SlideShare a Scribd company logo

10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию

Download as PPTX, PDF
P
Pointlane

Рассмотрены ключевые моменты, связанные с построением процессов обеспечения безопасности персональных данных в организации. Сформулированы 10 наиболее актуальных задач, волнующих операторов при осуществлении обработки персональных данных и применимых к организациям практически любой отрасли. Мы расскажем про пути их решения, основываясь на рекомендациях регуляторов и используя накопленный нашими специалистами опыт. Затронуты «тонкие» моменты, специфичные для конкретных ситуаций, которые зачастую остаются вне внимания при реализации внутренних или внешних проектов по соответствию законодательству в области обработки персональных данных. Значительная часть вебинара будет отведена под разбор конкретных вопросов и кейсов, которые участники смогут задать на вебинаре применительно к их ситуации. Аудиозапись вебинара можно скачать тут: http://www.pointlane.ru/cform/?webinar=3

1 of 21
10 ключевых вопросов защиты персональных данных «Подводные камни» проектов по соответствию 14 марта 2012
Содержание • Что волнует операторов • Мифы о соответствии • Почему именно 10? • 10 ключевых вопросов защиты ПД • Кейсы и примеры • Ответы на вопросы www.pointlane.ru 2
Введение www.pointlane.ru 3
Чего не будет в этой презентации? • Этот семинар для тех, кто уже в теме защиты ПДн • Мы не будем говорить о: – Основных положениях закона о персональных данных – Основных подзаконных актах – Основных мероприятиях – Обязательных документах • НО: – Те, кто прослушает семинар будут намного больше подготовлены к тому, чтобы реализовать проект по защите ПДн правильно. www.pointlane.ru 4
Что волнует операторов? • Будет ли выполненный проект: – Соответствовать всем требованиям? – Обеспечивать реальную защиту ПДн? • Будут ли замечания при проверке регуляторами? • Как поддерживать систему защиты ПДн в актуальном состоянии? • Кого назначить ответственным за мероприятия по защите ПДн? • Как заставить сотрудников выполнять требования ОРД? • Возможно ли достичь соответствия без значительных вложений? www.pointlane.ru 5
«Мифы» о соответствии • Мы написали «Положение об обработке ПД» этого достаточно! • Мы заказали работы у сторонней компании. Они принесли нам пачку документов. Вот они лежат на полке. • У нас в службе безопасности работает бывший полковник. Он нам обеспечит прохождение проверки. • IT говорит, что все системы и так уже защищены. • Мы закупили сертифицированные средства защиты. Вот они стоят на компьютерах. • Мы маленькая компания. К нам не придут. www.pointlane.ru 6
10 ключевых вопросов www.pointlane.ru 7
Почему именно 10? • Это основное, что спрашивают • Это максимум, что можно обсудить за отведенное время • Это ключевые факторы успеха проекта, а не его этапы • Можно и больше, но всѐ сведется к перечисленному www.pointlane.ru 8
1. Защищаем данные, а не компанию • Цель – защитить данные субъекта, а не выполнить формальные требования и не попасть под санкции регулятора • Отталкиваемся не от ответственности по КОАП и УК, а от возможного ущерба для субъекта • Негативные последствия в первую очередь от жалоб субъектов, а не от плановых проверок www.pointlane.ru 9
2. Кто отвечает за успех проекта? «Один в поле не воин». Бизнес/Функциональные подразделения/Руководство Проект, реализованный без участия всех сторон ИТ/ИБ ОБРЕЧЕН на инциденты и замечания регуляторов Юристы/Compliance www.pointlane.ru 10
3. Не упустить детали Типы субъектов ИС ПДн Состав, цели, • Максимально сроки, обосно ИСПДн ДЕТАЛЬНОЕ вание обследование! Процессы Актуальные • Тесное обработки угрозы взаимодействие в рабочей группе Требования Организационные Технические www.pointlane.ru 11
4. Выстроить взаимоотношения Регуляторы Сторонние Оператор Субъект ПДн организации «Обработчик» www.pointlane.ru 12
5. Ответственность и ответственные Генеральный директор • Распределение ответственности Ответственный за обработку ПДн • Выделение ролей • Делегирование Ответственный за защиту Ответственные за обработку • Осуществлять ПДн ПДн в ИСПДн контроль Сотрудники 13 www.pointlane.ru
