Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД

3,367 views

Published on

Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.

Published in: Business
  • Be the first to comment

  • Be the first to like this

Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД

  1. 1. Сложности выполнения российских требований по защите персональных данных<br />Евгений Царев<br />Заместитель директора Департамента продуктов и услуг<br />+7 (495) 921 1410 / www.leta.ru<br />
  2. 2. №152-ФЗ «О персональных данных»<br />+7 (495) 921 1410 / www.leta.ru<br /> 26 января 2007 г. вступил в силу Федеральный закон <br /> № 152-ФЗ “О персональных данных”<br />Закон обязывает операторов персональных данных привести свои информационные системы, обрабатывающие персональные данные в соответствие с требованиями регулирующих органов<br />Ответственными за контроль соблюдения требования закона определены ФСБ России, ФСТЭК России, а также Роскомнадзор<br />Законом определено, что:<br />Информационные системы обрабатывающие персональные данные должны быть приведены в соответствие до 1 июля 2011 года* (Согласно принятому законопроекту «О внесении изменений в статью 25 Федерального закона "О персональных данных« от 23.12.2010г.)<br />Невыполнение требований ФЗ “О персональных данных” и подзаконных актов может повлечь привлечение к ответственности должностных лиц организации к уголовной и административной ответственности<br />Защита персональных данных<br />
  3. 3. защита персональных данных в России<br />+7 (495) 921 1410 / www.leta.ru<br />Основные сложности с защитой персональных данных в России:<br />Термины и определение. Что такое ПДн?<br />Получение согласия субъекта<br />Трансграничная передача<br />Лицензирование<br />Сертификация технических средств<br />Защита персональных данных<br />
  4. 4. Термины и определение. Что такое ПДн?<br />+7 (495) 921 1410 / www.leta.ru<br />Определение понятия «персональные данные» содержит неопределенность<br /><ul><li>Какой набор данных определяет физическое лицо?
  5. 5. ФИО? + телефонный номер? + ИНН?
  6. 6. Прозвище?
  7. 7. Какой потенциальный ущерб от утечки ФИО?</li></ul>Что такое «обезличенные» персональные данные?<br />Кто такие оператор и уполномоченное лицо по защите персональных данных?<br />Защита персональных данных<br />
  8. 8. Получение согласия субъекта<br />+7 (495) 921 1410 / www.leta.ru<br />Казуистика с требованием письменного согласия большинством участников рынка трактуется как:<br />Согласие должно быть получено в письменной форме на отдельном листе бумаги с собственно ручной подписью субъекта персональных данных. Других способов получения согласия нет.<br />В интернете (по разъяснениям регулятора): <br />критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных является файл электронной цифровой подписи.<br />Защита персональных данных<br />
  9. 9. Получение согласия субъекта<br />+7 (495) 921 1410 / www.leta.ru<br />Что изменится после законопроекта Резника:<br />Обработка ПДн с целью удовлетворения собственных потребностей, предполагающее обработку персональных данных при условии, что при этом не нарушаются права субъекта персональных данных - Без согласия!<br />Оператор вправе продекларировать условия соглашения путем его размещения в форме, доступной для ознакомления неограниченному кругу лиц, или путем его предоставления по требованию лица намерившегося вступить в отношения с оператором <br />Соглашение об обработке ПДн может быть заключено в устной форме или посредством совершения конклюдентных действий, либо путем акцепта субъектом персональных данных условий договора, оферта которого предложена оператором <br />Защита персональных данных<br />
  10. 10. Трансграничная передача<br />+7 (495) 921 1410 / www.leta.ru<br />Законом вводится понятие адекватности защиты персональных данных. Критериев, определяющих адекватность нет. <br />1 группа стран:<br />Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония.<br />2 группа стран: <br />Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония.<br />Защита персональных данных<br />
  11. 11. Лицензирование<br />+7 (495) 921 1410 / www.leta.ru<br />Законом вводится понятие адекватности защиты персональных данных. Критериев, определяющих адекватность нет. <br />Деятельность по технической защите конфиденциальной информации – лицензируемый вид деятельности (N 99-ФЗ "О лицензировании отдельных видов деятельности"). <br />Согласно Постановлению правительства №504: <br />Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней<br />Защита персональных данных<br />
