Презентация с вебинара "Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого было спросить"
Ссылка на страницу вебинара (и запись) - http://solarsecurity.ru/analytics/webinars/665/
Моя презентация, которую читал на VIII Международной научно-практической конференции студентов, аспирантов и молодых ученых "Информационные технологии в науке"
Практика увольнения сотрудников за разглашение конфиденциальной информацииИгорь Агурьянов
Практика увольнения работника Компании по статье трудового кодекса за разглашение информации ограниченного доступа (не являющейся коммерческой тайной).
Russian Personal Data Legislation: Localization RequirementVladislav Arkhipov
The presentation includes some clarifications of the Federal Law No 242-FZ, dated 21 July 2014 and case studies from IP/IT practice which demonstrate experience of Dentons in resolving complex personal data and privacy issues in dynamic Russian environment. The presentation was first delivered at the Conference “Personal Data – New Realities” which was held at Hotel Four Seasons in St. Petersburg on 21 May 2015 and organized by IBM.
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
Почему любой интернет-магазин — это информационная система обработки персональных данных (ИСПДн)?
Какие основные нормы законодательства сейчас действуют в данной сфере и напрямую затрагивают Интернет-торговлю?
Что нужно сделать владельцу интернет-магазина, чтобы спать спокойно, хотя бы в части соблюдения законодательства о персональных данных?
Какая сейчас сложилась практика по защите персональных данных на веб-сайтах и куда смотрит Роскомнадзор?
Какие существуют типовые походы к обеспечению должного уровня защищенности ИСПДн?
Как выбрать правильного провайдера для хостинга интернет-магазина?
White paper: Защита информации в финансовом сектореМФИ Софт
Аналитический центр «МФИ Софт» подготовил white paper о защите данных в финансовых организациях. На примере практических кейсов использования систем защиты информации «Гарда Предприятие» и «Гарда БД» эксперты компании рассмотрели, какие данные и почему необходимо обезопасить, а также структурировали рекомендации для снижения внутренних угроз.
White paper: Защита информации в финансовом сектореМФИ Софт
Аналитический центр «МФИ Софт» подготовил white paper о защите данных в финансовых организациях. На примере практических кейсов использования систем защиты информации «Гарда Предприятие» и «Гарда БД» эксперты компании рассмотрели, какие данные и почему необходимо обезопасить, а также структурировали рекомендации для снижения внутренних угроз.
NIST has updated the Cybersecurity Framework to version 2.0 (CSF 2.0). Key changes include a new "Govern" function, updated categories and subcategories, and expanded guidance on using profiles and implementation examples. CSF 2.0 also emphasizes supply chain risk management and alignment with other frameworks. The update aims to reflect the evolving cybersecurity landscape and help organizations better manage cybersecurity risks.
Every CISO should know how to create and implement information security policies. The best approach is defined in the ISO 27001 standard and presented in the attached presentation, "ISMS Documented Information"
The document summarizes the results of the 2022 ISO Survey, which estimates the number of valid ISO management system certificates as of December 31, 2022. It finds that ISO 27001 certificates increased by 22% in 2022 to a total of 71,549 certificates covering 120,128 sites. The top countries for ISO 27001 certificates are China, Japan, the United Kingdom, India, and Italy. The largest sectors covered are information technology, transport/storage/communication, and other services.
The document provides an overview of 12 privacy frameworks that can be used to develop comprehensive privacy programs. It describes each framework, including its organization, cost, and key benefits. The top frameworks are ISO 29100, ISO 27701, the ICO Accountability Framework, and the TrustArc-Nymity Framework. They provide standards, guidelines and best practices for building privacy into products and governance. The document aims to help privacy professionals select the most appropriate framework for their needs without needing to reinvent existing approaches.
This document discusses cybersecurity frameworks and provides an overview of the most popular frameworks. It begins by defining frameworks, regulations, standards and guidelines. Some of the main benefits of frameworks mentioned are providing a comprehensive security baseline, enabling measurement and benchmarking, and demonstrating maturity. Twelve of the most popular frameworks are then listed and described briefly. The document outlines different types of frameworks and provides tips for choosing an appropriate framework based on mandatory requirements, country practices, industry usage, certification needs, organization size and maturity. It also discusses mappings between frameworks and attributes of information security controls.
The document summarizes the journey of the NIST Cybersecurity Framework from version 1.1 to the upcoming version 2.0. It provides an overview of the key components of version 1.1 and the motivation for an update. Version 2.0 includes significant updates like a new "Govern" function, changes to categories and subcategories, more implementation guidance, and an emphasis on supply chain risk management. The draft of version 2.0 is available for public comment through November 2023, with the final version planned for early 2024.
This document provides an agenda and overview for implementing an Information Security Management System (ISMS) using an ISMS Implementation Toolkit. It discusses what an ISMS toolkit is and important considerations when using one. It then lists the top 5 ISMS toolkits and provides details on the author's own toolkit. Finally, it outlines a 20+1 step process for implementing an ISMS using the toolkit, with each step briefly described.
