Отраслевой подход к вопросу обработки и защиты персональных данных Бондаренко Александр Руководитель отдела внешнего аудита и консалтинга, CISA +7 (495) /

информация о компании 2 Сдвинуты сроки приведения ИСПДн в соответствие требованиям по безопасности до Планируется доработка законодательства и уточнение наиболее спорных моментов Готовятся и публикуются отраслевые рекомендации и разъяснения в отношении обработки и защиты персональных данных Принят регламент проведения проверок Роскомнадзором ТЕКУЩАЯ СИТУАЦИЯ

информация о компании 3 Приказ ФСТЭК России 58. Что изменилось в методах и способах защиты персональных данных? 3 НОВЫЕ И ОТМЕНЕННЫЕ ДОКУМЕНТЫ ФСТЭК Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г. НОВЫЕ ДОКУМЕНТЫ ОТМЕНЕННЫЕ ДОКУМЕНТЫ Не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных +7 (495) / Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных. Приказ ФСТЭК России от зарегистрирован в Минюсте России Решение ФСТЭК России от 5 марта 2010 г. Утверждено первым заместителем директора ФСТЭК России

информация о компании 4 Узкий взгляд на вопросы выполнения требований 152-ФЗ Отсутствие необходимого количества квалифицированных кадров Отсутствие четких рекомендаций и типовых примеров Специфика обработки персональных данных, связанная с осуществляемой организацией деятельностью Сложность реализации общих рекомендаций и требований ФСТЭК ОСНОВНЫЕ ПРОБЛЕМЫ ВЫПОЛНЕНИЯ ЗАКОНА

информация о компании 5 Приказ ФСТЭК России 58. Что изменилось в методах и способах защиты персональных данных? 5 ПЕРВЫЕ ОТРАСЛЕВЫЕ ДОКУМЕНТЫ +7 (495) / Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя … в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации; Банковская отрасль: новая редакция стандарта СТО БР ИББС, учитывающая специфику защиты персональных данных Медицинские учреждения: Методические рекомендации по организации защиты информации и по составлению Частной модели угроз безопасности персональных данных Образовательные учреждения: Приказ Министерства образования и науки Республики Татарстан от 9 октября 2009 г. N 1901/09 "О типовых документах по защите персональных данных в образовательных учреждениях Республики Татарстан»

информация о компании 6 I. ТРЕБОВАНИЯ ПО УПРАВЛЕНИЮ ОБРАБОТКОЙ И ЗАЩИТОЙ ПДН II. ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПДН III. ПОРЯДОК И МЕТОДИКА ПРОВЕДЕНИЯ ОЦЕНКИ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ ВОЗМОЖНЫЙ ПОДХОД К ОТРАСЛЕВЫМ СТАНДАРТАМ

информация о компании 7 I. ТРЕБОВАНИЯ ПО УПРАВЛЕНИЮ И ОБРАБОТКОЙ ПДн Обрабатываемые и защищаемые персональные данные Определение состава и цели обрабатываемых данных Получение согласия на обработку персональных данных Взаимодействие с третьими сторонами Хранение и уничтожение персональных данных Реагирование на запросы субъектов персональных данных Обеспечение безопасности персональных данных Управление инцидентами информационной безопасности Мониторинг и контроль обработки и защиты персональных данных ВОЗМОЖНЫЙ ПОДХОД К ОТРАСЛЕВЫМ СТАНДАРТАМ

информация о компании 8 II. ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ Требования к организации службы ИБ Требования к составу и содержанию типовых документов Типовая(ые) модель(и) угроз безопасности ПДн Требования к защите от НСД Требования к антивирусной защите Требования к обеспечению сетевой безопасности Требования к использованию СКЗИ Требования к защите прикладных систем ВОЗМОЖНЫЙ ПОДХОД К ОТРАСЛЕВЫМ СТАНДАРТАМ

информация о компании 9 III. ПОРЯДОК И МЕТОДИКА ПРОВЕДЕНИЯ ОЦЕНКИ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ Определение этапов оценки Определение целей, объемов и критериев оценки Составление рабочей группы проведения оценки Формирование наблюдений оценки Процедуры проведения оценки Методика оценки соответствия Оформление итогового отчета ВОЗМОЖНЫЙ ПОДХОД К ОТРАСЛЕВЫМ СТАНДАРТАМ

информация о компании 10 Возможность уйти от типовых (общих) требований к наиболее применимым и адекватным для отрасли Отражение отраслевой специфики за счет более четких требований, рекомендаций и типовых решений Более высокая вероятность успешного применения в организациях и как следствие высокий процент организаций, действующих в соответствии с законодательством Российской Федерации ЧТО ДАЮТ ОТРАСЛЕВЫЕ СТАНДАРТЫ ?

информация о компании 11 Приказ ФСТЭК России 58. Что изменилось в методах и способах защиты персональных данных? 11 КЛЮЧЕВЫЕ МОМЕНТЫ +7 (495) / Законодательство в области обработки и защиты персональных данных проходит этап доработки и «прояснения» Разработка отраслевых рекомендаций и/или стандартов – наиболее адекватный способ обеспечения эффективной безопасности персональных данных с учетом специфики конкретной отрасли Использование лучших мировых практик и наработанной российской практики – залог успеха при разработке отраслевых решений.

информация о компании 12 КОНТАКТНАЯ ИНФОРМАЦИЯ LETA IT-company , Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2 Тел./факс: +7 (495) Единая служба сервисной поддержки: + 7 (495) LETA IT-company. All rights reserved. This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary. Бондаренко Александр Валерьевич Руководитель отдела внешнего аудита и консалтинга Моб. тел.: +7 (495)