Требования законодательства по защите персональных данных в Беларуси и их взаимосвязь. С гиперссылками на тексты нормативных правовых актов.
+ Добавлен раздел про ответственность за нарушения законодательства.
Legislation and Responsibility (VMUG #7 Belarus)Вячеслав Аксёнов
Дополнительные материалы к докладу на конференции «VMUG #7 Belarus».
Требования НПА и ТНПА Республики Беларусь в области информационной безопасности.
Уголовная и административная ответственность за нарушения в области защиты информации.
Requirements of the legislation of the Republic of Belarus in the field of information protection. My presentation from the online seminar "Compliance with the requirements of the legislation of the Republic of Belarus in the field of information security" (short version)
Risks of non-compliance with regulatory requirementsВячеслав Аксёнов
Презентация моего выступления «Риск несоответствия действующему законодательству РБ в области защиты информации - или что будет если завтра к вам придёт проверка регулятора?» на семинаре «Управление рисками информационной безопасности в IT-компаниях».
презентация "затравка" для Методического сбора со штатными специалистами исполнительные органы государственной власти Томской области (ИОГВ ТО) на тему «Выполнение плана мероприятий по устранению недостатков, выявленных комиссией ФСТЭК России при проверке состояния работ по технической защите конфиденциальной информации в исполнительных органах государственной власти Томской области
Legislation and Responsibility (VMUG #7 Belarus)Вячеслав Аксёнов
Дополнительные материалы к докладу на конференции «VMUG #7 Belarus».
Требования НПА и ТНПА Республики Беларусь в области информационной безопасности.
Уголовная и административная ответственность за нарушения в области защиты информации.
Requirements of the legislation of the Republic of Belarus in the field of information protection. My presentation from the online seminar "Compliance with the requirements of the legislation of the Republic of Belarus in the field of information security" (short version)
Risks of non-compliance with regulatory requirementsВячеслав Аксёнов
Презентация моего выступления «Риск несоответствия действующему законодательству РБ в области защиты информации - или что будет если завтра к вам придёт проверка регулятора?» на семинаре «Управление рисками информационной безопасности в IT-компаниях».
презентация "затравка" для Методического сбора со штатными специалистами исполнительные органы государственной власти Томской области (ИОГВ ТО) на тему «Выполнение плана мероприятий по устранению недостатков, выявленных комиссией ФСТЭК России при проверке состояния работ по технической защите конфиденциальной информации в исполнительных органах государственной власти Томской области
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
В презентации приводится обзор приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и приказа Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Закон "О персональных данных": грядут переменыValery Bychkov
Презентация с вебинара в сообществе Смартсорсинг. Ведущий: Макс Лагутин, серийный предприниматель, CEO проекта Б-152, специалист по информационной безопасности, обладатель mini-MBA "Менеджмент в сфере интернет-технологий", резидент бизнес-инкубатора HSE-Inc, участник программы акселерации TexDrive.
Основные темы вебинара:
Изменения законодательства в области персональных данных: что ждет компании в 2013 году
Послабление по требованиям защиты персональных данных
Тренды 2013: изменение взгляда операторов персональных данных
Аттестация объектов информатизации по требованиям безопасности информациSoftline
Аттестация объектов информатизации по требованиям безопасности информации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
Комплексные проекты в области защиты персональных данных. Аудит, консалтинг, внедрение сертифицированных средств защиты, разработка документации и подготовка к проверкам регуляторов.
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
В презентации приводится обзор приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и приказа Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Закон "О персональных данных": грядут переменыValery Bychkov
Презентация с вебинара в сообществе Смартсорсинг. Ведущий: Макс Лагутин, серийный предприниматель, CEO проекта Б-152, специалист по информационной безопасности, обладатель mini-MBA "Менеджмент в сфере интернет-технологий", резидент бизнес-инкубатора HSE-Inc, участник программы акселерации TexDrive.
Основные темы вебинара:
Изменения законодательства в области персональных данных: что ждет компании в 2013 году
Послабление по требованиям защиты персональных данных
Тренды 2013: изменение взгляда операторов персональных данных
Аттестация объектов информатизации по требованиям безопасности информациSoftline
Аттестация объектов информатизации по требованиям безопасности информации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
Комплексные проекты в области защиты персональных данных. Аудит, консалтинг, внедрение сертифицированных средств защиты, разработка документации и подготовка к проверкам регуляторов.