1. The document discusses how ChatGPT can be used to assist with implementing an Information Security Management System (ISMS) according to ISO 27001. It provides 8 ways ChatGPT may help including clarifying concepts, providing implementation guidance, assisting with policy development, and troubleshooting issues.
2. The document explains that while ChatGPT can offer assistance, it should not replace professional advice. Effective prompts are important to receive relevant responses, and all information from ChatGPT needs to be critically evaluated.
3. The document acknowledges some limitations of ChatGPT, like providing outdated references to the previous ISO 27001 version and failing to generate some example templates completely. Overall, ChatGPT is framed as
This document discusses key privacy principles for protecting personally identifiable information. It outlines seven main privacy principles from standards like the GDPR and ISO: 1) Lawfulness, fairness and transparency, 2) Purpose limitation, 3) Data minimization, 4) Accuracy, 5) Storage limitation, 6) Integrity and confidentiality (security), and 7) Accountability. It explains each principle in 1-2 sentences and provides examples of how organizations can implement the principles in their privacy practices and policies.
This document provides an overview and agenda for a presentation on ISO 27001 and information security management systems (ISMS). It introduces key terms like information security, the CIA triad of confidentiality, integrity and availability. It describes the components of an ISMS like policy, procedures, risk assessment and controls. It explains that ISO 27001 specifies requirements for establishing, implementing and maintaining an ISMS. The standard is popular because it can be used by all organizations to improve security, comply with regulations and build trust. Implementing an ISMS also increases awareness, reduces risks and justifies security spending.
This document provides an overview of changes between the 2018 and 2022 versions of ISO 27005, which provides guidance on managing information security risks. Some key changes include aligning terminology with ISO 31000:2018, adjusting the structure to match ISO 27001:2022, introducing risk scenario concepts, revising and restructuring annexes, and providing additional examples and models. The 2022 version contains 62 pages compared to 56 pages previously and has undergone terminology, process, and content updates to align with updated ISO standards and better support organizations in performing information security risk management.
The document summarizes the key changes between ISO 27001:2022 and the previous 2013 version. Some of the main changes include:
1. A new name that includes cybersecurity and privacy protection.
2. Shorter at 19 pages compared to 23.
3. New terminology and structure for some clauses around objectives, communication, monitoring and management review.
4. A new annex with 93 controls categorized by type and security properties, compared to the previous 114 controls.
5. Organizations will need to evaluate their existing ISMS and make updates to address the new requirements and structure of ISO 27001:2022.
The document summarizes the results of the 2021 ISO survey, reporting that as of December 31, 2021 there were 58,687 valid ISO 27001 information security certificates covering 99,755 sites globally. It provides breakdowns of the number of certificates and sites by country and sector. The countries with the most ISO 27001 certificates are China, Japan, the United Kingdom, India, and Italy. The sector with the most certificates is information technology.
This document provides information about Data Protection Impact Assessments (DPIAs). It begins with an introduction and agenda. It then covers the definition of a DPIA, why they are needed, when they are mandatory under GDPR, and what they should include. It discusses templates, methodologies, and examples of high risk factors that require a DPIA. It also provides the presenter's templates for a DPIA, including a lighter version, and discusses ways to improve the templates by making them more specific and complicated. The document is an overview of DPIAs aimed at helping organizations understand and comply with requirements.
The document discusses standards and frameworks for managing information security risks in supplier relationships. It defines key terms related to acquirers, suppliers, and supply chains. It outlines controls from ISO 27001, NIST CSF, and NIST SP 800-53 related to supply chain risk management. These controls address supplier agreements, monitoring performance, and risk treatment. The document also discusses ISO 27036 which provides guidance for securing information in supplier relationships, and NIST SP 800-161 which provides practices for managing cybersecurity supply chain risks.
The document discusses employee monitoring and privacy. It covers surveillance methods used by organizations to monitor employees, including email, internet, software, video, and location monitoring. Specific considerations for remote work are outlined. Legal requirements for employee monitoring from the GDPR, local data protection and labor laws are examined. The document also discusses balancing security and privacy as seen from the perspectives of a CISO and DPO. Risks of inadequate monitoring and examples of GDPR fines for violations are provided. Principles for lawful employee monitoring and recommendations for internal policies are presented.
The document discusses using a RACI (Responsible, Accountable, Consulted, Informed) chart to assign roles and responsibilities for GDPR implementation. It provides an introduction to RACI charts, an example from the speaker's company that outlines its data protection framework, governance model and 21 GDPR activities, and the speaker's resulting RACI chart. The speaker advocates for RACI charts to provide a clear overview of participation in tasks and recommends periodic reviews to keep the chart updated.
