Softline: защита персональных данных
Upcoming SlideShare
Loading in...5
×
 

Softline: защита персональных данных

on

  • 2,148 views

Комплексные проекты в области защиты персональных данных. Аудит, консалтинг, внедрение сертифицированных ...

Комплексные проекты в области защиты персональных данных. Аудит, консалтинг, внедрение сертифицированных средств защиты, разработка документации и подготовка к проверкам регуляторов.

Statistics

Views

Total Views
2,148
Views on SlideShare
2,083
Embed Views
65

Actions

Likes
0
Downloads
20
Comments
0

2 Embeds 65

http://services.softline.ru 61
http://services.melkovsn.saito.slweb.ru 4

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Softline: защита персональных данных Softline: защита персональных данных Presentation Transcript

  • Закон «О персональных данных»требования, регуляторы, реализацияВиталия ЛепехинаРуководитель направления аудита и консалтингаVitaliya.Lepekhina@softline.ru
  • Случаи нарушения конфиденциальности успешный несанкционированный доступ к данным Интернет-сервисов PlayStation Network и Qriocity (77 миллионов учётных записей, апрель 2011)Номер телефона и текст СМС-сообщения Мегафон, МТС, Билайн (лето2011)ссылки на страницы со статусами заказов в различных интернет-магазинах (лето 2011) Электронные железнодорожные билеты с датами, номерами рейсов,именами пассажиров (лето 2011) Имена, фамилии, адреса и телефоны почти 1,6 млн абонентов МТС вБашкирии и Петербурге на сайте zhiltsy.net (осень 2011)и т.д.
  • Законодательство по защите персональных данных Международное законодательство Директива 97/66/ЕС Европейская Конвенция Директива 95/46/ЕС «Об использовании «О защите физических лиц «О защите прав частных лиц персональных данных и при автоматизированной применительно к обработке защиты неприкосновенности обработке персональных персональных данных» частной жизни в сфере данных» от 24.10.1995 г. телекоммуникаций» от 28.01.1981г. от 15.12.1997 г.  подписана от имени Российской Федерации в городе Страсбурге 7 ноября 2001 года  ратифицирована Федеральным законом №160 от 19 декабря 2005 года Российское законодательство Федеральный закон Российской Федерации Федеральный закон Российской от 25 июля 2011 г. N 261 Федерации от 27 июля 2006 г. № 152 «О внесении изменений «О персональных данных» в Федеральный закон «О персональных данных»»
  • Российское законодательство по защитеперсональных данных ФЗ №261 от 25 ФЗ №152 от 27 июля 2006 июля 2011 «О персональных данных» «О внесении изменений…»Постановление Правительства Постановление Правительства РФ №781 от 17 ноября 2007 г. РФ №687 от 15 сентября 2008 г.«Об обеспечении безопасности «Об особенностях обработки персональных данных при их персональных данных без обработке в ИСПДн» использования …» Совместный приказ ФСБ, Административный ФСТЭК, Минкомсвязи регламент Роскомнадзора Методические документы Методические документы ФСТЭК России ФСБ России Организации банковской Организации всех форм сферы собственности и физ.лица Комплекс Стандарта Банка России
  • Основные определения • Персональные данные Что? • любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) • Оператор Кто? • государственный орган, … юридическое …лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных … • Обработка персональных данных Когда? • любое действие (операция) …, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными …
  • Обработка совместно с другими лицами • Дает согласие на обработкуСубъект ПДн • Несет ответственность перед Субъектом ПДн • Получает согласие на обработку от Субъекта ПДн • Готовит поручение оператора • Перечень действий с ПДн Оператор • Цели обработки ПДн • Соблюдение конфиденциальности • Требования по защите ПДн • Несет ответственность перед Оператором • Не обязан получать согласие Субъекта ПДн на обработку«Обработчик»
  • Основания обработки ПДн Обязательное письменное согласие Условия, субъекта ПДн определенные в ч.1 ст. 6 Согласие Субъекта ПДн Основание обработки ПДн
  • Меры по обеспечению безопасности, закрепленные в 152-ФЗОпределение угроз безопасностиПрименение организационных и технических мер в соответствии сустановленными Правительством РФ уровнями защищенностиИспользование СЗИ, прошедших процедуру оценки соответствияОценка эффективности применяемых мер до ввода ИСПДн вэксплуатациюНазначение лица, ответственного за организацию обработки ПДнКонтроль за принимаемыми мерами и уровнем защищенности ПДнИ т.д. Ассоциации, союзы и иные объединения операторов вправе определить дополнительные угрозы безопасности ПДн, актуальные при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов
  • Российское законодательство по защитеперсональных данных сегодня ФЗ №152 от 27 июля 2006 г. «О персональных данных» В редакции ФЗ №261 от 25 июля 2011 г. Постановление Постановление Правительства Правительства РФ №687 от 15 РФ №781 от 17 ноября 2007 г. сентября 2008 г. «Об «Об Обеспечении безопасности особенностях обработки персональных данных при их персональных данных без обработке в ИСПДн» использования …» Совместный приказ ФСБ, Административный регламент ФСТЭК, Минкомсвязи Роскомнадзора Методические документы Методические документы ФСТЭК России ФСБ России Организации банковской Организации всех форм сферы собственности и физ.лица Комплекс Стандарта Банка России
