SlideShare une entreprise Scribd logo

Риск-ориентированный подход к выполнению требований 152-ФЗ

Andrew Fadeev
Andrew Fadeev

Использование риск-ориентированного подхода к реализации требований 152-ФЗ к процессам обработки и защите персональных данных

Business
1  sur  25
Télécharger pour lire hors ligne
Риски, особенности и подводные камни ИСПДн.инфо +7 (499) 653-77-08 www.ispdn.infoООО «СолюшнзЛаб»
ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 • Риск-ориентированный подход к выполнению требований 152-ФЗ • Решение вопросов в комплексе (правовая, организационная и техническая часть) • Лицензиат ФСТЭК • Сертификат соответствия процессов ISO 9000 • Специализация – помощь в выполнении требований 152-ФЗ в российских и иностранных компаниях на территории России • Выполненные проекты в крупнейших представительствах и предприятиях с участием иностранного капитала на территории РФ различных отраслей О компании СолюшнзЛаб
ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 Более 120 выполненных проектов Более 15 000 защищенных АРМ и серверов Более 60 не типовых ИСПДн 100 % успешных проверок 70 % наших клиентов остаются на поддержке О компании в цифрах
Реализованные проекты ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 Всего свыше 120 проектов в различных отраслях
Подходы к выполнению требований 152-ФЗ (1) Стандартный подход Риск-ориентированный подход Декларирование Заказчиком ИСПДн Обследование, в рамках которого выявляются реальные ИСПДн и основные бизнес-процессы, работающие с ПДн Оценка соответствия процессов и ИСПДн требованиям 152-ФЗ с точки зрения законодательной и практики действий регуляторов и контрольных органов и возможностей по их оптимизации Согласование с Заказчиком концепции защиты персональных данных и выполнения требований 152-ФЗ на основе риск-ориентированной модели Подготовка ОРД для выбранных Заказчиком ИСПДн Рекомендации по приведению существующих процессов обработки персональных данных к требованиям законодательства, включая подготовку необходимой организационно-распорядительной документации, выдачу методических рекомендаций по их внедрению, проектов дополнений к Договорам, включая рекомендации по интерактивным формам на интернет- сайте и оформление обязывающих отношений с обработчиками ПДн. ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
Подходы к выполнению требований 152-ФЗ (2) Стандартный подход Риск-ориентированный подход Подготовка технических документов для выбранных Заказчиком ИСПДн (Стандартная Модель угроз и спецификация на средства защиты) Создание системы защиты персональных данных, нацеленной на минимизацию рисков и затрат в рамках выбранного клиентом плана действий, включая подготовку необходимой технической документации (частная модель угроз, ТЗ на систему защиты, пояснительная записка к проекту защиты, и др документы); Реактивная поддержка в части внесения изменений в документацию по запросам Заказчика. Проактивная поддержка соответствия процессов и документации, Помощь в управлении рисками обработки персональных данных требованиям 152-ФЗ при изменении требований законодательства, действий контролирующих органов и изменений бизнес- процессов компании. Поставка средств защиты, необходимых для защиты ИСПДн Опционально – поставка недостающих средств защиты ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
Подходы к выполнению требований 152-ФЗ (3) Стандартный подход Риск-ориентированный подход Установка и настройка средств защиты Установка и настройка средств защиты Проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных Проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
Оценка стоимости работ Стандартный подход Риск-ориентированный подход Стоимость части, связанной с аудитом процессов и ИСПДн, оценкой рисков и рекомендациями по оптимизации (включая разработку нескольких вариантов концепции защиты) 100-350 тыс. руб. Стоимость комплекта документов 10-200 тыс. рублей (в зависимости от качества и количества документов) Комплект ОРД + требования к третьим лицам при передаче им персональных данных (включая хостинг сайтов с интерактивными формами и использование внешних ЦОДов) + сопроводительную информацию необходимую для построения процессов обработки персональных данных у Заказчика 50-150 тыс. руб. Частная модель угроз, ТЗ и пояснительная записка к техническому проекту, что позволяет резко снизить стоимость необходимых нормативных средств защиты. 120-400 тыс. руб. ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
Низкая Средняя Высокая СлабоеСреднееСильное Вероятность события Влияниесобытия ? ? ? ? ? ? ?? ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 Риск-ориентированный подход к выполнению требований 152-ФЗ ? – специфические для каждого оператора риски
• Риски, связанные с возможностью блокировки сайта • Риски, связанные с блокировкой бизнес-процессов • Риски, связанные с запретом на обработку ПДн • Риски, связанные с уничтожением клиентских баз на основании применения положений Административного регламента РКН и положений 149-ФЗ • Риски, связанные со статьями КоАП, связанных с дисквалификацией должностных лиц • Риски, связанные с применением статей УК, связанных с уголовным преследованием должностных лиц за нарушение требований законодательства о персональных данных ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 Риски операторов
– Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований законодательства Российской Федерации в области персональных данных. – Требовать от Оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных Полномочия Роскомнадзора, согласно его Административному регламенту (п.6.8, п.6.9) (утв. Приказом Минсвязи РФ 14 ноября 2011 г. N 312 в (ред. Приказов Минкомсвязи России от 08.10.2014 N 340 и от 24.11.2014 N 403) Самостоятельно оцените риски, которые несет для Вашей организации, например, запрет обработки персональных данных сотрудников организации для целей бухучета или требование уничтожения базы клиентов, собранной, по мнению Роскомнадзора незаконным путем (т.е. например, без получения согласия на обработку). ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 Подробнее о некоторых рисках (1) Полномочия Роскомнадзора
• блокировка сайта оператора персональных данных и попадание юридического лица и сайта в "Реестр нарушителей прав субъектов персональных данных" ст. 15.5 149-ФЗ ограничение доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных • …на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет Неустранение выявленных Роскомнадзором или Рострудом нарушений в обработке персональных данных (КОАП Статья 19.5 Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), муниципальный контроль). Оцените самостоятельно риски, которые несет для Вашей организации, неустранение в течение 2-х недель нарушений, выявленных Роскомнадзором, в организации процессов обработки персональных данных (например, получение письменного согласия на обработку персональных данных от уволенных сотрудников, или же выполнение требований ст. 19 152-ФЗ в части подготовки документов, подтверждающих наличие модели угроз и существование системы защиты персональных данных, а также материалов по оценке её эффективности) ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 Подробнее о некоторых рисках (2)
• Проверки МВД в связи с наличием признаков преступлений по ст. 137.1 УК РФ (Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия) наказываются штрафом в размере до двухсот тысяч рублей … с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет Подробнее о некоторых рисках (3) ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
Наиболее непрогнозируемыми и опасными по возможным последствиям являются риски, связанные с грамотными заявлениями физических лиц. Рассмотрением заявлений физ лиц по вопросам нарушения прав субъектов персональных данных занимаются (по месту жительства заявителей): – Территориальные органы Роскомнадзора, – Инспекции Роструда, – Мировые судьи, – Территориальные органы дознания МВД – Территориальные органы Прокуратуры ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 В 2015 году в РКН поступило 33327 обращений и жалоб по вопросам ПДн
Российский и европейский подход к ПДн Россия – участник Конвенции Совета Европы “О защите физических лиц при автоматизированной обработке ПД”, но ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 Конвенция СЕ 152-ФЗ Главная цель – защитить права человека Главная цель – надзор и контроль (следует из духа закона) Требования к защите определяют операторы, с учетом цели и рекомендаций Требования к защите определяют регуляторы Требования к защите учитывают возможности нарушителя, используемые технологии обработки, соотношение между стоимостью защитных мер и наносимым ущербом Нет привязки к технологиям обработки, потребным затратам, природе ПДн Гибкий подход на основе риск- ориентированной модели Жесткое регулирование на основе контрольных карт
ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 o Отсутствие или неполное указание целей обработки ПДн o Цели, сроки обработки не соответствуют декларируемому составу ПДн o Несоответствие процессов обработки требованиям законодательства (включая обработку ПДн на интернет-сайте) o Отсутствие правильно юридически оформленной передачи обработки ПДн третьим лицам (включая хостеров) o Использование ИСПДн разными юр. лицами без правовых оснований o Отсутствие документарной поддержки при изменении бизнес- процессов, связанных с обработкой ПДн o Незнание/непонимание текущей ситуации в компании в области обработки ПДн o Переоценка рисков по 152-ФЗ не включена в процедуры ISO 9000, ISO 27000 (если эти стандарты используются в компании) Типовые ошибки операторов Правовой и организационный уровень
ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 o Определение границ ИСПДн o Формальная модель угроз o Отсутствие технического проекта защиты ПДн o Использование СЗИ, с неподтвержденным функционалом (т.е. не прошедших процедуру оценки соответствия) o Отсутствие учета СЗИ и носителей ПДн o Использование избыточного количества по отношению к нормативным требованиям СЗИ o Хранение в ИСПДн ПДн, после выполнения целей их обработки o Нестыковка ОРД и технических документов Типовые ошибки операторов Технический уровень
ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 Примеры: • Передача ответственности за сбор / хранение информации о ПДн хостеру / облачному провайдеру • Выполнение требований законодательства ( в части получения согласия в необходимых случаях) • Прекращение обработки избыточных ПДн • Самостоятельное выполнение лицензируемых работ • Использование несертифицированных средств защиты • Передача риска • Снижение риска • Отказ от риска • Принятие риска Работа с рисками
ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 • Управление затратами на выполнение требований законодательства и контроль возможных рисков • Снижение затрат • Построение адекватной защиты ПДн • Упрощения контроля процесса обработки и защиты ПДн • Понимание остаточных рисков Преимущества риск-ориентированного подхода
Возможные цели реализации проекта • Снижение рисков нарушения работы основного бизнес-процесса компании со стороны регулирующих органов и других рисков – Веб-сайт eCommerce, – колл-центр, – рассылка рекламно-информационных сообщений – процесс взаимодействие с партнерами, связанные с передачей ПДн, – учет и обработка операций с физ. лицами, – хранение информации, переданной им третьими лицами • Снижение затрат на используемые средства защиты (например, сертифицированные VPN) • Повышение степени удобства работы бизнес-пользователей с информационной системой, обрабатывающей Пдн за счет адекватной оценки и управления рисками воздействия регулирующих органов, изменения конфигурации документации на ИСПДн и изменения соотношения базовых и компенсационных мер защиты. • Приведение процессов и документации по 152-ФЗ в соответствие с требованиями внедренных (планируемых к внедрению стандартов менеджмента (ГОСТ р ИСО 9001б 27001 и др.) • Оказание помощи в создании услуги по предоставлению 3-м лицам услуг по обработке /хранению информации, содержащей ПДн. ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
План выполнения работ (1) • Первоочередные задачи – Оценить бизнес и операционные риски – Оценить степень соответствия процессов и систем защиты требованиям законодательства – Рассмотреть различные концепции выполнения требований законодательства и принять наиболее удобную с точки зрения бизнеса и рисков. ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
План выполнения работ (2) • Последующие задачи – Внедрить минимальный пакет документов (Политика, Положения, Регламенты, Инструкции, типовые формы согласий, положений договоров и т.д.) – Подготовить технические документы (модель угроз, ТЗ, технический проект системы защиты) – запустить процессы (сбор согласий, взаимодействие с субъектами, внесения изменений в парспорта ИСПДн, разрешение доступа к ИСПДн и др.), обучить сотрудников. – откорректировать процессы обработки ПДн и их обеспечения (цели обработки, перечни обрабатываемых ПДн для каждой цели обработки, сроки обработки, описания ИСПДн и др.) – Внедрить процессы переоценки рисков при изменении процессов в компании, а также требований законодательства и регулирующих органов, внедрить процессы поддержания документов в актуальном состоянии. ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
План выполнения работ (3) • Дальнейшие задачи – Закупить и установить необходимые средства защиты – Провести оценку соответствия ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
Предложение СолюшнзЛаб • Оценка рисков, в связи с несоответствием требованиям 152 ФЗ, при обработке персональных данных, включая проведение обследования и согласование с Заказчиком концепции защиты персональных данных на основе риск-ориентированной модели • приведение существующих процессов обработки персональных данных к требованиям законодательства, включая подготовку необходимой организационно-распорядительной документации и выдачу методических рекомендаций по их внедрению; • создание системы защиты персональных данных, нацеленной на минимизацию рисков и затрат в рамках выбранного клиентом плана действий, включая подготовку необходимой технической документации (частная модель угроз, ТЗ на систему защиты, пояснительная записка к проекту защиты, и др документы); • поддержку соответствия процессов и управления рисков обработки персональных данных требованиям 152 ФЗ. Данный комплекс услуг позволяет выполнить требования законодательства, учитывая риски для существующих информационных систем, построить полноценную систему защиты персональных данных, полностью соответствующую требованиям Российского законодательства в области защиты персональных данных. Услуга не является типовой и предоставляется индивидуально. Работы проводятся в отношении всех персональных данных, обрабатываемых в организации, включая данных сотрудников, клиентов, контрагентов, агентов и других субъектов персональных данных. • Установка и настройка средств защиты • Проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
Спасибо за внимание Андрей Фадеев 7 (499) 653-77-08 www.ispdn.info Andrey.fadeev@ispdn.info ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08

