Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Ontico
За последние пару лет государство все активнее обращает внимание на вопросы безопасности персональных данных, их обработки, все больше компаний задумываются о данных вопросах.
Вопросов очень много, но все не так страшно, как кажется на первый взгляд. Мы разберемся с основой персональных данных, какие существуют классы, и какие типы данных относятся к ним. Важно понять, что действительно нужно Вам и Вашему бизнесу, а не гнаться "за всеми данными", которые можно получить от клиента.
Безопасность — второй не менее важный вопрос в персональных данных. Можно защищать по закону, можно по "IТ понятиям". Рынок средств защиты данных большой, но что выбрать? Покупаем готовое или создаем свое? Мы поговорим о том, какие плюсы и минусы у данных подходов.
Все не так страшно, как преподносят. В большинстве случаев достаточно заранее подумать о подходах, что Вам действительно нужно и как будете защищать — все это очень сильно поможет при аттестации систем. Главное — почувствовать грань между законом и бизнесом.
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days
Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Ontico
За последние пару лет государство все активнее обращает внимание на вопросы безопасности персональных данных, их обработки, все больше компаний задумываются о данных вопросах.
Вопросов очень много, но все не так страшно, как кажется на первый взгляд. Мы разберемся с основой персональных данных, какие существуют классы, и какие типы данных относятся к ним. Важно понять, что действительно нужно Вам и Вашему бизнесу, а не гнаться "за всеми данными", которые можно получить от клиента.
Безопасность — второй не менее важный вопрос в персональных данных. Можно защищать по закону, можно по "IТ понятиям". Рынок средств защиты данных большой, но что выбрать? Покупаем готовое или создаем свое? Мы поговорим о том, какие плюсы и минусы у данных подходов.
Все не так страшно, как преподносят. В большинстве случаев достаточно заранее подумать о подходах, что Вам действительно нужно и как будете защищать — все это очень сильно поможет при аттестации систем. Главное — почувствовать грань между законом и бизнесом.
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days
Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.
Аттестация объектов информатизации по требованиям безопасности информациSoftline
Аттестация объектов информатизации по требованиям безопасности информации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
Закон "О персональных данных": грядут переменыValery Bychkov
Презентация с вебинара в сообществе Смартсорсинг. Ведущий: Макс Лагутин, серийный предприниматель, CEO проекта Б-152, специалист по информационной безопасности, обладатель mini-MBA "Менеджмент в сфере интернет-технологий", резидент бизнес-инкубатора HSE-Inc, участник программы акселерации TexDrive.
Основные темы вебинара:
Изменения законодательства в области персональных данных: что ждет компании в 2013 году
Послабление по требованиям защиты персональных данных
Тренды 2013: изменение взгляда операторов персональных данных
Презентация Дмитрий Цха, руководителя руководитель отдела консалтинга
компания LETA проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в
«Атлас Парк-Отель»
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
В презентации приводится обзор приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и приказа Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Константин Бажин
Общие сведения о ФЗ-152 "О персональных данных", основные изменения и дополнительные сведения которые операторы ПДн обязаны были предоставить в Роскомнадзор в срок до 01.01.2013
Аттестация объектов информатизации по требованиям безопасности информациSoftline
Аттестация объектов информатизации по требованиям безопасности информации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
Закон "О персональных данных": грядут переменыValery Bychkov
Презентация с вебинара в сообществе Смартсорсинг. Ведущий: Макс Лагутин, серийный предприниматель, CEO проекта Б-152, специалист по информационной безопасности, обладатель mini-MBA "Менеджмент в сфере интернет-технологий", резидент бизнес-инкубатора HSE-Inc, участник программы акселерации TexDrive.
Основные темы вебинара:
Изменения законодательства в области персональных данных: что ждет компании в 2013 году
Послабление по требованиям защиты персональных данных
Тренды 2013: изменение взгляда операторов персональных данных
Презентация Дмитрий Цха, руководителя руководитель отдела консалтинга
компания LETA проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в
«Атлас Парк-Отель»
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
В презентации приводится обзор приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и приказа Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Константин Бажин
Общие сведения о ФЗ-152 "О персональных данных", основные изменения и дополнительные сведения которые операторы ПДн обязаны были предоставить в Роскомнадзор в срок до 01.01.2013
Михаил Яценко Закон «О персональных данных». Практика примененияНадт Ассоциация
Михаил Яценко, исполнительный директор Национальной Ассоциации Дистанционной Торговли, выступил с докладом на тему «Закон о персональных данных. Практика применения». В своем выступлении Михаил Яценко рассказал об опыте организации работы с персональными данными и типичных проблемах, возникающих при этом.
