152-ФЗ: проблемные области и лучшие практикиЦха Дмитрий, Руководитель отдела консалтингакомпания LETA

+7 (495) 921 1410 / www.leta.ru

Грани ИБ Законодательство, процессы, технологии

13-15 октября 2011 г.«Атлас Парк-Отель»

Грани ИБ. Законодательство, процессы, технологии.

13-15 октября 2011 г. «Атлас Парк-Отель»2

ИНФОРМАЦИЯ

+7 (495) 921 1410 / www.leta.ru

Общение с регуляторами

Анализ нормативной базы

Результаты проверок

Проектный опыт

Грани ИБ. Законодательство, процессы, технологии.

13-15 октября 2011 г. «Атлас Парк-Отель»3

УВЕДОМЛЕНИЕ В РКН

+7 (495) 921 1410 / www.leta.ru

152-ФЗ Статья 25 п.2.1Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.

152-ФЗ Статья 22 п.1Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи

Грани ИБ. Законодательство, процессы, технологии.

13-15 октября 2011 г. «Атлас Парк-Отель»4

ПДН СПЕЦИАЛЬНЫХ КАТЕГОРИЙ

+7 (495) 921 1410 / www.leta.ru

обработка ПДн специальных категорий не ведется

ПДн Категории 1 - ИСДН К1

по результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных …

Приказ «Трех» от 13.02.2008

ПДн - все, что относится к физическому лицу

Грани ИБ. Законодательство, процессы, технологии.

13-15 октября 2011 г. «Атлас Парк-Отель»5

АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА

+7 (495) 921 1410 / www.leta.ru

удаленно подключаемся, просматриваем данные – обработка без средств автоматизации

152-ФЗ Статья 3 (определения)

Автоматизированная обработка - обработка с помощью СВТ

Обработка – любое действие или совокупность действий … (распространение, предоставление, доступ) …

Грани ИБ. Законодательство, процессы, технологии.

13-15 октября 2011 г. «Атлас Парк-Отель»6

ВЫДЕЛЕНИЕ ИСПДН

+7 (495) 921 1410 / www.leta.ru

Выделяем ИСПДн для каждой БД в которой обрабатываются ПДн

152-ФЗ Статья 5 (Принципы обработки ПДн)

не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой

ИСПДн - только те компоненты, которые участвуют в автоматизированной обработке

Грани ИБ. Законодательство, процессы, технологии.

13-15 октября 2011 г. «Атлас Парк-Отель»7

ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА

+7 (495) 921 1410 / www.leta.ru

Что считать трансграничной передачей данных? Есть ли она в нашей Компании?

152-ФЗ Статья 3 (определения)

передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу

Грани ИБ. Законодательство, процессы, технологии.

13-15 октября 2011 г. «Атлас Парк-Отель»8

СОГЛАСИЕ НЕ ЯВЛЯЕТСЯ НЕОБХОДИМЫМ

+7 (495) 921 1410 / www.leta.ru

обработка ПДн выгодоприобретателей и поручителей по договорам (актуально для страховщиков, кредиторов и т. п.)

обработка ПДн необходима для заключения договора по инициативе субъекта ПДн или договора, по которому субъект будет являться выгодоприобретателем или поручителем (резюме, анкеты и т. п.)

обработка ПДн третьих лиц, когда это необходимо для осуществления их законных прав и интересов при условии, что при этом не нарушаются права и свободы субъекта персональных данных (обработка ПДн пострадавших в ДТП).

152-ФЗ Статья 6 п.1

Грани ИБ. Законодательство, процессы, технологии.

13-15 октября 2011 г. «Атлас Парк-Отель»9

ФОРМЫ ПОЛУЧЕНИЯ СОГЛАСИЯ

+7 (495) 921 1410 / www.leta.ru

если оператору необходимо получить согласие на обработку ПДн, и письменная форма выбрана оператором как наиболее удобная (различные анкеты), содержание данного согласия может быть любым (сбор анкет программ лояльности)

требования к письменной форме распространяются только на те случаи, когда по Закону требуется именно письменная форма

согласие на обработку ПДн можно получать в любой форме (аудио, «галочки» на веб-сайтах и т. п.), включая конклюдентные действия. Основной критерий – возможность подтвердить факт получения согласия

152-ФЗ Статья 9 (согласие субъекта)

Грани ИБ. Законодательство, процессы, технологии.

