SlideShare uma empresa Scribd logo

Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД

Transferir como PPTX, PDF
Positive Hack Days
Positive Hack Days

Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.

Negócios
1 de 22
Сложности выполнения российских требований по защите персональных данных Евгений Царев Заместитель директора Департамента продуктов и услуг +7 (495) 921 1410 / www.leta.ru
№152-ФЗ «О персональных данных» +7 (495) 921 1410 / www.leta.ru 26 января 2007 г. вступил в силу Федеральный закон № 152-ФЗ “О персональных данных” Закон обязывает операторов персональных данных привести свои информационные системы, обрабатывающие персональные данные в соответствие с требованиями регулирующих органов Ответственными за контроль соблюдения требования закона определены ФСБ России, ФСТЭК России, а также Роскомнадзор Законом определено, что: Информационные системы обрабатывающие персональные данные должны быть приведены в соответствие до 1 июля 2011 года* (Согласно принятому законопроекту «О внесении изменений в статью 25 Федерального закона "О персональных данных« от 23.12.2010г.) Невыполнение требований ФЗ “О персональных данных” и подзаконных актов может повлечь привлечение к ответственности должностных лиц организации к уголовной и административной ответственности Защита персональных данных
защита персональных данных в России +7 (495) 921 1410 / www.leta.ru Основные сложности с защитой персональных данных в России: Термины и определение. Что такое ПДн? Получение согласия субъекта Трансграничная передача Лицензирование Сертификация технических средств Защита персональных данных
Термины и определение. Что такое ПДн? +7 (495) 921 1410 / www.leta.ru Определение понятия «персональные данные» содержит неопределенность ,[object Object]
ФИО? + телефонный номер? + ИНН?
Прозвище?
Какой потенциальный ущерб от утечки ФИО?Что такое «обезличенные» персональные данные? Кто такие оператор и уполномоченное лицо по защите персональных данных? Защита персональных данных
Получение согласия субъекта +7 (495) 921 1410 / www.leta.ru Казуистика с требованием письменного согласия большинством участников рынка трактуется как: Согласие должно быть получено в письменной форме на отдельном листе бумаги с собственно ручной подписью субъекта персональных данных. Других способов получения согласия нет. В интернете (по разъяснениям регулятора): критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных является файл электронной цифровой подписи. Защита персональных данных
Получение согласия субъекта +7 (495) 921 1410 / www.leta.ru Что изменится после законопроекта Резника: Обработка ПДн с целью удовлетворения собственных потребностей, предполагающее обработку персональных данных при условии, что при этом не нарушаются права субъекта персональных данных - Без согласия! Оператор вправе продекларировать условия соглашения путем его размещения в форме, доступной для ознакомления неограниченному кругу лиц, или путем его предоставления по требованию лица намерившегося вступить в отношения с оператором Соглашение об обработке ПДн может быть заключено в устной форме или посредством совершения конклюдентных действий, либо путем акцепта субъектом персональных данных условий договора, оферта которого предложена оператором Защита персональных данных
Трансграничная передача +7 (495) 921 1410 / www.leta.ru Законом вводится понятие адекватности защиты персональных данных. Критериев, определяющих адекватность нет. 1 группа стран: Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония. 2 группа стран: Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония. Защита персональных данных
Лицензирование +7 (495) 921 1410 / www.leta.ru Законом вводится понятие адекватности защиты персональных данных. Критериев, определяющих адекватность нет. Деятельность по технической защите конфиденциальной информации – лицензируемый вид деятельности (N 99-ФЗ "О лицензировании отдельных видов деятельности"). Согласно Постановлению правительства №504: Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней Защита персональных данных
Сертификация технических средств +7 (495) 921 1410 / www.leta.ru Технические решения для защиты персональных данных должны быть сертифицированы ФСТЭК России Основанием для обязательной сертификации является ФЗ «О техническом регулировании», согласно которому в отсутствие принятого технического регламента ФСТЭК России правомочна устанавливать соответствующие требования В 58-м приказе напрямую говорится лишь о сертификации на соответствие 4 уровню контроля отсутствия НДВ средств защиты информации, используемых в ИСПДн 1 класса Прочие средства защиты должны также проходить процедуру оценки соответствия, одной из форм которой является сертификация («на ТУ») Защита персональных данных
Стандарт Банка России по информационной безопасности. Подход к внедрению Евгений Царев Заместитель директора Департамента продуктов и услуг +7 (495) 921 1410 / www.leta.ru
«Письмо шестерых» и новая редакция СТО БР ИББС +7 (495) 921 1410 / www.leta.ru Центральный банк Российской Федерации Ассоциация российских банков Ассоциация региональных банков России (Ассоциация «Россия») («Письмо шестерых») ,[object Object]
Центральный банк Российской Федерации, Ассоциация российских банков и Ассоциация региональных банков России рекомендуют ввести Комплекс БР ИББС решением организации БС РФ (приказом, распоряжением) и руководствоваться им при проведении работ по защите информации, отнесенной к персональным данным, к банковской тайне, к коммерческой тайне
В случае если Комплекс БР ИББС в кредитной организации не вводится, она должна руководствоваться нормативно-правовыми актами ФСБ России, Роскомнадзора и ФСТЭК России,[object Object]
«Письмо шестерых» и новая редакция СТО БР ИББС +7 (495) 921 1410 / www.leta.ru Общие положения СТО БР ИББС-1.0-2010 Аудит информационной безопасности СТО БР ИББС-1.1-2007 Методика оценки соответствия СТО БР ИББС-1.2-2010 РС БР ИББС-2.0-2007 Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0 РС БР ИББС-2.1-2007 Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0 Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации РC БР ИББС-2.2-2009 Методика оценки рисков нарушения информационной безопасности РС БР ИББС-2.3-2010 Требования по обеспечению безопасности ПДн РС БР ИББС-2.4-2010 Отраслевая частная модель угроз безопасности ПДн
+7 (495) 921 1410 / www.leta.ru ИТОГО Организаций БС РФ, принявших СТО БР ИББС с июля 2010 года
Ход проекта по стандарту СТО БР ИББС +7 (495) 921 1410 / www.leta.ru
Переход на новую версию стандарта +7 (495) 921 1410 / www.leta.ru Проведение работ по персональным данным: ,[object Object]
Выделение и классификация ИСПДн (по определению стандарта)
Реализация требований в зависимости от класса ИСПДнДоработка СОИБ Аудит по требованиям СТО БР ИББС/Самооценка (с учетом новых показателей)

