О персональных данных и не только
TRANSCRIPT
![Page 1: О персональных данных и не только](https://reader036.vdocuments.site/reader036/viewer/2022062319/557f5ec0d8b42a822f8b50e5/html5/thumbnails/1.jpg)
О ПЕРСОНАЛЬНЫХ ДАННЫХ И НЕ ТОЛЬКО
Александр Бондаренко, CISA, CISSP
Директор департамента консалтинга
Компания LETA
![Page 2: О персональных данных и не только](https://reader036.vdocuments.site/reader036/viewer/2022062319/557f5ec0d8b42a822f8b50e5/html5/thumbnails/2.jpg)
Page 2
История вопроса
![Page 3: О персональных данных и не только](https://reader036.vdocuments.site/reader036/viewer/2022062319/557f5ec0d8b42a822f8b50e5/html5/thumbnails/3.jpg)
Page 3
Нормативная база
152-ФЗ О персональных данных
Постановление правительства №
781 «Об утверждении
Положения об обеспечении
безопасности ПДн при их обработке в
ИСПДн»
Постановление Правительства №
687«Об утверждении
Положения об особенностях
обработки ПДн, осуществляемой
без использования средств
автоматизации»
Постановление Правительства N 512
«Об утверждении требований к
материальным носителям
биометрических ПДн и технологиям хранения таких
данных вне ИСПДн»
Документы ФСТЭК Документы ФСБ
Приказ 55/86/20 Порядок проведения классификации ИСПДн
Методика определения
актуальных угроз безопасности
(ПДн)
Приказ №58 О методах и
способах защиты
информации в ИСПДн
Базовая модель угроз безопасности
ПДн при их обработке в
ИСПДн
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не
содержащей сведений, составляющих ГТ в случае их использования для обеспечения безопасности ПДн при
их обработке в ИСПДн
Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации.
Документы Роскомнадзора
Приказ № 630 «Административный
регламент проведения проверок Федеральной
службой по надзору в сфере связи, информационных технологий и массовых
коммуникаций при осуществлении федерального
государственного контроля (надзора) за соответствием
обработки персональных данных требованиям
законодательства РФ в области персональных
данных»
Типовой регламент №149/7/2/6-1173проведения в пределах полномочий мероприятий по
контролю (надзору) за выполнением требований, установленных Правительством РФ, к обеспечению
безопасности ПДн при их обработке в ИСПДнПриказ № 08
«Об утверждении образца формы уведомления об
обработке персональных данных»
ОТРАСЛЕВЫЕ СТАНДАРТЫ:
Кредитные организации (СТО БР ИББС)
Негосударственные пенсионные фонды (НАПФ СТО)
НАУФОР
… ?
![Page 4: О персональных данных и не только](https://reader036.vdocuments.site/reader036/viewer/2022062319/557f5ec0d8b42a822f8b50e5/html5/thumbnails/4.jpg)
Page 4
Изменение бизнес-процессов
Выбор и проектирование СЗПДн
Разработка нормативной документации
План проекта соответствия 152-ФЗ
Обследование
Внедрение СЗПДн
Обучение персонала
Поддержание соответствия
![Page 5: О персональных данных и не только](https://reader036.vdocuments.site/reader036/viewer/2022062319/557f5ec0d8b42a822f8b50e5/html5/thumbnails/5.jpg)
Page 5
Соответствие 152-ФЗ – ключевые моменты
Определить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн
Определить состав обрабатываемых ПДн, цели и условия обработки, сроки хранения
Получить согласие субъекта на обработку его персональных данных, в т.ч. в письменной форме
Определить порядок реагирования на запросы со стороны субъектов ПДн
Определить необходимость уведомления РКН
![Page 6: О персональных данных и не только](https://reader036.vdocuments.site/reader036/viewer/2022062319/557f5ec0d8b42a822f8b50e5/html5/thumbnails/6.jpg)
Page 6
Выделить и классифицировать ИСПДн
Разработать модель угроз для ИСПДн
Спроектировать и реализовать СЗПДн
Определить перечень мер по защите ПДн, обрабатываемых без использования средств автоматизации
Вести контроль за состоянием уровня защищенности ПДн
Соответствие 152-ФЗ – ключевые моменты
![Page 7: О персональных данных и не только](https://reader036.vdocuments.site/reader036/viewer/2022062319/557f5ec0d8b42a822f8b50e5/html5/thumbnails/7.jpg)
Page 7
Сертификация средств защиты
Лицензирование ФСТЭК и ФСБ
Аттестация
«Спорные» темы
![Page 8: О персональных данных и не только](https://reader036.vdocuments.site/reader036/viewer/2022062319/557f5ec0d8b42a822f8b50e5/html5/thumbnails/8.jpg)
Page 8
Угрозы и риски
Оценка рисков vs. Моделирование угроз
![Page 9: О персональных данных и не только](https://reader036.vdocuments.site/reader036/viewer/2022062319/557f5ec0d8b42a822f8b50e5/html5/thumbnails/9.jpg)
Page 9
Угрозы и риски
![Page 10: О персональных данных и не только](https://reader036.vdocuments.site/reader036/viewer/2022062319/557f5ec0d8b42a822f8b50e5/html5/thumbnails/10.jpg)
Page 10
Угрозы и риски
![Page 11: О персональных данных и не только](https://reader036.vdocuments.site/reader036/viewer/2022062319/557f5ec0d8b42a822f8b50e5/html5/thumbnails/11.jpg)
Page 11
Методики оценки рисков
OCTAVE
ISO 27005
NIST SP 800-30
RiskIT
PTA
![Page 12: О персональных данных и не только](https://reader036.vdocuments.site/reader036/viewer/2022062319/557f5ec0d8b42a822f8b50e5/html5/thumbnails/12.jpg)
Page 12
Трудности при проведении оценки рисков
Качественные или количественные методы
Рост уровня сложности по мере усиления
детализации
Зависимость от «экспертного» мнения
![Page 13: О персональных данных и не только](https://reader036.vdocuments.site/reader036/viewer/2022062319/557f5ec0d8b42a822f8b50e5/html5/thumbnails/13.jpg)
Page 13
Подходы к составлению модели угроз
Шаблонный подход Комбинаторика
Сценарный подход Гибридный подход
![Page 14: О персональных данных и не только](https://reader036.vdocuments.site/reader036/viewer/2022062319/557f5ec0d8b42a822f8b50e5/html5/thumbnails/14.jpg)
Page 14
Подход ЛЕТА к составлению модели угроз
![Page 15: О персональных данных и не только](https://reader036.vdocuments.site/reader036/viewer/2022062319/557f5ec0d8b42a822f8b50e5/html5/thumbnails/15.jpg)
Page 15
Подход ЛЕТА к составлению модели угроз