Образец заголовка АБС и Федеральный Закон 152-ФЗ «О персональных данных» Юрий Муратов Руководитель Управления производства и развития ЗАО «Новая Афина» © Copyright New Athena Corporation 2009 АБС и Федеральный Закон 152-ФЗ «О персональных данных»

Образец заголовка © Copyright New Athena Corporation Confidential Нормативные документы: 1.Федеральный Закон 152-ФЗ Принят 27 июля 2006 года Вступил в действие- с 2008 г. 2.Постановление.. N «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Вступило в силу: 29 ноября 2007 г. 3. Приказ..от 13 февраля 2008 г. N 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных" Вступил в силу: 22 апреля 2008 г АБС и Федеральный Закон 152-ФЗ «О персональных данных»

Образец заголовка © Copyright New Athena Corporation Confidential Нормативные документы (выпущены в феврале 2008): Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. АБС и Федеральный Закон 152-ФЗ «О персональных данных»

Образец заголовка © Copyright New Athena Corporation Confidential Согласно заключительным положениям Закона: «Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года. АБС и Федеральный Закон 152-ФЗ «О персональных данных»

Образец заголовка © Copyright New Athena Corporation Confidential Текущая ситуация: готовность операторов Типовые варианты: 1.Банки, у которых на текущий момент недостаточно понимания или специалистов, они только начинают разбираться с требованиями Закона и формировать конкретные задачи. 2.Банки, которые ведут работу, но планируют ограничиться подготовкой необходимых пакетов документов и минимальных организационных мер. 3.Банки, которые не могут позволить себе «выжидать», они активно занимаются выполнением необходимых мероприятий (подготовка документов по политике безопасности, модель угроз, классификация информационных систем,..), и которые, вероятно, в ближайшее время представят или уже представили разработчикам АБС требования для выполнения 152-ФЗ и/или реализации доработок. АБС и Федеральный Закон 152-ФЗ «О персональных данных»

Образец заголовка © Copyright New Athena Corporation Confidential Проблемные факторы, влияющие на полноценную реализацию и исполнение Операторами требований Федерального Закона 152-ФЗ: 1.Сроки и ресурсы: сжатые сроки, нехватка квалифицированных кадров, организационная неготовность операторов. 2.Внешние факторы, осложняющие решение задачи: кризис, проблемы и с ресурсами и с финансированием. 3.Многообразие и частичная несогласованность требований новых законов и законов, принятых ранее. АБС и Федеральный Закон 152-ФЗ «О персональных данных»

Образец заголовка © Copyright New Athena Corporation Confidential Проблемные факторы, влияющие на полноценную реализацию и исполнение Операторами требований Федерального Закона 152-ФЗ: 4.Сложность доступа ко всем необходимым методическим материалам. ФСТЭК России разработал и утвердил «методические документы, содержащие организационные и технические меры по защите персональных данных при их обработке в информационных системах персональных данных». Эти документы высланы центральным аппаратом ФСТЭК России всего в двести органов государственной власти и организаций, и, в частности, всего некоторым (крупным) банкам. АБС и Федеральный Закон 152-ФЗ «О персональных данных»

Образец заголовка © Copyright New Athena Corporation Confidential АБС и Федеральный Закон 152-ФЗ «О персональных данных» Риски банков в связи с полным вводом в действие 152-ФЗ: 1.Риски при наличии нарушений 152-ФЗ лишиться лицензии при проверке регуляторами. 2.Риски юридической и финансовой ответственности за невыполнение прав субъектов ПДн, например: за нарушение сроков по обработке обращений субъектов ПДн на предоставление/уничтожение ПДн по запросу, осуществление актуальных угроз и последующие обращения субъектов ПДн в суд. 3.Риски возможной перегрузки системы и ресурсов Оператора из-за большого числа обращений субъектов ПДн (конкуренты и.т.п.)

Образец заголовка © Copyright New Athena Corporation Confidential АБС и Федеральный Закон 152-ФЗ «О персональных данных» Порядок необходимых действий Оператора: 1.Формирование и утверждение перечня ПДн. 2.Получение и оформление согласия субъектов на обработку, возможный пересмотр договоров с субъектами ПДн. 3.Составление регламентов работы с ПДн, в частности, ограничение доступа специалистов банка к ПДн с помощью документированных списков. 4.Проведение классификации ИС ПДн. 5.Описание модели угроз ПДн и согласование ее с ФСТЭК. 6.Приведение системы защиты ПДн в соответствие с требованиями регуляторов. 7.Получение лицензии на техническую защиту конфиденциальной информации.

Образец заголовка © Copyright New Athena Corporation Confidential Порядок необходимых действий Оператора: 8.Создание подсистемы ИБ ИС ПДн и аттестация (сертификация). 9.Направление в уполномоченный орган уведомления. 10.Организация эксплуатации ИС ПДн и контроля за безопасностью. 11.Организация работ по обработке обращений субъектов персональных данных на доступ (или изменение/удаление) к своим персональным данным, поскольку несвоевременный ответ на запрос субъекта является основанием для подачи жалобы в уполномоченный орган по защите прав субъектов персональных данных с последующей внеплановой проверкой. АБС и Федеральный Закон 152-ФЗ «О персональных данных»

Образец заголовка © Copyright New Athena Corporation Confidential Помощь операторам–банкам от компаний- разработчиков АБС: 1.Составление комплекта документов для банков, который будет включать: типовую модель угроз; рекомендуемые мероприятия по защите БД; описания существующих в АБС подсистем, обеспечивающих безопасность и защиту информации: подсистем регистрации, аудита, разграничения доступа, шифрования, и т.д. 2. Консультации для банков по вопросам защиты ПДн и прохождения проверки АБС и Федеральный Закон 152-ФЗ «О персональных данных»

Образец заголовка © Copyright New Athena Corporation Confidential АБС и Федеральный Закон 152-ФЗ «О персональных данных» Решения по автоматизации требований 152-ФЗ 1.Автоматизация обработки обращений субъектов ПДн (организация блокировок, уничтожения, ведение электронного журнала обращений). 2.Настройка и возможные доработки системы аудита для фиксации изменений прав пользователей. 3.Консультации по использованию, настройке и возможные доработки системы разграничения прав пользователей, для обнаружения и фиксации фактов несанкционированного доступа к персональным данным. 4.Комплексное решение по ведению единой базы клиентов у Оператора с централизованным управлением учетными записями клиентов и синхронизацией изменений в данной базе со всеми другими системами и программными комплексами Оператора, где используются ПДн.

Образец заголовка © Copyright New Athena Corporation Confidential Спасибо за внимание! «Новая Афина» АБС и Федеральный Закон 152-ФЗ «О персональных данных»