SlideShare a Scribd company logo

О персональных данных и не только

Download as PPT, PDF
A
abondarenko
Education
1 of 15
О ПЕРСОНАЛЬНЫХ ДАННЫХ И НЕ ТОЛЬКО Александр Бондаренко, CISA, CISSP Директор департамента консалтинга Компания LETA
История вопроса
Нормативная база ,[object Object],[object Object],[object Object],[object Object],[object Object]
План проекта соответствия 152-ФЗ Изменение бизнес-процессов Выбор и проектирование СЗПДн Разработка нормативной документации Обследование Внедрение СЗПДн Обучение персонала Поддержание соответствия
Соответствие 152-ФЗ – ключевые моменты Определить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн Определить состав обрабатываемых ПДн, цели и условия обработки, сроки хранения Получить согласие субъекта на обработку его персональных данных, в т.ч. в письменной форме Определить порядок реагирования на запросы со стороны субъектов ПДн Определить необходимость уведомления РКН
Выделить и классифицировать ИСПДн Разработать модель угроз для ИСПДн Спроектировать и реализовать СЗПДн Определить перечень мер по защите ПДн, обрабатываемых без использования средств автоматизации Вести контроль за состоянием уровня защищенности ПДн Соответствие 152-ФЗ – ключевые моменты
Сертификация средств защиты Лицензирование ФСТЭК и ФСБ Аттестация «Спорные» темы
Угрозы и риски Оценка рисков vs. Моделирование угроз
Угрозы и риски
Угрозы и риски
[object Object],[object Object],[object Object],[object Object],[object Object],Методики оценки рисков
[object Object],[object Object],[object Object],Трудности при проведении оценки рисков
Подходы к составлению модели угроз Шаблонный подход Комбинаторика Сценарный подход Гибридный подход
Подход ЛЕТА к составлению модели угроз
Подход ЛЕТА к составлению модели угроз

Recommended

Риски использования облачных технологий
Риски использования облачных технологийРиски использования облачных технологий
Риски использования облачных технологийabondarenko
 
2011 форум директоров по иб
2011 форум директоров по иб2011 форум директоров по иб
2011 форум директоров по ибabondarenko
 
Защита персональных данных на финансовом и пенсионном рынках 2.0
Защита персональных данных на финансовом и пенсионном рынках 2.0Защита персональных данных на финансовом и пенсионном рынках 2.0
Защита персональных данных на финансовом и пенсионном рынках 2.0abondarenko
 
Cекреты соответствия PCI DSS
Cекреты соответствия PCI DSSCекреты соответствия PCI DSS
Cекреты соответствия PCI DSSabondarenko
 
Информационная безопасность в веб - основы
Информационная безопасность в веб - основыИнформационная безопасность в веб - основы
Информационная безопасность в веб - основыAlex Chistyakov
 
Public Cloud: основные этапы создания облачного сервис-провайдера.
Public Cloud: основные этапы создания облачного сервис-провайдера. Public Cloud: основные этапы создания облачного сервис-провайдера.
Public Cloud: основные этапы создания облачного сервис-провайдера.Cisco Russia
 
Современные серверы DEPO Storm и системы хранения DEPO Storage
Современные серверы DEPO Storm и системы хранения DEPO StorageСовременные серверы DEPO Storm и системы хранения DEPO Storage
Современные серверы DEPO Storm и системы хранения DEPO StorageDEPO Computers
 
СISCO: групповые политики в OpenStack
СISCO: групповые политики в OpenStackСISCO: групповые политики в OpenStack
СISCO: групповые политики в OpenStackMirantis IT Russia
 

Recommended

Риски использования облачных технологий
Риски использования облачных технологийРиски использования облачных технологий
Риски использования облачных технологийabondarenko
 
2011 форум директоров по иб
2011 форум директоров по иб2011 форум директоров по иб
2011 форум директоров по ибabondarenko
 
Защита персональных данных на финансовом и пенсионном рынках 2.0
Защита персональных данных на финансовом и пенсионном рынках 2.0Защита персональных данных на финансовом и пенсионном рынках 2.0
Защита персональных данных на финансовом и пенсионном рынках 2.0abondarenko
 
Cекреты соответствия PCI DSS
Cекреты соответствия PCI DSSCекреты соответствия PCI DSS
Cекреты соответствия PCI DSSabondarenko
 
Информационная безопасность в веб - основы
Информационная безопасность в веб - основыИнформационная безопасность в веб - основы
Информационная безопасность в веб - основыAlex Chistyakov
 
Public Cloud: основные этапы создания облачного сервис-провайдера.
Public Cloud: основные этапы создания облачного сервис-провайдера. Public Cloud: основные этапы создания облачного сервис-провайдера.
Public Cloud: основные этапы создания облачного сервис-провайдера.Cisco Russia
 
Современные серверы DEPO Storm и системы хранения DEPO Storage
Современные серверы DEPO Storm и системы хранения DEPO StorageСовременные серверы DEPO Storm и системы хранения DEPO Storage
Современные серверы DEPO Storm и системы хранения DEPO StorageDEPO Computers
 
СISCO: групповые политики в OpenStack
СISCO: групповые политики в OpenStackСISCO: групповые политики в OpenStack
СISCO: групповые политики в OpenStackMirantis IT Russia
 
White paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом сектореWhite paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом сектореМФИ Софт
 
White paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом сектореWhite paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом сектореМФИ Софт
 
Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Aleksey Lukatskiy
 
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...SelectedPresentations
 
1
11
1a_a_a
 
пр про ПДн
пр про ПДнпр про ПДн
пр про ПДнAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Закон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыЗакон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыValery Bychkov
 
