Рассмотрены ключевые моменты, связанные с построением процессов обеспечения безопасности персональных данных в организации.
Сформулированы 10 наиболее актуальных задач, волнующих операторов при осуществлении обработки персональных данных и применимых к организациям практически любой отрасли.
Мы расскажем про пути их решения, основываясь на рекомендациях регуляторов и используя накопленный нашими специалистами опыт.
Затронуты «тонкие» моменты, специфичные для конкретных ситуаций, которые зачастую остаются вне внимания при реализации внутренних или внешних проектов по соответствию законодательству в области обработки персональных данных.
Значительная часть вебинара будет отведена под разбор конкретных вопросов и кейсов, которые участники смогут задать на вебинаре применительно к их ситуации.
Аудиозапись вебинара можно скачать тут: http://www.pointlane.ru/cform/?webinar=3
10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию
1. 10 ключевых вопросов защиты
персональных данных
«Подводные камни»
проектов по соответствию
14 марта 2012
2. Содержание
• Что волнует операторов
• Мифы о соответствии
• Почему именно 10?
• 10 ключевых вопросов защиты ПД
• Кейсы и примеры
• Ответы на вопросы
www.pointlane.ru 2
4. Чего не будет в этой презентации?
• Этот семинар для тех, кто уже в теме защиты ПДн
• Мы не будем говорить о:
– Основных положениях закона о персональных данных
– Основных подзаконных актах
– Основных мероприятиях
– Обязательных документах
• НО:
– Те, кто прослушает семинар будут намного больше
подготовлены к тому, чтобы реализовать проект по защите
ПДн правильно.
www.pointlane.ru 4
5. Что волнует операторов?
• Будет ли выполненный проект:
– Соответствовать всем требованиям?
– Обеспечивать реальную защиту ПДн?
• Будут ли замечания при проверке регуляторами?
• Как поддерживать систему защиты ПДн в
актуальном состоянии?
• Кого назначить ответственным за мероприятия по
защите ПДн?
• Как заставить сотрудников выполнять требования
ОРД?
• Возможно ли достичь соответствия без
значительных вложений?
www.pointlane.ru 5
6. «Мифы» о соответствии
• Мы написали «Положение об обработке ПД» этого
достаточно!
• Мы заказали работы у сторонней компании. Они
принесли нам пачку документов. Вот они лежат на
полке.
• У нас в службе безопасности работает бывший
полковник. Он нам обеспечит прохождение
проверки.
• IT говорит, что все системы и так уже защищены.
• Мы закупили сертифицированные средства защиты.
Вот они стоят на компьютерах.
• Мы маленькая компания. К нам не придут.
www.pointlane.ru 6
8. Почему именно 10?
• Это основное, что
спрашивают
• Это максимум, что можно
обсудить за отведенное
время
• Это ключевые факторы
успеха проекта, а не его
этапы
• Можно и больше, но всѐ
сведется к перечисленному
www.pointlane.ru 8
9. 1. Защищаем данные, а не компанию
• Цель – защитить данные субъекта, а не выполнить
формальные требования и не попасть под санкции
регулятора
• Отталкиваемся не от ответственности по КОАП и
УК, а от возможного ущерба для субъекта
• Негативные последствия в первую очередь от
жалоб субъектов, а не от плановых проверок
www.pointlane.ru 9
10. 2. Кто отвечает за успех проекта?
«Один в поле не воин».
Бизнес/Функциональные
подразделения/Руководство
Проект, реализованный
без участия всех сторон
ИТ/ИБ ОБРЕЧЕН
на инциденты и замечания
регуляторов
Юристы/Compliance
www.pointlane.ru 10
11. 3. Не упустить детали
Типы
субъектов ИС
ПДн
Состав, цели,
• Максимально сроки, обосно ИСПДн
ДЕТАЛЬНОЕ вание
обследование!
Процессы Актуальные
• Тесное обработки угрозы
взаимодействие
в рабочей группе
Требования
Организационные Технические
www.pointlane.ru 11
13. 5. Ответственность и ответственные
Генеральный директор
• Распределение
ответственности Ответственный за обработку
ПДн
• Выделение
ролей
• Делегирование
Ответственный за защиту Ответственные за обработку
• Осуществлять ПДн ПДн в ИСПДн
контроль
Сотрудники
13
www.pointlane.ru
14. 6. ОРД
• ФОРМАЛИЗОВАТЬ И ЗАФИКСИРОВАТЬ
процессы обработки ПДн
• Заставить сотрудников следовать
требованиям по обработке и защите ПДн
• Нельзя ограничиваться шаблонами
– Шаблоны не отражают реальную ситуацию в компании
– Шаблоны нельзя интегрировать в систему управления
компании (проектами, изменениями)
• Ввести в действие
www.pointlane.ru 14
15. 7. Обучение и осведомленность
• Осведомленность о 152 ФЗ
– В рамках должностных обязанностей
– Персональная ответственность каждого сотрудника
– Ограничения и требования
• Обучение в рамках распределенных ролей
• Система обучения
• Слабое звено – рядовые
исполнители, взаимодействующие с субъектом
• Кто виноват?
– Знал и не сделал – виноват работник
– Не знал и поэтому не сделал – виноват руководитель
работника
– Какую цель нужно достичь?
www.pointlane.ru 15
16. 8. Управлять инцидентами
• Инциденты:
– Запросы
• субъекта ПДн
• проверяющих органов
• контрагентов
• сотрудников
– Критические инциденты
• утечка данных
• несанкционированный доступ к ПДн
• Нельзя не реагировать
• Обязательный анализ каждого инцидента
• Вносить изменения по результатам анализа
• Наказывать виновных
• Периодическое тестирование
www.pointlane.ru 16
17. 9. СЗПДн. Защищать или соответствовать?
• Как выполнить жесткие требования регуляторов?
– Отсутствие финансирования
– Сложности применения сертифицированных средств в уже
функционирующих инфраструктурах
– Длительный и дорогостоящий процесс сертификации
• Главное – защитить персональные данные субъектов и
минимизировать возможные последствия от инцидентов
– В первую очередь защищать данные, а не ждать пока
сертифицируют оборудование.
• Что можно сделать уже сейчас:
– Сегментировать ИСПДн в соответствии с целями обработки
– Определить права доступа и сформировать матрицы доступа
– Шифрование ПДн при передаче по каналам
– Применить обезличивание данных
– Заменить часть технических мер организационными
• Факт инцидента гораздо хуже предписания
www.pointlane.ru 17
18. 10. Поддерживать актуальность
• Работы «для галочки» не
работают
• Регуляторы не поверят что
журналы пустые
• Выделите роли, отвечающие за
контроль и актуализацию
• Выделение средств и времени
• Каждое изменение в системе
защиты ПДн должно быть учтено
www.pointlane.ru 18
20. Реальная ситуация
ПРИМЕР:
Мы – производственное предприятие и при приеме
на работу кандидаты проходят тщательное
медицинское обследование.
ВОПРОС:
Можем ли мы хранить данные кандидата, который
не прошел медкомиссию?
www.pointlane.ru 20
21. Спасибо за внимание!
Компания «Pointlane»
Москва, ул. Ильинка, д 4
Тел 233-65-08
consult@pointlane.ru
www.pointlane.ru
www.pointlane.ru 21