Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
1. Сложности выполнения российских требований по защите персональных данных Евгений Царев Заместитель директора Департамента продуктов и услуг +7 (495) 921 1410 / www.leta.ru
2. №152-ФЗ «О персональных данных» +7 (495) 921 1410 / www.leta.ru 26 января 2007 г. вступил в силу Федеральный закон № 152-ФЗ “О персональных данных” Закон обязывает операторов персональных данных привести свои информационные системы, обрабатывающие персональные данные в соответствие с требованиями регулирующих органов Ответственными за контроль соблюдения требования закона определены ФСБ России, ФСТЭК России, а также Роскомнадзор Законом определено, что: Информационные системы обрабатывающие персональные данные должны быть приведены в соответствие до 1 июля 2011 года* (Согласно принятому законопроекту «О внесении изменений в статью 25 Федерального закона "О персональных данных« от 23.12.2010г.) Невыполнение требований ФЗ “О персональных данных” и подзаконных актов может повлечь привлечение к ответственности должностных лиц организации к уголовной и административной ответственности Защита персональных данных
3. защита персональных данных в России +7 (495) 921 1410 / www.leta.ru Основные сложности с защитой персональных данных в России: Термины и определение. Что такое ПДн? Получение согласия субъекта Трансграничная передача Лицензирование Сертификация технических средств Защита персональных данных
7. Какой потенциальный ущерб от утечки ФИО?Что такое «обезличенные» персональные данные? Кто такие оператор и уполномоченное лицо по защите персональных данных? Защита персональных данных
8. Получение согласия субъекта +7 (495) 921 1410 / www.leta.ru Казуистика с требованием письменного согласия большинством участников рынка трактуется как: Согласие должно быть получено в письменной форме на отдельном листе бумаги с собственно ручной подписью субъекта персональных данных. Других способов получения согласия нет. В интернете (по разъяснениям регулятора): критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных является файл электронной цифровой подписи. Защита персональных данных
9. Получение согласия субъекта +7 (495) 921 1410 / www.leta.ru Что изменится после законопроекта Резника: Обработка ПДн с целью удовлетворения собственных потребностей, предполагающее обработку персональных данных при условии, что при этом не нарушаются права субъекта персональных данных - Без согласия! Оператор вправе продекларировать условия соглашения путем его размещения в форме, доступной для ознакомления неограниченному кругу лиц, или путем его предоставления по требованию лица намерившегося вступить в отношения с оператором Соглашение об обработке ПДн может быть заключено в устной форме или посредством совершения конклюдентных действий, либо путем акцепта субъектом персональных данных условий договора, оферта которого предложена оператором Защита персональных данных
10. Трансграничная передача +7 (495) 921 1410 / www.leta.ru Законом вводится понятие адекватности защиты персональных данных. Критериев, определяющих адекватность нет. 1 группа стран: Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония. 2 группа стран: Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония. Защита персональных данных
11. Лицензирование +7 (495) 921 1410 / www.leta.ru Законом вводится понятие адекватности защиты персональных данных. Критериев, определяющих адекватность нет. Деятельность по технической защите конфиденциальной информации – лицензируемый вид деятельности (N 99-ФЗ "О лицензировании отдельных видов деятельности"). Согласно Постановлению правительства №504: Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней Защита персональных данных
12. Сертификация технических средств +7 (495) 921 1410 / www.leta.ru Технические решения для защиты персональных данных должны быть сертифицированы ФСТЭК России Основанием для обязательной сертификации является ФЗ «О техническом регулировании», согласно которому в отсутствие принятого технического регламента ФСТЭК России правомочна устанавливать соответствующие требования В 58-м приказе напрямую говорится лишь о сертификации на соответствие 4 уровню контроля отсутствия НДВ средств защиты информации, используемых в ИСПДн 1 класса Прочие средства защиты должны также проходить процедуру оценки соответствия, одной из форм которой является сертификация («на ТУ») Защита персональных данных
13. Стандарт Банка России по информационной безопасности. Подход к внедрению Евгений Царев Заместитель директора Департамента продуктов и услуг +7 (495) 921 1410 / www.leta.ru
14.
15. Центральный банк Российской Федерации, Ассоциация российских банков и Ассоциация региональных банков России рекомендуют ввести Комплекс БР ИББС решением организации БС РФ (приказом, распоряжением) и руководствоваться им при проведении работ по защите информации, отнесенной к персональным данным, к банковской тайне, к коммерческой тайне
16.
17. «Письмо шестерых» и новая редакция СТО БР ИББС +7 (495) 921 1410 / www.leta.ru Общие положения СТО БР ИББС-1.0-2010 Аудит информационной безопасности СТО БР ИББС-1.1-2007 Методика оценки соответствия СТО БР ИББС-1.2-2010 РС БР ИББС-2.0-2007 Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0 РС БР ИББС-2.1-2007 Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0 Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации РC БР ИББС-2.2-2009 Методика оценки рисков нарушения информационной безопасности РС БР ИББС-2.3-2010 Требования по обеспечению безопасности ПДн РС БР ИББС-2.4-2010 Отраслевая частная модель угроз безопасности ПДн
18. +7 (495) 921 1410 / www.leta.ru ИТОГО Организаций БС РФ, принявших СТО БР ИББС с июля 2010 года
19. Ход проекта по стандарту СТО БР ИББС +7 (495) 921 1410 / www.leta.ru
32. СТО БР ИББС: Ключевые моменты +7 (495) 921 1410 / www.leta.ru Проект по внедрению СТО БР ИББС: Для полноценной реализации требует от 1 года Предполагает «бесконечный» цикл совершенствования Требует поддержки и кадрового ресурса Вполне реализуем!
33. Что еще ожидать? +7 (495) 921 1410 / www.leta.ru Соответствие требованиям PCI DSS 242-П (непрерывность деятельности) Федеральный закон «О национальной платежной системе» Безопасность БЭСП Другие требования ЦБ в области ИБ и т.д.