Recommandé

пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days
 
пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Data protection RU vs EU
Data protection RU vs EUData protection RU vs EU
Data protection RU vs EUAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Увольнение за разглашение КТ
пр Увольнение за разглашение КТпр Увольнение за разглашение КТ
пр Увольнение за разглашение КТAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
GDPR intro
GDPR intro GDPR intro
GDPR intro Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recommandé

пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days. Царев. Сложности выполнения российских требований по ЗПД
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days
 
пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)пр DLP при увольнении сотрудников (Прозоров)
пр DLP при увольнении сотрудников (Прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Data protection RU vs EU
Data protection RU vs EUData protection RU vs EU
Data protection RU vs EUAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Увольнение за разглашение КТ
пр Увольнение за разглашение КТпр Увольнение за разглашение КТ
пр Увольнение за разглашение КТAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
GDPR intro
GDPR intro GDPR intro
GDPR intro Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPпр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...RISClubSPb
 
пр про ПДн
пр про ПДнпр про ПДн
пр про ПДнAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Ontico
 
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)Евгений Царев
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"Expolink
 
пр DPO (GDPR)
пр DPO (GDPR)пр DPO (GDPR)
пр DPO (GDPR)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Aleksey Lukatskiy
 
пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Изменения в законе о защите персональных данных
Изменения в законе о защите персональных данныхИзменения в законе о защите персональных данных
Изменения в законе о защите персональных данныхValery Bychkov
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнSergey Borisov
 
пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр GDPR breach
пр GDPR breachпр GDPR breach
пр GDPR breachAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Информационная безопасность бизнеса
Информационная безопасность бизнесаИнформационная безопасность бизнеса
Информационная безопасность бизнесаDmitri Budaev
 
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Aleksey Lukatskiy
 
Последние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииПоследние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииAleksey Lukatskiy
 
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...Expolink
 
яценко 20 21 сентября
яценко 20 21 сентябряяценко 20 21 сентября
яценко 20 21 сентябряНадт Ассоциация
 
Михаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияМихаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияНадт Ассоциация
 
Vbяценко 20 21 сентября
Vbяценко 20 21 сентябряVbяценко 20 21 сентября
Vbяценко 20 21 сентябряНадт Ассоциация
 

Contenu connexe

Tendances

пр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPпр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...RISClubSPb
 
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Ontico
 
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)Евгений Царев
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"Expolink
 
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Aleksey Lukatskiy
 
Изменения в законе о защите персональных данных
Изменения в законе о защите персональных данныхИзменения в законе о защите персональных данных
Изменения в законе о защите персональных данныхValery Bychkov
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнSergey Borisov
 
Информационная безопасность бизнеса
Информационная безопасность бизнесаИнформационная безопасность бизнеса
Информационная безопасность бизнесаDmitri Budaev
 
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Aleksey Lukatskiy
 
Последние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииПоследние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииAleksey Lukatskiy
 
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...Expolink
 

Tendances (19)

пр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPпр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLP
 
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
Какие чернила подвезли бешеному принтеру или что нас ждет в отечественном зак...
 
пр про ПДн
пр про ПДнпр про ПДн
пр про ПДн
 
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...
 
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
Изменения в правовом поле кредитных организаций(152 фз, сто бр иббс, эп, нпс)
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 small
 
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"
Oracle. Олег Файницкий. "Безопасность в публичном облаке. Юридические аспекты"
 
пр DPO (GDPR)
пр DPO (GDPR)пр DPO (GDPR)
пр DPO (GDPR)
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04
 
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
Где установлены требования по защите ИС госорганов, исключая 17-й приказ?
 
пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)
 
Изменения в законе о защите персональных данных
Изменения в законе о защите персональных данныхИзменения в законе о защите персональных данных
Изменения в законе о защите персональных данных
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДн
 
пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11
 
пр GDPR breach
пр GDPR breachпр GDPR breach
пр GDPR breach
 
Информационная безопасность бизнеса
Информационная безопасность бизнесаИнформационная безопасность бизнеса
Информационная безопасность бизнеса
 
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)
 
Последние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденцииПоследние изменения законодательства по ИБ и его тенденции
Последние изменения законодательства по ИБ и его тенденции
 
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
CISCO. Алексей Лукацкий: "Последние изменения законодательства о персональных...
 

Similaire à Риск-ориентированный подход к выполнению требований 152-ФЗ

Михаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияМихаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияНадт Ассоциация
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Aleksey Lukatskiy
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
 
Закон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыЗакон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыValery Bychkov
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?LETA IT-company
 
Защита ИСПДН
Защита ИСПДНЗащита ИСПДН
Защита ИСПДНMNUCIB
 
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для госSergey Borisov
 
Russian Personal Data Legislation: Localization Requirement
Russian Personal Data Legislation: Localization RequirementRussian Personal Data Legislation: Localization Requirement
Russian Personal Data Legislation: Localization RequirementVladislav Arkhipov
 
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Demian Ramenskiy
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиAleksey Lukatskiy
 
лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...elenae00
 
Перспективы трансграничного обмена персональными данными и иной информацией о...
Перспективы трансграничного обмена персональными данными и иной информацией о...Перспективы трансграничного обмена персональными данными и иной информацией о...
Перспективы трансграничного обмена персональными данными и иной информацией о...Корус Консалтинг СНГ
 
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХDialogueScience
 

Similaire à Риск-ориентированный подход к выполнению требований 152-ФЗ (20)

яценко 20 21 сентября
яценко 20 21 сентябряяценко 20 21 сентября
яценко 20 21 сентября
 
Михаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияМихаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика применения
 
Vbяценко 20 21 сентября
Vbяценко 20 21 сентябряVbяценко 20 21 сентября
Vbяценко 20 21 сентября
 
О проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗО проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗ
 
О проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУО проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУ
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 
Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данных
 
Закон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыЗакон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут перемены
 
пр про законодательство в области иб для нн в.2
пр про законодательство в области иб для нн в.2пр про законодательство в области иб для нн в.2
пр про законодательство в области иб для нн в.2
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?
 
