Риск-ориентированный подход к выполнению требований 152-ФЗ
1. Риски, особенности и подводные камни
ИСПДн.инфо +7 (499) 653-77-08
www.ispdn.infoООО «СолюшнзЛаб»
2. ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
• Риск-ориентированный подход к выполнению требований 152-ФЗ
• Решение вопросов в комплексе (правовая, организационная и техническая часть)
• Лицензиат ФСТЭК
• Сертификат соответствия процессов ISO 9000
• Специализация – помощь в выполнении требований 152-ФЗ в
российских и иностранных компаниях на территории России
• Выполненные проекты в крупнейших представительствах и
предприятиях с участием иностранного капитала на территории РФ
различных отраслей
О компании СолюшнзЛаб
3. ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
Более 120
выполненных проектов
Более 15 000
защищенных АРМ и серверов
Более 60
не типовых ИСПДн
100 %
успешных проверок
70 %
наших клиентов
остаются на поддержке
О компании в цифрах
5. Подходы к выполнению требований 152-ФЗ (1)
Стандартный подход Риск-ориентированный подход
Декларирование
Заказчиком ИСПДн
Обследование, в рамках которого выявляются реальные
ИСПДн и основные бизнес-процессы, работающие с ПДн
Оценка соответствия процессов и ИСПДн требованиям
152-ФЗ с точки зрения законодательной и практики
действий регуляторов и контрольных органов и
возможностей по их оптимизации
Согласование с Заказчиком концепции защиты
персональных данных и выполнения требований 152-ФЗ
на основе риск-ориентированной модели
Подготовка ОРД для
выбранных Заказчиком
ИСПДн
Рекомендации по приведению существующих процессов
обработки персональных данных к требованиям
законодательства, включая подготовку необходимой
организационно-распорядительной документации,
выдачу методических рекомендаций по их внедрению,
проектов дополнений к Договорам, включая
рекомендации по интерактивным формам на интернет-
сайте и оформление обязывающих отношений с
обработчиками ПДн.
ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
6. Подходы к выполнению требований 152-ФЗ (2)
Стандартный подход Риск-ориентированный подход
Подготовка
технических
документов для
выбранных
Заказчиком ИСПДн
(Стандартная Модель
угроз и спецификация
на средства защиты)
Создание системы защиты персональных данных,
нацеленной на минимизацию рисков и затрат в рамках
выбранного клиентом плана действий, включая
подготовку необходимой технической документации
(частная модель угроз, ТЗ на систему защиты,
пояснительная записка к проекту защиты, и др
документы);
Реактивная поддержка
в части внесения
изменений в
документацию по
запросам Заказчика.
Проактивная поддержка соответствия процессов и
документации,
Помощь в управлении рисками обработки
персональных данных требованиям 152-ФЗ при
изменении требований законодательства, действий
контролирующих органов и изменений бизнес-
процессов компании.
Поставка средств
защиты, необходимых
для защиты ИСПДн
Опционально – поставка недостающих средств защиты
ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
7. Подходы к выполнению требований 152-ФЗ (3)
Стандартный подход Риск-ориентированный подход
Установка и настройка
средств защиты
Установка и настройка средств защиты
Проведение оценки
эффективности
принимаемых мер по
обеспечению
безопасности
персональных данных
Проведение оценки эффективности принимаемых мер
по обеспечению безопасности персональных данных
ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
8. Оценка стоимости работ
Стандартный подход Риск-ориентированный подход
Стоимость части, связанной с аудитом процессов и
ИСПДн, оценкой рисков и рекомендациями по
оптимизации (включая разработку нескольких
вариантов концепции защиты) 100-350 тыс. руб.
Стоимость комплекта
документов
10-200 тыс. рублей (в
зависимости от
качества и количества
документов)
Комплект ОРД + требования к третьим лицам при
передаче им персональных данных (включая хостинг
сайтов с интерактивными формами и использование
внешних ЦОДов) + сопроводительную информацию
необходимую для построения процессов обработки
персональных данных у Заказчика
50-150 тыс. руб.
Частная модель угроз, ТЗ и пояснительная записка к
техническому проекту, что позволяет резко снизить
стоимость необходимых нормативных средств защиты.
120-400 тыс. руб.
ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
9. Низкая Средняя Высокая
СлабоеСреднееСильное
Вероятность события
Влияниесобытия
? ?
? ?
?
?
??
ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
Риск-ориентированный подход к
выполнению требований 152-ФЗ
? – специфические для каждого оператора риски
10. • Риски, связанные с возможностью блокировки сайта
• Риски, связанные с блокировкой бизнес-процессов
• Риски, связанные с запретом на обработку ПДн
• Риски, связанные с уничтожением клиентских баз на
основании применения положений Административного
регламента РКН и положений 149-ФЗ
• Риски, связанные со статьями КоАП, связанных с
дисквалификацией должностных лиц
• Риски, связанные с применением статей УК, связанных с
уголовным преследованием должностных лиц за
нарушение требований законодательства о персональных
данных
ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
Риски операторов
11. – Принимать меры по приостановлению или прекращению обработки
персональных данных, осуществляемой с нарушениями требований
законодательства Российской Федерации в области персональных
данных.
