О ПЕРСОНАЛЬНЫХ ДАННЫХ И НЕ ТОЛЬКО

Александр Бондаренко, CISA, CISSP

Директор департамента консалтинга

Компания LETA

Page 2

История вопроса

Page 3

Нормативная база

152-ФЗ О персональных данных

Постановление правительства №

781 «Об утверждении

Положения об обеспечении

безопасности ПДн при их обработке в

ИСПДн»

Постановление Правительства №

687«Об утверждении

Положения об особенностях

обработки ПДн, осуществляемой

без использования средств

автоматизации»

Постановление Правительства N 512

«Об утверждении требований к

материальным носителям

биометрических ПДн и технологиям хранения таких

данных вне ИСПДн»

Документы ФСТЭК Документы ФСБ

Приказ 55/86/20 Порядок проведения классификации ИСПДн

Методика определения

актуальных угроз безопасности

(ПДн)

Приказ №58 О методах и

способах защиты

информации в ИСПДн

Базовая модель угроз безопасности

ПДн при их обработке в

ИСПДн

Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не

содержащей сведений, составляющих ГТ в случае их использования для обеспечения безопасности ПДн при

их обработке в ИСПДн

Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации.

Документы Роскомнадзора

Приказ № 630 «Административный

регламент проведения проверок Федеральной

службой по надзору в сфере связи, информационных технологий и массовых

коммуникаций при осуществлении федерального

государственного контроля (надзора) за соответствием

обработки персональных данных требованиям

законодательства РФ в области персональных

данных»

Типовой регламент №149/7/2/6-1173проведения в пределах полномочий мероприятий по

контролю (надзору) за выполнением требований, установленных Правительством РФ, к обеспечению

безопасности ПДн при их обработке в ИСПДнПриказ № 08

«Об утверждении образца формы уведомления об

обработке персональных данных»

ОТРАСЛЕВЫЕ СТАНДАРТЫ:

Кредитные организации (СТО БР ИББС)

Негосударственные пенсионные фонды (НАПФ СТО)

НАУФОР

… ?

Page 4

Изменение бизнес-процессов

Выбор и проектирование СЗПДн

Разработка нормативной документации

План проекта соответствия 152-ФЗ

Обследование

Внедрение СЗПДн

Обучение персонала

Поддержание соответствия

Page 5

Соответствие 152-ФЗ – ключевые моменты

Определить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн

Определить состав обрабатываемых ПДн, цели и условия обработки, сроки хранения

Получить согласие субъекта на обработку его персональных данных, в т.ч. в письменной форме

Определить порядок реагирования на запросы со стороны субъектов ПДн

Определить необходимость уведомления РКН

Page 6

Выделить и классифицировать ИСПДн

Разработать модель угроз для ИСПДн

Спроектировать и реализовать СЗПДн

Определить перечень мер по защите ПДн, обрабатываемых без использования средств автоматизации

Вести контроль за состоянием уровня защищенности ПДн

Соответствие 152-ФЗ – ключевые моменты

Page 7

Сертификация средств защиты

Лицензирование ФСТЭК и ФСБ

Аттестация

«Спорные» темы

Page 8

Угрозы и риски

Оценка рисков vs. Моделирование угроз

Page 9

Угрозы и риски

Page 10

Угрозы и риски

Page 11

Методики оценки рисков

OCTAVE

ISO 27005

NIST SP 800-30

RiskIT

PTA

Page 12

Трудности при проведении оценки рисков

Качественные или количественные методы

Рост уровня сложности по мере усиления

детализации

Зависимость от «экспертного» мнения

Page 13

Подходы к составлению модели угроз

Шаблонный подход Комбинаторика

Сценарный подход Гибридный подход

Page 14

Подход ЛЕТА к составлению модели угроз

Page 15

Подход ЛЕТА к составлению модели угроз