More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)
1. Хранение
ПДн
(в
контексте
проектирования
и
разработки
ИС
и
сайтов
сети
Интернет)
ПРОЗОРОВ
АНДРЕЙ,
CISM
2016-‐04 1
2. 2016-‐04 2
Прозоров
Андрей,
CISM
Руководитель
экспертного
направления
Solar
Security
Рабочие
группы
по
ПДн:
ФСТЭК
России,
Совет
Федерации,
Минздрав
России
Преподаю
юридические
аспекты
ИБ
в
РАНХиГС
при
Президенте
РФ
(MBA) и
НИУ
ВШЭ
Мой
блог:
80na20.blogspot.com
Мой
твиттер:
twitter.com/3dwave
3. Общие
вопросы
(чтобы
я
понимал
общий
уровень
подготовки
аудитории)
1. Кто
в
аудитории?
Юристы,
HR,
руководители
подразделений,
маркетинг,
подразделение
ИБ
и
др.?
2. Кто
знаком
с
темой
ПДн
и
читал
152-‐ФЗ?
3. Кто
знаком
с
242-‐ФЗ?
4. Кто
понимает,
чем
занимается
РКН?
5. Кто
знает,
что
такое
Приказ
№21?
6. А
Приказ
№378?
7. А
Приказ
№17?
2016-‐04 3
4. Очень
короткий
курс,
2ч
2016-‐04 4
• Ориентир
на
юристов
и
менеджеров
• Фокус
на
важнейшие
моменты
• Фокус
на
практическую
пользу
• Совсем
простые
вещи
обсуждать
не
хотелось
бы…
5. Общее
содержание
курса
1. Актуальность
темы
и
перечень
нормативных
документов
2. Базовые
термины
и
особенно
термин
«ПДн»
3. Видение
со
стороны
регуляторов
4. РКН
и
отчет
о
деятельности
за
2015
год
5. Типовые
нарушения
по
ПДн
6. Что
писать
в
Политике
оператора
и
Соглашении
с
субъектом
ПДн?
7. 242-‐ФЗ
и
Реестр
нарушителей
прав
субъектов
ПДн
8. Требования
по
защите
ПДн
9. Аттестация,
сертификация
и
лицензирование
10. Защита
ГосИС
2016-‐04 5
6. Почему
тема
ПДн
не
проста?
1. Слишком много нормативных документов, и они слишком часто обновляются.
2. Помимо «универсальных» требований (ФЗ, ПП, РКН, Минкомсвязь России,
ФСТЭК России, ФСБ России) есть еще и отраслевые требования и
рекомендации (ЦБ РФ, Минздрав России, про ПДн для гос.служащих,
стандарты НАПФ, рекомендации ДИТ Москвы и пр.)
3. Тема не нова, но регулярно получает «новое дыхание» (постоянное внимание
СМИ, обсуждение повышения штрафов, вывод РКН из-‐под действия 294-‐ФЗ (о
защите юр.лиц при гос.контроле), 242-‐ФЗ (ПДн на территории России)…)
4. Слишком много спорных и сложных тем (суть термина «ПДн», трансграничная
передача, фото и биометрические ПДн, хранение БД на территории России,
передача 3м лицам, сертификация СЗИ, достаточность мер защиты,
актуальные угрозы и пр.)
5. Слишком много материалов (и устаревших) по теме, сложно вычленить
главное
6. Обычно темой занимаются юристы и отдел персонала, они «игнорируют»
вопросы информационной безопасности
7. Слишком мало проверок и слишком низкие штрафы (низкий приоритет работ,
«подождем еще»/«к нам не придут»)
2016-‐04 6
7. Почему
темой
стоит
заниматься?
• Формальные
требования,
выполнять
обязаны.
Кстати,
давно
хотят
повысить
штрафы…
• Можем
попасть
под
проверку
/
систематический
контроль
• Могут
быть
репутационные
потери
(при
утечке
ПДн,
при
жалобах
клиентов,
при
неудачных
проверках
регулятором)
• «Все
занимаются
и
мы
займемся»
• Просто
красивое
маркетинговое
преимущество
• Можно
попасть
в
реестр
нарушителей
с
последующей
блокировкой
сайта
2016-‐04 7
8. Требования
(самые
важные)
1. Федеральный закон N 149-‐ФЗ "Об информации, информационных технологиях и о
защите информации"
2. Федеральный закон N 152-‐ФЗ "О персональных данных"
3. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований
к защите персональных данных при их обработке в информационных системах
персональных данных"
4. Постановление Правительства РФ от 19.08.2015 N 857 "Об автоматизированной
информационной системе "Реестр нарушителей прав субъектов персональных
данных"
5. "Трудовой
кодекс
Российской
Федерации"
(Глава
14.