– Требовать от Оператора уточнения, блокирования или уничтожения
недостоверных или полученных незаконным путем персональных
данных
Полномочия Роскомнадзора, согласно его Административному регламенту
(п.6.8, п.6.9) (утв. Приказом Минсвязи РФ 14 ноября 2011 г. N 312 в (ред.
Приказов Минкомсвязи России от 08.10.2014 N 340 и от 24.11.2014 N 403)
Самостоятельно оцените риски, которые несет
для Вашей организации, например, запрет
обработки персональных данных сотрудников
организации для целей бухучета или требование
уничтожения базы клиентов, собранной, по
мнению Роскомнадзора незаконным путем (т.е.
например, без получения согласия на обработку).
ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
Подробнее о некоторых рисках (1)
Полномочия Роскомнадзора
12. • блокировка сайта оператора персональных данных и попадание
юридического лица и сайта в "Реестр нарушителей прав субъектов
персональных данных"
ст. 15.5 149-ФЗ ограничение доступа к информации, обрабатываемой с нарушением
законодательства Российской Федерации в области персональных данных
• …на должностных лиц - от одной тысячи до двух тысяч рублей или
дисквалификацию на срок до трех лет
Неустранение выявленных Роскомнадзором или Рострудом нарушений в обработке
персональных данных (КОАП Статья 19.5 Невыполнение в срок законного предписания
(постановления, представления, решения) органа (должностного лица), осуществляющего
государственный надзор (контроль), муниципальный контроль).
Оцените самостоятельно риски, которые несет для Вашей организации,
неустранение в течение 2-х недель нарушений, выявленных Роскомнадзором,
в организации процессов обработки персональных данных (например,
получение письменного согласия на обработку персональных данных от
уволенных сотрудников, или же выполнение требований ст. 19 152-ФЗ в
части подготовки документов, подтверждающих наличие модели угроз и
существование системы защиты персональных данных, а также
материалов по оценке её эффективности)
ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
Подробнее о некоторых рисках (2)
13. • Проверки МВД в связи с наличием признаков
преступлений по ст. 137.1 УК РФ (Незаконное собирание
или распространение сведений о частной жизни лица,
составляющих его личную или семейную тайну, без его
согласия)
наказываются штрафом в размере до двухсот тысяч рублей … с
лишением права занимать определенные должности или заниматься
определенной деятельностью на срок до трех лет
Подробнее о некоторых рисках (3)
ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
14. Наиболее непрогнозируемыми и опасными по
возможным последствиям являются риски,
связанные с грамотными заявлениями
физических лиц.
Рассмотрением заявлений физ лиц по вопросам
нарушения прав субъектов персональных данных
занимаются (по месту жительства заявителей):
– Территориальные органы Роскомнадзора,
– Инспекции Роструда,
– Мировые судьи,
– Территориальные органы дознания МВД
– Территориальные органы Прокуратуры
ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
В 2015 году в РКН поступило 33327
обращений и жалоб по вопросам ПДн
15. Российский и европейский подход к ПДн
Россия – участник Конвенции Совета Европы “О защите
физических лиц при автоматизированной обработке ПД”, но
ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
Конвенция СЕ 152-ФЗ
Главная цель – защитить права
человека
Главная цель – надзор и контроль
(следует из духа закона)
Требования к защите определяют
операторы, с учетом цели и
рекомендаций
Требования к защите определяют
регуляторы
Требования к защите учитывают
возможности нарушителя,
используемые технологии обработки,
соотношение между стоимостью
защитных мер и наносимым ущербом
Нет привязки к технологиям
обработки, потребным затратам,
природе ПДн
Гибкий подход на основе риск-
ориентированной модели
Жесткое регулирование на основе
контрольных карт
16. ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
o Отсутствие или неполное указание целей обработки ПДн
o Цели, сроки обработки не соответствуют декларируемому составу
ПДн
o Несоответствие процессов обработки требованиям
законодательства (включая обработку ПДн на интернет-сайте)
o Отсутствие правильно юридически оформленной передачи
обработки ПДн третьим лицам (включая хостеров)
o Использование ИСПДн разными юр. лицами без правовых
оснований
o Отсутствие документарной поддержки при изменении бизнес-
процессов, связанных с обработкой ПДн
o Незнание/непонимание текущей ситуации в компании в области
обработки ПДн
o Переоценка рисков по 152-ФЗ не включена в процедуры ISO 9000,
ISO 27000 (если эти стандарты используются в компании)
Типовые ошибки операторов
Правовой и организационный уровень
17. ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
o Определение границ ИСПДн
o Формальная модель угроз
o Отсутствие технического проекта защиты ПДн
o Использование СЗИ, с неподтвержденным
функционалом (т.е. не прошедших процедуру оценки
соответствия)
o Отсутствие учета СЗИ и носителей ПДн
o Использование избыточного количества по отношению к
нормативным требованиям СЗИ
o Хранение в ИСПДн ПДн, после выполнения целей их
обработки
o Нестыковка ОРД и технических документов
