Изменения в правовом поле кредитных организаций(152-ФЗ, СТО БР ИББС, ЭП, НПС) Царев Евгений Заместитель директора Департамента прод

Содержание

Слайд 2

152-ФЗ. ИЗМЕНЕНИЯ В…

+7 (495) 921 1410 / www.leta.ru

Терминологии
Условиях обработки ПДн
Разделение на «Операторов

152-ФЗ. ИЗМЕНЕНИЯ В… +7 (495) 921 1410 / www.leta.ru Терминологии Условиях обработки
ПДн» и «Лиц, осуществляющих обработку ПДн по поручению оператора ПДн»
Порядке организации обработки и защиты ПДн
Форме получения согласия на обработку ПДн
Взаимодействия с субъектом ПДн
Трансграничной передаче ПДн
Порядке уведомления Роскомнадзора
Мерах по защите ПДн
Ответственности за неисполнение требований закона

Слайд 3

+7 (495) 921 1410 / www.leta.ru

ИЗМЕНЕНИЯ В ТЕРМИНОЛОГИИ

+7 (495) 921 1410 / www.leta.ru ИЗМЕНЕНИЯ В ТЕРМИНОЛОГИИ

Слайд 4

ИЗМЕНЕНИЯ В ТЕРМИНОЛОГИИ

+7 (495) 921 1410 / www.leta.ru

Добавился термин «автоматизированная обработка», в

ИЗМЕНЕНИЯ В ТЕРМИНОЛОГИИ +7 (495) 921 1410 / www.leta.ru Добавился термин «автоматизированная
котором четко определено, что использование любых средств вычислительной техники автоматически делает обработку автоматизированной.
Термин «обезличивание ПДн» был дополнен уточнением, что обезличенной считается любая информация, которая сама по себе (без дополнительных источников информации) не позволяет определить принадлежность ее конкретному субъекту

Слайд 5

ИЗМЕНЕНИЯ В ТЕРМИНОЛОГИИ

+7 (495) 921 1410 / www.leta.ru

Из термина «ИСПДн» исчезли фразы

ИЗМЕНЕНИЯ В ТЕРМИНОЛОГИИ +7 (495) 921 1410 / www.leta.ru Из термина «ИСПДн»
про обработку без средств автоматизации. Соответственно, исчезает и понятие смешанной обработки в ИСПДн.
В термине «трансграничная передача ПДн» вместо «передачи через Государственную границу Российской Федерации», появилась «передача на территорию иностранного государства»

Слайд 6

ИТОГО. ИЗМЕНЕНИЯ В ТЕРМИНОЛОГИИ

+7 (495) 921 1410 / www.leta.ru

ПДн - все, что

ИТОГО. ИЗМЕНЕНИЯ В ТЕРМИНОЛОГИИ +7 (495) 921 1410 / www.leta.ru ПДн -
относится к физическому лицу.
Автоматизированная обработка – обработка только с использованием СВТ.
ИСПДн – только те компоненты, которые участвуют в автоматизированной обработке (базы данных, технические средства, информационные технологии).
Обезличивание ПДн – действия, в результате которых невозможно утверждать, что ПДн относятся к конкретному субъекту ПДн, т.е. ПДн могут относиться к нескольким субъектам ПДн.

Слайд 7

+7 (495) 921 1410 / www.leta.ru

РАЗДЕЛЕНИЕ НА «ОПЕРАТОРОВ ПДН» И «ЛИЦ, ОСУЩЕСТВЛЯЮЩИХ

+7 (495) 921 1410 / www.leta.ru РАЗДЕЛЕНИЕ НА «ОПЕРАТОРОВ ПДН» И «ЛИЦ,
ОБРАБОТКУ ПДН ПО ПОРУЧЕНИЮ ОПЕРАТОРА ПДН»

Слайд 8

РАЗДЕЛЕНИЕ НА «ОПЕРАТОРОВ ПДН» И «ЛООПДНППОПДН»

+7 (495) 921 1410 / www.leta.ru

Оператор
организует/осуществляет обработку;
и
определяет

РАЗДЕЛЕНИЕ НА «ОПЕРАТОРОВ ПДН» И «ЛООПДНППОПДН» +7 (495) 921 1410 / www.leta.ru
состав персональных данных, подлежащих обработке;
и
определяет цели обработки;
и
определяет действия (операции), совершаемые с персональными данными.