Защита
персональных
данных
работника)
6. Постановление
Правительства
РФ
от
15.09.2008
N
687
"Об
утверждении
Положения
об
особенностях
обработки
персональных
данных,
осуществляемой
без
использования
средств
автоматизации"
7. Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания
организационных и технических мер по обеспечению безопасности персональных
данных при их обработкев информационных системах персональных данных"
2016-‐04 8
Общий
список
тут
-‐ http://80na20.blogspot.ru/p/blog-‐page_17.html
9. Важные
термины
152-‐ФЗ
2016-‐04 9
1) персональные данные -‐ любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор -‐ государственный орган, муниципальный орган, юридическое или физическое
лицо, самостоятельно или совместно с другими лицами организующие и (или)
осуществляющие обработку персональных данных, а также определяющие цели обработки
персональных данных, состав персональных данных, подлежащих обработке, действия
(операции), совершаемые с персональными данными;
3) обработка персональных данных -‐ любое действие (операция) или совокупность
действий (операций), совершаемых с использованием средств автоматизации или без
использования таких средств с персональными данными, включая сбор, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передачу (распространение, предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение персональных данных;
10) информационная система персональных данных -‐ совокупность содержащихся в базах
данных персональных данных и обеспечивающих их обработку информационных
технологий и технических средств;
11) трансграничная передача персональных данных -‐ передача персональных данных на
территорию иностранного государства органу власти иностранного государства,
иностранному физическому лицу или иностранному юридическому лицу.
10. «Если совокупность данных необходима и достаточна для
идентификации лица, такие данные следует считать
персональными данными, даже если они не включают в себя
данные документов, удостоверяющих личность.
При этом данные нельзя считать персональными в том случае,
если без использования дополнительной информации они не
позволяют идентифицировать физическое лицо.
Изложенный подход допустимо рассматривать как
учитывающий баланс интересов всех участников отношений.»
10
РКН
про
термин
ПДн
2016-‐04
11. «Следующие данные также можно рассматривать как
персональные, несмотря на то, что в их отношении остается
некоторыйаспект вероятного совпадения:
фамилия, имя, отчество, дата рождения, место прописки;
фамилия, имя, отчество, дата рождения, должность;
фамилия, имя, отчество (возможно, фамилия и инициалы) плюс
любая информация, выделяющая субъекта из уже ограниченного
круга лиц.
Например, житель дома А.А. Иванов имеет такие-‐то долги. Скорее
всего, подобное объявление в подъезде однозначно
идентифицирует субъекта, по меньшей мере, для жителей этого
дома. Пока, однако, неясно, как точно дать определение
ограниченного круга лиц, потому что «жители Москвы» — тоже
ограниченный круг лиц, а житель Москвы А.А. Иванов — это уже не
конкретный субъект (вместе с тем пример с «жителем дома А.А.
Ивановым»подтверждается судебной практикой).»
112016-‐04
12. «Членами рабочей группы также были представлены
отдельные примеры, основанные на опыте работы с
персональными данными. Так, к числу данных, которые не
могут рассматриваться, по крайней мере, по отдельности
друг от друга в качестве персональных, могут быть отнесены:
фамилия, имя, отчество, адрес проживания, электронный
адрес, номер телефона, дата рождения.
Другие идентификаторы сами по себе не определяют
однозначно конкретное физическое лицо. Такие данные
должны быть отнесены к персональным данным только в том
случае, если они хранятся и обрабатываются совместно с
идентификаторами, которые сами по себе определяют
физическое лицо.»
122016-‐04
13. Вопросы
про
данные
на
веб-‐сайтах
• Какая
СОВОКУПНОСТЬ
данных
обрабатывается?
• Какая
ЦЕЛЬ
обработки
такой
совокупности
данных?
• Какое
ОСНОВАНИЕ
для
обработки
ПДн?
• Проверяются
ли
ПДн
при
вводе?
Может
ли
субъект
внести
любые
данные,
представится
другим
лицом?
• Позволяют
ли
данные
ИДЕНТИФИЦИРОВАТЬ
субъекта
ПДн?
• Можно
ли
СОКРАТИТЬ
перечень
собираемой
информации?
2016-‐04 13
Может
на
веб-‐сайте
не
обрабатываются
ПДн?
И
не
стоит
усложнять?
Может
стоит
удалить
упоминание
об
обработке
ПДн
на
сайте?
20. Что
обычно
делают?
2016-‐04 20
Выполнение
требований
по
защите
ПДн
Выполнение
требований
к
обработке
ПДн
(работники
и
клиенты)
Что-‐нибудь
по
защите
ПДн
(разграничение
доступа,
режим
КТ,
правила
ИБ)
Обычно
крупные
компании
с
выделенным
отделом
ИБ
(банки,
гос.компании),
инициатива
со
стороны
ИБ
Обычно
компании,
обрабатывающие
большое
кол-‐во
ПДн
клиентов
(транспортные
компании,
гостиницы,
страховые
и
пр.),
и
компании
с
«сильными»
HR
(ПДн
работников)
B2C
21. Тема
ПДн
глазами
регуляторов
2016-‐04 21
Регулятор Что интересует?
РКН Соблюдение
прав
субъектов
ПДн
(обычно
клиентов, реже
работников).
Положения:
152-‐ФЗ,
ПП687,
ПП211
(для
гос.
