Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
В презентации приводится обзор приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и приказа Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Закон "О персональных данных": грядут переменыValery Bychkov
Презентация с вебинара в сообществе Смартсорсинг. Ведущий: Макс Лагутин, серийный предприниматель, CEO проекта Б-152, специалист по информационной безопасности, обладатель mini-MBA "Менеджмент в сфере интернет-технологий", резидент бизнес-инкубатора HSE-Inc, участник программы акселерации TexDrive.
Основные темы вебинара:
Изменения законодательства в области персональных данных: что ждет компании в 2013 году
Послабление по требованиям защиты персональных данных
Тренды 2013: изменение взгляда операторов персональных данных
Решения Cisco для защиты персональных данныхCisco Russia
Мы постоянно находимся под контролем различных государственных и муниципальных органов власти, коммерческих и правоохранительных структур. Паспортные столы и поликлиники, банки и пенсионные фонды, гостиницы и ЖЭКи, ГИБДД и избирательные комиссии, кадровые агентства и HR-подразделения работодателей... Все они собирают, группируют, анализируют, систематизируют, передают, получают персональные данные о нас. И не всегда они прилагают усилия для охраны этих сведений; зачастую теряя их или продавая мошенникам и нечистым на руку покупателям.
Защита персональных данных (ПДн) последние годы была и остается одной из острейших проблем в информационной сфере и взаимоотношениях государства, граждан и бизнеса. Постоянные утечки информации из государственных органов, банков, операторов связи и медицинских учреждений, продажа этих данных в Интернете или на компьютерных лотках; все это наносит ущерб и нарушает основные права на неприкосновенность частной жизни, дарованные каждому гражданину Конституцией РФ.
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
Почему любой интернет-магазин — это информационная система обработки персональных данных (ИСПДн)?
Какие основные нормы законодательства сейчас действуют в данной сфере и напрямую затрагивают Интернет-торговлю?
Что нужно сделать владельцу интернет-магазина, чтобы спать спокойно, хотя бы в части соблюдения законодательства о персональных данных?
Какая сейчас сложилась практика по защите персональных данных на веб-сайтах и куда смотрит Роскомнадзор?
Какие существуют типовые походы к обеспечению должного уровня защищенности ИСПДн?
Как выбрать правильного провайдера для хостинга интернет-магазина?
Изменения в законодательстве по защите персональных данных: как выполнить нов...Security Code Ltd.
Изменения в законодательстве по защите персональных данных: как выполнить новые требования.
Директор по маркетингу Андрей Степаненко
Вебинар 19 июня 2013 г.
Михаил Яценко Закон «О персональных данных». Практика примененияНадт Ассоциация
Михаил Яценко, исполнительный директор Национальной Ассоциации Дистанционной Торговли, выступил с докладом на тему «Закон о персональных данных. Практика применения». В своем выступлении Михаил Яценко рассказал об опыте организации работы с персональными данными и типичных проблемах, возникающих при этом.
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days
Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.
NIST has updated the Cybersecurity Framework to version 2.0 (CSF 2.0). Key changes include a new "Govern" function, updated categories and subcategories, and expanded guidance on using profiles and implementation examples. CSF 2.0 also emphasizes supply chain risk management and alignment with other frameworks. The update aims to reflect the evolving cybersecurity landscape and help organizations better manage cybersecurity risks.
Every CISO should know how to create and implement information security policies. The best approach is defined in the ISO 27001 standard and presented in the attached presentation, "ISMS Documented Information"
The document summarizes the results of the 2022 ISO Survey, which estimates the number of valid ISO management system certificates as of December 31, 2022. It finds that ISO 27001 certificates increased by 22% in 2022 to a total of 71,549 certificates covering 120,128 sites. The top countries for ISO 27001 certificates are China, Japan, the United Kingdom, India, and Italy. The largest sectors covered are information technology, transport/storage/communication, and other services.
The document provides an overview of 12 privacy frameworks that can be used to develop comprehensive privacy programs. It describes each framework, including its organization, cost, and key benefits. The top frameworks are ISO 29100, ISO 27701, the ICO Accountability Framework, and the TrustArc-Nymity Framework. They provide standards, guidelines and best practices for building privacy into products and governance. The document aims to help privacy professionals select the most appropriate framework for their needs without needing to reinvent existing approaches.