Защита ИСПДН
Защита ИСПДНЗащита ИСПДН
Защита ИСПДН
 
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для гос
 
Russian Personal Data Legislation: Localization Requirement
Russian Personal Data Legislation: Localization RequirementRussian Personal Data Legislation: Localization Requirement
Russian Personal Data Legislation: Localization Requirement
 
Сертификация и персональные данные
Сертификация и персональные данныеСертификация и персональные данные
Сертификация и персональные данные
 
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасности
 
лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...
 
Перспективы трансграничного обмена персональными данными и иной информацией о...
Перспективы трансграничного обмена персональными данными и иной информацией о...Перспективы трансграничного обмена персональными данными и иной информацией о...
Перспективы трансграничного обмена персональными данными и иной информацией о...
 
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРАВОПРИМЕНИТЕЛЬНАЯ ПРАКТИКА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
 

Plus de Andrew Fadeev

Средства разработки —IBM iSeries
Средства разработки —IBM iSeriesСредства разработки —IBM iSeries
Средства разработки —IBM iSeriesAndrew Fadeev
 
Инструменты программиста
Инструменты программистаИнструменты программиста
Инструменты программистаAndrew Fadeev
 
Microsoft ALM вопросы лицензирования
Microsoft ALM вопросы лицензированияMicrosoft ALM вопросы лицензирования
Microsoft ALM вопросы лицензированияAndrew Fadeev
 
JIRA bridge for HP Quality Center, MS Project, Alfresco, Remedy
JIRA bridge for HP Quality Center, MS Project, Alfresco, Remedy JIRA bridge for HP Quality Center, MS Project, Alfresco, Remedy
JIRA bridge for HP Quality Center, MS Project, Alfresco, Remedy Andrew Fadeev
 
Защищенная веб-аналитика для ОГВ и ОМСУ
Защищенная веб-аналитика для ОГВ и ОМСУЗащищенная веб-аналитика для ОГВ и ОМСУ
Защищенная веб-аналитика для ОГВ и ОМСУAndrew Fadeev
 
Защищенная веб-аналитика для банков, телекомов, медицинских центров
Защищенная веб-аналитика для банков, телекомов, медицинских центровЗащищенная веб-аналитика для банков, телекомов, медицинских центров
Защищенная веб-аналитика для банков, телекомов, медицинских центровAndrew Fadeev
 
Современный подход к автоматизации сервисных запросов на основе Jira Service ...
Современный подход к автоматизации сервисных запросов на основе Jira Service ...Современный подход к автоматизации сервисных запросов на основе Jira Service ...
Современный подход к автоматизации сервисных запросов на основе Jira Service ...Andrew Fadeev
 
Atlassian jira как полностью раскрыть возможности
Atlassian jira как полностью раскрыть возможностиAtlassian jira как полностью раскрыть возможности
Atlassian jira как полностью раскрыть возможностиAndrew Fadeev
 
Atlassian Confluence: как сделать работу комфортной
Atlassian Confluence: как сделать работу комфортнойAtlassian Confluence: как сделать работу комфортной
Atlassian Confluence: как сделать работу комфортнойAndrew Fadeev
 
инструментальные средства управления проектами
инструментальные средства управления проектамиинструментальные средства управления проектами
инструментальные средства управления проектамиAndrew Fadeev
 
Веб-аналитика для всех: WebTrends
Веб-аналитика для всех: WebTrendsВеб-аналитика для всех: WebTrends
Веб-аналитика для всех: WebTrendsAndrew Fadeev
 

Plus de Andrew Fadeev (11)

Средства разработки —IBM iSeries
Средства разработки —IBM iSeriesСредства разработки —IBM iSeries
Средства разработки —IBM iSeries
 
Инструменты программиста
Инструменты программистаИнструменты программиста
Инструменты программиста
 
Microsoft ALM вопросы лицензирования
Microsoft ALM вопросы лицензированияMicrosoft ALM вопросы лицензирования
Microsoft ALM вопросы лицензирования
 
JIRA bridge for HP Quality Center, MS Project, Alfresco, Remedy
JIRA bridge for HP Quality Center, MS Project, Alfresco, Remedy JIRA bridge for HP Quality Center, MS Project, Alfresco, Remedy
JIRA bridge for HP Quality Center, MS Project, Alfresco, Remedy
 
Защищенная веб-аналитика для ОГВ и ОМСУ
Защищенная веб-аналитика для ОГВ и ОМСУЗащищенная веб-аналитика для ОГВ и ОМСУ
Защищенная веб-аналитика для ОГВ и ОМСУ
 
Защищенная веб-аналитика для банков, телекомов, медицинских центров
Защищенная веб-аналитика для банков, телекомов, медицинских центровЗащищенная веб-аналитика для банков, телекомов, медицинских центров
Защищенная веб-аналитика для банков, телекомов, медицинских центров
 
Современный подход к автоматизации сервисных запросов на основе Jira Service ...
Современный подход к автоматизации сервисных запросов на основе Jira Service ...Современный подход к автоматизации сервисных запросов на основе Jira Service ...
Современный подход к автоматизации сервисных запросов на основе Jira Service ...
 