6. ОРД • ФОРМАЛИЗОВАТЬ И ЗАФИКСИРОВАТЬ процессы обработки ПДн • Заставить сотрудников следовать требованиям по обработке и защите ПДн • Нельзя ограничиваться шаблонами – Шаблоны не отражают реальную ситуацию в компании – Шаблоны нельзя интегрировать в систему управления компании (проектами, изменениями) • Ввести в действие www.pointlane.ru 14
7. Обучение и осведомленность • Осведомленность о 152 ФЗ – В рамках должностных обязанностей – Персональная ответственность каждого сотрудника – Ограничения и требования • Обучение в рамках распределенных ролей • Система обучения • Слабое звено – рядовые исполнители, взаимодействующие с субъектом • Кто виноват? – Знал и не сделал – виноват работник – Не знал и поэтому не сделал – виноват руководитель работника – Какую цель нужно достичь? www.pointlane.ru 15
8. Управлять инцидентами • Инциденты: – Запросы • субъекта ПДн • проверяющих органов • контрагентов • сотрудников – Критические инциденты • утечка данных • несанкционированный доступ к ПДн • Нельзя не реагировать • Обязательный анализ каждого инцидента • Вносить изменения по результатам анализа • Наказывать виновных • Периодическое тестирование www.pointlane.ru 16
9. СЗПДн. Защищать или соответствовать? • Как выполнить жесткие требования регуляторов? – Отсутствие финансирования – Сложности применения сертифицированных средств в уже функционирующих инфраструктурах – Длительный и дорогостоящий процесс сертификации • Главное – защитить персональные данные субъектов и минимизировать возможные последствия от инцидентов – В первую очередь защищать данные, а не ждать пока сертифицируют оборудование. • Что можно сделать уже сейчас: – Сегментировать ИСПДн в соответствии с целями обработки – Определить права доступа и сформировать матрицы доступа – Шифрование ПДн при передаче по каналам – Применить обезличивание данных – Заменить часть технических мер организационными • Факт инцидента гораздо хуже предписания www.pointlane.ru 17
10. Поддерживать актуальность • Работы «для галочки» не работают • Регуляторы не поверят что журналы пустые • Выделите роли, отвечающие за контроль и актуализацию • Выделение средств и времени • Каждое изменение в системе защиты ПДн должно быть учтено www.pointlane.ru 18
Вопросы и кейсы www.pointlane.ru 19
Реальная ситуация ПРИМЕР: Мы – производственное предприятие и при приеме на работу кандидаты проходят тщательное медицинское обследование. ВОПРОС: Можем ли мы хранить данные кандидата, который не прошел медкомиссию? www.pointlane.ru 20
Спасибо за внимание! Компания «Pointlane» Москва, ул. Ильинка, д 4 Тел 233-65-08 consult@pointlane.ru www.pointlane.ru www.pointlane.ru 21

Recommended

Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCRISClubSPb
 
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...RISClubSPb
 
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...UISGCON
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...RISClubSPb
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOCAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCRISClubSPb
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 

Recommended

Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCRISClubSPb
 
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...RISClubSPb
 
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...UISGCON
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...RISClubSPb
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOCAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCRISClubSPb
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженРоль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженAlexey Evmenkov
 
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Alexey Evmenkov
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"Expolink
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организацийAlexey Evmenkov
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБAleksey Lukatskiy
 
СМИБ - игра в долгую
СМИБ - игра в долгуюСМИБ - игра в долгую
СМИБ - игра в долгуюAlexey Evmenkov
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOCAleksey Lukatskiy
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьAleksey Lukatskiy
 