  12. 12. Сертификация технических средств<br />+7 (495) 921 1410 / www.leta.ru<br />Технические решения для защиты персональных данных должны быть сертифицированы ФСТЭК России<br />Основанием для обязательной сертификации является ФЗ «О техническом регулировании», согласно которому в отсутствие принятого технического регламента ФСТЭК России правомочна устанавливать соответствующие требования<br />В 58-м приказе напрямую говорится лишь о сертификации на соответствие 4 уровню контроля отсутствия НДВ средств защиты информации, используемых в ИСПДн 1 класса<br />Прочие средства защиты должны также проходить процедуру оценки соответствия, одной из форм которой является сертификация («на ТУ»)<br />Защита персональных данных<br />
  13. 13. Стандарт Банка России по информационной безопасности. Подход к внедрению<br />Евгений Царев<br />Заместитель директора Департамента продуктов и услуг<br />+7 (495) 921 1410 / www.leta.ru<br />
  14. 14. «Письмо шестерых» и новая редакция СТО БР ИББС<br />+7 (495) 921 1410 / www.leta.ru<br />Центральный банк Российской Федерации <br />Ассоциация российских банков<br />Ассоциация региональных банков России (Ассоциация «Россия»)<br />(«Письмо шестерых»)<br /><ul><li>Документы согласованы ФСБ России, Роскомнадзором, ФСТЭК России. Текст документов опубликован в «Вестнике Банка России» и размещен на веб-сайтеБанка России в сети Интернет
  15. 15. Центральный банк Российской Федерации, Ассоциация российских банков и Ассоциация региональных банков России рекомендуют ввести Комплекс БР ИББС решением организации БС РФ (приказом, распоряжением) и руководствоваться им при проведении работ по защите информации, отнесенной к персональным данным, к банковской тайне, к коммерческой тайне
  16. 16. В случае если Комплекс БР ИББС в кредитной организации не вводится, она должна руководствоваться нормативно-правовыми актами ФСБ России, Роскомнадзора и ФСТЭК России</li></li></ul><li>«Письмо шестерых» и новая редакция СТО БР ИББС<br />+7 (495) 921 1410 / www.leta.ru<br />http://www.arb.ru/site/docs/other/Kom19_Pismo6_30-06-2010.pdf<br />
  17. 17. «Письмо шестерых» и новая редакция СТО БР ИББС<br />+7 (495) 921 1410 / www.leta.ru<br />Общие положения <br />СТО БР ИББС-1.0-2010<br />Аудит информационной безопасности<br />СТО БР ИББС-1.1-2007<br />Методика оценки соответствия<br />СТО БР ИББС-1.2-2010<br />РС БР ИББС-2.0-2007 Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0<br />РС БР ИББС-2.1-2007 Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0<br />Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации<br />РC БР ИББС-2.2-2009 Методика оценки рисков нарушения информационной безопасности<br />РС БР ИББС-2.3-2010 Требования по обеспечению безопасности ПДн<br />РС БР ИББС-2.4-2010 Отраслевая частная модель угроз безопасности ПДн<br />
  18. 18. +7 (495) 921 1410 / www.leta.ru<br />ИТОГО Организаций БС РФ, принявших СТО БР ИББС с июля 2010 года<br />
  19. 19. Ход проекта по стандарту СТО БР ИББС<br />+7 (495) 921 1410 / www.leta.ru<br />
  20. 20. Переход на новую версию стандарта<br />+7 (495) 921 1410 / www.leta.ru<br />Проведение работ по персональным данным:<br /><ul><li>Анализ порядка обработки ПДн
  21. 21. Выделение и классификация ИСПДн (по определению стандарта)
  22. 22. Реализация требований в зависимости от класса ИСПДн</li></ul>Доработка СОИБ<br />Аудит по требованиям СТО БР ИББС/Самооценка (с учетом новых показателей)<br />
  23. 23. Внедрение ПДн в рамках Сто бР ИББС<br />+7 (495) 921 1410 / www.leta.ru<br />Экспресс-оценка<br /><ul><li>Проведение работ по персональным данным:
  24. 24. Анализ порядка обработки ПДн
  25. 25. Выделение и классификация ИСПДн (по определению стандарта)
  26. 26. Реализация требований в зависимости от класса ИСПДн</li></ul>Аудит/Самооценка по требованиям СТО БР ИББС (с учетом новых показателей)<br />
  27. 27. СТО БР ИББС и pcidss<br />+7 (495) 921 1410 / www.leta.ru<br />
  28. 28. Участие в проекте<br />+7 (495) 921 1410 / www.leta.ru<br />Внедрение СТО БР ИББС предполагает вовлечение:<br />ТОР-менеджмента<br />Бизнес-подразделений<br /><ul><li>Отдел кадров
  29. 29. Бухгалтерия
  30. 30. Коммерческая служба
  31. 31. и т.п.</li></ul>ИТ-службы<br />ИБ-службы<br />Службы безопасности<br />
  32. 32. СТО БР ИББС: Ключевые моменты<br />+7 (495) 921 1410 / www.leta.ru<br />Проект по внедрению СТО БР ИББС:<br />Для полноценной реализации требует от 1 года<br />Предполагает «бесконечный» цикл совершенствования<br />Требует поддержки и кадрового ресурса<br />Вполне реализуем!<br />
  33. 33. Что еще ожидать?<br />+7 (495) 921 1410 / www.leta.ru<br />Соответствие требованиям PCI DSS<br />242-П (непрерывность деятельности)<br />Федеральный закон «О национальной платежной системе»<br />Безопасность БЭСП<br />Другие требования ЦБ в области ИБ<br />и т.д.<br />
  34. 34. КОНТАКТНАЯ ИНФОРМАЦИЯ<br />Царев Евгений<br />Заместитель директора <br />Департамента продуктов и услуг<br />e-mail: ETsarev@leta.ru<br />Компания LETA<br />109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр.2 <br />Тел./факс: +7 (495) 921-1410<br />Единая служба сервисной поддержки: + 7 (495) 921-1410 <br />www.leta.ru<br />© 2010 LETA IT-company. All rights reserved.<br />This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.<br />

×