SlideShare a Scribd company logo

GDPR intro

Вводная презентация по GDPR с конференции Коммерсантъ в СПб

1 of 19
Download to read offline
Информационная
безопасность
Прозоров Андрей, CISM
Solar Security
• Мой блог: 80na20.blogspot.com
• Мой твиттер: twitter.com/3dwave
2018-03-30
SOLAR SECURITY Информационная безопасность, GDPR
2
SOLAR SECURITY Информационная безопасность, GDPR
3
SOLAR SECURITY Информационная безопасность, GDPR
4
• Больше векторов атак («цифровая эпоха») и
новых рисков (в т.ч. privacy)
• Угроз меньше не становится
• Стоимость атак снижается
• Массовые атаки все сложнее и целевых атак
все больше
• Атаки сложно (и дорого) обнаруживать
• Киберкриминал – это организованный бизнес
• Ожидаем кибервойны (может они уже и идут)
• «Бумажная» безопасность не защищает
• Смещается фокус от предупреждения угроз к
реагированию на инциденты ИБ
• ИБ начинает опаздывать?
• …
Почему ИБ все актуальнее? И что будет дальше?
SOLAR SECURITY Информационная безопасность, GDPR
5
А при чем тут GDPR? И что это?
SOLAR SECURITY Информационная безопасность, GDPR
6
Что такое GDPR?
• General Data Protection Regulation (GDPR) –
это новый европейский регламент по
защите персональных данных, единый для
28 стран ЕС
• Заменяет собой Directive 95/46/EC (1995)
• Принят 27 April 2016
• Вступает в силу 25 May 2018
• Регулятор: European Parliament, Council of
the European Union
• Ссылка на текст - http://bit.ly/1TlgbjI
• Очень много положений про «цифровые
технологии» (IoT, профилирование, BigData,
cookies и пр.)

More Related Content

What's hot

пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPпр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Aleksey Lukatskiy
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнSergey Borisov
 
Программа курса "Новинки законодательства по персональным данным"
Программа курса "Новинки законодательства по персональным данным"Программа курса "Новинки законодательства по персональным данным"
Программа курса "Новинки законодательства по персональным данным"Aleksey Lukatskiy
 

What's hot (19)

пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицине
 
пр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКАпр Обзор Методических рекомендаций по ГосСОПКА
пр Обзор Методических рекомендаций по ГосСОПКА
 
пр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPпр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLP
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 small
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04
 
пр про ПДн
пр про ПДнпр про ПДн
пр про ПДн
 
пр Увольнение за разглашение КТ
пр Увольнение за разглашение КТпр Увольнение за разглашение КТ
пр Увольнение за разглашение КТ
 
Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)
 
пр Pre dlp (юр.аспекты)
пр Pre dlp (юр.аспекты)пр Pre dlp (юр.аспекты)
пр Pre dlp (юр.аспекты)
 
Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"Программа курса "Что скрывает законодательство по персональным данным"
Программа курса "Что скрывает законодательство по персональным данным"
 
GDPR: Intro (Ru)
GDPR: Intro (Ru)GDPR: Intro (Ru)
GDPR: Intro (Ru)
 
Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)Про практику DLP (Код ИБ)
Про практику DLP (Код ИБ)
 
пр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idcпр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idc
 
пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИпр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИ
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДн
 
Программа курса "Новинки законодательства по персональным данным"
Программа курса "Новинки законодательства по персональным данным"Программа курса "Новинки законодательства по персональным данным"
Программа курса "Новинки законодательства по персональным данным"
 
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1нн 2013 chugunov_v 1
нн 2013 chugunov_v 1
 
пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)пр Юр.вопросы DLP (про суды)
пр Юр.вопросы DLP (про суды)
 

Similar to GDPR intro

Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...UISGCON
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Cisco Russia
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Cisco Russia
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...aspectspb
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхПавел Семченко
 
Закон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыЗакон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыValery Bychkov
 
Защита ИСПДН
Защита ИСПДНЗащита ИСПДН
Защита ИСПДНMNUCIB
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхCisco Russia
 
Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗAndrew Fadeev
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
 
Viacheslav Ustimenko “How not to get a fine of 20M EUR. Analizing the new law...
Viacheslav Ustimenko “How not to get a fine of 20M EUR. Analizing the new law...Viacheslav Ustimenko “How not to get a fine of 20M EUR. Analizing the new law...
Viacheslav Ustimenko “How not to get a fine of 20M EUR. Analizing the new law...Lviv Startup Club
 
Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Security Code Ltd.
 
Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...VladimirMinakov3
 
Михаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияМихаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияНадт Ассоциация
 
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days
 
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)Expolink
 
Тренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБТренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБSolar Security
 

Similar to GDPR intro (20)

Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
Брудский Кузьма Ефимович - Несанкционированный доступ к персональным данным: ...
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...
 
Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...Требования в области информационной безопасности и соответствующие им решения...
Требования в области информационной безопасности и соответствующие им решения...
 
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...Информационная безопасность без CEO - не информационная безопасность. Конгрес...
Информационная безопасность без CEO - не информационная безопасность. Конгрес...
 
Состав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данныхСостав и содержание мер по обеспечению безопасности персональных данных
Состав и содержание мер по обеспечению безопасности персональных данных
 
Закон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут переменыЗакон "О персональных данных": грядут перемены
Закон "О персональных данных": грядут перемены
 
Защита ИСПДН
Защита ИСПДНЗащита ИСПДН
Защита ИСПДН
 
Решения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данныхРешения Cisco для защиты персональных данных
Решения Cisco для защиты персональных данных
 
Риск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗРиск-ориентированный подход к выполнению требований 152-ФЗ
Риск-ориентированный подход к выполнению требований 152-ФЗ
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данных
 
Viacheslav Ustimenko “How not to get a fine of 20M EUR. Analizing the new law...
Viacheslav Ustimenko “How not to get a fine of 20M EUR. Analizing the new law...Viacheslav Ustimenko “How not to get a fine of 20M EUR. Analizing the new law...
Viacheslav Ustimenko “How not to get a fine of 20M EUR. Analizing the new law...
 
Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...Изменения в законодательстве по защите персональных данных: как выполнить нов...
Изменения в законодательстве по защите персональных данных: как выполнить нов...
 
Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...
 
яценко 20 21 сентября
яценко 20 21 сентябряяценко 20 21 сентября
яценко 20 21 сентября
 
Михаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика примененияМихаил Яценко Закон «О персональных данных». Практика применения
Михаил Яценко Закон «О персональных данных». Практика применения
 
Vbяценко 20 21 сентября
Vbяценко 20 21 сентябряVbяценко 20 21 сентября
Vbяценко 20 21 сентября
 
Про DLP (Баку) 2014 11
Про DLP (Баку) 2014 11Про DLP (Баку) 2014 11
Про DLP (Баку) 2014 11
 
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days. Токаренко. Compliance риски в информационной безопасности
Positive Hack Days. Токаренко. Compliance риски в информационной безопасности
 
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
 
Тренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБТренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБ
 

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)

pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdfpr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
12 Best Privacy Frameworks
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal PurposesMy 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
 
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdfISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
 
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdfpr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdfISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdfAll about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
 
Supply management 1.1.pdf
Supply management 1.1.pdfSupply management 1.1.pdf
Supply management 1.1.pdf
 
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdfEmployee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 
GDPR and Personal Data Transfers 1.1.pdf
GDPR and Personal Data Transfers 1.1.pdfGDPR and Personal Data Transfers 1.1.pdf
GDPR and Personal Data Transfers 1.1.pdf
 