пр Модель зрелости Dlp
пр Модель зрелости Dlpпр Модель зрелости Dlp
пр Модель зрелости DlpAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
SDL/SSDL для руководителей
SDL/SSDL для руководителейSDL/SSDL для руководителей
SDL/SSDL для руководителейValery Boronin
 
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаAlexey Evmenkov
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rusAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"Expolink
 
Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...VladimirMinakov3
 
Киберучения по ИБ для топ-менеджмента
Киберучения по ИБ для топ-менеджментаКиберучения по ИБ для топ-менеджмента
Киберучения по ИБ для топ-менеджментаAleksey Lukatskiy
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими рукамиSergey Soldatov
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Aleksey Lukatskiy
 
Сертификация специалистов по информационной безопасности
Сертификация специалистов по информационной безопасностиСертификация специалистов по информационной безопасности
Сертификация специалистов по информационной безопасностиPavel Melnikov
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 

More Related Content

What's hot

Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженРоль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженAlexey Evmenkov
 
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Alexey Evmenkov
 
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"Expolink
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организацийAlexey Evmenkov
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБAleksey Lukatskiy
 
СМИБ - игра в долгую
СМИБ - игра в долгуюСМИБ - игра в долгую
СМИБ - игра в долгуюAlexey Evmenkov
 
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOCAleksey Lukatskiy
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьAleksey Lukatskiy
 
SDL/SSDL для руководителей
SDL/SSDL для руководителейSDL/SSDL для руководителей
SDL/SSDL для руководителейValery Boronin
 
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаAlexey Evmenkov
 
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"Expolink
 
Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...VladimirMinakov3
 
Киберучения по ИБ для топ-менеджмента
Киберучения по ИБ для топ-менеджментаКиберучения по ИБ для топ-менеджмента
Киберучения по ИБ для топ-менеджментаAleksey Lukatskiy
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими рукамиSergey Soldatov
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Aleksey Lukatskiy
 

What's hot (20)

Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженРоль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
 
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБ
 
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
 
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организаций
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБ
 
СМИБ - игра в долгую
СМИБ - игра в долгуюСМИБ - игра в долгую
СМИБ - игра в долгую
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12
 
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
10 заблуждений при (внедрении | использовании | аутсорсинге) SOC
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
 
пр Модель зрелости Dlp
пр Модель зрелости Dlpпр Модель зрелости Dlp
пр Модель зрелости Dlp
 
SDL/SSDL для руководителей
SDL/SSDL для руководителейSDL/SSDL для руководителей
SDL/SSDL для руководителей
 
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rus
 
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
Falcongaze. Антон Соловей. "DLP: зачем, почему и кому это нужно?"
 
Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...Is the best information security practices in Russia the illusion or the nece...
Is the best information security practices in Russia the illusion or the nece...
 
Киберучения по ИБ для топ-менеджмента
Киберучения по ИБ для топ-менеджментаКиберучения по ИБ для топ-менеджмента
Киберучения по ИБ для топ-менеджмента
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими руками
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект
 

Viewers also liked

Сертификация специалистов по информационной безопасности
Сертификация специалистов по информационной безопасностиСертификация специалистов по информационной безопасности
Сертификация специалистов по информационной безопасностиPavel Melnikov
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
Открытая лекция для студентов МГТУ ГА (декабрь 2013)
Открытая лекция для студентов МГТУ ГА (декабрь 2013)Открытая лекция для студентов МГТУ ГА (декабрь 2013)
Открытая лекция для студентов МГТУ ГА (декабрь 2013)Pavel Melnikov
 
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...DLP-Эксперт
 
Как ведущие российские банки заботятся о безопасности своих клиентов
Как ведущие российские банки заботятся о безопасности своих клиентовКак ведущие российские банки заботятся о безопасности своих клиентов
Как ведущие российские банки заботятся о безопасности своих клиентовPointlane
 
