positive hack days. Царев. Сложности выполнения российских...

Сложности выполнения российских требований по защите персональных данных

Евгений ЦаревЗаместитель директора Департамента продуктов и услуг

+7 (495) 921 1410 / www.leta.ru

ИНФОРМАЦИЯ О КОМПАНИИ 2

№152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

+7 (495) 921 1410 / www.leta.ru

Законом определено, что:Информационные системы обрабатывающие персональные данные должны быть приведены

в соответствие до 1 июля 2011 года* (Согласно принятому законопроекту «О внесении изменений в статью 25 Федерального закона "О персональных данных« от 23.12.2010г.)

Невыполнение требований ФЗ “О персональных данных” и подзаконных актов может повлечь привлечение к ответственности должностных лиц организации к уголовной и административной ответственности

26 января 2007 г. вступил в силу Федеральный закон

№ 152-ФЗ “О персональных данных”

Закон обязывает операторов персональных данных привести свои информационные системы, обрабатывающие персональные данные в соответствие с требованиями регулирующих органов

Ответственными за контроль соблюдения требования закона определены ФСБ России, ФСТЭК России, а также Роскомнадзор

Защита персональных данных

http://www.uainfo.com/photos/big/76865_1.jpg


ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В РОССИИ

+7 (495) 921 1410 / www.leta.ruЗащита персональных данных

Основные сложности с защитой персональных данных в России:

1. Термины и определение. Что такое ПДн?

2. Получение согласия субъекта

3. Трансграничная передача

4. Лицензирование

5. Сертификация технических средств


ТЕРМИНЫ И ОПРЕДЕЛЕНИЕ. ЧТО ТАКОЕ ПДН?


1. Определение понятия «персональные данные» содержит неопределенность

• Какой набор данных определяет физическое лицо?

• ФИО? + телефонный номер? + ИНН?

• Прозвище?

• Какой потенциальный ущерб от утечки ФИО?

2. Что такое «обезличенные» персональные данные?

3. Кто такие оператор и уполномоченное лицо по защите персональных данных?


ПОЛУЧЕНИЕ СОГЛАСИЯ СУБЪЕКТА


Согласие должно быть получено в письменной форме на отдельном листе бумаги с собственно ручной подписью субъекта персональных данных. Других способов получения согласия нет.

Казуистика с требованием письменного согласия большинством участников рынка трактуется как:

В интернете (по разъяснениям регулятора):

критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных является файл электронной цифровой подписи.


ПОЛУЧЕНИЕ СОГЛАСИЯ СУБЪЕКТА


Обработка ПДн с целью удовлетворения собственных потребностей, предполагающее обработку персональных данных при условии, что при этом не нарушаются права субъекта персональных данных - Без согласия!

Оператор вправе продекларировать условия соглашения путем его размещения в форме, доступной для ознакомления неограниченному кругу лиц, или путем его предоставления по требованию лица намерившегося вступить в отношения с оператором

Соглашение об обработке ПДн может быть заключено в устной форме или посредством совершения конклюдентных действий, либо путем акцепта субъектом персональных данных условий договора, оферта которого предложена оператором

Что изменится после законопроекта Резника:


ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА


1 группа стран:

Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония.

2 группа стран:

Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония.

Законом вводится понятие адекватности защиты персональных данных. Критериев, определяющих адекватность нет.


ЛИЦЕНЗИРОВАНИЕ


Деятельность по технической защите конфиденциальной информации – лицензируемый вид деятельности (N 99-ФЗ "О лицензировании отдельных видов деятельности").

Согласно Постановлению правительства №504:

Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней

Законом вводится понятие адекватности защиты персональных данных. Критериев, определяющих адекватность нет.


СЕРТИФИКАЦИЯ ТЕХНИЧЕСКИХ СРЕДСТВ


Основанием для обязательной сертификации является ФЗ «О техническом регулировании», согласно которому в отсутствие принятого технического регламента ФСТЭК России правомочна устанавливать соответствующие требования

В 58-м приказе напрямую говорится лишь о сертификации на соответствие 4 уровню контроля отсутствия НДВ средств защиты информации, используемых в ИСПДн 1 класса

Прочие средства защиты должны также проходить процедуру оценки соответствия, одной из форм которой является сертификация («на ТУ»)

Технические решения для защиты персональных данных должны быть сертифицированы ФСТЭК России

Стандарт Банка России по информационной безопасности. Подход к внедрению

Евгений ЦаревЗаместитель директора Департамента продуктов и услуг

+7 (495) 921 1410 / www.leta.ru


«ПИСЬМО ШЕСТЕРЫХ» И НОВАЯ РЕДАКЦИЯ СТО БР ИББС

+7 (495) 921 1410 / www.leta.ru

Центральный банк Российской Федерации Ассоциация российских банков

Ассоциация региональных банков России (Ассоциация «Россия»)(«Письмо шестерых»)

• Документы согласованы ФСБ России, Роскомнадзором, ФСТЭК России. Текст документов опубликован в «Вестнике Банка России» и размещен на веб-сайте Банка России в сети Интернет

