ПРАКТИКА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

МЕРЫ ПО ЗАЩИТЕ

ПЕРЕЧЕНЬ ДОКУМЕНТОВ 1. Приказ о назначении ответственного за обработку и обеспечение безопасности обрабатываемых персональных данных на предприятии 2. Приказ о назначении администратора информационной безопасности 3. Описание технологических процессов обработки персональных данных 4. Перечень персональных данных, обрабатываемых на предприятии 5. Реестр информационных систем персональных данных предприятия и архивов, содержащих персональных данных 6. Описание разрешительной системы доступа (матрица доступа) 7. Утвержденная типовая форма расписки сотрудника предприятия о сохранении конфиденциальности, обрабатываемых им персональных данных 8. Модель угроз безопасности обрабатываемых персональных данных в информационной системе персональных данных предприятия 9. Приказ о создании комиссии по классификации информационных систем персональных данных предприятия 10. Акт классификации информационной системы персональных данных предприятия 11. Технический паспорт информационной системы персональных данных предприятия 12. Политика предприятия в области обработки и обеспечения безопасности персональных данных 13. Положение о защите персональных данных предприятия 14. Положение о порядке уничтожения вышедших из строя носителей информации 15. Дополнение к трудовому договору с сотрудником предприятия о согласии сотрудника на обработку его персональных данных в информационных системах персональных данных предприятия 16. Утвержденный типовой раздел в должностных инструкциях сотрудников предприятия и в анкете кандидата на работу 17. Утвержденный типовой раздел в договорах с контрагентами предприятия 18. Схема границ контролируемой зоны (для ИСПДн класса К1) 19. Акт уничтожения персональных данных субъектов персональных данных 20. Журнал учета носителей конфиденциальной информации 21. Журнал учета обращений граждан по вопросам обработки персональных данных 22. Форма ответа физическому лицу на запрос об обработки его персональных данных в информационных системах персональных данных предприятия 23. Акт об уничтожении носителей персональных данных 24. Инструкция администратора информационной безопасности 25. Уведомление об обработке (о намерении осуществлять обработку) персональных данных 26. Частное техническое задание на систему защиты 27. Эскизный проект системы защиты

ПЕРЕЧЕНЬ ДОКУМЕНТОВ 1. Приказ о назначении ответственного за обработку и обеспечение безопасности обрабатываемых персональных данных на предприятии 2. Приказ о назначении администратора информационной безопасности 3. Описание технологических процессов обработки персональных данных 4. Перечень персональных данных, обрабатываемых на предприятии 5. Реестр информационных систем персональных данных предприятия и архивов, содержащих персональных данных 6. Описание разрешительной системы доступа (матрица доступа) 7. Утвержденная типовая форма расписки сотрудника предприятия о сохранении конфиденциальности, обрабатываемых им персональных данных 8. Модель угроз безопасности обрабатываемых персональных данных в информационной системе персональных данных предприятия 9. Приказ о создании комиссии по классификации определению УЗ информационных систем персональных данных предприятия 10. Акт классификации определения УЗ информационной системы персональных данных предприятия 11. Положение о применимости защитных мер для поддержания УЗ ИСПДн 12. Технический паспорт информационной системы персональных данных предприятия 13. Политика предприятия в области обработки и обеспечения безопасности персональных данных 14. Положение о защите персональных данных предприятия 15. Положение о порядке уничтожения вышедших из строя носителей информации 16. Дополнение к трудовому договору с сотрудником предприятия о согласии сотрудника на обработку его персональных данных в информационных системах персональных данных предприятия 17. Утвержденный типовой раздел в должностных инструкциях сотрудников предприятия и в анкете кандидата на работу 18. Утвержденный типовой раздел в договорах с контрагентами предприятия 19. Схема границ контролируемой зоны (для ИСПДн класса К1) 20. Акт уничтожения персональных данных субъектов персональных данных 21. Журнал учета носителей конфиденциальной информации 22. Журнал учета обращений граждан по вопросам обработки персональных данных 23. Форма ответа физическому лицу на запрос об обработки его персональных данных в информационных системах персональных данных предприятия 24. Акт об уничтожении носителей персональных данных 25. Инструкция администратора информационной безопасности 26. Уведомление об обработке (о намерении осуществлять обработку) персональных данных 27. Частное техническое задание на систему защиты 28. Эскизный проект системы защиты

ЧТО ДОЛЖНО ПОЛУЧИТЬСЯ

ЖЕСТКИЕ ТРЕБОВАНИЯ ЗАТРАТЫ НА СОЗДАНИЕ СИСТЕ- МЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ЯВЛЯЮТСЯ ОБЯЗА- ТЕЛЬНЫМИ, НЕ УЧИТЫВАЮТ ПОТЕНЦИАЛЬНОГО УЩЕРБА СУБЪЕКТАМ И СТОИМОСТИ РИСКОВ ОПЕРАТОРА

