнести любую коммерческую, некоммерческую, государственную, частную организацию, работающую с персональными данными (банки, мобильные операторы, поликлиники, учебные заведения, реестр держателей, крупные фирмы и т.д.).
Закон о «Персональных данных»www.searchinform.ru Согласно статье 25 закона «О персональных данных», информационные системы персональных данных, созданные до

Слайд 3Выдержки из закона
www.searchinform.ru
Статья 19. Меры по обеспечению безопасности персональных данных

при их обработке

Оператор при обработке персональных данных обязан принимать необходимые

организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

2. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

Статья 24. Ответственность за нарушение требований настоящего Федерального закона
Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Выдержки из закона

Выдержки из законаwww.searchinform.ruСтатья 19. Меры по обеспечению безопасности персональных данных при их обработкеОператор при обработке персональных данных

Слайд 4www.searchinform.ru
Персональные данные - любая информация, относящаяся к

определенному или определяемому на основании такой информации физическому лицу (субъекту

персональных данных).

Как правило, это жестко структурированные данные, которые хранятся в базах данных.

Примеры:
Фамилия, имя, отчество, год, месяц, дата и место рождения, адрес; семейное, социальное, имущественное положение; образование, профессия, доходы, другая информация.

Что такое персональные данные?

www.searchinform.ru   Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации

Слайд 5Операторы
www.searchinform.ru
Закон о персональных данных имеет важное значение

для государства. Персональные данные граждан не должны находиться в свободном

доступе. Ситуация, когда на рынках можно купить базы данных с номерами телефонов сотовых операторов, номерами автомобилей и т.д. позволяет незаконно использовать персональные данные в коммерческих целях. Кроме этого эта ситуация играет на руку криминалу. Пока в России нет ответственности за обработку персональных данных эта ситуация не изменится. Именно для решения этой проблемы и был принят «Закон о персональных данных»
Операторыwww.searchinform.ru   Закон о персональных данных имеет важное значение для государства. Персональные данные граждан не должны

Слайд 6Информационная безопасность предприятия
www.searchinform.ru
Для осуществления защиты персональных данных оператором должны

быть приняты следующие меры:
Шифрование баз данных. Оно позволит защитить информацию

от сотрудников, которые по долгу службы имеют доступ к серверам, на которых хранится информация (например, системный администратор).
Шифрование каналов связи, по которым ведется работа операторов с базами данных. Это позволит избежать перехвата информации в процессе ее передачи.
Разграничение прав доступа к базам данных, содержащих персональные данные. Каждый сотрудник должен иметь доступ только к тем данным, которые необходимы ему для выполнения служебных обязанностей.

Перечисленные меры позволяют защититься только от случайного или преднамеренного попадания данных к сотрудникам, не имеющим права с этими данными знакомиться.
Информационная безопасность предприятияwww.searchinform.ru Для осуществления защиты персональных данных оператором должны быть приняты следующие меры:Шифрование баз данных. Оно

Слайд 7Информационная безопасность предприятия
www.searchinform.ru

Сотрудники, которые работают с персональными данными по долгу

службы, будут всегда иметь доступ к ним в незашифрованном виде.
Для

полноценной защиты данных от утечек необходимо исключить возможность пересылки ими информации, не регламентированной установленными правилами работы.
Для этого необходимо принятие еще одной обязательной меры для защиты персональных данных от утечек - организации контроля за всеми информационными потоками.
Такой контроль должен позволять оперативно обнаруживать все факты передачи персональных данных по всем возможным каналам утечки.

Информационная безопасность предприятияwww.searchinform.ruСотрудники, которые работают с персональными данными по долгу службы, будут всегда иметь доступ к ним

Слайд 8Каналы утечки информации
www.searchinform.ru
Каналы, по которым может происходить

утечка персональных данных
Контроль за этими каналами предполагает

возможность выявлять в больших информационных потоках несанкционированную передачу персональных данных.
Каналы утечки информацииwww.searchinform.ru   Каналы, по которым может происходить утечка персональных данных   Контроль за

Слайд 9Методика поиска
www.searchinform.ru
Методика 1. Поиск по ключевым словам и фразам

Этот вариант поиска позволяют осуществлять почти все DLP системы.
Так

как каждая запись в базе данных является уникальной, этот метод позволяет искать в информационных потоках только присутствие заранее известной информации.
Например, осуществлялась ли пересылка информации о каком-то конкретном клиенте банка.
При необходимости обнаружения факта пересылки произвольной информации из базы данных этот метод не работает.

Вывод: для детектирования передачи персональных данных этот метод не работает.

Для обнаружения передачи персональных данных существуют несколько методик поиска.

Методика поискаwww.searchinform.ruМетодика 1. Поиск по ключевым словам и фразам   Этот вариант поиска позволяют осуществлять почти

Слайд 10Методика поиска
www.searchinform.ru
Методика 2. Цифровые отпечатки в применении к записям БД
Так

как записи в базе данных могут постоянно добавляться или изменяться,

этот метод будет работать только для тех из них, которые присутствовали в базе данных в момент последней индексации.
Когда, к примеру, в базу данных из миллиона записей каждый час добавляется 100 записей, то контроль за их утечкой будет отсутствовать до момента следующей переиндексации.
Кроме этого, этот метод не в состоянии детектировать передачу отдельных полей из записи.