• Центральный банк Российской Федерации, Ассоциация российских банков и Ассоциация региональных банков России рекомендуют ввести Комплекс БР ИББС решением организации БС РФ (приказом, распоряжением) и руководствоваться им при проведении работ по защите информации, отнесенной к персональным данным, к банковской тайне, к коммерческой тайне

• В случае если Комплекс БР ИББС в кредитной организации не вводится, она должна руководствоваться нормативно-правовыми актами ФСБ России, Роскомнадзора и ФСТЭК России



+7 (495) 921 1410 / www.leta.ru

http://www.arb.ru/site/docs/other/Kom19_Pismo6_30-06-2010.pdf



+7 (495) 921 1410 / www.leta.ru

Общие положения СТО БР ИББС-1.0-2010

Аудит информационной безопасности

СТО БР ИББС-1.1-2007

Методика оценки соответствия

СТО БР ИББС-1.2-2010

РС БР ИББС-2.0-2007 Методические рекомендации по документации в

области обеспечения информационной безопасности в

соответствии с требованиями СТО БР ИББС-1.0

РС БР ИББС-2.1-2007 Руководство по самооценке соответствия

информационной безопасности организаций банковской системы

Российской Федерации требованиям стандарта СТО БР

ИББС-1.0

РC БР ИББС-2.2-2009 Методика оценки рисков нарушения информационной

безопасности

РС БР ИББС-2.3-2010 Требования по обеспечению

безопасности ПДн

РС БР ИББС-2.4-2010 Отраслевая частная

модель угроз безопасности ПДн

Методические рекомендации по

выполнению законодательных требований при

обработке персональных

данных в организациях банковской

системы Российской Федерации

ИНФОРМАЦИЯ О КОМПАНИИ 14+7 (495) 921 1410 / www.leta.ru

ИТОГО ОРГАНИЗАЦИЙ БС РФ, ПРИНЯВШИХ СТО БР ИББС С ИЮЛЯ 2010 ГОДА

70%

10%

20%

Приняли решение о принятии стандартаПриняли решение не принимать стандартЗаняли выжидательную позицию


ХОД ПРОЕКТА ПО СТАНДАРТУ СТО БР ИББС

+7 (495) 921 1410 / www.leta.ru

Стадия 1. Экспресс-оценка соответствия

Стадия 2. Инвентаризация информационных активов и оценка рисков

Стадия 3. Проектирование СОИБ

Стадия 4. Внедрение СОИБ

Стадия 5. Итоговая оценка соответствия


ПЕРЕХОД НА НОВУЮ ВЕРСИЮ СТАНДАРТА

+7 (495) 921 1410 / www.leta.ru

1. Проведение работ по персональным данным:

• Анализ порядка обработки ПДн

• Выделение и классификация ИСПДн (по определению стандарта)

• Реализация требований в зависимости от класса ИСПДн

2. Доработка СОИБ

3. Аудит по требованиям СТО БР ИББС/Самооценка (с учетом новых показателей)


ВНЕДРЕНИЕ ПДН В РАМКАХ СТО БР ИББС

+7 (495) 921 1410 / www.leta.ru

1. Экспресс-оценка

• Проведение работ по персональным данным:

• Анализ порядка обработки ПДн

• Выделение и классификация ИСПДн (по определению стандарта)

• Реализация требований в зависимости от класса ИСПДн

2. Аудит/Самооценка по требованиям СТО БР ИББС (с учетом новых показателей)


СТО БР ИББС И PCI DSS

+7 (495) 921 1410 / www.leta.ru


УЧАСТИЕ В ПРОЕКТЕ

+7 (495) 921 1410 / www.leta.ru

Внедрение СТО БР ИББС предполагает вовлечение:

1. ТОР-менеджмента

2. Бизнес-подразделений

• Отдел кадров

• Бухгалтерия

• Коммерческая служба

• и т.п.

3. ИТ-службы

4. ИБ-службы

5. Службы безопасности


СТО БР ИББС: КЛЮЧЕВЫЕ МОМЕНТЫ

+7 (495) 921 1410 / www.leta.ru

Проект по внедрению СТО БР ИББС:

1. Для полноценной реализации требует от 1 года

2. Предполагает «бесконечный» цикл совершенствования

3. Требует поддержки и кадрового ресурса

Вполне реализуем!


ЧТО ЕЩЕ ОЖИДАТЬ?

+7 (495) 921 1410 / www.leta.ru

1. Соответствие требованиям PCI DSS

2. 242-П (непрерывность деятельности)

3. Федеральный закон «О национальной

платежной системе»

4. Безопасность БЭСП

5. Другие требования ЦБ в области ИБ

6. и т.д.


КОНТАКТНАЯ ИНФОРМАЦИЯ

Компания LETA109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2 Тел./факс: +7 (495) 921-1410Единая служба сервисной поддержки: + 7 (495) 921-1410 www.leta.ru

© 2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.

Царев ЕвгенийЗаместитель директора Департамента продуктов и услугe-mail: [email protected]

positive hack days. Царев. Сложности выполнения российских...

Business