Recomendados

Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗAndrew Fadeev
 
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)Евгений Царев
 
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Ontico
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?Cisco Russia
 
Изменения в законе о защите персональных данных
Изменения в законе о защите персональных данныхИзменения в законе о защите персональных данных
Изменения в законе о защите персональных данныхValery Bychkov
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациSoftline
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиAleksey Lukatskiy
 

Recomendados

Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗAndrew Fadeev
 
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)Евгений Царев
 
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Ontico
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?Cisco Russia
 
Изменения в законе о защите персональных данных
Изменения в законе о защите персональных данныхИзменения в законе о защите персональных данных
Изменения в законе о защите персональных данныхValery Bychkov
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациSoftline
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиAleksey Lukatskiy
 
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Aleksey Lukatskiy
 
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...RISClubSPb
 
Программа курса "Новинки законодательства по персональным данным"
Программа курса "Новинки законодательства по персональным данным"Программа курса "Новинки законодательства по персональным данным"
Программа курса "Новинки законодательства по персональным данным"Aleksey Lukatskiy
 
Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?Aleksey Lukatskiy
 
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...Expolink
 
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015Mikhail Emeliyannikov
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?Aleksey Lukatskiy
 
О проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУО проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУАнатолий Попов
 
Информационная безопасность бизнеса
Информационная безопасность бизнесаИнформационная безопасность бизнеса
Информационная безопасность бизнесаDmitri Budaev
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"Expolink
 
Последние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииПоследние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииAleksey Lukatskiy
 
Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...
Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...
Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...Expolink
 