Atlassian jira как полностью раскрыть возможности
Atlassian jira как полностью раскрыть возможностиAtlassian jira как полностью раскрыть возможности
Atlassian jira как полностью раскрыть возможности
 
Atlassian Confluence: как сделать работу комфортной
Atlassian Confluence: как сделать работу комфортнойAtlassian Confluence: как сделать работу комфортной
Atlassian Confluence: как сделать работу комфортной
 
инструментальные средства управления проектами
инструментальные средства управления проектамиинструментальные средства управления проектами
инструментальные средства управления проектами
 
Веб-аналитика для всех: WebTrends
Веб-аналитика для всех: WebTrendsВеб-аналитика для всех: WebTrends
Веб-аналитика для всех: WebTrends
 

Риск-ориентированный подход к выполнению требований 152-ФЗ

  • 1. Риски, особенности и подводные камни ИСПДн.инфо +7 (499) 653-77-08 www.ispdn.infoООО «СолюшнзЛаб»
  • 2. ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 • Риск-ориентированный подход к выполнению требований 152-ФЗ • Решение вопросов в комплексе (правовая, организационная и техническая часть) • Лицензиат ФСТЭК • Сертификат соответствия процессов ISO 9000 • Специализация – помощь в выполнении требований 152-ФЗ в российских и иностранных компаниях на территории России • Выполненные проекты в крупнейших представительствах и предприятиях с участием иностранного капитала на территории РФ различных отраслей О компании СолюшнзЛаб
  • 3. ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 Более 120 выполненных проектов Более 15 000 защищенных АРМ и серверов Более 60 не типовых ИСПДн 100 % успешных проверок 70 % наших клиентов остаются на поддержке О компании в цифрах
  • 4. Реализованные проекты ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 Всего свыше 120 проектов в различных отраслях
  • 5. Подходы к выполнению требований 152-ФЗ (1) Стандартный подход Риск-ориентированный подход Декларирование Заказчиком ИСПДн Обследование, в рамках которого выявляются реальные ИСПДн и основные бизнес-процессы, работающие с ПДн Оценка соответствия процессов и ИСПДн требованиям 152-ФЗ с точки зрения законодательной и практики действий регуляторов и контрольных органов и возможностей по их оптимизации Согласование с Заказчиком концепции защиты персональных данных и выполнения требований 152-ФЗ на основе риск-ориентированной модели Подготовка ОРД для выбранных Заказчиком ИСПДн Рекомендации по приведению существующих процессов обработки персональных данных к требованиям законодательства, включая подготовку необходимой организационно-распорядительной документации, выдачу методических рекомендаций по их внедрению, проектов дополнений к Договорам, включая рекомендации по интерактивным формам на интернет- сайте и оформление обязывающих отношений с обработчиками ПДн. ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
  • 6. Подходы к выполнению требований 152-ФЗ (2) Стандартный подход Риск-ориентированный подход Подготовка технических документов для выбранных Заказчиком ИСПДн (Стандартная Модель угроз и спецификация на средства защиты) Создание системы защиты персональных данных, нацеленной на минимизацию рисков и затрат в рамках выбранного клиентом плана действий, включая подготовку необходимой технической документации (частная модель угроз, ТЗ на систему защиты, пояснительная записка к проекту защиты, и др документы); Реактивная поддержка в части внесения изменений в документацию по запросам Заказчика. Проактивная поддержка соответствия процессов и документации, Помощь в управлении рисками обработки персональных данных требованиям 152-ФЗ при изменении требований законодательства, действий контролирующих органов и изменений бизнес- процессов компании. Поставка средств защиты, необходимых для защиты ИСПДн Опционально – поставка недостающих средств защиты ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
  • 7. Подходы к выполнению требований 152-ФЗ (3) Стандартный подход Риск-ориентированный подход Установка и настройка средств защиты Установка и настройка средств защиты Проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных Проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
  • 8. Оценка стоимости работ Стандартный подход Риск-ориентированный подход Стоимость части, связанной с аудитом процессов и ИСПДн, оценкой рисков и рекомендациями по оптимизации (включая разработку нескольких вариантов концепции защиты) 100-350 тыс. руб. Стоимость комплекта документов 10-200 тыс. рублей (в зависимости от качества и количества документов) Комплект ОРД + требования к третьим лицам при передаче им персональных данных (включая хостинг сайтов с интерактивными формами и использование внешних ЦОДов) + сопроводительную информацию необходимую для построения процессов обработки персональных данных у Заказчика 50-150 тыс. руб. Частная модель угроз, ТЗ и пояснительная записка к техническому проекту, что позволяет резко снизить стоимость необходимых нормативных средств защиты. 120-400 тыс. руб. ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
  • 9. Низкая Средняя Высокая СлабоеСреднееСильное Вероятность события Влияниесобытия ? ? ? ? ? ? ?? ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 Риск-ориентированный подход к выполнению требований 152-ФЗ ? – специфические для каждого оператора риски