This document discusses cybersecurity frameworks and provides an overview of the most popular frameworks. It begins by defining frameworks, regulations, standards and guidelines. Some of the main benefits of frameworks mentioned are providing a comprehensive security baseline, enabling measurement and benchmarking, and demonstrating maturity. Twelve of the most popular frameworks are then listed and described briefly. The document outlines different types of frameworks and provides tips for choosing an appropriate framework based on mandatory requirements, country practices, industry usage, certification needs, organization size and maturity. It also discusses mappings between frameworks and attributes of information security controls.
The document summarizes the journey of the NIST Cybersecurity Framework from version 1.1 to the upcoming version 2.0. It provides an overview of the key components of version 1.1 and the motivation for an update. Version 2.0 includes significant updates like a new "Govern" function, changes to categories and subcategories, more implementation guidance, and an emphasis on supply chain risk management. The draft of version 2.0 is available for public comment through November 2023, with the final version planned for early 2024.
This document provides an agenda and overview for implementing an Information Security Management System (ISMS) using an ISMS Implementation Toolkit. It discusses what an ISMS toolkit is and important considerations when using one. It then lists the top 5 ISMS toolkits and provides details on the author's own toolkit. Finally, it outlines a 20+1 step process for implementing an ISMS using the toolkit, with each step briefly described.
1. The document discusses how ChatGPT can be used to assist with implementing an Information Security Management System (ISMS) according to ISO 27001. It provides 8 ways ChatGPT may help including clarifying concepts, providing implementation guidance, assisting with policy development, and troubleshooting issues.
2. The document explains that while ChatGPT can offer assistance, it should not replace professional advice. Effective prompts are important to receive relevant responses, and all information from ChatGPT needs to be critically evaluated.
3. The document acknowledges some limitations of ChatGPT, like providing outdated references to the previous ISO 27001 version and failing to generate some example templates completely. Overall, ChatGPT is framed as
This document discusses key privacy principles for protecting personally identifiable information. It outlines seven main privacy principles from standards like the GDPR and ISO: 1) Lawfulness, fairness and transparency, 2) Purpose limitation, 3) Data minimization, 4) Accuracy, 5) Storage limitation, 6) Integrity and confidentiality (security), and 7) Accountability. It explains each principle in 1-2 sentences and provides examples of how organizations can implement the principles in their privacy practices and policies.
This document provides an overview and agenda for a presentation on ISO 27001 and information security management systems (ISMS). It introduces key terms like information security, the CIA triad of confidentiality, integrity and availability. It describes the components of an ISMS like policy, procedures, risk assessment and controls. It explains that ISO 27001 specifies requirements for establishing, implementing and maintaining an ISMS. The standard is popular because it can be used by all organizations to improve security, comply with regulations and build trust. Implementing an ISMS also increases awareness, reduces risks and justifies security spending.
This document provides an overview of changes between the 2018 and 2022 versions of ISO 27005, which provides guidance on managing information security risks. Some key changes include aligning terminology with ISO 31000:2018, adjusting the structure to match ISO 27001:2022, introducing risk scenario concepts, revising and restructuring annexes, and providing additional examples and models. The 2022 version contains 62 pages compared to 56 pages previously and has undergone terminology, process, and content updates to align with updated ISO standards and better support organizations in performing information security risk management.
The document summarizes the key changes between ISO 27001:2022 and the previous 2013 version. Some of the main changes include:
1. A new name that includes cybersecurity and privacy protection.
2. Shorter at 19 pages compared to 23.
3. New terminology and structure for some clauses around objectives, communication, monitoring and management review.
4. A new annex with 93 controls categorized by type and security properties, compared to the previous 114 controls.
5. Organizations will need to evaluate their existing ISMS and make updates to address the new requirements and structure of ISO 27001:2022.
The document summarizes the results of the 2021 ISO survey, reporting that as of December 31, 2021 there were 58,687 valid ISO 27001 information security certificates covering 99,755 sites globally. It provides breakdowns of the number of certificates and sites by country and sector. The countries with the most ISO 27001 certificates are China, Japan, the United Kingdom, India, and Italy. The sector with the most certificates is information technology.
This document provides information about Data Protection Impact Assessments (DPIAs). It begins with an introduction and agenda. It then covers the definition of a DPIA, why they are needed, when they are mandatory under GDPR, and what they should include. It discusses templates, methodologies, and examples of high risk factors that require a DPIA. It also provides the presenter's templates for a DPIA, including a lighter version, and discusses ways to improve the templates by making them more specific and complicated. The document is an overview of DPIAs aimed at helping organizations understand and comply with requirements.
