Практический опыт оценки соответствия стандарту БАНКА РОССИИ СТО БР ИББС–1.0–2010 ( CNews FORUM 2010, 10 ноября) Лысенко Юрий Начальник Управления информационной.

Презентация:



Advertisements
Похожие презентации
Текущая ситуация Законодательство, нормативы ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 27 ИЮЛЯ 2006 Г. 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА.
Advertisements

Защита персональных данных 2008 г.. CNews Forum 2008 Информация о компании О компании ReignVox - российская компания, специализирующаяся на разработках.
Законодательная и нормативная база правового регулирования вопросов защиты персональных данных. Руководящие документы по защите персональных данных Законодательная.
Общий порядок действий оператора по выполнению требований Федерального закона от ФЗ «О персональных данных»
Защита персональных данных – ждать или действовать ?
Санкт-Петербург 2013год «Классификация информационных систем персональных данных»
М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.
В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет: Положение об обеспечении 1.
» ГБУ СО «СОЦИ» 1 31 января 2011 года Докладчик: Заместитель начальника отдела информационной безопасности ГБУ СО «СОЦИ» Колгин Антон Александрович 14.
1 Статья 3. Основные понятия, используемые в настоящем Федеральном законе Статья 3. Основные понятия, используемые в настоящем Федеральном законе Персональные.
Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в.
Бикбулатов Тагир Ахатович Управление Роскомнадзора по Республике Башкортостан Специалист-эксперт отдела по защите прав субъектов персональных данных.
2009 г. Об обеспечении безопасности персональных данных с использованием шифровальных (криптографических) средств.
Марийский региональный центр повышения квалификации и переподготовки кадров Мероприятия по определению персональных данных и подготовке нормативных документов.
Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 1 Тема:
ВОПРОСЫ ЗАЩИТЫ ИНФОРМАЦИИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ В СВЯЗИ С ИЗДАНИЕМ ПРИКАЗА ФСТЭК РОССИИ.
Федеральный закон о персональных данных. Необходимо: 1.Получать разрешение на обработку и передачу персональных данных. 2.Уведомлять РОСКОМНАДЗОР о том,
Управление ФСТЭК России по Сибирскому федеральному округу «О требованиях к защите персональных данных при их обработке в информационных системах персональных.
Защита персональных данных работников. Положения о защите персональных данных работников регламентируют Конституция Российской Федерации Конституция Российской.
Транксрипт:

Практический опыт оценки соответствия стандарту БАНКА РОССИИ СТО БР ИББС–1.0–2010 ( CNews FORUM 2010, 10 ноября) Лысенко Юрий Начальник Управления информационной безопасности HomeCredit & Finance Bank

Цели внедрения Стандарта для Банка Тренд развития угроз безопасности Совершенствование СУИБ Соответствие бизнес-целям Банка Прозрачность процессов управления Обнаружение «слабых мест» в защите Требования законодательства и регулирующих органов, особенно 152-ФЗ

Какие трудности встретятся! 1.Взаимодействие между подразделениями. 2.Согласование документов, работ. 3.Отсутствие заинтересованности. 4.Отсутствие документированности информационно-технологических процессов. (Для платежных технологических процессов документация есть). 5.Отсутствие схемы потоков персональных данных. 6.Сложность восприятия некоторых вопросов Стандарта, возможность различного толкования вопроса. 7.«Латание дыр» как в части документации, так и программно- техническом обеспечении. 8.Отсутствие четкого алгоритма оценивания частных показателей с учетом оценок уточняющих вопросов по Персональным данным (п Методики оценки, Таблица 7) 9.Отсутствие ПО для автоматизации расчета показателей.

Методические рекомендации АРБ по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации Если организация БС РФ не вводит Стандарты Банка России приказом, то ее деятельность при обработке персональных данных подлежит оценке при осуществлении надзора и контроля уполномоченными государственными органами на соответствие требованиям нормативных документов Регуляторов в области персональных данных, без учета отраслевых особенностей банковской сферы деятельности, отраженных в Комплексе БР ИББС.

Общий подход к определению требований по обеспечению безопасности персональных данных в ИСПДн Выбор требований по обеспечению безопасности персональных данных в информа­ционных системах персональных данных (ИСПДн) осуществляется в зависимости от результа­тов классификации ИСПДн. В соответствии с действующим стандартом СТО БР ИББС-1.0 все ИСПДн организа­ций БС РФ относятся к специальным. ИСПДн организации БС РФ классифицируются на основе категорий обрабатываемых в ИСПДн персональных данных. Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). К специальным информационным системам должны быть отнесены: информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. (З главый приказ, «ОБ УТВЕРЖДЕНИИ ПОРЯДКА ПРОВЕДЕНИЯ КЛАССИФИКАЦИИ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ» 13 февраля 2008 г.)

Общие требования по обработке персональных данных в организации БС РФ В организации БС РФ должен быть определен и документально зафиксирован перечень ИСПДн. В перечень ИСПДн должны быть включены как минимум АБС, целью создания и исполь­зования которых является обработка персональных данных. АБС, реализующие банковские платежные технологические процессы, не относятся к ИСПДн.

Общие требования по обработке персональных данных в организации БС РФ Работники организации БС РФ, осуществляющие обработку персональных дан­ных в ИСПДн, должны быть проинформированы о факте обработки ими персональных дан­ных, категориях обрабатываемых персональных данных, а также должны быть ознакомлены под роспись со всей совокупностью требований по обработке и обеспечению безопасности персональных данных в части, касающейся их должностных обязанностей.

Автоматизированные системы, в которых обрабатываются персональные данные, но целью работы которых не является обработка персональных данных, включаются в перечень систем, обрабатывающих персональные данные, но не классифицируются как ИСПДн.

Схема потоков персональных данных

ПО для автоматизации расчетов

Какие трудности встретятся! 1.Взаимодействие между подразделениями. 2.Согласование документов, работ. 3.Отсутствие заинтересованности. 4.Отсутствие документированности информационно-технологических процессов. (Для платежных технологических процессов документация есть). 5.Отсутствие схемы потоков персональных данных. 6.Сложность восприятия некоторых вопросов Стандарта, возможность различного толкования вопроса. 7.«Латание дыр» как в части документации, так и программно- техническом обеспечении. 8.Отсутствие четкого алгоритма оценивания частных показателей с учетом оценок уточняющих вопросов по Персональным данным (п Методики оценки, Таблица 7) 9.Отсутствие ПО для автоматизации расчета показателей.