пр Увольнение за разглашение КТ
пр Увольнение за разглашение КТпр Увольнение за разглашение КТ
пр Увольнение за разглашение КТAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Vbяценко 20 21 сентября
Vbяценко 20 21 сентябряVbяценко 20 21 сентября
Vbяценко 20 21 сентябряНадт Ассоциация
 
Positive Hack Days. Сычев. ДБО и правоохранительные органы
Positive Hack Days. Сычев. ДБО и правоохранительные органыPositive Hack Days. Сычев. ДБО и правоохранительные органы
Positive Hack Days. Сычев. ДБО и правоохранительные органыPositive Hack Days
 
Что происходило в отрасли в 2014 году: Достижения и планы на будущее
Что происходило в отрасли в 2014 году: Достижения и планы на будущееЧто происходило в отрасли в 2014 году: Достижения и планы на будущее
Что происходило в отрасли в 2014 году: Достижения и планы на будущееNatasha Khramtsovsky
 
Перспективы трансграничного обмена персональными данными и иной информацией о...
Перспективы трансграничного обмена персональными данными и иной информацией о...Перспективы трансграничного обмена персональными данными и иной информацией о...
Перспективы трансграничного обмена персональными данными и иной информацией о...Корус Консалтинг СНГ
 
Сфера применения электронного документооборота в России. Тенденции развития и...
Сфера применения электронного документооборота в России. Тенденции развития и...Сфера применения электронного документооборота в России. Тенденции развития и...
Сфера применения электронного документооборота в России. Тенденции развития и...Natasha Khramtsovsky
 
Стандартизация в области управления документами: Особенности текущего момента
Стандартизация в области управления документами: Особенности текущего моментаСтандартизация в области управления документами: Особенности текущего момента
Стандартизация в области управления документами: Особенности текущего моментаNatasha Khramtsovsky
 

Mais conteúdo relacionado

Mais procurados

Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Aleksey Lukatskiy
 
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...RISClubSPb
 
Программа курса "Новинки законодательства по персональным данным"
Программа курса "Новинки законодательства по персональным данным"Программа курса "Новинки законодательства по персональным данным"
Программа курса "Новинки законодательства по персональным данным"Aleksey Lukatskiy
 
Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?Aleksey Lukatskiy
 
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...Expolink
 
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015Mikhail Emeliyannikov
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?Aleksey Lukatskiy
 
Информационная безопасность бизнеса
Информационная безопасность бизнесаИнформационная безопасность бизнеса
Информационная безопасность бизнесаDmitri Budaev
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"Expolink
 
Последние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииПоследние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииAleksey Lukatskiy
 
Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...
Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...
Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...Expolink
 

Mais procurados (17)

Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
 
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
 
Программа курса "Новинки законодательства по персональным данным"
Программа курса "Новинки законодательства по персональным данным"Программа курса "Новинки законодательства по персональным данным"
Программа курса "Новинки законодательства по персональным данным"
 
Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?Какие виды информационных систем бывают в России?
Какие виды информационных систем бывают в России?
 
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
 
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
 
Что такое государственная информационная система?
Что такое государственная информационная система?Что такое государственная информационная система?
Что такое государственная информационная система?
 
О проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУО проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУ
 
Информационная безопасность бизнеса
Информационная безопасность бизнесаИнформационная безопасность бизнеса
Информационная безопасность бизнеса
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14
 
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"
 
Последние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииПоследние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденции
 
Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...
Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...
Алексей Лукацкий. (Cisco). "Последние изменения законодательства о персональн...
 