и
муниципальных
органов)
ФСТЭК
России Выполнение
требований
по
технической
защите
ПДн
(обычно
для
ГосИС, реже
для
лицензиатов)
Положения:
152-‐ФЗ
ст.19,
ПП
1119,
Приказ
ФСТЭК
№21
(и
№17 для
ГосИС)
ФСБ
России Выполнение
требований
по
СКЗИ
(обычно
для
ГосИС,
реже
для
лицензиатов)
Положения:
ПП
1119,
Приказ
ФСБ
России
№378,
методические
рекомендации
по
МУ
Упрощенно…
31. Отчет
РКН
за
2015
В 2015 году проведены 1 292 плановые проверки, из них 132 в отношении
государственных и муниципальных органов, а также 104 внеплановые
проверки. По результатам проведенных контрольно-‐надзорных
мероприятий выдано 731 предписание об устранении выявленных нарушений.
РКН переходит на систематическое наблюдение.
Составлен 7 721 протокол об административных правонарушениях. По
результатам рассмотрения протоколов наложено административных штрафов
на общую сумму 10 454 600 рублей.
За 2015 год в адрес Роскомнадзора и его территориальных органов поступило
33 327 обращений граждан и юридических лиц, что на 60,4% больше, чем в
2014 году (20 132 обращения). От граждан поступило 32 647 обращений и
жалоб, от юридических лиц – 680. По результатам рассмотрения жалоб
граждан доводы заявителей подтвердились в 7,6% случаев.
Наибольшее количество жалоб граждан поступило на действия кредитных
учреждений, организаций ЖКХ, коллекторских агентств, на нарушения со
стороны интернет сайтов, в том числе социальных сетей.
2016-‐04 31
32. Типовые
нарушения
по
ПДн
1. Представление в уполномоченный орган уведомления об обработке ПДн,
содержащего неполные и (или) недостоверные сведения
2. Отсутствие у оператора места (мест) хранения ПДн (материальных
носителей), перечня лиц, осуществляющих об работку ПДн либо имеющих к
ним доступ
3. Отсутствие в поручении лицу, ответственному за обработку ПДн,
обязанности соблюдения конфиденциальности ПДн и обеспечения их
безопасности, а также требований к защите обрабатываемых ПДн
4. Обработка ПДн в случаях, не предусмотренных законом. (В частности,
обработка при достижении целей обработки)
5. Отсутствие на сайте Политики оператора в отношении обработки ПДн и
контактов для связи
2016-‐04 32
33. Что
писать
в
Политике
(на
сайте)
1. Общие
понятия
и
принципы
обработки
ПДн.
(ст.3
и
5,
+принцип
"Конфиденциальности"
(ст.7))
2. Условия
и
цели обработки. (Ст.5,
6,
9,
10
(спецкатегории
ПДн)
+
ссылка
на
согласие)
3. Общее
описание
обработки
ПДн. (перечисляем
группы
субъектов
ПДн,
даем
ссылку
на
Перечень
ПДн,
перечисляем
действия
из
термина
«обработка
ПДн»,
упоминаем
трансграничную
обработку
ПДн
(ст.12),
специальные
категории
ПДн
(ст.10)
и
биометрические
ПДн
(ст.11),
а
также
про
"принятие
решения
на
основании
исключительно
автоматизированной
обработки"
(ст.16),
перечисляем
организаций
которым
передаются
ПДн
для
обработки)
4. Сроки
обработки
ПДн
и
порядок
прекращения
обработки.
5. Меры
в
области
обработки
и
защиты
ПДн. (ст.18.1
и
19)
6. Права
субъекта
ПДн (+
про
возможность
отзыва
согласия)
2016-‐04 33
Рекомендуется
писать
максимально
общими
фразами
и
копи-‐пастом
из
152-‐ФЗ.
35. 35
242-‐ФЗ
242-‐ФЗ от 21.07.2014 «О внесении изменений в отдельные законодательные
акты РФ…».
Суть:
Идея №1 (ст.15.5 149-‐ФЗ): «В целях ограничения доступа к информации в
сети "Интернет", обрабатываемой с нарушением законодательства РФ в
области ПДн, создается автоматизированная информационная система
«Реестр нарушителей прав субъектов ПДн» …
Идея №2 (в ст.18.п.5 152-‐ФЗ): «При сборе ПДн, в том числе посредством
информационно-‐телекоммуникационной сети "Интернет", оператор
обязан обеспечить запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение ПДн граждан РФ с
использованием баз данных, находящихся на территории РФ за
исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6
настоящего ФЗ.» …
2016-‐04
36. Про
реестр
нарушителей
ПП857
С 01.09.2015 по 31.12.2015
на основании
судебных
решений в реестр
было
внесено
105
записей;
29
интернет-‐ресурсов
подверглись
блокировке.
РКН
получает
акт
об
ограничении
доступа
(судебное
решение),
в
течение
3х
дней
вносит
в
реестр
и
направляет
запрос
провайдеру.
