2. Отраслевые ИСПДн
Общее содержание отраслевых ИС:
- Фамилия, имя, отчество (не возможно проверить достоверность
имени)
- Адрес для получения почты и др. контактная информация
- Дата рождения
- Пол
- Иная информация не характеризующая субъекта ПД как личность
Резюме:
А) ИСПДн, обрабатываемые компаниями ДТ, содержат только
основные (идентификационные) персональные данные;
Б) ИСПДн, обрабатываемые компаниями ДТ не позволяют
характеризовать гражданина и не затрагивают его частную жизнь
(семейную тайну и т.п.).
В) ИСПДн не нуждаются в специальных технических мерах защиты
(криптография и т.п.) и должны классифицироваться по
классификации ФСТЭК как К3
3. Отраслевой стандарт
-
Это рамочные нормативные документы для организации безопасной
обработки персональных данных в компаниях дистанционной торговли ,
Это не только рамочные нормативы для компаний дистанционной
торговли, но и для сервисных компаний, являющиеся обработчиками
ИСПДн (согласно европейским нормам), но причисленные согласно
российскому законодательству также к операторам.
Отраслевой стандарт
Вырабатывает единые требования для организации безопасной
обработки персональных данных в предприятиях дистанционной
торговли с учётом всех требований и норм установленных
законодательством РФ с учётом нюансов отраслевой специфики
Это позволит
Контрольно-надзорным органам повысить эффективность исполнения
Федерального законодательства в области персональных данных
Компаниям дистанционной торговли облегчит и упростит исполнение
федерального законодательства в области персональных данных
4. Отраслевой стандарт
Создаётся при участии всех контрольно-надзорных
органов (РКН, ФСБ России, ФСТЭК России).
Комплекс документов, входящие в отраслевой стандарт:
1.
2.
3.
4.
5.
Общая часть, преамбула и введение
Универсальная отраслевая модель угроз
Требования к безопасности отраслевых ИСПДн
Отраслевая методика проверки соответствия требованиям безопасности
ИСПДн
Методика реализации требований безопасности отраслевых ИСПДн
Все документы утверждаются в контрольно-надзорных органах!
5. Отраслевой стандарт
Преамбула. Общая часть. Введение
Даёт уточнения и разъяснения о целях и задачах
отраслевого стандарта,
разъясняет основные термины используемые в
отраслевом стандарте,
описывается зна.
6. Отраслевой стандарт
Универсальная отраслевая модель угроз
Отраслевая модель угроз разрабатывается на основе базовой модели
угроз безопасности персональных данных при их обработке в
информационных системах персональных данных, установленную
законодательством Российской Федерации (Правительство РФ, ФСТЭК
России, ФСБ России) и содержит перечень угроз безопасности
персональным данным, актуальных для предприятий дистанционной
торговли РФ.
Все разрабатываемые документы (отраслевой стандарт)должны стать
практическим руководством для реализации необходимых мер
организации безопасной обработки персональных данных в
информационных системах отраслевых предприятий.
Все документы утверждаются в контрольно-надзорных органах!
7. Отраслевой стандарт
Итоги работы
Разработка отраслевого стандарта будет
проходить при непосредственном участии
компаний-интеграторов, специализирующихся на
решении вопросов защиты информации.
Итогом работы по разработке отраслевого стандарта станет типовой
отраслевой продукт (коробочное решение) , требующий минимальной
адаптации для применения в отраслевых предприятиях, включающий
набор организационно-технических мероприятий и средств для
организации безопасной обработки ПД в информационных системах с
учётом требований российского законодательства и созданного
отраслевого стандарта.
8. Участники
(предварительно)
Создание отраслевого стандарта является инициативой
Национальной Ассоциации Дистанционной Торговли
(НАДТ), которую поддержали другие участники
российского рынка:
- Российской Ассоциации Маркетинговых Услуг (РАМУ)
- Ассоциации Коммуникационных Агентств России (АКАР)
- ФГУП «Почта России»
Мы рассчитываем на расширение круга участников!
9. Обработка ПД
1.
-
Компании осуществляющие торговлю дистанционным
способом :
почтовые каталоги
интернет-магазины
Телемагазины
2. Подрядные организации (сервисные компании):
Дата менеджеры
Почтовые и курьерские службы
Letter-shop
Fulfillment
Call-центр
Агентства
И другие компании, чья работа связана с компаниями
дистанционной торговли
10. Типовой отраслевой перечень
документов для организации защиты ПД
•
•
•
•
•
•
•
•
•
•
•
Уведомление Организации о регистрации в качестве оператора по обработке
персональных данных в территориальном органе по защите прав субъектов
персональных данных (Роскмнадзор)
Положение (Приказ) об обработке ПД в Организации
Положение (Приказ) о защите ПД в Организации
Регламент взаимодействия с субъектами ПД (с клиентами и сотрудниками
Организации)
Регламент взаимодействия при передаче ПД третьим лицам (ПД клиентов и
сотрудников Организации)
Регламент для сотрудников, осуществляющих обработку ПД (клиентов и
сотрудников Организации)
Приказ о назначении ответственного сотрудника (администратора) Организации
за безопасность обработки ПД
Инструкция администраторов безопасности персональных данных
Приказ, определяющий круг лиц, допущенных к обработке ПД (разграничение
доступа)
Приказ о составе комиссии по классификации информационных систем,
Приказ (решение комиссии) о классификации информационной системы
Организации