пр Увольнение за разглашение КТ
пр Увольнение за разглашение КТпр Увольнение за разглашение КТ
пр Увольнение за разглашение КТ
 
Vbяценко 20 21 сентября
Vbяценко 20 21 сентябряVbяценко 20 21 сентября
Vbяценко 20 21 сентября
 

Destaque

Positive Hack Days. Сычев. ДБО и правоохранительные органы
Positive Hack Days. Сычев. ДБО и правоохранительные органыPositive Hack Days. Сычев. ДБО и правоохранительные органы
Positive Hack Days. Сычев. ДБО и правоохранительные органыPositive Hack Days
 
Что происходило в отрасли в 2014 году: Достижения и планы на будущее
Что происходило в отрасли в 2014 году: Достижения и планы на будущееЧто происходило в отрасли в 2014 году: Достижения и планы на будущее
Что происходило в отрасли в 2014 году: Достижения и планы на будущееNatasha Khramtsovsky
 
Перспективы трансграничного обмена персональными данными и иной информацией о...
Перспективы трансграничного обмена персональными данными и иной информацией о...Перспективы трансграничного обмена персональными данными и иной информацией о...
Перспективы трансграничного обмена персональными данными и иной информацией о...Корус Консалтинг СНГ
 
Сфера применения электронного документооборота в России. Тенденции развития и...
Сфера применения электронного документооборота в России. Тенденции развития и...Сфера применения электронного документооборота в России. Тенденции развития и...
Сфера применения электронного документооборота в России. Тенденции развития и...Natasha Khramtsovsky
 
Стандартизация в области управления документами: Особенности текущего момента
Стандартизация в области управления документами: Особенности текущего моментаСтандартизация в области управления документами: Особенности текущего момента
Стандартизация в области управления документами: Особенности текущего моментаNatasha Khramtsovsky
 
Текущее положение дел и перспективы развития архивной отрасли
Текущее положение дел и перспективы развития архивной отраслиТекущее положение дел и перспективы развития архивной отрасли
Текущее положение дел и перспективы развития архивной отраслиNatasha Khramtsovsky
 
Деятельность ИСО по стандартизации в сфере управления документами и информаци...
Деятельность ИСО по стандартизации в сфере управления документами и информаци...Деятельность ИСО по стандартизации в сфере управления документами и информаци...
Деятельность ИСО по стандартизации в сфере управления документами и информаци...Natasha Khramtsovsky
 
Блокчейн и PKI: друзья или конкуренты?
Блокчейн и PKI: друзья или конкуренты?Блокчейн и PKI: друзья или конкуренты?
Блокчейн и PKI: друзья или конкуренты?Natasha Khramtsovsky
 
Новые тенденции в отечественном и мировом делопроизводстве и архивном деле
Новые тенденции в отечественном и мировом делопроизводстве и архивном делеНовые тенденции в отечественном и мировом делопроизводстве и архивном деле
Новые тенденции в отечественном и мировом делопроизводстве и архивном делеNatasha Khramtsovsky
 

Destaque (9)

Positive Hack Days. Сычев. ДБО и правоохранительные органы
Positive Hack Days. Сычев. ДБО и правоохранительные органыPositive Hack Days. Сычев. ДБО и правоохранительные органы
Positive Hack Days. Сычев. ДБО и правоохранительные органы
 
Что происходило в отрасли в 2014 году: Достижения и планы на будущее
Что происходило в отрасли в 2014 году: Достижения и планы на будущееЧто происходило в отрасли в 2014 году: Достижения и планы на будущее
Что происходило в отрасли в 2014 году: Достижения и планы на будущее
 
Перспективы трансграничного обмена персональными данными и иной информацией о...
Перспективы трансграничного обмена персональными данными и иной информацией о...Перспективы трансграничного обмена персональными данными и иной информацией о...
Перспективы трансграничного обмена персональными данными и иной информацией о...
 
Сфера применения электронного документооборота в России. Тенденции развития и...
Сфера применения электронного документооборота в России. Тенденции развития и...Сфера применения электронного документооборота в России. Тенденции развития и...
Сфера применения электронного документооборота в России. Тенденции развития и...
 
Стандартизация в области управления документами: Особенности текущего момента
Стандартизация в области управления документами: Особенности текущего моментаСтандартизация в области управления документами: Особенности текущего момента
Стандартизация в области управления документами: Особенности текущего момента
 
Текущее положение дел и перспективы развития архивной отрасли
Текущее положение дел и перспективы развития архивной отраслиТекущее положение дел и перспективы развития архивной отрасли
Текущее положение дел и перспективы развития архивной отрасли
 
Деятельность ИСО по стандартизации в сфере управления документами и информаци...
Деятельность ИСО по стандартизации в сфере управления документами и информаци...Деятельность ИСО по стандартизации в сфере управления документами и информаци...
Деятельность ИСО по стандартизации в сфере управления документами и информаци...
 