В
реестр
вносят:
• Доменные
имена
и/или
указатели
страниц
сайтов
• Сетевые
адреса
• Указание
на
вступивший
в
силу
судебный
акт
• Дата
и
время
отсылки
информации
РКН
• Информация
об
устранении
нарушения
2016-‐04 36
37. 37
Что
сейчас
про
ПДн?
1.Отсутствует
требование
о
запрете
хранения
ПДн
за
пределами
РФ
2.Отсутствует
требование
о
хранении
ПДн
только
на
территории
РФ
3.Отсутствуют
требования
и
рекомендации
по
использованию
«базы
данных»,
упомянутой
в
законе
4.Отсутствуют
требования
по
формату
и
сроку
хранения
ПДн
5.В
152-‐ФЗ
остались
положения
про
трансграничную
передачу
ПДн
«Трансграничная передача ПДн -‐ передача ПДн на территорию
иностранного государства органу власти иностранного
государства, иностранному физическому лицу или иностранному
юридическому лицу.»
2016-‐04
38. 38
152-‐ФЗ
ст.12
Статья 12. Трансграничная передача ПДн
1. Трансграничная передача ПДн на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о
защите физических лиц при автоматизированной обработке ПДн, а также иных иностранных государств, обеспечивающих
адекватную защиту прав субъектов ПДн, осуществляется в соответствии с настоящим ФЗ и может быть запрещена или
ограничена в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов
граждан, обеспечения обороны страны и безопасности государства.
2. Уполномоченный орган по защите прав субъектов ПДн утверждает перечень иностранных государств, не являющихся
сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн и обеспечивающих
адекватную защиту прав субъектов ПДн. Государство, не являющееся стороной Конвенции Совета Европы о защите
физических лиц при автоматизированной обработке ПДн, может быть включено в перечень иностранных государств,
обеспечивающих адекватную защиту прав субъектов ПДн, при условии соответствия положениям указанной Конвенции
действующих в соответствующем государстве норм права и применяемых мер безопасности ПДн.
3. Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача ПДн,
обеспечивается адекватная защита прав субъектов ПДн, до начала осуществления трансграничной передачиПДн.
4. Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав
субъектов ПДн, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн;
2) предусмотренных международными договорами Российской Федерации;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя
Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности
устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и
государства в сфере транспортного комплекса от актов незаконного вмешательства;
4) исполнения договора, стороной которого является субъект ПДн;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц при невозможности получения
согласия в письменной форме субъекта ПДн
2016-‐04
39. 39
Что
делают
операторы?
Вариант
3.
Ничего,
формально и
так
используют
базы
данных,
находящихся
на
территории
Вариант
1.
Ничего,
риски
принимают
Возможные
штрафы
минимальны*
(10
000
рублей),
вероятность
проверки
минимальна.
Но
могут
заблокировать
сайт
в
сети
Интернет
Вариант
2.
Ничего,
выжидают
Законодательство
по
ПДн
слишком
часто
меняется:
152-‐ФЗ
14
раз
(существенно
в
2011);
подход
по
защите
ПДн
уже
3й
(в
2012
утверждено
ПП1119)
Вариант
4.
Переделывают
ИТ-‐инфраструктуру
Строят/арендуют
ЦОДы,
закупают
дополнительные
системы
хранения
данных
*
-‐ хотя
уже
несколько
лет
ожидаем
повышение
штрафов…
2016-‐04
40. 242-‐ФЗ+
По
состоянию
на
31.12.2015,
сведения
по
п.
10
ч.
3
ст.
22
(про
местонахождение
базы
данных
ПДн)
Федерального
закона
представили
17 293
оператора,
что
составляет
5%
от внесенных
в
реестр.
2016-‐04 40
42. 42
Но
есть
97-‐ФЗ
(о
блогерах)
97-‐ФЗ
от
05.05.2014
(ред.
от
21.07.2014)
«О
внесении
изменений
в
149-‐ФЗ…»
Суть:
Идея
№1
про
обязанности
организатора
распространения
информации
в
сети
"Интернет"
«Организатором распространения информации в сети "Интернет" является
лицо, осуществляющее деятельность по обеспечению функционирования
информационных систем и (или) программ для электронных вычислительных
машин, которые предназначены и (или) используются для приема, передачи,
доставки и (или) обработки электронных сообщений пользователей сети
"Интернет"». – довольно неконкретный термин, который можно очень гибко
использовать …
Идея
№2
про
блогеров
«Владелец сайта и (или) страницы сайта в сети "Интернет", на которых
размещается общедоступная информация и доступ к которым в течение суток
составляет более трех тысяч пользователей сети "Интернет"».