Управление привилегированными учетными записями
Управление привилегированными учетными записямиУправление привилегированными учетными записями
Управление привилегированными учетными записямиPavel Melnikov
 

Viewers also liked (6)

Сертификация специалистов по информационной безопасности
Сертификация специалистов по информационной безопасностиСертификация специалистов по информационной безопасности
Сертификация специалистов по информационной безопасности
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практике
 
Открытая лекция для студентов МГТУ ГА (декабрь 2013)
Открытая лекция для студентов МГТУ ГА (декабрь 2013)Открытая лекция для студентов МГТУ ГА (декабрь 2013)
Открытая лекция для студентов МГТУ ГА (декабрь 2013)
 
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
 
Как ведущие российские банки заботятся о безопасности своих клиентов
Как ведущие российские банки заботятся о безопасности своих клиентовКак ведущие российские банки заботятся о безопасности своих клиентов
Как ведущие российские банки заботятся о безопасности своих клиентов
 
Управление привилегированными учетными записями
Управление привилегированными учетными записямиУправление привилегированными учетными записями
Управление привилегированными учетными записями
 

Similar to 10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию

Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Alexey Kachalin
 
Способы выполнения требований 152-ФЗ
Способы выполнения требований 152-ФЗСпособы выполнения требований 152-ФЗ
Способы выполнения требований 152-ФЗValery Bychkov
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
True Story: спасение одного ИТшного проекта
True Story: спасение одного ИТшного проектаTrue Story: спасение одного ИТшного проекта
True Story: спасение одного ИТшного проектаSQALab
 
It-tuning itsm_business_continuity
It-tuning itsm_business_continuityIt-tuning itsm_business_continuity
It-tuning itsm_business_continuitySergey Polazhenko
 
Производство счастья промышленными методами, для программистов и их менеджеров
Производство счастья промышленными методами, для программистов и их менеджеровПроизводство счастья промышленными методами, для программистов и их менеджеров
Производство счастья промышленными методами, для программистов и их менеджеровAnna Tarasenko
 
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"Expolink
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаInfoWatch
 
ІГОР СТАРЧЕУС «Впровадження GDPR у великій fin tech компанії» QADay 2019
ІГОР СТАРЧЕУС «Впровадження GDPR у великій fin tech компанії» QADay 2019ІГОР СТАРЧЕУС «Впровадження GDPR у великій fin tech компанії» QADay 2019
ІГОР СТАРЧЕУС «Впровадження GDPR у великій fin tech компанії» QADay 2019GoQA
 
Инициация проекта часть 2
Инициация проекта часть 2Инициация проекта часть 2
Инициация проекта часть 2Nazira Sheraly
 
Как перейти от проектного мышления к продуктовому. Опыт из заказной разработки
Как перейти от проектного мышления к продуктовому. Опыт из заказной разработкиКак перейти от проектного мышления к продуктовому. Опыт из заказной разработки
Как перейти от проектного мышления к продуктовому. Опыт из заказной разработкиAlexander Byndyu
 
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"Expolink
 
Разумное Инициирование Проекта
Разумное Инициирование ПроектаРазумное Инициирование Проекта
Разумное Инициирование ПроектаSergiy Povolyashko
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 

Similar to 10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию (20)

Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13
 
Способы выполнения требований 152-ФЗ
Способы выполнения требований 152-ФЗСпособы выполнения требований 152-ФЗ
Способы выполнения требований 152-ФЗ
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)
 
True Story: спасение одного ИТшного проекта
True Story: спасение одного ИТшного проектаTrue Story: спасение одного ИТшного проекта
True Story: спасение одного ИТшного проекта
 
It-tuning itsm_business_continuity
It-tuning itsm_business_continuityIt-tuning itsm_business_continuity
It-tuning itsm_business_continuity
 
Мировые тренды развития SOC
Мировые тренды развития SOCМировые тренды развития SOC
Мировые тренды развития SOC
 