The document discusses standards and frameworks for managing information security risks in supplier relationships. It defines key terms related to acquirers, suppliers, and supply chains. It outlines controls from ISO 27001, NIST CSF, and NIST SP 800-53 related to supply chain risk management. These controls address supplier agreements, monitoring performance, and risk treatment. The document also discusses ISO 27036 which provides guidance for securing information in supplier relationships, and NIST SP 800-161 which provides practices for managing cybersecurity supply chain risks.
The document discusses employee monitoring and privacy. It covers surveillance methods used by organizations to monitor employees, including email, internet, software, video, and location monitoring. Specific considerations for remote work are outlined. Legal requirements for employee monitoring from the GDPR, local data protection and labor laws are examined. The document also discusses balancing security and privacy as seen from the perspectives of a CISO and DPO. Risks of inadequate monitoring and examples of GDPR fines for violations are provided. Principles for lawful employee monitoring and recommendations for internal policies are presented.
The document discusses using a RACI (Responsible, Accountable, Consulted, Informed) chart to assign roles and responsibilities for GDPR implementation. It provides an introduction to RACI charts, an example from the speaker's company that outlines its data protection framework, governance model and 21 GDPR activities, and the speaker's resulting RACI chart. The speaker advocates for RACI charts to provide a clear overview of participation in tasks and recommends periodic reviews to keep the chart updated.
More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)
4. SOLAR SECURITY Информационная безопасность, GDPR
4
• Больше векторов атак («цифровая эпоха») и
новых рисков (в т.ч. privacy)
• Угроз меньше не становится
• Стоимость атак снижается
• Массовые атаки все сложнее и целевых атак
все больше
• Атаки сложно (и дорого) обнаруживать
• Киберкриминал – это организованный бизнес
• Ожидаем кибервойны (может они уже и идут)
• «Бумажная» безопасность не защищает
• Смещается фокус от предупреждения угроз к
реагированию на инциденты ИБ
• ИБ начинает опаздывать?
• …
Почему ИБ все актуальнее? И что будет дальше?
6. SOLAR SECURITY Информационная безопасность, GDPR
6
Что такое GDPR?
• General Data Protection Regulation (GDPR) –
это новый европейский регламент по
защите персональных данных, единый для
28 стран ЕС
• Заменяет собой Directive 95/46/EC (1995)
• Принят 27 April 2016
• Вступает в силу 25 May 2018
• Регулятор: European Parliament, Council of
the European Union
• Ссылка на текст - http://bit.ly/1TlgbjI
• Очень много положений про «цифровые
технологии» (IoT, профилирование, BigData,
cookies и пр.)
7. SOLAR SECURITY Информационная безопасность, GDPR
7
Назначение и цели GDPR
Статья 1. Предмет и цели
1. Настоящий Регламент устанавливает нормы, связанные с
защитой физических лиц в отношении обработки
персональных данных и нормы, касающиеся свободного
перемещения персональных данных.
2. Настоящий Регламент защищает основные права и
свободы физических лиц, и, в частности, их право на защиту
персональных данных.
3. Свободное перемещение персональных данных в рамках
Евросоюза не должно быть ни ограничено, ни запрещено
для целей защиты физических лиц в отношении обработки
персональных данных.
8. SOLAR SECURITY Информационная безопасность, GDPR
8
«Контролёр» (controller) – означает физическое или
юридическое лицо, государственный орган, агентство
или иной орган, который самостоятельно или совместно
с другими, определяет цели и средства обработки
персональных данных; в случае, когда цели и средства
такой обработки определяются правом Евросоюза или
государства-члена, контролёр, либо конкретные
критерии для его выдвижения, могут быть
предусмотрены правом Евросоюза или государства-
члена.
«Обработчик» (processor) – означает физическое или
юридическое лицо, государственный орган, агентство
или иной орган, который обрабатывает персональные
данные от имени и по поручению контролёра.