Идея
№3:
Новые
статьи
(штрафы)
в
КоАП
2016-‐04
43. 43
Обязанности
организатора
Ст.10.1 п.3. Организатор распространения информации в сети "Интернет"
обязан хранить на территории РФ информацию о фактах приема,
передачи, доставки и (или) обработки голосовой информации,
письменного текста, изображений, звуков или иных электронных
сообщений пользователей сети "Интернет" и информацию об этих
пользователях в течение шести месяцев с момента окончания
осуществления таких действий, а также предоставлять указанную
информацию уполномоченным государственным органам,
осуществляющим оперативно-‐разыскную деятельность или обеспечение
безопасности Российской Федерации, в случаях, установленных
федеральными законами.
…
+КоАП Статья 13.31 (новая). Неисполнение обязанностей организатором
распространенияинформации в сети "Интернет:… Штраф до 500 000 рублей
2016-‐04
44. УЗ
ПДн
по
ПП1119
2016-‐04 44
ИСПДн-‐С
специальные
ИСПДн-‐Б
биометрические
ИСПДн-‐И
иные
ИСПДн-‐О
общедоступные
ПДн
сотрудников
оператора
или
ПДн
менее чем
100
000 субъектов,
не
являющихся
сотрудниками
оператора
АУ
3
типа
(без
НДВ)
3 3 4 4
АУ
2
типа
(НДВ
ПО)
2 2 3 3
АУ
1
типа
(НДВ
ОС)
1 1 1 2
ПДн
более чем
100
000 субъектов,
не
являющихся
сотрудниками
оператора
АУ
3
типа
(без
НДВ)
2 3 3 4
АУ
2
типа
(НДВ
ПО)
1 2 2 2
АУ
1
типа
(НДВ
ОС)
1 1 1 2
45. Требования
по
ПП1119
2016-‐04 45
Требования 1 2 3 4
1.Контроль
доступа
в
помещения
Организация
режима
обеспечения
безопасности
помещений,
в
которых
размещена
ИСПДн,
препятствующего
возможности
неконтролируемого
проникновения
или
пребывания
в
этих
помещениях
лиц,
не
имеющих
права
доступа
в
эти
помещения
+ + + +
2.Безопасность
носителей
Обеспечение
сохранности
носителей
ПДн
+ + + +
3.Перечень
лиц,
допущенных
к
обработке
ПДн
Утверждение
руководителем
оператора
документа,
определяющего
перечень
лиц,
доступ
которых
к
ПДн,
обрабатываемым
в
ИС,
необходим
для
выполнения
ими
служебных
(трудовых)
обязанностей
+ + + +
4.«Сертифицированные»
СЗИ
Использование
СЗИ,
прошедших
процедуру
оценки
соответствия
требованиям
законодательства
РФ
в
области
обеспечения
безопасности
информации,
в
случае,
когда
применение
таких
средств
необходимо
для
нейтрализации
актуальных
угроз
+ + + +
5.Назначение
ответственного
за
безопасность
ПДн
Назначение
должностного
лица
(работника),
ответственного
за
обеспечение
безопасности
ПДн
в
ИС
+ + + -‐
6.Контроль
доступа
к
эл.журналу
сообщений
Обеспечение
доступа
к
содержанию
электронного
журнала
сообщений
исключительно
для
должностных
лиц
(работников)
оператора
или
уполномоченного
лица,
которым
сведения,
содержащиеся
в
указанном
журнале,
необходимы
для
выполнения
служебных
(трудовых)
обязанностей
+ + -‐ -‐
7.Автоматическая
регистрация
в
эл.журнале
безопасности
Автоматическая
регистрация
в
электронном
журнале
безопасности
изменения
полномочий
сотрудника
оператора
по
доступу
к
ПДн,
содержащимся
в
ИС
+ -‐ -‐ -‐
8.Создание
структурного
подразделения
Создание
структурного
подразделения,
ответственного
за
обеспечение
безопасности
ПДн
в
ИС,
либо
возложение
на
одно
из
структурных
подразделений
функций
по
обеспечению
такой
безопасности
+ -‐ -‐ -‐
9.Регулярный
контроль
за
выполнением
требований
Самостоятельно или
с
привлечением
лицензиата
по
ТЗКИ.
Не
реже
1
раза
в
3
года
+ + + +
46. Меры
защиты
по
Приказ
№21
2016-‐04 46
I.
Идентификация
и
аутентификация
субъектов
доступа
и
объектов
доступа
(ИАФ)
II.
Управление
доступом
субъектов
доступа
к
объектам
доступа
(УПД)
III.
Ограничение
программной
среды
(ОПС)
IV.
Защита
машинных
носителей
персональных
данных
(ЗНИ)
V.
Регистрация
событий
безопасности
(РСБ)
VI.
Антивирусная
защита
(АВЗ)
VII.
Обнаружение
вторжений
(СОВ)
VIII.
Контроль
(анализ)
защищенности
персональных
данных
(АНЗ)
IX.
Обеспечение
целостности
информационной
системы
и
персональных
данных
(ОЦЛ)
X.
Обеспечение
доступности
персональных
данных
(ОДТ)
XI.