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
ОТВЕТЫ УПРАВЛЕНИЯ РОСКОМНАДЗОРА
ПО ТЮМЕНСКОЙ ОБЛАСТИ, ХМАО-ЮГРЕ И ЯНАО
НА ВОПРОСЫ УЧАСТНИКОВ ВЕБИНАРА
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
КЛЮЧЕВЫЕ ИЗМЕНЕНИЯ В ЗАКОНОДАТЕЛЬСТВЕ 2013
ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"
Обзор и комментарии.
Романов Илья, CISA, CISM
Заместитель руководителя отдела консалтинга
ЗАО "ДиалогНаука"
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
Почему любой интернет-магазин — это информационная система обработки персональных данных (ИСПДн)?
Какие основные нормы законодательства сейчас действуют в данной сфере и напрямую затрагивают Интернет-торговлю?
Что нужно сделать владельцу интернет-магазина, чтобы спать спокойно, хотя бы в части соблюдения законодательства о персональных данных?
Какая сейчас сложилась практика по защите персональных данных на веб-сайтах и куда смотрит Роскомнадзор?
Какие существуют типовые походы к обеспечению должного уровня защищенности ИСПДн?
Как выбрать правильного провайдера для хостинга интернет-магазина?
Защита персональных данных в Беларуси 2021Legaltax
15.11.2021 вступает в силу Закон о защите персональных данных в Беларуси.
Мы подготовили для Вас чек-лист для проверки, готов ли Ваш бизнес к изменениям законодательства в сфере защиты персональных данных.
1. Что регулирует новый Закон?
2. Какая ответственность за нарушение регулирования по защите персональных данных?
3. Как проверить, готова ли ваша компания работать по новому Закону?
Similar to Изменения в законе о защите персональных данных (20)
SAM за 7 шагов. Рецепт для небольших компанийValery Bychkov
21 июня в сообществе Смартсорсинг прошел вебинар «SAM за 7 шагов. Рецепт для небольших компаний» на котором Дмитрий Исайченко (Cleverics), рассказал о том, как организовать процесс управления активами ПО в небольшой компании. Весь вебинар – рассказ о том, как в компании Cleverics решали задачи учёта ПО, инвентаризации, управления лицензионными соглашениями и т.д. Так что, никаких абстрактных теорий и рекомендаций – только практический опыт.
Ответственность за факапы в сервисном бизнесеValery Bychkov
Презентация с вебинара в сообществе Смартсорсинг. Ведущий вебинара — Евгений Калинин, консультант, тренер. Автор книги "RTFM. Книга про ИТ-аутсорсинг" и тренинга "Первый миллион в ИТ-аутсорсинге".
Факапы случаются. Серверы валятся, бекапы не читаются, курьеры опаздывают, документы теряются. Как бы вы ни стремились все предусмотреть, что-то обязательно пойдет не так, кто-то ошибется, и возникнет проблема.
Кто отвечает за факапы? Кто будет возмещать убытки? Как должно быть организовано взаимодействие между клиентом и поставщиком услуг, чтобы результатом проблемы не стала многолетняя война, суды, обиды и наезды.
На вебинаре «Ответственность за факапы в сервисном бизнесе» говорим о разделении ответственности между клиентом и аутсорсером, управлении рисками, о предотвращении неприятных ситуаций и о том, что делать, когда факап все же случился. О том, что такое ответственная позиция и как она помогает вам в вашей деятельности.
1. Правовое поле персональных данных.
Обзор ситуации
Евгений Царев
Заместитель директора
Департамента продуктов и услуг, MBA
+7 (495) 921 1410 / www.leta.ru
Вебинар начнем в 11.00
2. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 2+7 (495) 921 1410 / www.leta.ru
ИЗМЕНЕНИЯ В 152-ФЗ
3. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 3
ИЗМЕНЕНИЯ В…
+7 (495) 921 1410 / www.leta.ru
1. Терминологии
2. Условиях обработки ПДн
3. Разделение на «Операторов ПДн» и «Лиц,
осуществляющих обработку ПДн по поручению
оператора ПДн»
4. Порядке организации обработки и защиты ПДн
5. Форме получения согласия на обработку ПДн
6. Взаимодействия с субъектом ПДн
7. Трансграничной передаче ПДн
8. Порядке уведомления Роскомнадзора
9. Мерах по защите ПДн
10.Ответственности за неисполнение требований
закона
4. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 4+7 (495) 921 1410 / www.leta.ru
1) ИЗМЕНЕНИЯ В ТЕРМИНОЛОГИИ
5. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 5
ИЗМЕНЕНИЯ В ТЕРМИНОЛОГИИ
+7 (495) 921 1410 / www.leta.ru
Добавился термин «автоматизированная
обработка», в котором четко определено, что
использование любых средств вычислительной
техники автоматически делает обработку
автоматизированной.