Презентация ГЭНДАЛЬФ подключение к РЦОИ «ГК ГЭНДАЛЬФ»
Организация безопасной передачи данных по ЕГЭ в соответствии с Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных».
Мармоленко С., представитель группы компаний «ГЭНДАЛЬФ»
Аксёнов_Оценка и управление рисками информационной безопасности в организации...Вячеслав Аксёнов
В книгу включены презентации, материалы для практических занятий, примеры и формы документов моего авторского курса «Оценка и управления рисками информационной безопасности», который преподается с 2017 года
Краткая презентация первого модуля авторского курса «Разработка, внедрение и аудит системы менеджмента информационной безопасности в соответствии с требованиями ISO/IEC 27001» https://edu.softline.by/courses/isms.html
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
ISO/IEC 27001:2013. Особенности аудита и реализации требований стандарта в Республике Беларусь. Памятка для Compliance менеджера
Clouds security (responsibility and information relations)Вячеслав Аксёнов
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
Защита информации в информационной системе, размещенной в облаке: распределение ответственности между участниками информационных отношений.
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
Презентация моего доклада на BEST ENGINEERING EVENT OF THE REPUBLIC (B.E.E.R 2021). https://itg.by/
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
Курс: Создание автоматизированных систем в защищенном исполнении.
Курс предназначен для руководителей и специалистов подразделений ответственных за создание автоматизированных (информационных) систем в защищенном исполнении. В курсе подробно рассматривается содержание и порядок выполнения работ на стадиях и этапах создания автоматизированных (информационных) систем (в том числе в защищенном исполнении) с учетом требований нормативных правовых актов Республики Беларусь об информации, информатизации и защите информации, положений отечественных и международных стандартов в области информационной безопасности. В рамках курса основное внимание уделяется практическим вопросам разработки документации на автоматизированную (информационную) систему на стадиях жизненного цикла.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Техническая защита персональных данных в Беларуси (Версия 2)
1. Закон РБ от 07.05.2021 г. № 99-З
«О защите персональных данных»
Ответственный за осуществление
внутреннего контроля за обработкой
ПДн
Политика в отношении обработки ПДн
+ ознакомление с ней работников
Порядок доступа к ПДн
Техническая и криптографическая
защита ПДн в порядке, установленном
ОАЦ
Согласие субъекта ПДн + исключения
Право на отзыв согласия
Право на получение информации, касающейся
обработки ПДн, и изменение ПДн
Право на получение информации о предоставлении
ПДн третьим лицам
Право требовать прекращения обработки ПДн и (или)
их удаления
Порядок подачи заявления субъектом ПДн оператору
Право на обжалование действий (бездействия) и
решений оператора, связанных с обработкой ПДн
ТР «Информационные технологии. Средства защиты информации.
Информационная безопасность» (ТР 2013/027/BY). Постановление Сов Мин РБ
15.05.2013 № 375 (в редакции от 12.03.2020 № 145)
Перечень государственных стандартов,
взаимосвязанных с TP 2013/027/BY.
Приказ ОАЦ от 12.03.2020 № 77
Положение о порядке аттестации
Приказ ОАЦ от 20.02.2020 № 66
Положение о порядке представления в ОАЦ сведений о событиях ИБ, состоянии ТЗИ и КЗИ.
Приказ ОАЦ от 20.02.2020 № 66
Положение о порядке ТЗИ и КЗИ
Приказ ОАЦ от 20.02.2020 № 66
Политика ИБ
Регламентированные процессы
52 требования
Тех задание
Общая схема системы защиты
Сертифицированные средства защиты
(Rout, VPN, FW, IPS, Antivirus)
Аттестация системы защиты
Дополнительная отчетность
Ответственный за ТЗИ и КЗИ
Положение о порядке ТЗИ и КЗИ КВОИ
Приказ ОАЦ от 20.02.2020 № 66
Политика ИБ (дополнительные требования)
Регламентированные процессы (аналогичные
ISO/IEC 27001)
74 требования
Формуляр с детальным описанием системы
(ДСП)
Сертифицированные средства защиты
(+ DLP)
Ежегодный аудит
Дополнительная отчетность
Ответственный за ТЗИ и КЗИ КВОИ
Если
субъектов ПДн
>500 тыс
Постановление
Совета
Министров
РБ
от
12
августа
2014
г.