  • 10. • Риски, связанные с возможностью блокировки сайта • Риски, связанные с блокировкой бизнес-процессов • Риски, связанные с запретом на обработку ПДн • Риски, связанные с уничтожением клиентских баз на основании применения положений Административного регламента РКН и положений 149-ФЗ • Риски, связанные со статьями КоАП, связанных с дисквалификацией должностных лиц • Риски, связанные с применением статей УК, связанных с уголовным преследованием должностных лиц за нарушение требований законодательства о персональных данных ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 Риски операторов
  • 11. – Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований законодательства Российской Федерации в области персональных данных. – Требовать от Оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных Полномочия Роскомнадзора, согласно его Административному регламенту (п.6.8, п.6.9) (утв. Приказом Минсвязи РФ 14 ноября 2011 г. N 312 в (ред. Приказов Минкомсвязи России от 08.10.2014 N 340 и от 24.11.2014 N 403) Самостоятельно оцените риски, которые несет для Вашей организации, например, запрет обработки персональных данных сотрудников организации для целей бухучета или требование уничтожения базы клиентов, собранной, по мнению Роскомнадзора незаконным путем (т.е. например, без получения согласия на обработку). ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 Подробнее о некоторых рисках (1) Полномочия Роскомнадзора
  • 12. • блокировка сайта оператора персональных данных и попадание юридического лица и сайта в "Реестр нарушителей прав субъектов персональных данных" ст. 15.5 149-ФЗ ограничение доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных • …на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет Неустранение выявленных Роскомнадзором или Рострудом нарушений в обработке персональных данных (КОАП Статья 19.5 Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), муниципальный контроль). Оцените самостоятельно риски, которые несет для Вашей организации, неустранение в течение 2-х недель нарушений, выявленных Роскомнадзором, в организации процессов обработки персональных данных (например, получение письменного согласия на обработку персональных данных от уволенных сотрудников, или же выполнение требований ст. 19 152-ФЗ в части подготовки документов, подтверждающих наличие модели угроз и существование системы защиты персональных данных, а также материалов по оценке её эффективности) ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 Подробнее о некоторых рисках (2)
  • 13. • Проверки МВД в связи с наличием признаков преступлений по ст. 137.1 УК РФ (Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия) наказываются штрафом в размере до двухсот тысяч рублей … с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет Подробнее о некоторых рисках (3) ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
  • 14. Наиболее непрогнозируемыми и опасными по возможным последствиям являются риски, связанные с грамотными заявлениями физических лиц. Рассмотрением заявлений физ лиц по вопросам нарушения прав субъектов персональных данных занимаются (по месту жительства заявителей): – Территориальные органы Роскомнадзора, – Инспекции Роструда, – Мировые судьи, – Территориальные органы дознания МВД – Территориальные органы Прокуратуры ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 В 2015 году в РКН поступило 33327 обращений и жалоб по вопросам ПДн
  • 15. Российский и европейский подход к ПДн Россия – участник Конвенции Совета Европы “О защите физических лиц при автоматизированной обработке ПД”, но ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 Конвенция СЕ 152-ФЗ Главная цель – защитить права человека Главная цель – надзор и контроль (следует из духа закона) Требования к защите определяют операторы, с учетом цели и рекомендаций Требования к защите определяют регуляторы Требования к защите учитывают возможности нарушителя, используемые технологии обработки, соотношение между стоимостью защитных мер и наносимым ущербом Нет привязки к технологиям обработки, потребным затратам, природе ПДн Гибкий подход на основе риск- ориентированной модели Жесткое регулирование на основе контрольных карт
  • 16. ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 o Отсутствие или неполное указание целей обработки ПДн o Цели, сроки обработки не соответствуют декларируемому составу ПДн o Несоответствие процессов обработки требованиям законодательства (включая обработку ПДн на интернет-сайте) o Отсутствие правильно юридически оформленной передачи обработки ПДн третьим лицам (включая хостеров) o Использование ИСПДн разными юр. лицами без правовых оснований o Отсутствие документарной поддержки при изменении бизнес- процессов, связанных с обработкой ПДн o Незнание/непонимание текущей ситуации в компании в области обработки ПДн o Переоценка рисков по 152-ФЗ не включена в процедуры ISO 9000, ISO 27000 (если эти стандарты используются в компании) Типовые ошибки операторов Правовой и организационный уровень
  • 17. ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 o Определение границ ИСПДн o Формальная модель угроз o Отсутствие технического проекта защиты ПДн o Использование СЗИ, с неподтвержденным функционалом (т.е. не прошедших процедуру оценки соответствия) o Отсутствие учета СЗИ и носителей ПДн o Использование избыточного количества по отношению к нормативным требованиям СЗИ o Хранение в ИСПДн ПДн, после выполнения целей их обработки o Нестыковка ОРД и технических документов Типовые ошибки операторов Технический уровень