9. SOLAR SECURITY Информационная безопасность, GDPR
9
• Экстерриториальный scope (Art.3)
• Базовые принципы обработки (Art.5)
• Согласие на обработку (Art.7)
• Специальные категории ПДн (Art.9)
• Право на доступ и исправление ПДн
(Art.15,16)
• Право на забвение (Art.17)
• Право на перенос / получение копии
данных (Art.20)
• Профилирование и мониторинг (Art.21,
22) + cookies (п.30)
• Контролер (Controller) и Обработчик
(Processor) (Art.24-31)
• Официальный представитель в ЕС
(Art.27)
• Проектируемая безопасность / «Data
protection by design and by default»
(Art.32)
• Уведомление надзорного органа об
утечках (Art.33)
• Уведомление субъектов ПДн об
утечках (Art.34)
• Оценка воздействия (Data Protection
Impact Assessment, DPIA) и
предварительная консультация с
надзорным органом (Art.35, 36)
• Инспектор по защите данных (Data
protection officer, DPO) (Art.37-39)
• Сертификация защиты данных (Art.42)
• Право на компенсацию материального
и нематериального ущерба (Art.82)
• Штрафы и санкции (Art.58.2, 83)
Важные положения GDPR
10. SOLAR SECURITY Информационная безопасность, GDPR
10
Важные вопросы GDPR в России
1. Как GDPR повлияет на ИБ?
2. А будет ли распространяться GDPR на российские
компании? На какие?
3. Какие риски несет GDPR для российских компаний?
4. Мы выполняем требования 152-ФЗ, что еще надо
сделать? Какие есть сложные моменты? Как можно
оптимизировать расходы?
5. Нужно торопиться или стоит подождать?
11. SOLAR SECURITY Информационная безопасность, GDPR
11
Безопасность ПДн
Статья 32 Безопасность обработки
1. Принимая во внимание современный уровень развитие техники, затраты, связанные с внедрением, а
также характер, объем, контекст и цели обработки, а равно и вероятностное возникновение рисков и
опасности для прав и свобод физических лиц, контролёр и обработчик должны осуществлять
соответствующие технические и организационные меры, обеспечивающие надлежащий уровень
безопасности соразмерный этим рискам, включая, среди прочего, следующее:
• (a) псевдонимизация и криптографическая защита персональных данных;
• (b) средства для обеспечения постоянной конфиденциальности, целостности, доступности и
устойчивости систем обработки и услуг;
• (с) средства своевременного восстановления доступности и доступа к персональным данным в
случае природного или технического инцидента;
• (d) процедура регулярной проверки и оценки эффективности технических и организационных мер,
обеспечивающая безопасность обработки.
2. При определении надлежащего уровня безопасности, в расчет должны приниматься в том числе
риски, которые представляет собой сама обработка, в особенности риски от случайного или
неправомерного уничтожения, потери, изменения, несанкционированного раскрытия или доступа к
персональным данным переданным, сохраненным либо или иным образом обработанным. …
Статья 33. Уведомление надзорного органа об утечке персональных данных
Статья 34. Сообщение субъекту данных об утечке персональных данных
12. SOLAR SECURITY Информационная безопасность, GDPR
12
Возможные риски GDPR для
российских компаний
• Крупные штрафы (до 20 000 000 евро / 4% годового оборота)
• Компенсация материального и морального ущерба
• Нарушение доступности веб-сайта для субъектов ПДн в ЕС
(возможны блокировки)
• Нарушение коммерческих и некоммерческих отношений с
компаниями, расположенными в ЕС
• Ухудшение репутации на международном рынке
(если попадают в scope)
13. SOLAR SECURITY Информационная безопасность, GDPR
13
152-ФЗ GDPR
Актуально для России Да Да, но не всем
Риски для бизнеса • Ст.13.11 КоАП, 7 оснований
(до 75 000 рублей)
• Компенсация материального
и морального ущерба
(но норма не работает)
• Блокировка сайта
• Крупные штрафы (до 20 млн
евро / 4% годового оборота)
• Компенсация материального
и морального ущерба
• Блокировка сайта
Фокус на соблюдение прав субъектов ПДн:
• Право знать о порядке обработки
• Право на забвение
• Право на перенос / получение копии данных
• Право знать об утечках
…
Да
Да
Нет
Нет
Да
Да
Да (Art.20)
Да (Art.34)
Оценка рисков ИБ • Оценка вреда субъекту 152-
ФЗ (ст.18.1)
• Модель угроз и модель
нарушителя
• Data Protection Impact
Assessment (DPIA) (Art.35)
Фокус на принцип «Data protection by
design and by default» / «Проектируемая
безопасность» (анонимизация,
псевдонимизация, шифрование)
Скорее Да,
но об этом мало кто
задумывается
Да (Art.32)
Выделенный ответственный сотрудник Да, и за обработку и за ИБ Да, Data protection officer (DPO)
(Art.37-39)
+Представитель в ЕС (Art.27)
Уведомление надзорного органа об утечках ПДн Нет Да, за 72ч (Art.33)
Вариант 2.0
15. SOLAR SECURITY Информационная безопасность, GDPR
15
Article 3
Territorial scope
1.This Regulation applies to the processing of
personal data in the context of the activities
of an establishment of a controller or a
processor in the Union, regardless of
whether the processing takes place in the
Union or not.