ЖЕСТКИЕ ТРЕБОВАНИЯ ЛИЦЕНЗИРОВАНИЕ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИ- ДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ДЛЯ СОБСТВЕННЫХ НУЖД

ЖЕСТКИЕ ТРЕБОВАНИЯ ОБЯЗАТЕЛЬНАЯ СЕРТИФИКАЦИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ КАК БЕЗАЛЬТЕРНАТИВНЫЙ СПОСОБ ОЦЕНКИ (ПОДТВЕРЖДЕНИЯ) СООТВЕТСТВИЯ

ЖЕСТКИЕ ТРЕБОВАНИЯ ИСПОЛЬЗОВАНИЕ ИСКЛЮЧИТЕЛЬНО СЕРТИФИЦИРОВАННЫХ (ГОСТ) СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ

И МИЗЕРНЫЕ ШТРАФЫ КоАП РФ, ст Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)*: р р р.- юридические лица должностные лица граждане * Приведены максимально возможные суммы

СУРОВЫЕ ШТРАФЫ Проект федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»* (март 2014 года): р р р.- ЮЛ ДЛ Гр р.- ИП * Приведены максимально возможные суммы

ОБЯЗАТЕЛЬНО ДЛЯ ВСЕХ ИСПОЛЬЗОВАНИЕ ИСКЛЮЧИТЕЛЬНО СЕРТИФИЦИРОВАННЫХ (ГОСТ) СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ

ОБЯЗАТЕЛЬНО ДЛЯ ГИС АТТЕСТАЦИЯ ИНФОРМАЦИОННЫХ СИСТЕМ И ОБЯЗАТЕЛЬНАЯ СЕРТИФИКАЦИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ - БЕЗАЛЬТЕРНАТИВНЫЕ СПОСОБЫ ОЦЕНКИ (ПОДТВЕРЖДЕНИЯ) СООТВЕТСТВИЯ

ЛИБЕРАЛИЗАЦИЯ МЕР УРОВЕНЬ ЗАЩИЩЕННОСТИ И АКТУАЛЬНЫЕ УГРОЗЫ ОПРЕ- ДЕЛЯЮТСЯ ОПЕРАТОРОМ САМОСТОЯТЕЛЬНО

ЛИБЕРАЛИЗАЦИЯ МЕР МЕРЫ ЗАЩИТЫ ВЫБИРАЮТСЯ ИСХОДЯ ИЗ АКТУАЛЬНЫХ УГРОЗ И ОСОБЕННОСТЕЙ ИНФРАСТРУКТУРЫ КОНКРЕТНОЙ ИНФОРМАЦИОН- НОЙ СИСТЕМЫ

ОРГАНИЗАЦИОННЫЕ И ТЕХНИЧЕСКИЕ МЕРЫ РЕАЛИЗУЮТСЯ ОПЕРАТОРОМ САМОСТОЯТЕЛЬНО ЛИБО С ПРИВЛЕЧЕНИЕМ ЛИЦЕНЗИАТОВ ФСТЭК

ОБЕЗЛИЧИВАНИЕ ОБЯЗАТЕЛЬНО ДЛЯ ГИС «согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ» П.п. З п. 1 ПП-211

ВОЗМОЖНОСТЬ ВЫБОРА ОПЕРАТОР МОЖЕТ ИСКЛЮЧАТЬ МЕРЫ В СЛУЧАЕ НЕВОЗМОЖ- НОСТИ ИХ РЕАЛИ- ЗАЦИИ, ВЫБИРАТЬ КОМПЕНСИРУЮЩИЕ МЕРЫ И ОЦЕНИВАТЬ ИХ ДОСТАТОЧНОСТЬ ПРИ АТТЕСТАЦИОН- НЫХ ИСПЫТАНИЯХ

ИНФОРМИРОВАНИЕ

РАЗЪЯСНЕНИЯ

ОБСУЖДЕНИЯ

ТАК УСПЕЛИ? ЧТО ЕЩЕ МЕШАЕТ? ЧТО ЕЩЕ МЕШАЕТ?

ОТСУТСТВИЕ ПРИНЦИПА ДОБРО- СОВЕСТНОСТИ У ОПЕРАТОРОВ ОТСУТСТВИЕ ПРИНЦИПА ДОБРО- СОВЕСТНОСТИ У ОПЕРАТОРОВ

СПАСИБО ЗА ВНИМАНИЕ! Алексей Волков Mail: Блог: anvolkov.blogspot.com