Производство счастья промышленными методами, для программистов и их менеджеров
Производство счастья промышленными методами, для программистов и их менеджеровПроизводство счастья промышленными методами, для программистов и их менеджеров
Производство счастья промышленными методами, для программистов и их менеджеров
 
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до ума
 
ІГОР СТАРЧЕУС «Впровадження GDPR у великій fin tech компанії» QADay 2019
ІГОР СТАРЧЕУС «Впровадження GDPR у великій fin tech компанії» QADay 2019ІГОР СТАРЧЕУС «Впровадження GDPR у великій fin tech компанії» QADay 2019
ІГОР СТАРЧЕУС «Впровадження GDPR у великій fin tech компанії» QADay 2019
 
Инициация проекта часть 2
Инициация проекта часть 2Инициация проекта часть 2
Инициация проекта часть 2
 
Как перейти от проектного мышления к продуктовому. Опыт из заказной разработки
Как перейти от проектного мышления к продуктовому. Опыт из заказной разработкиКак перейти от проектного мышления к продуктовому. Опыт из заказной разработки
Как перейти от проектного мышления к продуктовому. Опыт из заказной разработки
 
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
Dell. Яков Фишелев. "Примеры сценариев IAM у заказчиков в России"
 
Разумное Инициирование Проекта
Разумное Инициирование ПроектаРазумное Инициирование Проекта
Разумное Инициирование Проекта
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
пр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентовпр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентов
 