Блокчейн и PKI: друзья или конкуренты?
Блокчейн и PKI: друзья или конкуренты?Блокчейн и PKI: друзья или конкуренты?
Блокчейн и PKI: друзья или конкуренты?
 
Новые тенденции в отечественном и мировом делопроизводстве и архивном деле
Новые тенденции в отечественном и мировом делопроизводстве и архивном делеНовые тенденции в отечественном и мировом делопроизводстве и архивном деле
Новые тенденции в отечественном и мировом делопроизводстве и архивном деле
 

Semelhante a Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД

Михаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияМихаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияНадт Ассоциация
 
152-ФЗ: проблемные области и лучшие практики
152-ФЗ: проблемные области и лучшие практики152-ФЗ: проблемные области и лучшие практики
152-ФЗ: проблемные области и лучшие практикиLETA IT-company
 
Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Aleksey Lukatskiy
 
Изменения в фз 152
Изменения в фз 152Изменения в фз 152
Изменения в фз 152ivanishko
 
Personal data future regulations
Personal data future regulationsPersonal data future regulations
Personal data future regulationsAleksey Lukatskiy
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Последние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхПоследние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхAleksey Lukatskiy
 
Russia security regulations update
Russia security regulations updateRussia security regulations update
Russia security regulations updateCisco Russia
 
Обзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеОбзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеguestfa9aa
 
Закон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыЗакон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыValery Bychkov
 
лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...elenae00
 
закон и облака
закон и облаказакон и облака
закон и облакаExpolink
 
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для госSergey Borisov
 
V4 instructions
V4 instructionsV4 instructions
V4 instructionsVELESNTC
 
Законодательные новеллы в области электронной подписи вопросы теории и практики
Законодательные новеллы в области электронной подписи вопросы теории и практикиЗаконодательные новеллы в области электронной подписи вопросы теории и практики
Законодательные новеллы в области электронной подписи вопросы теории и практикиЦифровые технологии
 
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХDialogueScience
 

Semelhante a Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД (20)

Information Security Certification process
Information Security Certification processInformation Security Certification process
Information Security Certification process
 
яценко 20 21 сентября
яценко 20 21 сентябряяценко 20 21 сентября
яценко 20 21 сентября
 
Михаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияМихаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика применения
 
152-ФЗ: проблемные области и лучшие практики
152-ФЗ: проблемные области и лучшие практики152-ФЗ: проблемные области и лучшие практики
152-ФЗ: проблемные области и лучшие практики
 
Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"
 
Изменения в фз 152
Изменения в фз 152Изменения в фз 152
Изменения в фз 152
 
Personal data future regulations
Personal data future regulationsPersonal data future regulations
Personal data future regulations
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 
Последние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данныхПоследние изменения в законодательстве о персональных данных
Последние изменения в законодательстве о персональных данных
 
Сертификация и персональные данные
Сертификация и персональные данныеСертификация и персональные данные
Сертификация и персональные данные
 
Russia security regulations update
Russia security regulations updateRussia security regulations update
Russia security regulations update
 
Обзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли прощеОбзор изменений в области персональных данных. Стало ли проще
Обзор изменений в области персональных данных. Стало ли проще
 
Закон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыЗакон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут перемены
 
лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...
 