GDPR intro

  • 1. Информационная безопасность Прозоров Андрей, CISM Solar Security • Мой блог: 80na20.blogspot.com • Мой твиттер: twitter.com/3dwave 2018-03-30
  • 2. SOLAR SECURITY Информационная безопасность, GDPR 2
  • 3. SOLAR SECURITY Информационная безопасность, GDPR 3
  • 4. SOLAR SECURITY Информационная безопасность, GDPR 4 • Больше векторов атак («цифровая эпоха») и новых рисков (в т.ч. privacy) • Угроз меньше не становится • Стоимость атак снижается • Массовые атаки все сложнее и целевых атак все больше • Атаки сложно (и дорого) обнаруживать • Киберкриминал – это организованный бизнес • Ожидаем кибервойны (может они уже и идут) • «Бумажная» безопасность не защищает • Смещается фокус от предупреждения угроз к реагированию на инциденты ИБ • ИБ начинает опаздывать? • … Почему ИБ все актуальнее? И что будет дальше?
  • 5. SOLAR SECURITY Информационная безопасность, GDPR 5 А при чем тут GDPR? И что это?
  • 6. SOLAR SECURITY Информационная безопасность, GDPR 6 Что такое GDPR? • General Data Protection Regulation (GDPR) – это новый европейский регламент по защите персональных данных, единый для 28 стран ЕС • Заменяет собой Directive 95/46/EC (1995) • Принят 27 April 2016 • Вступает в силу 25 May 2018 • Регулятор: European Parliament, Council of the European Union • Ссылка на текст - http://bit.ly/1TlgbjI • Очень много положений про «цифровые технологии» (IoT, профилирование, BigData, cookies и пр.)
  • 7. SOLAR SECURITY Информационная безопасность, GDPR 7 Назначение и цели GDPR Статья 1. Предмет и цели 1. Настоящий Регламент устанавливает нормы, связанные с защитой физических лиц в отношении обработки персональных данных и нормы, касающиеся свободного перемещения персональных данных. 2. Настоящий Регламент защищает основные права и свободы физических лиц, и, в частности, их право на защиту персональных данных. 3. Свободное перемещение персональных данных в рамках Евросоюза не должно быть ни ограничено, ни запрещено для целей защиты физических лиц в отношении обработки персональных данных.
  • 8. SOLAR SECURITY Информационная безопасность, GDPR 8 «Контролёр» (controller) – означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который самостоятельно или совместно с другими, определяет цели и средства обработки персональных данных; в случае, когда цели и средства такой обработки определяются правом Евросоюза или государства-члена, контролёр, либо конкретные критерии для его выдвижения, могут быть предусмотрены правом Евросоюза или государства- члена. «Обработчик» (processor) – означает физическое или юридическое лицо, государственный орган, агентство или иной орган, который обрабатывает персональные данные от имени и по поручению контролёра.
  • 9. SOLAR SECURITY Информационная безопасность, GDPR 9 • Экстерриториальный scope (Art.3) • Базовые принципы обработки (Art.5) • Согласие на обработку (Art.7) • Специальные категории ПДн (Art.9) • Право на доступ и исправление ПДн (Art.15,16) • Право на забвение (Art.17) • Право на перенос / получение копии данных (Art.20) • Профилирование и мониторинг (Art.21, 22) + cookies (п.30) • Контролер (Controller) и Обработчик (Processor) (Art.24-31) • Официальный представитель в ЕС (Art.27) • Проектируемая безопасность / «Data protection by design and by default» (Art.32) • Уведомление надзорного органа об утечках (Art.33) • Уведомление субъектов ПДн об утечках (Art.34) • Оценка воздействия (Data Protection Impact Assessment, DPIA) и предварительная консультация с надзорным органом (Art.35, 36) • Инспектор по защите данных (Data protection officer, DPO) (Art.37-39) • Сертификация защиты данных (Art.42) • Право на компенсацию материального и нематериального ущерба (Art.82) • Штрафы и санкции (Art.58.2, 83) Важные положения GDPR
  • 10. SOLAR SECURITY Информационная безопасность, GDPR 10 Важные вопросы GDPR в России 1. Как GDPR повлияет на ИБ? 2. А будет ли распространяться GDPR на российские компании? На какие? 3. Какие риски несет GDPR для российских компаний? 4. Мы выполняем требования 152-ФЗ, что еще надо сделать? Какие есть сложные моменты? Как можно оптимизировать расходы? 5. Нужно торопиться или стоит подождать?
  • 11. SOLAR SECURITY Информационная безопасность, GDPR 11 Безопасность ПДн Статья 32 Безопасность обработки 1. Принимая во внимание современный уровень развитие техники, затраты, связанные с внедрением, а также характер, объем, контекст и цели обработки, а равно и вероятностное возникновение рисков и опасности для прав и свобод физических лиц, контролёр и обработчик должны осуществлять соответствующие технические и организационные меры, обеспечивающие надлежащий уровень безопасности соразмерный этим рискам, включая, среди прочего, следующее: • (a) псевдонимизация и криптографическая защита персональных данных; • (b) средства для обеспечения постоянной конфиденциальности, целостности, доступности и устойчивости систем обработки и услуг; • (с) средства своевременного восстановления доступности и доступа к персональным данным в случае природного или технического инцидента; • (d) процедура регулярной проверки и оценки эффективности технических и организационных мер, обеспечивающая безопасность обработки. 2. При определении надлежащего уровня безопасности, в расчет должны приниматься в том числе риски, которые представляет собой сама обработка, в особенности риски от случайного или неправомерного уничтожения, потери, изменения, несанкционированного раскрытия или доступа к персональным данным переданным, сохраненным либо или иным образом обработанным. … Статья 33. Уведомление надзорного органа об утечке персональных данных Статья 34. Сообщение субъекту данных об утечке персональных данных