10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию

  • 1. 10 ключевых вопросов защиты персональных данных «Подводные камни» проектов по соответствию 14 марта 2012
  • 2. Содержание • Что волнует операторов • Мифы о соответствии • Почему именно 10? • 10 ключевых вопросов защиты ПД • Кейсы и примеры • Ответы на вопросы www.pointlane.ru 2
  • 4. Чего не будет в этой презентации? • Этот семинар для тех, кто уже в теме защиты ПДн • Мы не будем говорить о: – Основных положениях закона о персональных данных – Основных подзаконных актах – Основных мероприятиях – Обязательных документах • НО: – Те, кто прослушает семинар будут намного больше подготовлены к тому, чтобы реализовать проект по защите ПДн правильно. www.pointlane.ru 4
  • 5. Что волнует операторов? • Будет ли выполненный проект: – Соответствовать всем требованиям? – Обеспечивать реальную защиту ПДн? • Будут ли замечания при проверке регуляторами? • Как поддерживать систему защиты ПДн в актуальном состоянии? • Кого назначить ответственным за мероприятия по защите ПДн? • Как заставить сотрудников выполнять требования ОРД? • Возможно ли достичь соответствия без значительных вложений? www.pointlane.ru 5
  • 6. «Мифы» о соответствии • Мы написали «Положение об обработке ПД» этого достаточно! • Мы заказали работы у сторонней компании. Они принесли нам пачку документов. Вот они лежат на полке. • У нас в службе безопасности работает бывший полковник. Он нам обеспечит прохождение проверки. • IT говорит, что все системы и так уже защищены. • Мы закупили сертифицированные средства защиты. Вот они стоят на компьютерах. • Мы маленькая компания. К нам не придут. www.pointlane.ru 6
  • 8. Почему именно 10? • Это основное, что спрашивают • Это максимум, что можно обсудить за отведенное время • Это ключевые факторы успеха проекта, а не его этапы • Можно и больше, но всѐ сведется к перечисленному www.pointlane.ru 8
  • 9. 1. Защищаем данные, а не компанию • Цель – защитить данные субъекта, а не выполнить формальные требования и не попасть под санкции регулятора • Отталкиваемся не от ответственности по КОАП и УК, а от возможного ущерба для субъекта • Негативные последствия в первую очередь от жалоб субъектов, а не от плановых проверок www.pointlane.ru 9
  • 10. 2. Кто отвечает за успех проекта? «Один в поле не воин». Бизнес/Функциональные подразделения/Руководство Проект, реализованный без участия всех сторон ИТ/ИБ ОБРЕЧЕН на инциденты и замечания регуляторов Юристы/Compliance www.pointlane.ru 10
  • 11. 3. Не упустить детали Типы субъектов ИС ПДн Состав, цели, • Максимально сроки, обосно ИСПДн ДЕТАЛЬНОЕ вание обследование! Процессы Актуальные • Тесное обработки угрозы взаимодействие в рабочей группе Требования Организационные Технические www.pointlane.ru 11
  • 12. 4. Выстроить взаимоотношения Регуляторы Сторонние Оператор Субъект ПДн организации «Обработчик» www.pointlane.ru 12
  • 13. 5. Ответственность и ответственные Генеральный директор • Распределение ответственности Ответственный за обработку ПДн • Выделение ролей • Делегирование Ответственный за защиту Ответственные за обработку • Осуществлять ПДн ПДн в ИСПДн контроль Сотрудники 13 www.pointlane.ru
  • 14. 6. ОРД • ФОРМАЛИЗОВАТЬ И ЗАФИКСИРОВАТЬ процессы обработки ПДн • Заставить сотрудников следовать требованиям по обработке и защите ПДн • Нельзя ограничиваться шаблонами – Шаблоны не отражают реальную ситуацию в компании – Шаблоны нельзя интегрировать в систему управления компании (проектами, изменениями) • Ввести в действие www.pointlane.ru 14
  • 15. 7. Обучение и осведомленность • Осведомленность о 152 ФЗ – В рамках должностных обязанностей – Персональная ответственность каждого сотрудника – Ограничения и требования • Обучение в рамках распределенных ролей • Система обучения • Слабое звено – рядовые исполнители, взаимодействующие с субъектом • Кто виноват? – Знал и не сделал – виноват работник – Не знал и поэтому не сделал – виноват руководитель работника – Какую цель нужно достичь? www.pointlane.ru 15
  • 16. 8. Управлять инцидентами • Инциденты: – Запросы • субъекта ПДн • проверяющих органов • контрагентов • сотрудников – Критические инциденты • утечка данных • несанкционированный доступ к ПДн • Нельзя не реагировать • Обязательный анализ каждого инцидента • Вносить изменения по результатам анализа • Наказывать виновных • Периодическое тестирование www.pointlane.ru 16
  • 17. 9. СЗПДн. Защищать или соответствовать? • Как выполнить жесткие требования регуляторов? – Отсутствие финансирования – Сложности применения сертифицированных средств в уже функционирующих инфраструктурах – Длительный и дорогостоящий процесс сертификации • Главное – защитить персональные данные субъектов и минимизировать возможные последствия от инцидентов – В первую очередь защищать данные, а не ждать пока сертифицируют оборудование. • Что можно сделать уже сейчас: – Сегментировать ИСПДн в соответствии с целями обработки – Определить права доступа и сформировать матрицы доступа – Шифрование ПДн при передаче по каналам – Применить обезличивание данных – Заменить часть технических мер организационными • Факт инцидента гораздо хуже предписания www.pointlane.ru 17
  • 18. 10. Поддерживать актуальность • Работы «для галочки» не работают • Регуляторы не поверят что журналы пустые • Выделите роли, отвечающие за контроль и актуализацию • Выделение средств и времени • Каждое изменение в системе защиты ПДн должно быть учтено www.pointlane.ru 18
  • 19. Вопросы и кейсы www.pointlane.ru 19
  • 20. Реальная ситуация ПРИМЕР: Мы – производственное предприятие и при приеме на работу кандидаты проходят тщательное медицинское обследование. ВОПРОС: Можем ли мы хранить данные кандидата, который не прошел медкомиссию? www.pointlane.ru 20
  • 21. Спасибо за внимание! Компания «Pointlane» Москва, ул. Ильинка, д 4 Тел 233-65-08 consult@pointlane.ru www.pointlane.ru www.pointlane.ru 21