закон и облака
закон и облаказакон и облака
закон и облака
 
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для гос
 
V4 instructions
V4 instructionsV4 instructions
V4 instructions
 
Законодательные новеллы в области электронной подписи вопросы теории и практики
Законодательные новеллы в области электронной подписи вопросы теории и практикиЗаконодательные новеллы в области электронной подписи вопросы теории и практики
Законодательные новеллы в области электронной подписи вопросы теории и практики
 
Fomchenkov
FomchenkovFomchenkov
Fomchenkov
 
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
 

Mais de Positive Hack Days

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikPositive Hack Days
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQubePositive Hack Days
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityPositive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Positive Hack Days
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Positive Hack Days
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложенийPositive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application SecurityPositive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке СиPositive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CorePositive Hack Days
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опытPositive Hack Days
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterPositive Hack Days
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиPositive Hack Days
 

Mais de Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
 

Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД

  • 1. Сложности выполнения российских требований по защите персональных данных Евгений Царев Заместитель директора Департамента продуктов и услуг +7 (495) 921 1410 / www.leta.ru
  • 2. №152-ФЗ «О персональных данных» +7 (495) 921 1410 / www.leta.ru 26 января 2007 г. вступил в силу Федеральный закон № 152-ФЗ “О персональных данных” Закон обязывает операторов персональных данных привести свои информационные системы, обрабатывающие персональные данные в соответствие с требованиями регулирующих органов Ответственными за контроль соблюдения требования закона определены ФСБ России, ФСТЭК России, а также Роскомнадзор Законом определено, что: Информационные системы обрабатывающие персональные данные должны быть приведены в соответствие до 1 июля 2011 года* (Согласно принятому законопроекту «О внесении изменений в статью 25 Федерального закона "О персональных данных« от 23.12.2010г.) Невыполнение требований ФЗ “О персональных данных” и подзаконных актов может повлечь привлечение к ответственности должностных лиц организации к уголовной и административной ответственности Защита персональных данных
  • 3. защита персональных данных в России +7 (495) 921 1410 / www.leta.ru Основные сложности с защитой персональных данных в России: Термины и определение. Что такое ПДн? Получение согласия субъекта Трансграничная передача Лицензирование Сертификация технических средств Защита персональных данных
  • 4.
  • 5. ФИО? + телефонный номер? + ИНН?
  • 7. Какой потенциальный ущерб от утечки ФИО?Что такое «обезличенные» персональные данные? Кто такие оператор и уполномоченное лицо по защите персональных данных? Защита персональных данных
  • 8. Получение согласия субъекта +7 (495) 921 1410 / www.leta.ru Казуистика с требованием письменного согласия большинством участников рынка трактуется как: Согласие должно быть получено в письменной форме на отдельном листе бумаги с собственно ручной подписью субъекта персональных данных. Других способов получения согласия нет. В интернете (по разъяснениям регулятора): критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных является файл электронной цифровой подписи. Защита персональных данных
  • 9. Получение согласия субъекта +7 (495) 921 1410 / www.leta.ru Что изменится после законопроекта Резника: Обработка ПДн с целью удовлетворения собственных потребностей, предполагающее обработку персональных данных при условии, что при этом не нарушаются права субъекта персональных данных - Без согласия! Оператор вправе продекларировать условия соглашения путем его размещения в форме, доступной для ознакомления неограниченному кругу лиц, или путем его предоставления по требованию лица намерившегося вступить в отношения с оператором Соглашение об обработке ПДн может быть заключено в устной форме или посредством совершения конклюдентных действий, либо путем акцепта субъектом персональных данных условий договора, оферта которого предложена оператором Защита персональных данных
