Закон "О персональных данных": грядут перемены

Текущие изменения

Постановление правительства РФ №1119 «Об утверждении требований к защите персональных данных при их

обработке в информационных системах персональных данных»

Приказ ФСТЭК №21«Об утверждении состава и содержания организационных и

технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах

персональных данных»

Постановление Правительства №1119

Классы ИСПДн Уровни защищенности ИСПДн

Постановление Правительства №1119

Классы ИСПДн Уровни защищенности ИСПДн

Определить уровень защищенности, как два пальца…

Приказ ФСТЭК №21

регистрация событий безопасности

ограничение программной среды

защита средств виртуализации

и другие

Мер по обеспечению безопасности персональных данных стало большое:

Приказ ФСТЭК №21

Выбор набора базовых мер

Адаптация мер к характеристикам и особенностям ИСПДн

Уточнение адаптированного набора мер

Дополнение адаптированного набора базовых мер

Установлен порядок определения защитных мер

Поправки в КоАП

Грядет увеличение сумм штрафов

10 000 рублей

2% от дохода

Выручка за год

700 000 рублей

Поправки в КоАП

Полномочия по наложению штрафов перешли к Роскомнадзора

Срок давности привлечения к административной ответственности увеличен с 3 месяцев до 1 года

Что еще нас ждет?

Документы ФСБ по криптографической защите персональных данных

Методические Рекомендации Роскомнадзора по обезличиванию

Список адекватных страх для трансграничной передачи

Постановление Правительства о надзоре по 152-ФЗ

Послабление по требованиям защиты персональных данных

Выбор средств защиты информации остается за оператором

Применяются СЗИ, прошедшие оценку соответствия

Требования могут быть снижены за счет правильного определения возможного ущерба субъекту персональных данных

Политика Роскомнадзора

Фокус смещается с операторов персональных данных к субъектам персональных данных. Роскомнадзор планирует просвещать физических лиц об их правах, как субъекта персональных данных

Роскомнадзору не нравится, как на данный момент бизнес обеспечивает безопасность обрабатываемых персональных данных.

Позиция территориальных органов Роскомнадзора может сильно отличаться друг от друга по разным вопросам, касающимся исполнения законодательства

Роскомнадзором были предприняты различные меры для узаконивания проверок ими исполнения требований ст.19, но ему не дали права проверять техническую защиту.

Для проверок крупных компаний привлекает аккредитованных экспертов (интеграторов), коллег из ФСБ и ФСТЭК, а так же представителей УБОП

1

2

3

4

5

Проверки пройти непросто

Роскомнадзор проверяет тщательно, немного влезает в ИСПДн, в средства защиты информации и архивное дело.

Документов запрашивает многоПриказ о назначении комиссии по приведению в соответствие с требованиями законодательства в области персональных данных

Положение о комиссии по приведению в соответствие с требованиями законодательства в области персональных данныхПлан мероприятий по приведению в соответствие с требованиями законодательства в области персональных данных

Перечень должностей и третьих лиц, допущенных к обработке персональных данныхФорма Обязательства о неразглашении персональных данных

Форма Соглашения о соблюдении конфиденциальности персональных данных, переданных на обработку Перечень обрабатываемых персональных данных

Форма Согласия на обработку персональных данныхПеречень информационных систем персональных данных

Перечень применяемых средств защиты информацииТехнический паспорт информационных систем персональных данных

Приказ о назначении лиц, ответственных за обработку и защиту персональных данныхИнструкция администратора информационной безопасности

Инструкция менеджера обработки персональных данныхПоложение по обработке персональных данных (внутренний документ)

Политика компании в отношении обработки персональных данных (для публичного доступа)Положение об обеспечении безопасности персональных данных

Уведомление об обработке персональных данныхРегламент по определению уровней защищенности информационных систем персональных данных

Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данныхПротокол определения ущерба

Акты определения уровня защищённости информационных систем персональных данныхТехническое задание на систему защиты персональных данных

Приказ об утверждении Инструкции пользователя информационных систем персональных данныхИнструкция пользователя информационных систем персональных данных

Регламент по учёту, хранению и уничтожению носителей персональных данныхРегламент по допуску сотрудников и третьих лиц к обработке персональных данных

Регламент по реагированию на запросы субъектов персональных данныхРегламент по взаимодействию с органами государственной власти в области персональных данных

Регламент по резервному копированию персональных данныхРегламент по проведению контрольных мероприятий и реагированию на инциденты информационной безопасности

Реальные задачи бизнесаВсе больше заказчиков требуют от исполнителей соблюдения 152-ФЗ, исполнители в «быстром порядке» решают вопрос.

Бизнес хочет быстрее окупить вложение. Это возможно сделать 3 способами: Добавлять к стоимости проекта заказчика стоимость реализации

требований 152-ФЗ Привлекать требовательных заказчиков исполнением 152-ФЗ

У бизнеса нет инструментов показать, что он соответствует требованиям 152-ФЗ «О персональных данных»

80% средних и малых компаний приводят в соответствие лишь обработку персональных данных (комплект внутренних документов), этого хватает, чтобы пройти 93% проверок

Бизнес готов выделять на приведение своей деятельности в соответствие с требованиями 152-ФЗ не более 5% о стоимости контракта с Заказчиком.

Знаки доверия

Знаки доверия

Как вы считаете, в России нужен свой знак доверия?

Спасибо за внимание!

С удовольствием отвечу на ваши вопросы.

Максим Лагутинmlagutin@b-152.ru