Если хотя бы один из пунктов не осуществляется, то есть основания утверждать, что данное лицо не является оператором ПДн, а возможно является ЛООПДНППОПДН

Слайд 9

РАЗДЕЛЕНИЕ НА «ОПЕРАТОРОВ ПДН» И «ЛООПДНППОПДН»

+7 (495) 921 1410 / www.leta.ru

В поручении

РАЗДЕЛЕНИЕ НА «ОПЕРАТОРОВ ПДН» И «ЛООПДНППОПДН» +7 (495) 921 1410 / www.leta.ru
на обработку ПДн должны быть в обязательном порядке определены:
перечень действий с ПДн, которые будут совершаться ЛООПДНППОПДН;
цели обработки;
обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке;
требования к защите ПДн.

Слайд 10

+7 (495) 921 1410 / www.leta.ru

ИЗМЕНЕНИЯ В ПОРЯДКЕ ОРГАНИЗАЦИИ ОБРАБОТКИ И ЗАЩИТЫ ПДН

+7 (495) 921 1410 / www.leta.ru ИЗМЕНЕНИЯ В ПОРЯДКЕ ОРГАНИЗАЦИИ ОБРАБОТКИ И ЗАЩИТЫ ПДН

Слайд 11

ИЗМЕНЕНИЯ В ПОРЯДКЕ ОРГАНИЗАЦИИ ОБРАБОТКИ И ЗАЩИТЫ ПДН

+7 (495) 921 1410 /

ИЗМЕНЕНИЯ В ПОРЯДКЕ ОРГАНИЗАЦИИ ОБРАБОТКИ И ЗАЩИТЫ ПДН +7 (495) 921 1410
www.leta.ru

Операторам юридическим лицам необходимо назначить физическое либо юридическое лицо, ответственное за организацию обработки персональных данных.
Осуществляет контроль исполнения законодательства по ПДн
Доводить до сотрудников положения нормативки по ПДн
Организовать работу по обращениям субъектов

Слайд 12

ИЗМЕНЕНИЯ В ПОРЯДКЕ ОРГАНИЗАЦИИ ОБРАБОТКИ И ЗАЩИТЫ ПДН

+7 (495) 921 1410 /

ИЗМЕНЕНИЯ В ПОРЯДКЕ ОРГАНИЗАЦИИ ОБРАБОТКИ И ЗАЩИТЫ ПДН +7 (495) 921 1410
www.leta.ru

Необходимо разработать «Политику Компании в отношении обработки ПДн» и разместить ее на веб-сайте (либо иным образом предоставить к ней неограниченный доступ).

Слайд 13

+7 (495) 921 1410 / www.leta.ru

5. ИЗМЕНЕНИЯ В ФОРМЕ ПОЛУЧЕНИЯ СОГЛАСИЯ НА

+7 (495) 921 1410 / www.leta.ru 5. ИЗМЕНЕНИЯ В ФОРМЕ ПОЛУЧЕНИЯ СОГЛАСИЯ НА ОБРАБОТКУ ПДН
ОБРАБОТКУ ПДН

Слайд 14

ИЗМЕНЕНИЯ В ФОРМЕ ПОЛУЧЕНИЯ СОГЛАСИЯ НА ОБРАБОТКУ ПДН

+7 (495) 921 1410 /

ИЗМЕНЕНИЯ В ФОРМЕ ПОЛУЧЕНИЯ СОГЛАСИЯ НА ОБРАБОТКУ ПДН +7 (495) 921 1410
www.leta.ru

Согласие на обработку ПДн можно получать в любой форме (аудио, «галочки» на веб-сайтах и т. п.), включая конклюдентные действия. Главное – доказать, что согласие было получено, т. е. не фальсифицировано самим оператором.
Для письменной формы согласия введено дополнение о необходимости указания в ней данных о ЛООПДНППОПДН, если обработка будет поручена такому лицу.