13-15 октября 2011 г. «Атлас Парк-Отель»10

ОПЕРАТОР И ЛИЦО УПОЛНОМОЧЕННОЕ

+7 (495) 921 1410 / www.leta.ru

ОПЕРАТОР ПДнЛИЦО, осуществляющее обработку по поручению

устанавливает перечень действий (операций) с персональными данными, которые будут совершаться лицом

устанавливает цели обработки ПДн

устанавливает обязанность лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке

устанавливает требования к защите ПДн (требования по защите не должны быть выше требований, выполняемых самим оператором – в идеальном случае требования должны быть идентичны).

выполняет только те действия, которые прописаны Оператором в поручении (договоре).

обеспечивает соответствие внутренних способов обработки ПДн целям обработки

обеспечивает соблюдение кон-ти ПДн и обеспечивает их безопасность при обработке в соответствии с предъявленными требованиями

Грани ИБ. Законодательство, процессы, технологии.

13-15 октября 2011 г. «Атлас Парк-Отель»11

ЕЩЕ РАЗ ПРО СОГЛАСИЕ НА ОБРАБОТКУ

+7 (495) 921 1410 / www.leta.ru

попадаем в условия 152-ФЗ статьи 6 п.1 - согласие не нужно

152-ФЗ Статья 6 п.3оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора

Грани ИБ. Законодательство, процессы, технологии.

13-15 октября 2011 г. «Атлас Парк-Отель»12

МЕРЫ ПО ЗАЩИТЕ ПДН

+7 (495) 921 1410 / www.leta.ru

1. Оценка вреда

2. Оценка актуальности угроз

3. Уровень защищенности

4. Оценка реализации требований по ИБ в ИСПДн

5. Модернизация системы защиты персональных данных

указана последовательность действий при разработке мер по защите ПДн:

152-ФЗ Статья 18.1 п.1

Грани ИБ. Законодательство, процессы, технологии.

13-15 октября 2011 г. «Атлас Парк-Отель»13

СЕРТИФИКАЦИЯ СЗИ

+7 (495) 921 1410 / www.leta.ru

требование не является обязательным

Приказ ФСТЭК № 58 п.2.1

использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия

Положение №781 п.5

средства защиты информации, применяемые в ИС, в установленном порядке проходят процедуру оценки соответствия

Грани ИБ. Законодательство, процессы, технологии.

13-15 октября 2011 г. «Атлас Парк-Отель»14

ПОЛНОМОЧИЯ РЕГУЛЯТОРОВ

+7 (495) 921 1410 / www.leta.ru

Контроль и надзор за выполнением требований в государственных ИСПДн осуществляются ФСТЭК России и ФСБ России.

ФСБ России и ФСТЭК России решением Правительства РФ с учетом значимости и содержания ПДн могут быть наделены полномочиями по контролю за выполнением требований в негосударственных ИСПДн.

Роскомнадзор имеет право осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий

Грани ИБ. Законодательство, процессы, технологии.

13-15 октября 2011 г. «Атлас Парк-Отель»15

ЧЕГО ЖДАТЬ ДАЛЬШЕ?

+7 (495) 921 1410 / www.leta.ru

Выпуск методических документов ФСТЭК России и ФСБ России по способам и мерам защиты для уровней защищенности – не ранее конца 2012 года

Выпуск Постановлений Правительства РФ касательно уровней защищенности стоит ожидать не ранее второго квартала 2012 года

16

КОНТАКТНАЯ ИНФОРМАЦИЯ

LETA109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2 Тел./факс: +7 (495) 921-1410Единая служба сервисной поддержки: + 7 (495) 921-1410 www.leta.ru

© 2011 LETA. All rights reserved.This presentation is for informational purposes only. LETA makes no warranties, express or implied, in this summary.

Цха ДмитрийРуководитель отдела консалтингаМоб. тел.: +7 (965) 113-1631e-mail: DTsha@leta.ru