Your SlideShare is downloading. ×
0
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных

658

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
658
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Европейский опыт в защите персональных данных Анализируя BRITISH STANDARD BS 10012:2009 Data protection – Specification for a personal information management system Артем Гончар, Специалист с организации информационной безопасности Агентство Активного Аудита UISGv7
  • 2. ОбщееЗащита персональных данных при их обработке –отдельная задача, требующая особого внимания.В идеале мы должны создатьцелую структуру дляобработки и управленияперсональными данными.Она должна соответствоватьтребованиям закона ивписываться в наш СУИБ.14.12.2011 Артем Гончар 2
  • 3. Ущерб• Злоумышленники похитили компьютер с личными данными 4,2 млн. пациентов американских больниц (http://www.securitylab.ru/news/410194.php)• Взломаны крупнейшие социальные сети Кореи: похищены личные данные 35 миллионов человек (http://www.xakep.ru/post/56352/)• Похищены личные данные 35 миллионов клиентов Epson (http://www.securitylab.ru/news/406936.php)14.12.2011 Артем Гончар 3
  • 4. Мотивы• информация в руках мошенника превращается в орудие преступления• информация в руках уволенного сотрудника – средство мщения• информация в руках инсайдера – товар для продажи конкуренту…Именно поэтому персональныеданные нуждаются в самойсерьезной защите.14.12.2011 Артем Гончар 4
  • 5. Немного истории• В США до сих пор отсутствует общее (федеральное) законодательство о персональных данных• В 1977 г. Одним из первых в мире принимается Федеральный закон ФРГ «О защите персональных данных»• 2 июля 2009 года в Британии вышла первая версия стандарта BS10012:2009 "Защита данных – Спецификация системы управления персональными данными". Этот документ стал первым в мире стандартом на систему управления персональными данными.14.12.2011 Артем Гончар 5
  • 6. ПринципыДля обработки персональные данные должнысоответствовать определённым условиям*:• Законно собранными• Соответствуют указанным целям(то что мы написали в заявлении на регистрацию баз ПДн)• Точные и актуальные• Не хранятся дольше, чем это необходимо.*Детальнее можно ознакомиться в BS 10012:2009 Раздел 0.214.12.2011 Артем Гончар 6
  • 7. Цели организацииЦели которые ставят на западе при обработкеперсональных данных:• Удовлетворить требования закона при обработке ПДн;• Соответствовать целям организации;• Соответствоватьзаконодательным актам;• Соответствоватьинтересам граждан и другихзаинтересованных сторон14.12.2011 Артем Гончар 7
  • 8. Куда же без политикиПоскольку задача системы довольно объемнаянеобходимо написать политику обработки ПДн.Несколько выдержек с политики*:• Обработка персональных данных только там, где это строго необходимые для законных целей организации;• Хранить все ПДн вбезопасности;*Основные разделы можно прочестьв стандарте BS 10012:2009 Раздел 3.414.12.2011 Артем Гончар 8
  • 9. Раздаем ответственность:Если существует система то нужны и лицакоторые будут ею управлять и поддерживать.Член правления должен быть ответственен заобработку ПДн. Он должен следить за:• Утверждением политики в правлении;• Разработкой и реализацией СУПДн в соответствии с требованиями политики;• Управлением безопасностью и рисками в соответствии с политикой;• Выделяемыми ресурсами.14.12.2011 Артем Гончар 9
  • 10. ПродолжаемНужен персонал который будет изо дня в деньподдерживать нашу систему. Их обязанностивключают*:• Разрабатывать и анализировать политику;• Обеспечивать реализацию политики;• Проводить обучение, тренинги как того требует политика.*Детальнее можно ознакомиться в BS 10012:2009 Раздел 4.1.214.12.2011 Артем Гончар 10
  • 11. А теперь в соответствии с политикойСтандарт детально описывает необходимые процедурыдля внедрения и работы СУИБ*.Например:• Создание реестра ПДн;• Провести оценку рисков;• Создать процедуры извещения, сбора и обработки ПДн;• Процедуры хранения Пдн;• Процедуры удаления ПДн.*Полный перечень процедур можно прочесть в BS 10012:2009 Раздел 414.12.2011 Артем Гончар 11
  • 12. АудитАудит является неотъемлемой частью любойсистемы безопасности. Для персональныхданных нет ничего нового. Главными целямиаудита СУПДн является:• работает ли система в соответствии с политикой и созданными процедурами;• внедрена ли и поддерживается в соответствии с технологическим требованиям.14.12.2011 Артем Гончар 12
  • 13. УлучшениеПосле каждого аудита наступает фазаулучшения*. Мы должны позаботиться о томчтобы разработать и внедрить процедурыкоторые охватывают следующие:• Профилактические действия• Корректирующие действия*Детальнее в BS 10012:2009 Раздел 614.12.2011 Артем Гончар 13
  • 14. И самое сложноеТренинги, обучение и общая осознанность приработе с персональными данными. Взависимости от роли которую выполняетсотрудник, нужно создать программу обучения идонести суть защитыперсональных данныхконкретно для каждого сотрудника.14.12.2011 Артем Гончар 14
  • 15. 14.12.2011 Артем Гончар 15
  • 16. 14.12.2011 Артем Гончар 16
  • 17. Вопросы? info@auditagency.com.ua www.auditagency.com.ua 044 228 15 8814.12.2011 Артем Гончар 17

×