Слайд 15

+7 (495) 921 1410 / www.leta.ru

ИЗМЕНЕНИЯ В МЕРАХ ПО ЗАЩИТЕ ПДН

+7 (495) 921 1410 / www.leta.ru ИЗМЕНЕНИЯ В МЕРАХ ПО ЗАЩИТЕ ПДН

Слайд 16

ИЗМЕНЕНИЯ В МЕРАХ ПО ЗАЩИТЕ ПДН

+7 (495) 921 1410 / www.leta.ru

Ст. 18.1:
...Оператор

ИЗМЕНЕНИЯ В МЕРАХ ПО ЗАЩИТЕ ПДН +7 (495) 921 1410 / www.leta.ru
самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим ФЗ и принятыми в соответствии с ним нормативными правовыми актами… К таким мерам могут, в частности, относиться:

3) применение правовых, организационных и технических мер по обеспечению безопасности ПДн в соответствии со статьей 19 настоящего ФЗ;

Слайд 17

ИЗМЕНЕНИЯ В МЕРАХ ПО ЗАЩИТЕ ПДН

+7 (495) 921 1410 / www.leta.ru

2. Обеспечение

ИЗМЕНЕНИЯ В МЕРАХ ПО ЗАЩИТЕ ПДН +7 (495) 921 1410 / www.leta.ru
безопасности персональных данных достигается, в частности:
1) определением угроз безопасности ПДн при их обработке в ИСПДн;
2) применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;

Слайд 18

ИЗМЕНЕНИЯ В МЕРАХ ПО ЗАЩИТЕ ПДН

+7 (495) 921 1410 / www.leta.ru

2. Обеспечение

ИЗМЕНЕНИЯ В МЕРАХ ПО ЗАЩИТЕ ПДН +7 (495) 921 1410 / www.leta.ru
безопасности персональных данных достигается, в частности:

5) учетом машинных носителей ПДн;
6) обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
7) восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
9) контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.

Слайд 19

ИЗМЕНЕНИЯ В МЕРАХ ПО ЗАЩИТЕ ПДН

+7 (495) 921 1410 / www.leta.ru

Теперь на

ИЗМЕНЕНИЯ В МЕРАХ ПО ЗАЩИТЕ ПДН +7 (495) 921 1410 / www.leta.ru
законодательном уровне закреплена обязанность оператора ПДн оценивать вред, который может быть причинен субъектам и соотнести указанный вред с принимаемыми оператором мерами, направленными на обеспечение выполнения обязанностей, предусмотренных ФЗ.
Введено понятие уровней защищенности ИСПДн, которые должны быть определены в соответствующих Постановлениях Правительства РФ. Пока не изданы.

Слайд 20

ИЗМЕНЕНИЯ В МЕРАХ ПО ЗАЩИТЕ ПДН

+7 (495) 921 1410 / www.leta.ru
Оператор ПДн

ИЗМЕНЕНИЯ В МЕРАХ ПО ЗАЩИТЕ ПДН +7 (495) 921 1410 / www.leta.ru
самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ.
Меры по защите ПДн, перечисленные в ст. 18.1 и 19 являются только типовым набором, а отнюдь не обязательными для исполнения.
На законодательном уровне четко указана последовательность действий: «Оценка вреда» - «Оценка актуальности угроз» - «Уровень защищенности» - «Оценка реализации требований по ИБ в ИСПДн Компании» - «Модернизация системы защиты ПДн»
Использование сертифицированных (прошедших в установленном порядке процедуру оценки соответствия) средств защиты информации, в новой редакции 152-ФЗ указано, как одна из мер, но вовсе необязательная, однако требование по использованию сертифицированных СЗИ, пока содержится в документах ФСТЭК России (Приказ № 58).