Термин «обезличивание ПДн» был дополнен
уточнением, что обезличенной считается любая
информация, которая сама по себе (без
дополнительных источников информации) не
позволяет определить принадлежность ее
конкретному субъекту
6. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 6
ИЗМЕНЕНИЯ В ТЕРМИНОЛОГИИ
+7 (495) 921 1410 / www.leta.ru
Из термина «ИСПДн» исчезли фразы про
обработку без средств автоматизации.
Соответственно, исчезает и понятие смешанной
обработки в ИСПДн.
В термине «трансграничная передача ПДн»
вместо «передачи через Государственную границу
Российской Федерации», появилась «передача на
территорию иностранного государства»
7. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 7
ИТОГО. ИЗМЕНЕНИЯ В ТЕРМИНОЛОГИИ
+7 (495) 921 1410 / www.leta.ru
ПДн - все, что относится к физическому лицу.
Автоматизированная обработка – обработка
только с использованием СВТ.
ИСПДн – только те компоненты, которые
участвуют в автоматизированной обработке (базы
данных, технические средства, информационные
технологии).
Обезличивание ПДн – действия, в результате
которых невозможно утверждать, что ПДн
относятся к конкретному субъекту ПДн, т.е. ПДн
могут относиться к нескольким субъектам ПДн.
8. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 8+7 (495) 921 1410 / www.leta.ru
2) ИЗМЕНЕНИЯ В УСЛОВИЯХ ОБРАБОТКИ ПДН
9. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 9
ИЗМЕНЕНИЯ В УСЛОВИЯХ ОБРАБОТКИ ПДН
+7 (495) 921 1410 / www.leta.ru
Расширен ряд случаев, когда допускается
обработка ПДн (всего 11). Согласие на обработку
ПДн теперь является только одним из таких
случаев.
- обработка ПДн выгодоприобретателей и поручителей по
договорам (актуально для страховщиков, кредиторов и т.п.)
- обработка ПДн необходима для заключения договора по
инициативе субъекта или договора, по которому субъект будет
являться выгодоприобретателем или поручителем (резюме
кандидатов на вакантные должности, анкеты для рассмотрения
возможности предоставления кредита, заключения договора
страхования и т.д.);
- обработка ПДн третьих лиц, когда это необходимо для
осуществления их законных прав и интересов при условии, что
при этом не нарушаются права и свободы субъекта (пример –
обработка ПДн пострадавших в ДТП, которым страховщик обязан
возместить ущерб
10. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 10+7 (495) 921 1410 / www.leta.ru
3) РАЗДЕЛЕНИЕ НА «ОПЕРАТОРОВ ПДН» И «ЛИЦ,
ОСУЩЕСТВЛЯЮЩИХ ОБРАБОТКУ ПДН ПО ПОРУЧЕНИЮ
ОПЕРАТОРА ПДН»
11. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 11
РАЗДЕЛЕНИЕ НА «ОПЕРАТОРОВ ПДН» И
«ЛООПДНППОПДН»
+7 (495) 921 1410 / www.leta.ru
Оператор
организует/осуществляет обработку;
и
определяет состав персональных данных, подлежащих обработке;
и
определяет цели обработки;
и
определяет действия (операции), совершаемые с персональными
данными.
Если хотя бы один из пунктов не осуществляется, то
есть основания утверждать, что данное лицо не
является оператором ПДн, а возможно является
ЛООПДНППОПДН
12. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 12
РАЗДЕЛЕНИЕ НА «ОПЕРАТОРОВ ПДН» И
«ЛООПДНППОПДН»
+7 (495) 921 1410 / www.leta.ru
В поручении на обработку ПДн должны быть в
обязательном порядке определены:
перечень действий с ПДн, которые будут совершаться
ЛООПДНППОПДН;
цели обработки;
обязанность такого лица соблюдать конфиденциальность ПДн и
обеспечивать безопасность ПДн при их обработке;
требования к защите ПДн.
13. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 13+7 (495) 921 1410 / www.leta.ru
4) ИЗМЕНЕНИЯ В ПОРЯДКЕ ОРГАНИЗАЦИИ ОБРАБОТКИ И
ЗАЩИТЫ ПДН
14. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 14
ИЗМЕНЕНИЯ В ПОРЯДКЕ ОРГАНИЗАЦИИ
ОБРАБОТКИ И ЗАЩИТЫ ПДН
+7 (495) 921 1410 / www.leta.ru
Операторам юридическим лицам необходимо
назначить физическое либо юридическое лицо,
ответственное за организацию обработки
персональных данных.
Необходимо разработать «Политику Компании в
отношении обработки ПДн» и разместить ее на
веб-сайте (либо иным образом предоставить к
ней неограниченный доступ).
15. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 15+7 (495) 921 1410 / www.leta.ru
5) ИЗМЕНЕНИЯ В ФОРМЕ ПОЛУЧЕНИЯ СОГЛАСИЯ НА
ОБРАБОТКУ ПДН
16. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 16
ИЗМЕНЕНИЯ В ФОРМЕ ПОЛУЧЕНИЯ
СОГЛАСИЯ НА ОБРАБОТКУ ПДН
+7 (495) 921 1410 / www.leta.ru
Согласие на обработку ПДн можно получать в
любой форме (аудио, "галочки" на web-сайтах и т.
п.), включая конклюдентные действия. Главное –
доказать, что согласие было получено, т.е. не
«фальсифицировано» самим оператором.
Для письменной формы согласия введено
дополнение о необходимости указания в ней
данных о ЛООПДНППОПДН, если обработка будет
поручена такому лицу.
17. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 17+7 (495) 921 1410 / www.leta.ru
6) ИЗМЕНЕНИЯ ВО ВЗАИМОДЕЙСТВИИ С СУБЪЕКТОМ
ПДН
18. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 18
ИЗМЕНЕНИЯ ВО ВЗАИМОДЕЙСТВИИ С
СУБЪЕКТОМ ПДН
+7 (495) 921 1410 / www.leta.ru
Сроки реагирования на запросы субъектов ПДн
увеличены до 30 дней;
Повторный запрос от субъекта ПДн в целях
получения сведений от оператора, может быть
направлен не ранее чем через 30 дней.
19. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 19+7 (495) 921 1410 / www.leta.ru
7) ИЗМЕНЕНИЯ В ТРАНСГРАНИЧНОЙ ПЕРЕДАЧЕ
ПДН
20. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 20
ИЗМЕНЕНИЯ В ТРАНСГРАНИЧНОЙ
ПЕРЕДАЧЕ ПДН
+7 (495) 921 1410 / www.leta.ru
Адекватную защиту осуществляют иностранные
государства, являющиеся сторонами «Конвенции
Совета Европы…», а также другие страны,
внесенные Роскомнадзором в перечень стран,
обеспечивающих адекватную защиту. Перечня
пока нет.
Под передачей ПДн следует понимать действия,
направленные на раскрытие ПДн определенному
либо неопределенному кругу лиц, а также
предоставление возможности получения ПДн и их
использования.
21. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 21
ИЗМЕНЕНИЯ В ТРАНСГРАНИЧНОЙ
ПЕРЕДАЧЕ ПДН
+7 (495) 921 1410 / www.leta.ru
22. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 22+7 (495) 921 1410 / www.leta.ru
8) ИЗМЕНЕНИЯ В ПОРЯДКЕ УВЕДОМЛЕНИЯ
РОСКОМНАДЗОРА
23. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 23
ИЗМЕНЕНИЯ В ПОРЯДКЕ УВЕДОМЛЕНИЯ
РОСКОМНАДЗОРА
+7 (495) 921 1410 / www.leta.ru
«Новые операторы»:
Оператор до начала обработки персональных
данных обязан уведомить уполномоченный орган
по защите прав субъектов персональных данных о
своем намерении осуществлять обработку ПДн.
«Старые операторы»:
Операторы, которые осуществляли обработку
персональных данных до 1 июля 2011 года,
обязаны представить в уполномоченный орган
дополнительные сведения, не позднее 1 января
2013 года.
24. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 24+7 (495) 921 1410 / www.leta.ru
9) ИЗМЕНЕНИЯ В МЕРАХ ПО ЗАЩИТЕ ПДН
25. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 25
ИЗМЕНЕНИЯ В МЕРАХ ПО ЗАЩИТЕ ПДН
+7 (495) 921 1410 / www.leta.ru
Ст. 18.1:
Оператор обязан принимать меры, необходимые и
достаточные для обеспечения выполнения
обязанностей, предусмотренных настоящим ФЗ и
принятыми в соответствии с ним нормативными
правовыми актами. Оператор самостоятельно
определяет состав и перечень мер, необходимых и
достаточных для обеспечения выполнения
обязанностей, предусмотренных настоящим ФЗ и
принятыми в соответствии с ним нормативными
правовыми актами… К таким мерам могут, в
частности, относиться:
…
3) применение правовых, организационных и
технических мер по обеспечению безопасности ПДн в
соответствии со статьей 19 настоящего ФЗ;
26. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 26
ИЗМЕНЕНИЯ В МЕРАХ ПО ЗАЩИТЕ ПДН
+7 (495) 921 1410 / www.leta.ru
2. Обеспечение безопасности персональных данных
достигается, в частности:
1) определением угроз безопасности ПДн при их обработке в
ИСПДн;
2) применением организационных и технических мер по
обеспечению безопасности ПДн при их обработке в ИСПДн,
необходимых для выполнения требований к защите ПДн,
исполнение которых обеспечивает установленные Правительством
РФ уровни защищенности ПДн;
3) применением прошедших в установленном порядке процедуру
оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению
безопасности ПДн до ввода в эксплуатацию ИСПДн;
5) учетом машинных носителей ПДн;
6) обнаружением фактов несанкционированного доступа к ПДн и
принятием мер;
7) восстановлением ПДн, модифицированных или уничтоженных
вследствие несанкционированного доступа к ним;
8) установлением правил доступа к ПДн, обрабатываемым в ИСПДн,
а также обеспечением регистрации и учета всех действий,
совершаемых с ПДн в ИСПДн;
9) контролем за принимаемыми мерами по обеспечению
безопасности ПДн и уровня защищенности ИСПДн.
27. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 27
ИЗМЕНЕНИЯ В МЕРАХ ПО ЗАЩИТЕ ПДН
+7 (495) 921 1410 / www.leta.ru
Теперь на законодательном уровне закреплена
обязанность оператора ПДн оценивать вред, который
может быть причинен субъектам и соотнести указанный
вред с принимаемыми оператором мерами,
направленными на обеспечение выполнения
обязанностей, предусмотренных ФЗ.
Введено понятие уровней защищенности ИСПДн,
которые должны быть определены в соответствующих
Постановлениях Правительства РФ. Пока не изданы.
28. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 28
ИЗМЕНЕНИЯ В МЕРАХ ПО ЗАЩИТЕ ПДН
+7 (495) 921 1410 / www.leta.ru
Оператор ПДн самостоятельно определяет состав и перечень мер,
необходимых и достаточных для обеспечения выполнения
обязанностей, предусмотренных 152-ФЗ.
Меры по защите ПДн, перечисленные в ст. 18.1 и 19 являются
только типовым набором, а отнюдь не обязательными для
исполнения.
На законодательном уровне четко указана последовательность
действий: «Оценка вреда» - «Оценка актуальности угроз» -
«Уровень защищенности» - «Оценка реализации требований по
ИБ в ИСПДн Компании» - «Модернизация системы защиты ПДн»
Использование сертифицированных (прошедших в установленном
порядке процедуру оценки соответствия) средств защиты
информации, в новой редакции 152-ФЗ указано, как одна из мер,
но вовсе необязательная, однако требование по использованию
сертифицированных СЗИ, пока содержится в документах ФСТЭК
России (Приказ № 58).
29. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 29+7 (495) 921 1410 / www.leta.ru
10) ИЗМЕНЕНИЯ В ОТВЕТСТВЕННОСТИ ЗА
НЕИСПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНА
30. LETA - ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ВАШЕГО БИЗНЕСА 30
ИЗМЕНЕНИЯ В ОТВЕТСТВЕННОСТИ ЗА
НЕИСПОЛНЕНИЕ ТРЕБОВАНИЙ ЗАКОНА
+7 (495) 921 1410 / www.leta.ru
Расширена ответственность за нарушения требований
закона. Вводится ответственность за причинение
морального вреда.
Возмещение морального вреда осуществляется
независимо от возмещения имущественного вреда и
понесенных субъектом персональных данных убытков.