Защита
среды
виртуализации
(ЗСВ)
XII.
Защита
технических
средств
(ЗТС)
XIII.
Защита
информационной
системы,
ее
средств,
систем
связи
и
передачи
данных
(3ИС)
XIV.
Выявление
инцидентов
и
реагирование
на
них
(ИНЦ)
XV.
Управление
конфигурацией
информационной
системы
и
системы
защиты
персональных
данных
(УКФ)
47. Сертификация
и
лицензирование
Приказ №21
2. Безопасность ПДн при их обработке в ИСПДн обеспечивает оператор или
лицо, осуществляющее обработку ПДн по поручению оператора в соответствии
с законодательством РФ.
Для выполнения работ по обеспечению безопасности ПДн при их обработке в
информационной системе в соответствии с законодательством РФ могут
привлекаться на договорной основе юридическое лицо или индивидуальный
предприниматель, имеющие лицензию на деятельность по технической
защите конфиденциальной информации.
4. Меры по обеспечению безопасности ПДн реализуются в том числе
посредством применения в информационной системе средств защиты
информации, прошедших в установленном порядке процедуру оценки
соответствия, в случаях, когда применение таких средств необходимо для
нейтрализации актуальных угроз безопасности ПДн .
6. Оценка эффективности реализованных в рамках системы защиты ПДн мер по
обеспечению безопасности ПДн проводится оператором самостоятельно или с
привлечением на договорной основе юридических лиц и индивидуальных
предпринимателей, имеющих лицензию на осуществление деятельности по
технической защите конфиденциальной информации. Указанная оценка
проводится не реже одного раза в 3 года.
2016-‐04 47
49. Сертификация
и
лицензирование
Приказ №21
2. Безопасность ПДн при их обработке в ИСПДн обеспечивает оператор или
лицо, осуществляющее обработку ПДн по поручению оператора в соответствии
с законодательством РФ.
Для выполнения работ по обеспечению безопасности ПДн при их обработке в
информационной системе в соответствии с законодательством РФ могут
привлекаться на договорной основе юридическое лицо или индивидуальный
предприниматель, имеющие лицензию на деятельность по технической
защите конфиденциальной информации.
4. Меры по обеспечению безопасности ПДн реализуются в том числе
посредством применения в информационной системе средств защиты
информации, прошедших в установленном порядке процедуру оценки
соответствия, в случаях, когда применение таких средств необходимо для
нейтрализации актуальных угроз безопасности ПДн .
6. Оценка эффективности реализованных в рамках системы защиты ПДн мер по
обеспечению безопасности ПДн проводится оператором самостоятельно или с
привлечением на договорной основе юридических лиц и индивидуальных
предпринимателей, имеющих лицензию на осуществление деятельности по
технической защите конфиденциальной информации. Указанная оценка
проводится не реже одного раза в 3 года.
2016-‐04 49
50. Защита
ГосИС
• Документы:
• Федеральный закон N 149-‐ФЗ "Об информации, информационных технологиях
и о защите информации"
• Приказ
ФСТЭК
России
от
11.02.2013
N
17
"Об
утверждении
Требований
о
защите
информации,
не
составляющей
государственную
тайну,
содержащейся
в
государственных
информационных
системах"
(Зарегистрировано
в
Минюсте
России
31.05.2013
N
28608)
• "Методический
документ.
Меры
защиты
информации
в
государственных
информационных
системах"
(утв.
ФСТЭК
России
11.02.2014)
• Есть
обязательная
аттестация
и
сертификация
• Ожидаем
обновления
в
2016
году
(классов
защищенности
будет
3,
перечень
мер
будет
выровнен
с
21
и
31
приказами,
НДВ
4
будет
для
всех
классов)
• Ожидаем
расширение
области
действия
Приказа
№17
2016-‐04 50
51. Сертификация
и
лицензирование
Приказ №17
10. Для проведения работ по защите информации в ходе создания и
эксплуатации информационной системы обладателем информации
(заказчиком) и оператором в соответствии с законодательством Российской
Федерации при необходимости привлекаются организации, имеющие
лицензию на деятельность по технической защите конфиденциальной
информации в соответствии с Федеральным законом от 4 мая 2011 г. N 99-‐
ФЗ «О лицензировании отдельных видов деятельности»
11. Для обеспечения защиты информации, содержащейся в
информационной системе, применяются средства защиты информации,
прошедшие оценку соответствия в форме обязательной сертификации на
соответствие требованиям по безопасности информации в соответствии со
статьей 5 Федерального закона от 27 декабря 2002 г. N 184-‐ФЗ «О
техническом регулировании»
2016-‐04 51
52. Типовой
проект
по
ПДн
1. Делаем
своими
силами
2. Покупаем
шаблоны
документов
и
минимальный
консалтинг
3. Приглашаем
внешних
консультантов
(регламентирование
обработки
ПДн
и
проектирование
СЗПДн)
2016-‐04 52