  • Основные направления деятельности по защитеперсональных данных Защита информации от Защита от НСД к Криптографическая утечки по техническим информации защита каналам - управление доступом - утечка ПДн по каналу - защита ПДн при их - регистрация и учет ПЭМИН передаче по каналам - утечка ПДн по связи - обеспечение целостности акустическому каналу - защита информации, - межсетевое - обеспечение физической хранимой в ИСПДн экранирование защиты ПДн - защита съемных - антивирусная защита носителей информации - анализ защищенности (сетевые сканеры) ФСТЭК ФСБ - использование ЭЦП России России - применение СОВПримечание: выбор и реализация методов и способов защиты информации в информационной системеосуществляются на основе определяемых оператором угроз безопасности персональных данных (моделиугроз) и в зависимости от класса информационной системы…(п. 1.4 Приказа ФСТЭК №58)
  • Обязанности оператора по обеспечениюбезопасности персональных данных • Обоснование законности обработки ПДн • Уведомление уполномоченного органа до начала обработки Правовые ПДн • Поручение оператора • И др. • Назначение ответственного за организацию обработки ПДн • Издание документов, определяющих политику ОператораОрганизационные • Оценка вреда, который может быть причинен субъекту • И др. • Определение угроз безопасности • Применение СЗИ, прошедших в установленном порядке Технические процедуру оценки соответствия • Обнаружение фактов несанкционированного доступа • И др.
  • Обязанности оператора Обработка ПДн Обработка ПДн Неправомерная Достижение цели Отзыв согласия Неточные ПДн обработки ПДн обработки субъекта Прекратить обработку и уничтожить Блокирование ПДн ПДн в течение 30 рабочих дней Отсутствие возможности Подтверждение уничтожения Прекратить в течение Уточнить в 3 рабочих дней. В Блокирование ПДн и их течение 7 противном случае – уничтожение в срок, не более 6рабочих дней уничтожить в течение месяцев 10 рабочих дней
  • Регуляторы в сфере защиты ПДн РОСКОМНАДЗОР Уполномоченный орган по защите прав субъектов персональных данных:  Государственный контроль и надзор за обработкой ПДн  Ведение реестра операторов  Применение мер профилактического и пресекательного характера, направленных на недопущение нарушений в сфере защиты ПДн ФСТЭК России ФСБ России Уполномоченный орган в области Уполномоченный орган в области противодействия техническим обеспечения криптографической и разведкам и технической защиты инженерно-технической защиты информации информации ФСТЭК России и ФСБ России определены как регуляторы для государственных ИС, однако, по решению Правительства, ФСТЭК России и ФСБ России могут быть регуляторами для определенных видов деятельности (не являющимися государственными ИС) без права ознакомления с ПДн
  • Основания для плановой проверки Роскомнадзором Истечение 3х лет со дняНачало осуществления государственной Истечение 3х лет со дня оператором регистрации оператора окончания проведения деятельности по в качестве последней плановой обработке юридического лица, проверки оператораперсональных данных индивидуального предпринимателя Плановая проверка
  • Основания для внеплановой проверки Роскомнадзором Поступление сведений о возникновении Приказ руководителя Службы, изданный вугрозы причинения вреда жизни, здоровью соответствии с поручениями Президента граждан или причинение вреда жизни, Российской Федерации, Правительства здоровью граждан Российской Федерации Истечение срока Несоответствие сведений Нарушение исполнения ранее в уведомлении об оператором прав и выданного обработке фактической законных интересов предписания об деятельности. субъектов либо устранении Нарушение Оператором требований требований выявленных законодательства законодательства нарушений Внеплановая проверка
  • Осуществление проверки - Составление Акта проверки - Выдача предписания об устранении нарушений - Уведомление о плановой проверке за 3 - Передача материалов в дня суд или в органы прокуратуры - Утверждение Плана - Уведомление о проверки внеплановой проверке за 24 часа - Согласование внеплановой проверки с органами прокуратурыСрок проведения проверки – до 20 рабочих дней. При необходимости может бытьпродлен на срок до 20 рабочих дней.
  • Результаты проведенных проверок 284 148 7411420 804 449 Плановые проверки Внеплановые проверки На 2012 год запланировано 2009 г. 1674 плановые проверки 2010 г. 2011 г. 78 000 86 ?? 2996 4 480 000 Результаты переданы в суд Общая сумма штрафов
  • Риски неисполнения требований законодательстваНеисполнение требований 152-ФЗ влечет для бизнеса компаниириски следующего характера: Гражданские иски со стороны клиентов или работников Приостановление или прекращение обработки персональных данных в компании Привлечение компании и (или) ее руководства к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности Приостановление действия или аннулирование лицензий на основной вид деятельности компании Репутационные риски Риски недобросовестной конкуренции (приостановления деятельности компании с подачи конкурентов при имеющихся нарушениях правил защиты персональных данных)
