Комплайенс по ПДн в условиях меняющегося законодательства презентация

защиты ПДн меняется, что делать?

Опыт компании «Информзащита» в реализации проектов по защите ПДн

затраты
Оптимальные сроки

субъектов в РКН

1

2

2

3

3

4

6

6

9

повторном нарушении в случае принятия поправок в КОАП РФ)
ст. 13.11 КОАП РФ: Нарушение установленного законом порядка сбора, хранения, использования и распространения персональных данных

Штраф до 500 000 руб. и/или дисквалификация должностного лица до 3-х лет
ст. 19.5 КОАП РФ: Невыполнение в установленный срок законного предписания органа, осуществляющего государственный надзор (контроль)

приостановление деятельности на срок до 90 суток
ст. 13.12 КОАП РФ: Нарушение правил защиты информации
ст. 13.13 КОАП РФ: Незаконная деятельность в области защиты информации
Штраф от 4 000 до 5 000 руб.
ст. 13.14 КОАП РФ: Разглашение информации, доступ к которой ограничен федеральным законом
Штраф от 3 000 до 5 000 руб.
ст. 19.7 КОАП РФ: Непредставление или несвоевременное представление уведомления об обработке персональных данных или иной информации по запросу
уполномоченного органа

сведений, предусмотренных ч.2. 1. ст. 25 Федерального закона».

основания для обработки ПДн
Несоответствие целей, сроков обработки и набора обрабатываемых ПДн
Незнание и непонимание текущей ситуации в компании
Формальная модель угроз
Отсутствие согласия на обработку ПДн (передачу третьим лицам)
Уведомление в РКН не соответствует действительности

России
Использование СрЗИ, не прошедших процедуру оценки соответствия
Отсутствие описания СЗПДн
Отсутствие учета СрЗИ, носителей ПДн

классифицирует данную ИСПДн
Проблема удаления ПДн из ИСПДн
Использование средств защиты, не прошедших процедуру оценки соответствия
Защита каналов связи
Меняющееся законодательство

оператору связи
Выполнение требований законодательства
Прекращение обработки части ПДн
Использование несертифицированных средств защиты

Принятие риска

защиты ПДн
Защита ПДн как средство достижения целей бизнеса
Увеличение конкурентоспособности

ПДн (анализ высокоуровневых бизнес-рисков, анализ операционных рисков)
Определить GAP и первоочередные мероприятия на основе анализа рисков
Начать выполнять первоочередные мероприятия и подать уведомление в РКН

Регламенты, Инструкции, типовые формы согласий, положений договоров и т.д.)
Подготовить сотрудников, запустить соответствующие процессы (сбор согласий, взаимодействие с субъектами и др.)
Скорректировать процессы обработки ПДн и ее обеспечения (скорректировать цели обработки, скорректировать перечни обрабатываемых ПДн для каждой цели обработки, скорректировать сроки обработки и др.)

ИСПДн

Новый приказ ФСТЭК

?

следующие документы:
Модель угроз
Классификация ИСПДн –> Определение уровней защищенности ПДн
Комплект ОРД по ПДн (Политика в отношении обработки ПДн, Положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн, Положение об обработке ПДн)
* Остальные изменения зависят от нового
документа ФСТЭК

что было сделано ранее, в большинстве случаев было сделано не зря
Усиление требований по техническим мерам защиты ПДн
Необходимо ориентироваться на использование сертифицированных средств защиты

Point IPS
Cisco IPS
StoneGate IPS
IBM ISS Proventia
SSEP HIPS

Анализ защищенности
MaxPatrol
XSpider

экран TrustAccess (ООО «Код безопасности»)
Security Studio Endpoint Protection – ПМЭ (ООО «Код безопасности»)
Check Point Security Gateways (Check Point Software Technologies Inc.)
Cisco FWSM, ASA (Cisco Systems)
StoneGate Firewall (Stonesoft Corporation)
МЭ PaloAlto

(Check Point Software Technologies Inc.)
Cisco IPS (Cisco Systems)
IBM ISS Proventia Network/Desktop/Server IPS/ADS (IBM)
Security Studio Endpoint Protection – HIPS (ООО «Код безопасности»)

от НСД
Secret Net «Соболь»
vGate
«Аккорд»

замок «Соболь» (ООО «Код безопасности»)
vGate (ООО «Код безопасности»)
Электронный замок «Аккорд» (ОКБ «САПР»)

безопасности»)
StoneGate SSL
ПАК ViPNet (ОАО «ИнфоТеКС)

Средства анализа защищенности
Maxpatrol (ЗАО «Позитив Текнолоджис»)
XSpider (ЗАО «Позитив Текнолоджис»)

«Доктор Веб»
Антивирусные продукты Компании Trend Micro
Антивирусные продукты Компании Symantec
Security Studio Endpoint Protection – Антивирус (ООО «Код безопасности»)

«Информзащита» успешно прошел проверку РКН в 2011 г.
Мы сопровождаем наших клиентов во время проверок регуляторов, оказываем консультационную помощь, помогаем оперативно устранять недостатки

тенденциями
Выбирайте опытного и надежного консультанта

систем и более 17 лет является лидером российского рынка ИБ.
На сегодняшний день в группу «Информзащита» входит шесть компаний:
системный интегратор «Информзащита»
«Код безопасности»
TrustVerse
«Национальный аттестационный центр»
Учебный центр «Информзащита»
SafeLine

службы по техническому и экспортному контролю

Лицензии Федеральной службы безопасности

Лицензий Федерального агентства правительственной связи и информации при Президенте РФ

Департамента образования

безопасности
Более 70 специалистов по проектированию и внедрению конкретных продуктов: Imperva, WebSense, ArcSight, Cisco ASA, Cisco IDS/IPS, ChekcPoint VPN, StoneGate FW/IDS и т.д.
Свыше 40 специалистов по безопасной настройке ОС (Win, Unix, Linux, FreeBSD, AIX, Solaris и т.д.), СУБД (Oracle, MSSQL, DB2, PostreSQL и т.д.), сетевого оборудования (Cisco, CheckPoint, StoneSoft и т.д.)
Свыше 30 специалистов по аудиту на соответствие распространенным стандартам в области ИБ: ISO 27001:2005, СТО БР, PCI DSS, PA DSS, ФЗ-152
Выделенный отдел по анализу защищенности: тесты на проникновение, анализ защищенности периметра, анализ прикладного ПО (WEB сайты, системы клиент-банк, ДБО), сканирование уязвимостей
Выделенная техническая поддержка в режиме 24х7 по продуктам и выполненным работам компании
Профессиональные педагоги в УЦ