Обзор ситуации со стандартами НАПФ в свете изменения законодательства

Содержание

Слайд 2

установка общих принципов, требований и правил по обработке и обеспечению безопасности персональных

установка общих принципов, требований и правил по обработке и обеспечению безопасности персональных
данных НПФ – членами НП «НАПФ»
соответствие процессов обработки персональных данных в НПФ – членах НП «НАПФ» требованиям действующего законодательства Российской федерации
определение порядка контроля за выполнением требований по обработке и защите персональных данных в НПФ – членах НП «НАПФ»

ЦЕЛЬ РАЗРАБОТКИ СТАНДАРТОВ

Слайд 3

4 документа, составляющих пакет отраслевых стандартов и рекомендаций в области персональных данных
Ссылка

4 документа, составляющих пакет отраслевых стандартов и рекомендаций в области персональных данных
для скачивания - http://napf.ru/14154

РЕЗУЛЬТАТЫ РАБОТЫ

Слайд 4

СТАНДАРТЫ НАПФ

СТО НАПФ 4.1-2010 «Организация обработки и защиты ПДн в НПФ»
Р НАПФ

СТАНДАРТЫ НАПФ СТО НАПФ 4.1-2010 «Организация обработки и защиты ПДн в НПФ»
4.2-2010 «Рекомендации по обеспечению безопасности ПДн»
Р НАПФ 4.3-2010 «Рекомендации по формированию ОРД»
Р НАПФ 4.4-2010 «Проведение аудита на соответствие требованиям»

Слайд 5

СТАНДАРТЫ НАПФ

Федеральный закон Российской Федерации от 25 июля 2011 г. N 261-ФЗ

СТАНДАРТЫ НАПФ Федеральный закон Российской Федерации от 25 июля 2011 г. N
г. Москва "О внесении изменений в Федеральный закон "О персональных данных"
Ст.19 п.3 Правительство Российской Федерации <….> устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

Слайд 6

СТАНДАРТЫ НАПФ

Федеральный закон Российской Федерации от 25 июля 2011 г. N 261-ФЗ

СТАНДАРТЫ НАПФ Федеральный закон Российской Федерации от 25 июля 2011 г. N
г. Москва "О внесении изменений в Федеральный закон "О персональных данных"
Ст.19 п.4 Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются ФСТЭК и ФСБ.

Слайд 7

СТАНДАРТЫ НАПФ

Федеральный закон Российской Федерации от 25 июля 2011 г. N 261-ФЗ

СТАНДАРТЫ НАПФ Федеральный закон Российской Федерации от 25 июля 2011 г. N
г. Москва "О внесении изменений в Федеральный закон "О персональных данных"
Ст.19 п.6 Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

Слайд 8

СТАНДАРТЫ НАПФ

Федеральный закон Российской Федерации от 25 июля 2011 г. N 261-ФЗ

СТАНДАРТЫ НАПФ Федеральный закон Российской Федерации от 25 июля 2011 г. N
г. Москва "О внесении изменений в Федеральный закон "О персональных данных"«
Ст.19 п.7 7. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с ФСТЭК и ФСБ, в порядке, установленном Правительством Российской Федерации.

Слайд 9

СТАНДАРТЫ НАПФ

Статья 181. п.1 Оператор обязан принимать меры, необходимые и достаточные для

СТАНДАРТЫ НАПФ Статья 181. п.1 Оператор обязан принимать меры, необходимые и достаточные
обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами.
….
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

Предусмотрено в стандарте в виде иерархии ролей

Слайд 10

СТАНДАРТЫ НАПФ

Статья 181. п.1 Оператор обязан принимать меры, необходимые и достаточные для

СТАНДАРТЫ НАПФ Статья 181. п.1 Оператор обязан принимать меры, необходимые и достаточные
обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами.
….
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных..

Предусмотрено в виде РС по структуре и составу документации

Слайд 11

СТАНДАРТЫ НАПФ

Статья 181. п.1 Оператор обязан принимать меры, необходимые и достаточные для

СТАНДАРТЫ НАПФ Статья 181. п.1 Оператор обязан принимать меры, необходимые и достаточные
обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами.
….
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;

Предусмотрено в виде РС с детальным описанием методов защиты

Слайд 12

СТАНДАРТЫ НАПФ

Статья 181. п.1 Оператор обязан принимать меры, необходимые и достаточные для

СТАНДАРТЫ НАПФ Статья 181. п.1 Оператор обязан принимать меры, необходимые и достаточные
обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами.
….
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону…

Предусмотрено в виде РС по порядку организации внутреннего аудита

Слайд 13

СТАНДАРТЫ НАПФ

Статья 181. п.1 Оператор обязан принимать меры, необходимые и достаточные для

СТАНДАРТЫ НАПФ Статья 181. п.1 Оператор обязан принимать меры, необходимые и достаточные
обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами.
….
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона

Предусмотрено в порядке составления модели угроз

Слайд 14

СТАНДАРТЫ НАПФ

Статья 181. п.1 Оператор обязан принимать меры, необходимые и достаточные для

СТАНДАРТЫ НАПФ Статья 181. п.1 Оператор обязан принимать меры, необходимые и достаточные
обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами.
….
6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации

Предусмотрено как одна из мер по защите в части работы с персоналом

Слайд 15

СТАНДАРТЫ НАПФ - ПЕРСПЕКТИВЫ

Небольшая корректировка для учета последних изменений
Выпуск новой редакции после

СТАНДАРТЫ НАПФ - ПЕРСПЕКТИВЫ Небольшая корректировка для учета последних изменений Выпуск новой
выхода постановлений правительства и методических документов регуляторов
Согласование стандартов с ФСТЭК и ФСБ в соответствии с порядком, утвержденным Правительством

Слайд 16

установка общих принципов, требований и правил по обработке и обеспечению безопасности персональных

установка общих принципов, требований и правил по обработке и обеспечению безопасности персональных
данных НПФ – членами НП «НАПФ»
соответствие процессов обработки персональных данных в НПФ – членах НП «НАПФ» требованиям действующего законодательства Российской федерации
определение порядка контроля за выполнением требований по обработке и защите персональных данных в НПФ – членах НП «НАПФ»

ЦЕЛЬ РАЗРАБОТКИ СТАНДАРТОВ

Имя файла: Обзор-ситуации-со-стандартами-НАПФ-в-свете-изменения-законодательства.pptx
Количество просмотров: 157
Количество скачиваний: 0