Эта методика позволяет осуществлять поиск по своеобразной контрольной сумме каждой записи в базе данных.

Например, если из записи о клиенте будет передаваться только фамилия и сумма денег на счету, этот метод не сработает.
Вывод: для детектирования передачи персональных данных этот метод работает частично.

Методика поискаwww.searchinform.ruМетодика 2. Цифровые отпечатки в применении к записям БДТак как записи в базе данных могут постоянно

Слайд 11www.searchinform.ru
Методика 3. Простые регулярные выражения
Регулярные выражения — система синтаксического разбора

текстовых фрагментов по формализованному шаблону, основанная на системе записи образцов

для поиска.


Используя простые регулярные выражения, можно отследить передачу данных, совпадающих по структуре с записями в базе данных.

Этот метод позволяет также описать и всевозможные комбинации сочетаний полей базы данных.

Количество возможных комбинаций зависит от количества полей в записях базы данных.

Методика поиска

www.searchinform.ruМетодика 3. Простые регулярные выраженияРегулярные выражения — система синтаксического разбора текстовых фрагментов по формализованному шаблону, основанная на

Слайд 12www.searchinform.ru
Методика 3. Простые регулярные выражения
Плюсы:
- Не требуется переиндексации базы данных,

так как поиск ведется по структуре а не по содержанию.
-

Исключает ложные срабатывания

Минусы:
для использования регулярных выражений необходимо определить все возможные комбинации полей базы данных. Это трудоемкий процесс, который не позволяет получить 100% определения комбинаций для баз данных с большим количеством полей.

Если, как и в предыдущем примере, из различных полей будет сделана выборка, то для использования регулярных выражений необходимо будет определять все возможные комбинации полей базы данных. Это трудоемкий процесс и он сильно усложняет работу по поиску информации.

Вывод: для детектирования передачи персональных данных этот метод требует сложной настройки.

Методика поиска

www.searchinform.ruМетодика 3. Простые регулярные выраженияПлюсы:- Не требуется переиндексации базы данных, так как поиск ведется по структуре а

Слайд 13www.searchinform.ru
Главное отличие сложных регулярных выражений от простых заключается в отсутствии

необходимости описания всех возможных комбинаций полей базы данных.

Для организации поиска

информации из базы данных в информационных потоках достаточно будет описать свойства всех полей.

При использовании этого метода будет обеспечен качественный поиск информации из базы данных в независимости от порядка следования полей, их сочетания и количества.

Вывод: для детектирования передачи персональных данных этот метод является оптимальным.

Методика 4. Сложные регулярные выражения

Методика поиска

www.searchinform.ruГлавное отличие сложных регулярных выражений от простых заключается в отсутствии необходимости описания всех возможных комбинаций полей базы

Слайд 14Информационная безопасность предприятия
www.searchinform.ru
Для защиты персональных данных от утечек необходимо обеспечение

шифрования баз данных и каналов связи, наличие разграничение прав доступа

к базам данных.

Так же необходим контроль за всеми возможными каналами утечки информации с возможностью 100% детектирования передачи по ним персональных данных

Такую возможность может обеспечить только поисковая система, использующая методику поиска при помощи сложных регулярных выражений.

Единственным программным продуктом, позволяющим решить проблему защиты персональных данных, является «Контур информационной безопасности SearchInform»
Информационная безопасность предприятияwww.searchinform.ruДля защиты персональных данных от утечек необходимо обеспечение шифрования баз данных и каналов связи, наличие

Слайд 15www.searchinform.ru
«Контур информационной безопасности SearchInform» позволяет отслеживать утечки конфиденциальной информации через

е-mail, ICQ, Skype, внешние устройства (USB/CD), документы отправляемые на печать

и выявлять её появление на компьютерах пользователей.

Контру информационной безопасности

www.searchinform.ru«Контур информационной безопасности SearchInform» позволяет отслеживать утечки конфиденциальной информации через е-mail, ICQ, Skype, внешние устройства (USB/CD), документы

Слайд 16www.searchinform.ru
Программные продукты «SearchInform» успешно решают поставленные задачи в банках и

финансовых компаниях, государственных структурах и в крупных промышленных, сырьевых, телекоммуникационных

и IT-компаниях России и стран СНГ.

Итоги

www.searchinform.ruПрограммные продукты «SearchInform» успешно решают поставленные задачи в банках и финансовых компаниях, государственных структурах и в крупных

Слайд 17www.searchinform.ru
Спасибо за внимание

www.searchinform.ruСпасибо за внимание

Обратная связь

Если не удалось найти и скачать доклад-презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:

Email: Нажмите что бы посмотреть 

Что такое TheSlide.ru?

Это сайт презентации, докладов, проектов в PowerPoint. Здесь удобно  хранить и делиться своими презентациями с другими пользователями.


Для правообладателей

Яндекс.Метрика