  • 18. ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 Примеры: • Передача ответственности за сбор / хранение информации о ПДн хостеру / облачному провайдеру • Выполнение требований законодательства ( в части получения согласия в необходимых случаях) • Прекращение обработки избыточных ПДн • Самостоятельное выполнение лицензируемых работ • Использование несертифицированных средств защиты • Передача риска • Снижение риска • Отказ от риска • Принятие риска Работа с рисками
  • 19. ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08 • Управление затратами на выполнение требований законодательства и контроль возможных рисков • Снижение затрат • Построение адекватной защиты ПДн • Упрощения контроля процесса обработки и защиты ПДн • Понимание остаточных рисков Преимущества риск-ориентированного подхода
  • 20. Возможные цели реализации проекта • Снижение рисков нарушения работы основного бизнес-процесса компании со стороны регулирующих органов и других рисков – Веб-сайт eCommerce, – колл-центр, – рассылка рекламно-информационных сообщений – процесс взаимодействие с партнерами, связанные с передачей ПДн, – учет и обработка операций с физ. лицами, – хранение информации, переданной им третьими лицами • Снижение затрат на используемые средства защиты (например, сертифицированные VPN) • Повышение степени удобства работы бизнес-пользователей с информационной системой, обрабатывающей Пдн за счет адекватной оценки и управления рисками воздействия регулирующих органов, изменения конфигурации документации на ИСПДн и изменения соотношения базовых и компенсационных мер защиты. • Приведение процессов и документации по 152-ФЗ в соответствие с требованиями внедренных (планируемых к внедрению стандартов менеджмента (ГОСТ р ИСО 9001б 27001 и др.) • Оказание помощи в создании услуги по предоставлению 3-м лицам услуг по обработке /хранению информации, содержащей ПДн. ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
  • 21. План выполнения работ (1) • Первоочередные задачи – Оценить бизнес и операционные риски – Оценить степень соответствия процессов и систем защиты требованиям законодательства – Рассмотреть различные концепции выполнения требований законодательства и принять наиболее удобную с точки зрения бизнеса и рисков. ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
  • 22. План выполнения работ (2) • Последующие задачи – Внедрить минимальный пакет документов (Политика, Положения, Регламенты, Инструкции, типовые формы согласий, положений договоров и т.д.) – Подготовить технические документы (модель угроз, ТЗ, технический проект системы защиты) – запустить процессы (сбор согласий, взаимодействие с субъектами, внесения изменений в парспорта ИСПДн, разрешение доступа к ИСПДн и др.), обучить сотрудников. – откорректировать процессы обработки ПДн и их обеспечения (цели обработки, перечни обрабатываемых ПДн для каждой цели обработки, сроки обработки, описания ИСПДн и др.) – Внедрить процессы переоценки рисков при изменении процессов в компании, а также требований законодательства и регулирующих органов, внедрить процессы поддержания документов в актуальном состоянии. ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
  • 23. План выполнения работ (3) • Дальнейшие задачи – Закупить и установить необходимые средства защиты – Провести оценку соответствия ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
  • 24. Предложение СолюшнзЛаб • Оценка рисков, в связи с несоответствием требованиям 152 ФЗ, при обработке персональных данных, включая проведение обследования и согласование с Заказчиком концепции защиты персональных данных на основе риск-ориентированной модели • приведение существующих процессов обработки персональных данных к требованиям законодательства, включая подготовку необходимой организационно-распорядительной документации и выдачу методических рекомендаций по их внедрению; • создание системы защиты персональных данных, нацеленной на минимизацию рисков и затрат в рамках выбранного клиентом плана действий, включая подготовку необходимой технической документации (частная модель угроз, ТЗ на систему защиты, пояснительная записка к проекту защиты, и др документы); • поддержку соответствия процессов и управления рисков обработки персональных данных требованиям 152 ФЗ. Данный комплекс услуг позволяет выполнить требования законодательства, учитывая риски для существующих информационных систем, построить полноценную систему защиты персональных данных, полностью соответствующую требованиям Российского законодательства в области защиты персональных данных. Услуга не является типовой и предоставляется индивидуально. Работы проводятся в отношении всех персональных данных, обрабатываемых в организации, включая данных сотрудников, клиентов, контрагентов, агентов и других субъектов персональных данных. • Установка и настройка средств защиты • Проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
  • 25. Спасибо за внимание Андрей Фадеев 7 (499) 653-77-08 www.ispdn.info Andrey.fadeev@ispdn.info ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08