  • 10. Трансграничная передача +7 (495) 921 1410 / www.leta.ru Законом вводится понятие адекватности защиты персональных данных. Критериев, определяющих адекватность нет. 1 группа стран: Австрия, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Ирландия, Испания, Италия, Латвия, Литва, Люксембург, Мальта, Нидерланды, Польша, Португалия, Румыния, Словакия, Словения, Финляндия, Франция, Чехия, Швеция, Эстония. 2 группа стран: Андорра, Аргентина, Израиль, Исландия, Канада, Лихтенштейн, Норвегия, Сербия, Хорватия, Черногория, Швейцария, Южная Корея, Япония. Защита персональных данных
  • 11. Лицензирование +7 (495) 921 1410 / www.leta.ru Законом вводится понятие адекватности защиты персональных данных. Критериев, определяющих адекватность нет. Деятельность по технической защите конфиденциальной информации – лицензируемый вид деятельности (N 99-ФЗ "О лицензировании отдельных видов деятельности"). Согласно Постановлению правительства №504: Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней Защита персональных данных
  • 12. Сертификация технических средств +7 (495) 921 1410 / www.leta.ru Технические решения для защиты персональных данных должны быть сертифицированы ФСТЭК России Основанием для обязательной сертификации является ФЗ «О техническом регулировании», согласно которому в отсутствие принятого технического регламента ФСТЭК России правомочна устанавливать соответствующие требования В 58-м приказе напрямую говорится лишь о сертификации на соответствие 4 уровню контроля отсутствия НДВ средств защиты информации, используемых в ИСПДн 1 класса Прочие средства защиты должны также проходить процедуру оценки соответствия, одной из форм которой является сертификация («на ТУ») Защита персональных данных
  • 13. Стандарт Банка России по информационной безопасности. Подход к внедрению Евгений Царев Заместитель директора Департамента продуктов и услуг +7 (495) 921 1410 / www.leta.ru
  • 14.
  • 15. Центральный банк Российской Федерации, Ассоциация российских банков и Ассоциация региональных банков России рекомендуют ввести Комплекс БР ИББС решением организации БС РФ (приказом, распоряжением) и руководствоваться им при проведении работ по защите информации, отнесенной к персональным данным, к банковской тайне, к коммерческой тайне
  • 16.
  • 17. «Письмо шестерых» и новая редакция СТО БР ИББС +7 (495) 921 1410 / www.leta.ru Общие положения СТО БР ИББС-1.0-2010 Аудит информационной безопасности СТО БР ИББС-1.1-2007 Методика оценки соответствия СТО БР ИББС-1.2-2010 РС БР ИББС-2.0-2007 Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0 РС БР ИББС-2.1-2007 Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0 Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации РC БР ИББС-2.2-2009 Методика оценки рисков нарушения информационной безопасности РС БР ИББС-2.3-2010 Требования по обеспечению безопасности ПДн РС БР ИББС-2.4-2010 Отраслевая частная модель угроз безопасности ПДн
  • 18. +7 (495) 921 1410 / www.leta.ru ИТОГО Организаций БС РФ, принявших СТО БР ИББС с июля 2010 года
  • 19. Ход проекта по стандарту СТО БР ИББС +7 (495) 921 1410 / www.leta.ru
  • 20.
  • 21. Выделение и классификация ИСПДн (по определению стандарта)
  • 22. Реализация требований в зависимости от класса ИСПДнДоработка СОИБ Аудит по требованиям СТО БР ИББС/Самооценка (с учетом новых показателей)
  • 23.
  • 25. Выделение и классификация ИСПДн (по определению стандарта)
  • 26. Реализация требований в зависимости от класса ИСПДнАудит/Самооценка по требованиям СТО БР ИББС (с учетом новых показателей)
  • 27. СТО БР ИББС и pcidss +7 (495) 921 1410 / www.leta.ru
  • 28.
  • 31. и т.п.ИТ-службы ИБ-службы Службы безопасности
  • 32. СТО БР ИББС: Ключевые моменты +7 (495) 921 1410 / www.leta.ru Проект по внедрению СТО БР ИББС: Для полноценной реализации требует от 1 года Предполагает «бесконечный» цикл совершенствования Требует поддержки и кадрового ресурса Вполне реализуем!
  • 33. Что еще ожидать? +7 (495) 921 1410 / www.leta.ru Соответствие требованиям PCI DSS 242-П (непрерывность деятельности) Федеральный закон «О национальной платежной системе» Безопасность БЭСП Другие требования ЦБ в области ИБ и т.д.
  • 34. КОНТАКТНАЯ ИНФОРМАЦИЯ Царев Евгений Заместитель директора Департамента продуктов и услуг e-mail: ETsarev@leta.ru Компания LETA 109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр.2 Тел./факс: +7 (495) 921-1410 Единая служба сервисной поддержки: + 7 (495) 921-1410 www.leta.ru © 2010 LETA IT-company. All rights reserved. This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.