  • Ответственностьст. 24, 152-ФЗ: Лица, виновные в нарушении требованийнастоящего Федерального закона, несут предусмотреннуюзаконодательством Российской Федерации ответственность Дисциплинарная ТК РФ: статьи 81, 90, 195, 237, 391 Максимум: возмещение морального вреда сотруднику, получившему ущерб от разглашения его ПДн Административная КоАП РФ: статьи 13.11, 13.12, 13.13, 13.14, 19.4, 19.5, 19.7, 19.20 Максимум: 250 000 р. + приостановление деятельности на срок до 90 суток + дисквалификация должностного лица на срок до 3-х лет + конфискация средств защиты Уголовная УК РФ: статьи 137, 140, 272, 273, 274 Максимум: 300 000 р. + принудительные работы на срок до 4- х лет + арест до 6-ти месяцев + лишение права занимать должность на срок до 5-ти лет
  • Проект по созданию системы защиты персональныхданных Консалтинг Техническая реализация Постпроектное сопровождение
  • Консалтинг  Анализ рисков и вариантов по их минимизации или устранению  Несколько вариантов реализации системы защиты ПДн  Разработка организационно- распорядительной документации,  перечень необходимых СЗИ, работ и документов с указанием стоимости и сроков  отсутствие проблем при внедрение СЗИ
  • Перечень документов, разрабатываемых Softline в ходе проектной деятельности Организационно- Материалы Эксплуатационные распорядительные проектирования документы документы - материалы предпроектного - акты, журналы , перечни - положения обследования - инструкции по эксплуатации - приказы - результаты технического и правила пользования - должностные инструкции проектирования (материалы - формы и соглашения разработки и обоснования - технические регламенты мероприятий по защите ПДн, - матрица доступа описание облика системы - описание технологического защиты ПДн) процесса - результаты опытной - протоколы испытаний эксплуатации и итоговых испытанийПримечание: указанная документация создаёт необходимую основу для осуществления контроляи надзора за обработкой персональных данных со стороны уполномоченных органов(ФСБ, ФСТЭК, Роскомнадзор)
  • Техническая реализация проекта Поставка и внедрение сертифицированных средств защиты информации Тестирование и отладка процессов Обучение персонала Сопровождение и контроль
  • Постпроектное сопровождение Актуализация документов Техническая поддержка Повышение квалификации персонала
  • Наши проекты  Крупная энергогенерирующая компания Российской Федерации Класс 2, 50 АРМ, количество площадок – 3  Лидер по производству молочной продукции Класс 1, 2500 АРМ, количество площадок – 54  Префектура ЮЗАО г. Москвы Класс 2, 400 АРМ, количество площадок – 13  Комитет государственных услуг г. Москвы Класс 2, 600 АРМ, количество площадок – 3  Управление делами Президента Класс 2, 230 АРМ, количество площадок – 4  Крупная компания в области сетей быстрого питания Класс 3, 550 АРМ, количество площадок – 98  Крупный гостиничный комплекс Класс 2, 700 АРМ, количество площадок – 11
  • Наши проекты  Крупный международный банк Класс 2, 150 АРМ, количество площадок – 3  Компания-лидер сектора FMCG Класс 2, 600 АРМ, количество площадок – более 200 по России  Нефтедобывающая компания Класс 2, 200 АРМ, количество площадок – 4  Крупный НПФ Класс 2, 120 АРМ, количество площадок – 15 по России  Международная инвестиционная компания Класс 2, 70 АРМ, количество площадок – 2
  • Лицензии Softline Лицензия ФСБ на выполнение работ, связанных с использованием сведений, составляющих государственную тайну Лицензия ФСБ на осуществление технического обслуживания шифровальных (криптографических) средств Лицензия ФСБ на осуществление распространения шифровальных (криптографических) средств Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации Лицензия ФСТЭК на деятельность по разработке и (или) производству средств защиты конфиденциальной информации
  • Наши партнерские статусыSymantec Platinum PartnerSymantec Authorized Technical Assistance Partner (первый в России!)Symantec Endpoint Management SpecializationCheck Point Certified Collaborative Support Provider (CCSP)Check Point Authorized Training Center (ATC)McAfee Authorized DistributorMcAfee Elite Solution Provider 2007McAfee Certified Training centerKaspersky Authorized DistributorClearswift Authorized DistributorInfowatch Business PartnerMicrosoft Gold Certified Partner (Security Solution)Trend Micro Authorized Technical Support CenterTrend Micro Premium PartnerTrend Micro Authorized DistributorSurfControl Valued Member of SurfControl’s WorldwideChannel ProgrammAladdin DistributorESET Corporate Premier PartnerKaspersky Lab. Premier PartnerAgnitum Outpost Premium ResellerRSA Solutions PartnerCA Premier PartnerGFI Gold Authorized resellerи другие…
  • Хотите узнать больше? (495)232-00-23 (# 1461) Vitaliya.Lepekhina@softline.ru