№
783
О
служебной
информации
ограниченного
распространения
и
информации,
составляющей
коммерческую
тайну
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ:
персональные данные (ПДн) – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в
профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также
биометрические и генетические персональные данные;
биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека, которая используется для его
уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое);
генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит
уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца;
общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в
соответствии с требованиями законодательных актов.
ТЕХНИЧЕСКАЯ И КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
В РЕСПУБЛИКЕ БЕЛАРУСЬ
Закон РБ от 10.11.2008 г. № 455-З «Об информации, информатизации и защите информации».
Закон РБ от 07.05.2021 г. № 99-З «О защите персональных данных».
Положение о технической и криптографической защите информации. Указ Президента РБ от 16.04.2013 № 196 (в редакции Указа Президента РБ от 09.12.2019 № 449).
Технический регламент Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY). Постановление Сов Мин РБ 15.05.2013 № 375
(в редакции постановления Совета Министров РБ 12.03.2020 № 145).
О служебной информации ограниченного распространения и информации, составляющей коммерческую тайну. Постановление Совета Министров РБ от 12 августа 2014 г. № 783.
Перечень государственных стандартов, взаимосвязанных с техническим регламентом Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность»
(TP 2013/027/BY). Приказ ОАЦ от 12.03.2020 № 77.
Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой
ограничено. Приказ ОАЦ от 20.02.2020 № 66.
Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено. Приказ
ОАЦ от 20.02.2020 № 66.
Положение о порядке технической и криптографической защиты информации, обрабатываемой на критически важных объектах информатизации. Приказ ОАЦ от 20.02.2020 № 66.
КОДЕКС РЕСПУБЛИКИ БЕЛАРУСЬ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ.
УГОЛОВНЫЙ КОДЕКС РЕСПУБЛИКИ БЕЛАРУСЬ
КОДЕКС РЕСПУБЛИКИ БЕЛАРУСЬ ОБ
АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ
УГОЛОВНЫЙ КОДЕКС РЕСПУБЛИКИ БЕЛАРУСЬ
203-1. Незаконные действия в отношении информации о частной жизни и персональных данных
1. Умышленные незаконные сбор, предоставление информации о частной жизни и (или) персональных данных другого лица без его согласия,
повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина, – наказываются общественными
работами, или штрафом, или арестом, или ограничением свободы на срок до двух лет, или лишением свободы на тот же срок.
2. Умышленное незаконное распространение информации о частной жизни и (или) персональных данных другого лица без его согласия,
повлекшее причинение существенного вреда правам, свободам и законным интересам гражданина, – наказывается ограничением свободы
на срок до трех лет или лишением свободы на тот же срок со штрафом.
3. Действия, предусмотренные частями 1 или 2 настоящей статьи, совершенные в отношении лица или его близких в связи с осуществлением
им служебной деятельности или выполнением общественного долга, – наказываются ограничением свободы на срок до пяти лет или
лишением свободы на тот же срок со штрафом.
Статья 203-2. Несоблюдение мер обеспечения защиты персональных данных
Несоблюдение мер обеспечения защиты персональных данных лицом, осуществляющим обработку персональных данных, повлекшее по
неосторожности их распространение и причинение тяжких последствий, – наказывается штрафом, или лишением права занимать
определенные должности или заниматься определенной деятельностью, или исправительными работами на срок до одного года, или
арестом, или ограничением свободы на срок до двух лет, или лишением свободы на срок до одного года.
Статья 23.7. Нарушение законодательства о защите персональных данных
Умышленные незаконные сбор, обработка, хранение или предоставление
персональных данных физического лица либо нарушение его прав,
связанных с обработкой персональных данных, – влекут наложение
штрафа в размере до 50 базовых величин (БВ).
Деяния, предусмотренные частью 1 настоящей статьи, совершенные
лицом, которому персональные данные известны в связи с его
профессиональной или служебной деятельностью, – влекут наложение
штрафа в размере от 4 до 100 БВ.
Умышленное незаконное распространение персональных данных
физических лиц – влечет наложение штрафа в размере до 200 БВ.
Несоблюдение мер обеспечения защиты персональных данных
физических лиц – влечет наложение штрафа в размере от 2 до 10 БВ, на
индивидуального предпринимателя – от 10 до 25 БВ, а на юридическое
лицо – от 20 до 50 БВ.