Типовые ошибки операторов
Технический уровень
18. ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
Примеры:
• Передача ответственности за сбор / хранение информации о ПДн
хостеру / облачному провайдеру
• Выполнение требований законодательства ( в части получения согласия
в необходимых случаях)
• Прекращение обработки избыточных ПДн
• Самостоятельное выполнение лицензируемых работ
• Использование несертифицированных средств защиты
• Передача риска
• Снижение риска
• Отказ от риска
• Принятие риска
Работа с рисками
19. ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
• Управление затратами на выполнение
требований законодательства и контроль
возможных рисков
• Снижение затрат
• Построение адекватной защиты ПДн
• Упрощения контроля процесса обработки и
защиты ПДн
• Понимание остаточных рисков
Преимущества
риск-ориентированного подхода
20. Возможные цели реализации проекта
• Снижение рисков нарушения работы основного бизнес-процесса компании со стороны
регулирующих органов и других рисков
– Веб-сайт eCommerce,
– колл-центр,
– рассылка рекламно-информационных сообщений
– процесс взаимодействие с партнерами, связанные с передачей ПДн,
– учет и обработка операций с физ. лицами,
– хранение информации, переданной им третьими лицами
• Снижение затрат на используемые средства защиты (например, сертифицированные
VPN)
• Повышение степени удобства работы бизнес-пользователей с информационной
системой, обрабатывающей Пдн за счет адекватной оценки и управления рисками
воздействия регулирующих органов, изменения конфигурации документации на
ИСПДн и изменения соотношения базовых и компенсационных мер защиты.
• Приведение процессов и документации по 152-ФЗ в соответствие с требованиями
внедренных (планируемых к внедрению стандартов менеджмента (ГОСТ р ИСО 9001б
27001 и др.)
• Оказание помощи в создании услуги по предоставлению 3-м лицам услуг по обработке
/хранению информации, содержащей ПДн.
ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
21. План выполнения работ (1)
• Первоочередные задачи
– Оценить бизнес и операционные риски
– Оценить степень соответствия процессов и
систем защиты требованиям законодательства
– Рассмотреть различные концепции
выполнения требований законодательства и
принять наиболее удобную с точки зрения
бизнеса и рисков.
ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
22. План выполнения работ (2)
• Последующие задачи
– Внедрить минимальный пакет документов (Политика, Положения,
Регламенты, Инструкции, типовые формы согласий, положений
договоров и т.д.)
– Подготовить технические документы (модель угроз, ТЗ,
технический проект системы защиты)
– запустить процессы (сбор согласий, взаимодействие с субъектами,
внесения изменений в парспорта ИСПДн, разрешение доступа к
ИСПДн и др.), обучить сотрудников.
– откорректировать процессы обработки ПДн и их обеспечения (цели
обработки, перечни обрабатываемых ПДн для каждой цели
обработки, сроки обработки, описания ИСПДн и др.)
– Внедрить процессы переоценки рисков при изменении процессов в
компании, а также требований законодательства и регулирующих
органов, внедрить процессы поддержания документов в актуальном
состоянии.
ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
23. План выполнения работ (3)
• Дальнейшие задачи
– Закупить и установить необходимые средства
защиты
– Провести оценку соответствия
ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
24. Предложение СолюшнзЛаб
• Оценка рисков, в связи с несоответствием требованиям 152 ФЗ, при обработке
персональных данных, включая проведение обследования и согласование с Заказчиком
концепции защиты персональных данных на основе риск-ориентированной модели
• приведение существующих процессов обработки персональных данных к требованиям
законодательства, включая подготовку необходимой организационно-распорядительной
документации и выдачу методических рекомендаций по их внедрению;
• создание системы защиты персональных данных, нацеленной на минимизацию рисков и
затрат в рамках выбранного клиентом плана действий, включая подготовку необходимой
технической документации (частная модель угроз, ТЗ на систему защиты, пояснительная
записка к проекту защиты, и др документы);
• поддержку соответствия процессов и управления рисков обработки персональных
данных требованиям 152 ФЗ.
Данный комплекс услуг позволяет выполнить требования законодательства, учитывая риски
для существующих информационных систем, построить полноценную систему защиты
персональных данных, полностью соответствующую требованиям Российского
законодательства в области защиты персональных данных. Услуга не является типовой и
предоставляется индивидуально. Работы проводятся в отношении всех персональных данных,
обрабатываемых в организации, включая данных сотрудников, клиентов, контрагентов,
агентов и других субъектов персональных данных.
• Установка и настройка средств защиты
• Проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных
ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08
25. Спасибо за внимание
Андрей Фадеев
7 (499) 653-77-08
www.ispdn.info
Andrey.fadeev@ispdn.info
ИСПДн.инфо - защита персональных данных +7 (499) 653-77-08