Статья 3
Территориальная сфера применения
1.Настоящий Регламент применяется к
обработке персональных данных в
контексте деятельности по учреждению
контролёра или обработчика в
Евросоюзе, независимо от того,
осуществляется ли обработка в
Евросоюзе, или нет.
Про сферу применения GDPR
16. SOLAR SECURITY Информационная безопасность, GDPR
16
2.This Regulation applies to the processing of
personal data of data subjects who are in
the Union by a controller or processor not
established in the Union, where the
processing activities are related to:
(a) the offering of goods or services,
irrespective of whether a payment of the
data subject is required, to such data
subjects in the Union; or
(b) the monitoring of their behaviour as far
as their behaviour takes place within the
Union.
3.This Regulation applies to the processing of
personal data by a controller not established
in the Union, but in a place where Member
State law applies by virtue of public
international law.
2.Настоящий Регламент применяется к
обработке ПДн субъектов ПДн,
находящихся в Евросоюзе, обработанных
контролёром или обработчиком, которые
не учреждены в Евросоюзе, когда
деятельность по обработке связана с:
(а) предложением товаров или услуг, вне
зависимости от того, требуется ли
оплата от этого субъекта данных в
Евросоюзе; или
(b) мониторингом их действий, поскольку
их действия совершаются на территории
Евросоюза.
3.Настоящий Регламент применяется в
отношении обработки ПДн контролёром,
не учрежденном в Евросоюзе, а
учрежденном в том месте, в котором
применяется право государства - члена в
силу международного публичного права.
17. SOLAR SECURITY Информационная безопасность, GDPR
17
Обобщим про scope и ищем себя
GDPR прямого действия:
1. Организации, учрежденные в ЕС и являющиеся операторами (controllers) и/или
обработчиками (processors) ПДн. Например, дочерние предприятия и филиалы
российских компаний в ЕС.
2. Организации, не учрежденные в ЕС и являющиеся операторами (controllers) и/или
обработчиками (processors) ПДн, и вид деятельности которых связан с:
• Предоставлением товаров и сервисов субъектам ПДн в ЕС. Например, продажа
европейцам билетов транспортных компаний через сайты в сети Интернет,
продажа интернет-сервисов (например, онлайн-кинотеатры, музыка, онлайн-
игры и пр.), бронирование гостиниц, оказание услуг мобильной связи в
европейском роуминге и пр.
• Мониторингом поведения субъектов ЕС. Например, сбор cookie-файлов
посетителей сайта в сети Интернет.
Но есть еще и GDPR опосредованного действия:
1. Обработка ПДн по поручению европейского оператора (controllers) и/или
обработчика (processors) -> становимся обработчиком. В случае проблем
(например, утечки ПДн) «спросят» с европейской компании, а она уже с нас в
соответствии с договором… Например, хостинг данных в российском ЦОДе по
поручению.
18. SOLAR SECURITY Информационная безопасность, GDPR
18
Кому в РФ стоит опасаться GDPR?
• Компаниям на территории ЕС (очевидно)
• Компаниям, оказывающим услуги «в роуминге» (например, банки и
телеком)
• Компаниям, регулярно обрабатывающим ПДн граждан ЕС (например,
гостиницы и тур.фирмы)
• Компаниям, собирающим ПДн на сайтах в сети Интернет (особенно с
системой оплаты)
• Разработчикам приложений, собирающих ПДн пользователей
• Просто крупным сайтам в сети Интернет (сбор cookies)
• Компаниям, получающим ПДн субъектов из ЕС от других организаций на
основании договора
• Компаниям, собирающим общедоступные ПДн субъектов ПДн из ЕС
!!!
!!
!