Слайд 21

+7 (495) 921 1410 / www.leta.ru

ЗАКОН ОБ ЭЛЕКТРОННОЙ ПОДПИСИ

+7 (495) 921 1410 / www.leta.ru ЗАКОН ОБ ЭЛЕКТРОННОЙ ПОДПИСИ

Слайд 22

ЗАКОН ОБ ЭЛЕКТРОННОЙ ПОДПИСИ

+7 (495) 921 1410 / www.leta.ru

Ст.2: «электронная подпись –

ЗАКОН ОБ ЭЛЕКТРОННОЙ ПОДПИСИ +7 (495) 921 1410 / www.leta.ru Ст.2: «электронная
информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию»
Ст.3: «…порядок использования электронной подписи в корпоративной информационной системе может устанавливаться оператором этой системы или соглашением между участниками электронного взаимодействия в ней…»

Слайд 23

ЗАКОН ОБ ЭЛЕКТРОННОЙ ПОДПИСИ

+7 (495) 921 1410 / www.leta.ru

Закон об ЭЦП
Закон об

ЗАКОН ОБ ЭЛЕКТРОННОЙ ПОДПИСИ +7 (495) 921 1410 / www.leta.ru Закон об
ЭП

Квалифицированная ЭП

Квалифицированная ЭП

Неквалифицированная ЭП

Простая ЭП

Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом

Слайд 24

СТО БР ИББС

+7 (495) 921 1410 / www.leta.ru

Классификатор
СТО БР ИББС – 0.0

Термины

СТО БР ИББС +7 (495) 921 1410 / www.leta.ru Классификатор СТО БР
и определения
СТО БР ИББС – 0.1

Общие положения
СТО БР ИББС – 1.0

Аудит информационной
безопасности
СТО БР ИББС – 1.1

Документы по обеспечению
информационной
безопасности
РС БР ИББС – 2.0

Методика классификации
активов
РС БР ИББС – Х.Х
Методика назначения
и описания ролей
РС БР ИББС – Х.Х

Методика оценки
соответствия
СТО БР ИББС – 1.2

Руководство по самооценке
РС БР ИББС – 2.1

Методика оценки рисков
РС БР ИББС – 2.2
Требования по обеспечению
безопасности ПДн в ИСПДн
РС БР ИББС – 2.3
Отраслевая модель угроз
РС БР ИББС – 2.4

Требования по обеспечению
Безопасности СКЗИ
РС БР ИББС – 2.5

Слайд 25

ЗАКОН О НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЕ

+7 (495) 921 1410 / www.leta.ru

В случае хищения

ЗАКОН О НАЦИОНАЛЬНОЙ ПЛАТЕЖНОЙ СИСТЕМЕ +7 (495) 921 1410 / www.leta.ru В
денежных средств со счета клиента банк обязан возместить полную сумму похищенных средств (Статья 9 пп. 11-16)
ЦБ определяет правила платежной системы. Правилами должны определяться требования к защите информации. (Статья 15. пп.4 -5, Статья 20 п. 1)
Требования к ЗИ определяет ЦБ и согласовывает со ФСТЭК и ФСБ. Контроль осуществляется ФСТЭК, ФСБ и ЦБ (Статья 27)
Имя файла: Изменения-в-правовом-поле-кредитных-организаций(152-ФЗ,-СТО-БР-ИББС,-ЭП,-НПС)-Царев-Евгений-Заместитель-директора-Департамента-прод.pptx
Количество просмотров: 79
Количество скачиваний: 0