Семинар-совещание 16.05.2014. Анализ российского рынка программных средств об...
Семинар-совещание 16.05.2014. Анализ российского рынка программных средств об...Семинар-совещание 16.05.2014. Анализ российского рынка программных средств об...
Семинар-совещание 16.05.2014. Анализ российского рынка программных средств об...Anastasia Khuraskina
 
Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗAndrew Fadeev
 
Fomchenkov
FomchenkovFomchenkov
FomchenkovAKlimchuk
 
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Cisco Russia
 
Правила аудита
Правила аудитаПравила аудита
Правила аудитаОтшельник
 
проект профстандарта Специалист по управлению персоналом - версия 7
проект профстандарта Специалист по управлению персоналом - версия 7проект профстандарта Специалист по управлению персоналом - версия 7
проект профстандарта Специалист по управлению персоналом - версия 7profstandartHR
 
SAP on Big Data Russia
SAP on Big Data RussiaSAP on Big Data Russia
SAP on Big Data Russiarusbase.vc
 
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1нн 2013 chugunov_v 1
нн 2013 chugunov_v 1Ekaterina Morozova
 
Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПСЭволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПСКРОК
 
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days
 

More Related Content

Similar to О персональных данных и не только

White paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом сектореWhite paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом сектореМФИ Софт
 
White paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом сектореWhite paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом сектореМФИ Софт
 
Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Aleksey Lukatskiy
 
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...SelectedPresentations
 
Закон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыЗакон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыValery Bychkov
 
Семинар-совещание 16.05.2014. Анализ российского рынка программных средств об...
Семинар-совещание 16.05.2014. Анализ российского рынка программных средств об...Семинар-совещание 16.05.2014. Анализ российского рынка программных средств об...
Семинар-совещание 16.05.2014. Анализ российского рынка программных средств об...Anastasia Khuraskina
 
Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗAndrew Fadeev
 
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Cisco Russia
 
проект профстандарта Специалист по управлению персоналом - версия 7
проект профстандарта Специалист по управлению персоналом - версия 7проект профстандарта Специалист по управлению персоналом - версия 7
проект профстандарта Специалист по управлению персоналом - версия 7profstandartHR
 
SAP on Big Data Russia
SAP on Big Data RussiaSAP on Big Data Russia
SAP on Big Data Russiarusbase.vc
 
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПСЭволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПСКРОК
 
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days
 

Similar to О персональных данных и не только (20)

White paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом сектореWhite paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом секторе
 
White paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом сектореWhite paper: Защита информации в финансовом секторе
White paper: Защита информации в финансовом секторе
 
Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)
 
Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"
 
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
 
1
11
1
 
пр про ПДн
пр про ПДнпр про ПДн
пр про ПДн
 
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)
 
Закон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыЗакон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут перемены
 
Семинар-совещание 16.05.2014. Анализ российского рынка программных средств об...
Семинар-совещание 16.05.2014. Анализ российского рынка программных средств об...Семинар-совещание 16.05.2014. Анализ российского рынка программных средств об...
Семинар-совещание 16.05.2014. Анализ российского рынка программных средств об...
 
Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗ
 
Fomchenkov
FomchenkovFomchenkov
Fomchenkov
 
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
 
проект профстандарта Специалист по управлению персоналом - версия 7
проект профстандарта Специалист по управлению персоналом - версия 7проект профстандарта Специалист по управлению персоналом - версия 7
проект профстандарта Специалист по управлению персоналом - версия 7
 
SAP on Big Data Russia
SAP on Big Data RussiaSAP on Big Data Russia
SAP on Big Data Russia
 
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1нн 2013 chugunov_v 1
нн 2013 chugunov_v 1
 
Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)
 
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПСЭволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
Эволюция банковского законодательства в России ПДн⇒СТО БР⇒НПС
 
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
 

О персональных данных и не только

  • 1. О ПЕРСОНАЛЬНЫХ ДАННЫХ И НЕ ТОЛЬКО Александр Бондаренко, CISA, CISSP Директор департамента консалтинга Компания LETA
  • 3.
  • 4. План проекта соответствия 152-ФЗ Изменение бизнес-процессов Выбор и проектирование СЗПДн Разработка нормативной документации Обследование Внедрение СЗПДн Обучение персонала Поддержание соответствия
  • 5. Соответствие 152-ФЗ – ключевые моменты Определить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн Определить состав обрабатываемых ПДн, цели и условия обработки, сроки хранения Получить согласие субъекта на обработку его персональных данных, в т.ч. в письменной форме Определить порядок реагирования на запросы со стороны субъектов ПДн Определить необходимость уведомления РКН
  • 6. Выделить и классифицировать ИСПДн Разработать модель угроз для ИСПДн Спроектировать и реализовать СЗПДн Определить перечень мер по защите ПДн, обрабатываемых без использования средств автоматизации Вести контроль за состоянием уровня защищенности ПДн Соответствие 152-ФЗ – ключевые моменты
  • 7. Сертификация средств защиты Лицензирование ФСТЭК и ФСБ Аттестация «Спорные» темы
  • 8. Угрозы и риски Оценка рисков vs. Моделирование угроз
  • 11.
  • 12.
  • 13. Подходы к составлению модели угроз Шаблонный подход Комбинаторика Сценарный подход Гибридный подход
  • 14. Подход ЛЕТА к составлению модели угроз
  • 15. Подход ЛЕТА к составлению модели угроз