Download - О персональных данных и не только
О ПЕРСОНАЛЬНЫХ ДАННЫХ И НЕ ТОЛЬКО
Александр Бондаренко, CISA, CISSP
Директор департамента консалтинга
Компания LETA
Page 2
История вопроса
Page 3
Нормативная база
152-ФЗ О персональных данных
Постановление правительства №
781 «Об утверждении
Положения об обеспечении
безопасности ПДн при их обработке в
ИСПДн»
Постановление Правительства №
687«Об утверждении
Положения об особенностях
обработки ПДн, осуществляемой
без использования средств
автоматизации»
Постановление Правительства N 512
«Об утверждении требований к
материальным носителям
биометрических ПДн и технологиям хранения таких
данных вне ИСПДн»
Документы ФСТЭК Документы ФСБ
Приказ 55/86/20 Порядок проведения классификации ИСПДн
Методика определения
актуальных угроз безопасности
(ПДн)
Приказ №58 О методах и
способах защиты
информации в ИСПДн
Базовая модель угроз безопасности
ПДн при их обработке в
ИСПДн
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не
содержащей сведений, составляющих ГТ в случае их использования для обеспечения безопасности ПДн при
их обработке в ИСПДн
Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации.
Документы Роскомнадзора
Приказ № 630 «Административный
регламент проведения проверок Федеральной
службой по надзору в сфере связи, информационных технологий и массовых
коммуникаций при осуществлении федерального
государственного контроля (надзора) за соответствием
обработки персональных данных требованиям
законодательства РФ в области персональных
данных»
Типовой регламент №149/7/2/6-1173проведения в пределах полномочий мероприятий по
контролю (надзору) за выполнением требований, установленных Правительством РФ, к обеспечению
безопасности ПДн при их обработке в ИСПДнПриказ № 08
«Об утверждении образца формы уведомления об
обработке персональных данных»
ОТРАСЛЕВЫЕ СТАНДАРТЫ:
Кредитные организации (СТО БР ИББС)
Негосударственные пенсионные фонды (НАПФ СТО)
НАУФОР
… ?
Page 4
Изменение бизнес-процессов
Выбор и проектирование СЗПДн
Разработка нормативной документации
План проекта соответствия 152-ФЗ
Обследование
Внедрение СЗПДн
Обучение персонала
Поддержание соответствия
Page 5
Соответствие 152-ФЗ – ключевые моменты
Определить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн
Определить состав обрабатываемых ПДн, цели и условия обработки, сроки хранения
Получить согласие субъекта на обработку его персональных данных, в т.ч. в письменной форме
Определить порядок реагирования на запросы со стороны субъектов ПДн
Определить необходимость уведомления РКН
Page 6
Выделить и классифицировать ИСПДн
Разработать модель угроз для ИСПДн
Спроектировать и реализовать СЗПДн
Определить перечень мер по защите ПДн, обрабатываемых без использования средств автоматизации
Вести контроль за состоянием уровня защищенности ПДн
Соответствие 152-ФЗ – ключевые моменты
Page 7
Сертификация средств защиты
Лицензирование ФСТЭК и ФСБ
Аттестация
«Спорные» темы
Page 8
Угрозы и риски
Оценка рисков vs. Моделирование угроз
Page 9
Угрозы и риски
Page 10
Угрозы и риски
Page 11
Методики оценки рисков
OCTAVE
ISO 27005
NIST SP 800-30
RiskIT
PTA
Page 12
Трудности при проведении оценки рисков
Качественные или количественные методы
Рост уровня сложности по мере усиления
детализации
Зависимость от «экспертного» мнения
Page 13
Подходы к составлению модели угроз
Шаблонный подход Комбинаторика
Сценарный подход Гибридный подход
Page 14
Подход ЛЕТА к составлению модели угроз
Page 15
Подход ЛЕТА к составлению модели угроз