1. Агентство Активного Аудита
Мы знаем ВСЕ об информационной безопасности
Практические рекомендации по
созданию системы управления
персональными данными на
предприятии
Владимир Ткаченко
Директор ООО «Агентство Активного Аудита»
Киев 2012
2. ЗАЧЕМ?
• обеспечить обработку персональных данных (ПДн) в соответствии
с требованиями законодательства Украины ;
• предотвратить утечки, хищения, утрату, искажения и подделку
персональной информации клиентов;
• предотвратить несанкционированные действия по уничтожению,
модификации, искажению, копированию, блокированию ПДн;
• снизить вероятность других форм незаконного вмешательства в
информационные ресурсы и системы компании, обеспечить
Цели
правовой режим информации как объекта собственности;
• адекватно и своевременно реагировать на угрозы
информационной безопасности путем выбора мер по защите
информации на основе анализа рисков и расчета показателя
возврата инвестиций в информационную безопасность (Return On
Security Investments - ROSI).
3. Роль и место системы управления и обработки персональных данных в
системе ИБ предприятия
4. Схема проекта по внедрению системы управления и обработки
персональных данных на предприятии
Инвентаризация баз Определение
1
Определение
текущего состояния
СУПДн (аудит) 2 ПДн и подгот.
действия к
внедрению СУПДн
3 мероприятий
защиты в отношении
баз ПДн
4 Внедрение
СУПДн
Подготовительные действия Анализ рисков в отношении ПДн
Сбор и анализ информации Устранение недостатков
Инвентаризация баз ПДн Определение мероприятий по защите
Определение критичности баз ПДн Уведомление субъектов ПДн
Описание баз ПДн Создание политик и процедур
Подготовка отчета Постановка необходимых процессов
Определение порядка обработки ПДн
Регистрация баз в Гос. реестре
Приказ об организации
Отчет по результатам работ по проекту
аудита Отчет об оценке рисков
Процессы обновления,
Приказ о назначении
Презентация хранения, утилизации и
ответственных лиц за СУПДн
План мероприятий защиты передачи баз ПДн третьим
результатов аудита Внесение изменений в ПДн (План обработки рисков) сторонам
руководству должностные обязанности
ответственных лиц. Процесс уведомления субъектов
Порядок обработки ПДн на персональных данных
Реестр баз персональных предприятии + формы уведомлений
данных предприятия
Процедуры и политики по
Приложение к Реестру с обработке, хранению и Зарегистрированные
описанием баз ПДн передаче баз ПДн в ГРБПДн базы ПДн
Реестр владельцев баз
персональных данных
Положение об обработке
ПДн на предприятии
5. Определение ролей
Распределение ответственности и обязанностей: документы
Приказ о назначении руководителя проекта
по внедрению и функционированию СУПДн
.
Приказ о назначении ответственных (владельцев
баз ПДн) за систему обработки ПДн
Реестр баз ПДн предприятия с
приложениями.
Обязательство о неразглашении информации
содержащей ПДн и резрешение на обработку от
клиента
(должны подписать все клиенты предприятия
(физлица))
Коррекция должностных инструкций, Порядок
обработки ПДн на предприятии
6. Внедрение. Практические аспекты
При аудите и внедрении СУПДн необходимо обратить внимание на
следующие статьи Закона «О защите персональных данных»
• Ст. 6 Общие требования к обработке ПДн
• Ст. 7 Особенные условия обработки ПДн (раса, взгляды и пр.)
• Ст. 9 Регистрация баз ПДн
• Ст. 10 Использование персональных данных (только если
защитили и не разглашаем кому попало)
• Ст.11 Основания возникновения права на использование ПДн
• Ст.12 Сбор ПДн (10 дней +профессиональная/служебная
необходимость)
• Ст. 13 Накопление и хранение ПДн (целостность и ограничение
доступа)
• Ст. 14 Распространение ПДн (с согласия субъекта ПДн)
• Ст. 15 Уничтожение ПДн
• Ст. 16 Порядок доступа к ПДн (в соответствии с соглашением с
физлицом)
• Ст. 21 Уведомление о действиях с ПДн (тоже)
• Ст. 24 Обеспечение защиты ПДн в базах ПДн
• Ст. 29 Международное сотрудничество
7. Внедрение
Доведение целей до персонала
• Информирование персонала о требованиях Закона Украины «О
защите персональных данных» и внутренних процедурах
• Подписание «Соглашения об обработке ПДн в ИС предприятия» с
клиентами-физлицами
• Создание ресурсов
для общего доступа
к политикам,
процедурам и
прочей документации
по защите ПДн на
предприятии