Your SlideShare is downloading. ×
  • Like
  • Save
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных

  • 636 views
Published

 

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
636
On SlideShare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Европейский опыт в защите персональных данных Анализируя BRITISH STANDARD BS 10012:2009 Data protection – Specification for a personal information management system Артем Гончар, Специалист с организации информационной безопасности Агентство Активного Аудита UISGv7
  • 2. ОбщееЗащита персональных данных при их обработке –отдельная задача, требующая особого внимания.В идеале мы должны создатьцелую структуру дляобработки и управленияперсональными данными.Она должна соответствоватьтребованиям закона ивписываться в наш СУИБ.14.12.2011 Артем Гончар 2
  • 3. Ущерб• Злоумышленники похитили компьютер с личными данными 4,2 млн. пациентов американских больниц (http://www.securitylab.ru/news/410194.php)• Взломаны крупнейшие социальные сети Кореи: похищены личные данные 35 миллионов человек (http://www.xakep.ru/post/56352/)• Похищены личные данные 35 миллионов клиентов Epson (http://www.securitylab.ru/news/406936.php)14.12.2011 Артем Гончар 3
  • 4. Мотивы• информация в руках мошенника превращается в орудие преступления• информация в руках уволенного сотрудника – средство мщения• информация в руках инсайдера – товар для продажи конкуренту…Именно поэтому персональныеданные нуждаются в самойсерьезной защите.14.12.2011 Артем Гончар 4
  • 5. Немного истории• В США до сих пор отсутствует общее (федеральное) законодательство о персональных данных• В 1977 г. Одним из первых в мире принимается Федеральный закон ФРГ «О защите персональных данных»• 2 июля 2009 года в Британии вышла первая версия стандарта BS10012:2009 "Защита данных – Спецификация системы управления персональными данными". Этот документ стал первым в мире стандартом на систему управления персональными данными.14.12.2011 Артем Гончар 5
  • 6. ПринципыДля обработки персональные данные должнысоответствовать определённым условиям*:• Законно собранными• Соответствуют указанным целям(то что мы написали в заявлении на регистрацию баз ПДн)• Точные и актуальные• Не хранятся дольше, чем это необходимо.*Детальнее можно ознакомиться в BS 10012:2009 Раздел 0.214.12.2011 Артем Гончар 6
  • 7. Цели организацииЦели которые ставят на западе при обработкеперсональных данных:• Удовлетворить требования закона при обработке ПДн;• Соответствовать целям организации;• Соответствоватьзаконодательным актам;• Соответствоватьинтересам граждан и другихзаинтересованных сторон14.12.2011 Артем Гончар 7
  • 8. Куда же без политикиПоскольку задача системы довольно объемнаянеобходимо написать политику обработки ПДн.Несколько выдержек с политики*:• Обработка персональных данных только там, где это строго необходимые для законных целей организации;• Хранить все ПДн вбезопасности;*Основные разделы можно прочестьв стандарте BS 10012:2009 Раздел 3.414.12.2011 Артем Гончар 8
  • 9. Раздаем ответственность:Если существует система то нужны и лицакоторые будут ею управлять и поддерживать.Член правления должен быть ответственен заобработку ПДн. Он должен следить за:• Утверждением политики в правлении;• Разработкой и реализацией СУПДн в соответствии с требованиями политики;• Управлением безопасностью и рисками в соответствии с политикой;• Выделяемыми ресурсами.14.12.2011 Артем Гончар 9
  • 10. ПродолжаемНужен персонал который будет изо дня в деньподдерживать нашу систему. Их обязанностивключают*:• Разрабатывать и анализировать политику;• Обеспечивать реализацию политики;• Проводить обучение, тренинги как того требует политика.*Детальнее можно ознакомиться в BS 10012:2009 Раздел 4.1.214.12.2011 Артем Гончар 10
  • 11. А теперь в соответствии с политикойСтандарт детально описывает необходимые процедурыдля внедрения и работы СУИБ*.Например:• Создание реестра ПДн;• Провести оценку рисков;• Создать процедуры извещения, сбора и обработки ПДн;• Процедуры хранения Пдн;• Процедуры удаления ПДн.*Полный перечень процедур можно прочесть в BS 10012:2009 Раздел 414.12.2011 Артем Гончар 11
  • 12. АудитАудит является неотъемлемой частью любойсистемы безопасности. Для персональныхданных нет ничего нового. Главными целямиаудита СУПДн является:• работает ли система в соответствии с политикой и созданными процедурами;• внедрена ли и поддерживается в соответствии с технологическим требованиям.14.12.2011 Артем Гончар 12
  • 13. УлучшениеПосле каждого аудита наступает фазаулучшения*. Мы должны позаботиться о томчтобы разработать и внедрить процедурыкоторые охватывают следующие:• Профилактические действия• Корректирующие действия*Детальнее в BS 10012:2009 Раздел 614.12.2011 Артем Гончар 13
  • 14. И самое сложноеТренинги, обучение и общая осознанность приработе с персональными данными. Взависимости от роли которую выполняетсотрудник, нужно создать программу обучения идонести суть защитыперсональных данныхконкретно для каждого сотрудника.14.12.2011 Артем Гончар 14
  • 15. 14.12.2011 Артем Гончар 15
  • 16. 14.12.2011 Артем Гончар 16
  • 17. Вопросы? info@auditagency.com.ua www.auditagency.com.ua 044 228 15 8814.12.2011 Артем Гончар 17