  • 12. SOLAR SECURITY Информационная безопасность, GDPR 12 Возможные риски GDPR для российских компаний • Крупные штрафы (до 20 000 000 евро / 4% годового оборота) • Компенсация материального и морального ущерба • Нарушение доступности веб-сайта для субъектов ПДн в ЕС (возможны блокировки) • Нарушение коммерческих и некоммерческих отношений с компаниями, расположенными в ЕС • Ухудшение репутации на международном рынке (если попадают в scope)
  • 13. SOLAR SECURITY Информационная безопасность, GDPR 13 152-ФЗ GDPR Актуально для России Да Да, но не всем Риски для бизнеса • Ст.13.11 КоАП, 7 оснований (до 75 000 рублей) • Компенсация материального и морального ущерба (но норма не работает) • Блокировка сайта • Крупные штрафы (до 20 млн евро / 4% годового оборота) • Компенсация материального и морального ущерба • Блокировка сайта Фокус на соблюдение прав субъектов ПДн: • Право знать о порядке обработки • Право на забвение • Право на перенос / получение копии данных • Право знать об утечках … Да Да Нет Нет Да Да Да (Art.20) Да (Art.34) Оценка рисков ИБ • Оценка вреда субъекту 152- ФЗ (ст.18.1) • Модель угроз и модель нарушителя • Data Protection Impact Assessment (DPIA) (Art.35) Фокус на принцип «Data protection by design and by default» / «Проектируемая безопасность» (анонимизация, псевдонимизация, шифрование) Скорее Да, но об этом мало кто задумывается Да (Art.32) Выделенный ответственный сотрудник Да, и за обработку и за ИБ Да, Data protection officer (DPO) (Art.37-39) +Представитель в ЕС (Art.27) Уведомление надзорного органа об утечках ПДн Нет Да, за 72ч (Art.33) Вариант 2.0
  • 14. SOLAR SECURITY Информационная безопасность, GDPR 14 Мнение РКН, но…
  • 15. SOLAR SECURITY Информационная безопасность, GDPR 15 Article 3 Territorial scope 1.This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not. Статья 3 Территориальная сфера применения 1.Настоящий Регламент применяется к обработке персональных данных в контексте деятельности по учреждению контролёра или обработчика в Евросоюзе, независимо от того, осуществляется ли обработка в Евросоюзе, или нет. Про сферу применения GDPR
  • 16. SOLAR SECURITY Информационная безопасность, GDPR 16 2.This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: (a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or (b) the monitoring of their behaviour as far as their behaviour takes place within the Union. 3.This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law. 2.Настоящий Регламент применяется к обработке ПДн субъектов ПДн, находящихся в Евросоюзе, обработанных контролёром или обработчиком, которые не учреждены в Евросоюзе, когда деятельность по обработке связана с: (а) предложением товаров или услуг, вне зависимости от того, требуется ли оплата от этого субъекта данных в Евросоюзе; или (b) мониторингом их действий, поскольку их действия совершаются на территории Евросоюза. 3.Настоящий Регламент применяется в отношении обработки ПДн контролёром, не учрежденном в Евросоюзе, а учрежденном в том месте, в котором применяется право государства - члена в силу международного публичного права.
  • 17. SOLAR SECURITY Информационная безопасность, GDPR 17 Обобщим про scope и ищем себя GDPR прямого действия: 1. Организации, учрежденные в ЕС и являющиеся операторами (controllers) и/или обработчиками (processors) ПДн. Например, дочерние предприятия и филиалы российских компаний в ЕС. 2. Организации, не учрежденные в ЕС и являющиеся операторами (controllers) и/или обработчиками (processors) ПДн, и вид деятельности которых связан с: • Предоставлением товаров и сервисов субъектам ПДн в ЕС. Например, продажа европейцам билетов транспортных компаний через сайты в сети Интернет, продажа интернет-сервисов (например, онлайн-кинотеатры, музыка, онлайн- игры и пр.), бронирование гостиниц, оказание услуг мобильной связи в европейском роуминге и пр. • Мониторингом поведения субъектов ЕС. Например, сбор cookie-файлов посетителей сайта в сети Интернет. Но есть еще и GDPR опосредованного действия: 1. Обработка ПДн по поручению европейского оператора (controllers) и/или обработчика (processors) -> становимся обработчиком. В случае проблем (например, утечки ПДн) «спросят» с европейской компании, а она уже с нас в соответствии с договором… Например, хостинг данных в российском ЦОДе по поручению.
  • 18. SOLAR SECURITY Информационная безопасность, GDPR 18 Кому в РФ стоит опасаться GDPR? • Компаниям на территории ЕС (очевидно) • Компаниям, оказывающим услуги «в роуминге» (например, банки и телеком) • Компаниям, регулярно обрабатывающим ПДн граждан ЕС (например, гостиницы и тур.фирмы) • Компаниям, собирающим ПДн на сайтах в сети Интернет (особенно с системой оплаты) • Разработчикам приложений, собирающих ПДн пользователей • Просто крупным сайтам в сети Интернет (сбор cookies) • Компаниям, получающим ПДн субъектов из ЕС от других организаций на основании договора • Компаниям, собирающим общедоступные ПДн субъектов ПДн из ЕС !!! !! !
  • 19. Спасибо! Прозоров Андрей, CISM Solar Security • Мой блог: 80na20.blogspot.com • Мой твиттер: twitter.com/3dwave