Обзор ситуации со стандартами НАПФ в свете изменения законодательства


The Presentation inside:

Slide 0

Обзор ситуации со стандартами НАПФ в свете изменения законодательства Касина Светлана Алексеевна Исполнительный директор «Национального НПФ» - члена Совета НП «НАПФ» Бондаренко Александр Технический директор ЗАО «ЛЕТА», CISA, CISSP +7 (495) 921 1410 / www.leta.ru Июнь 2011


Slide 1

установка общих принципов, требований и правил по обработке и обеспечению безопасности персональных данных НПФ – членами НП «НАПФ» соответствие процессов обработки персональных данных в НПФ – членах НП «НАПФ» требованиям действующего законодательства Российской федерации определение порядка контроля за выполнением требований по обработке и защите персональных данных в НПФ – членах НП «НАПФ» ЦЕЛЬ РАЗРАБОТКИ СТАНДАРТОВ


Slide 2

4 документа, составляющих пакет отраслевых стандартов и рекомендаций в области персональных данных Ссылка для скачивания - http://napf.ru/14154 РЕЗУЛЬТАТЫ РАБОТЫ


Slide 3

СТАНДАРТЫ НАПФ СТО НАПФ 4.1-2010 «Организация обработки и защиты ПДн в НПФ» Р НАПФ 4.2-2010 «Рекомендации по обеспечению безопасности ПДн» Р НАПФ 4.3-2010 «Рекомендации по формированию ОРД» Р НАПФ 4.4-2010 «Проведение аудита на соответствие требованиям»


Slide 4

СТАНДАРТЫ НАПФ Федеральный закон Российской Федерации от 25 июля 2011 г. N 261-ФЗ г. Москва "О внесении изменений в Федеральный закон "О персональных данных" Ст.19 п.3 Правительство Российской Федерации <….> устанавливает: 1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных; 2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;


Slide 5

СТАНДАРТЫ НАПФ Федеральный закон Российской Федерации от 25 июля 2011 г. N 261-ФЗ г. Москва "О внесении изменений в Федеральный закон "О персональных данных" Ст.19 п.4 Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются ФСТЭК и ФСБ.


Slide 6

СТАНДАРТЫ НАПФ Федеральный закон Российской Федерации от 25 июля 2011 г. N 261-ФЗ г. Москва "О внесении изменений в Федеральный закон "О персональных данных" Ст.19 п.6 Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.


Slide 7

СТАНДАРТЫ НАПФ Федеральный закон Российской Федерации от 25 июля 2011 г. N 261-ФЗ г. Москва "О внесении изменений в Федеральный закон "О персональных данных"« Ст.19 п.7 7. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с ФСТЭК и ФСБ, в порядке, установленном Правительством Российской Федерации.


Slide 8

СТАНДАРТЫ НАПФ Статья 181. п.1 Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. …. 1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных; Предусмотрено в стандарте в виде иерархии ролей


Slide 9

СТАНДАРТЫ НАПФ Статья 181. п.1 Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. …. 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных.. Предусмотрено в виде РС по структуре и составу документации


Slide 10

СТАНДАРТЫ НАПФ Статья 181. п.1 Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. …. 3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона; Предусмотрено в виде РС с детальным описанием методов защиты


Slide 11

СТАНДАРТЫ НАПФ Статья 181. п.1 Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. …. 4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону… Предусмотрено в виде РС по порядку организации внутреннего аудита


Slide 12

СТАНДАРТЫ НАПФ Статья 181. п.1 Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. …. 5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона Предусмотрено в порядке составления модели угроз


Slide 13

СТАНДАРТЫ НАПФ Статья 181. п.1 Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. …. 6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации Предусмотрено как одна из мер по защите в части работы с персоналом


Slide 14

СТАНДАРТЫ НАПФ - ПЕРСПЕКТИВЫ Небольшая корректировка для учета последних изменений Выпуск новой редакции после выхода постановлений правительства и методических документов регуляторов Согласование стандартов с ФСТЭК и ФСБ в соответствии с порядком, утвержденным Правительством


Slide 15

установка общих принципов, требований и правил по обработке и обеспечению безопасности персональных данных НПФ – членами НП «НАПФ» соответствие процессов обработки персональных данных в НПФ – членах НП «НАПФ» требованиям действующего законодательства Российской федерации определение порядка контроля за выполнением требований по обработке и защите персональных данных в НПФ – членах НП «НАПФ» ЦЕЛЬ РАЗРАБОТКИ СТАНДАРТОВ


Slide 16

КОНТАКТНАЯ ИНФОРМАЦИЯ LETA IT-company 109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2 Тел./факс: +7 (495) 921-1410 www.leta.ru 2010 LETA IT-company. All rights reserved. This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary. Бондаренко Александр Валерьевич Директор департамента консалтинга Моб. тел.: +7 (495) 921-1410 e-mail: [email protected]


×

HTML:





Ссылка: