Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Мифы обработки
персональных данных
Их безопасность
Ярошевский Станислав
152-ФЗ, 195-ФЗ
Приказ ФСТЭК от 11 февраля 2013 г. ...
195-ФЗ
ОБ АДМИНИСТРАТИВНЫХ
ПРАВОНАРУШЕНИЯХ
Статья 19.7. Непредставление сведений (информации), представление которых предусмотрено законом.
Штраф: от 3 000 до 5 000 ...
Статья 19.7. Непредставление сведений (информации), представление которых предусмотрено законом.
Штраф: от 3 000 до 5 000 ...
Статья 19.7. Непредставление сведений (информации), представление которых предусмотрено законом.
Штраф: от 3 000 до 5 000 ...
Статья 19.7. Непредставление сведений (информации), представление которых предусмотрено законом.
Штраф: от 3 000 до 5 000 ...
Основные понятия
Обработка персональных данных
Любое действие (операция) или совокупность действий (операций), совершаемых с использованием...
Обработка персональных данных
Любое действие (операция) или совокупность действий (операций), совершаемых с использованием...
Обработка персональных данных
Любое действие (операция) или совокупность действий (операций), совершаемых с использованием...
Классы персональных данных
Класс 4
Обезличенные и (или) общедоступные персональные данные.
Класс 3
Персональные данные, позволяющие идентифицировать ...
Класс 4
Обезличенные и (или) общедоступные персональные данные.
Класс 3
Персональные данные, позволяющие идентифицировать ...
Что такое персональные
данные?
Что такое персональные данные?
Является объектом ПД:
● Фамилия, Имя, Отчество, дата рождения, место прописки;
● Номер и се...
Что такое персональные данные?
Является объектом ПД:
● Фамилия, Имя, Отчество, дата рождения, место прописки;
● Номер и се...
Что такое персональные данные?
Является объектом ПД:
● Фамилия, Имя, Отчество, дата рождения, место прописки;
● Номер и се...
От теории к практике
МИФ 1.
Обязательна регистрация в
реестре Роскомнадзора как
оператора ПД
МИФ 1. Обязательна регистрация в реестре Роскомнадзора как
оператора ПД
До начала обработки персональных данных "оператор"...
МИФ 1. Обязательна регистрация в реестре Роскомнадзора как
оператора ПД
До начала обработки персональных данных "оператор"...
МИФ 1. Обязательна регистрация в реестре Роскомнадзора как
оператора ПД
До начала обработки персональных данных "оператор"...
МИФ 1. Обязательна регистрация в реестре Роскомнадзора как
оператора ПД
До начала обработки персональных данных "оператор"...
МИФ 1. Обязательна регистрация в реестре Роскомнадзора как
оператора ПД
До начала обработки персональных данных "оператор"...
МИФ 2.
Получить согласие об
обработке ПД очень сложно
МИФ 2. Получить согласие об обработке ПД очень сложно
Кто Вы?
● Агент — согласие не требуется
● Оператор — согласие требуе...
МИФ 2. Получить согласие об обработке ПД очень сложно
Кто Вы?
● Агент — согласие не требуется
● Оператор — согласие требуе...
МИФ 2. Получить согласие об обработке ПД очень сложно
Кто Вы?
● Агент — согласие не требуется
● Оператор — согласие требуе...
МИФ 3.
Обмен информацией,
содержащей ПД - это сложно
Важные составляющие:
● Юридический отдел
● Отдел информационных технологий
● Выбор программного решения
МИФ 3. Обмен инфор...
МИФ 4.
Сложно соответствовать 3
категории обработки ПД
Приказы ФСТЭК 17 и 21:
● Прописать модели угроз
● Состав мер по обеспечению безопасности
● Документация для Роспотребнадзо...
Приказы ФСТЭК 17 и 21:
● Прописать модели угроз
● Состав мер по обеспечению безопасности
● Документация для Роспотребнадзо...
Ярошевский Станислав
syaroshevskiy@gmail.com
Upcoming SlideShare
Loading in …5
×

Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (НЮС)

286 views

Published on

За последние пару лет государство все активнее обращает внимание на вопросы безопасности персональных данных, их обработки, все больше компаний задумываются о данных вопросах.

Вопросов очень много, но все не так страшно, как кажется на первый взгляд. Мы разберемся с основой персональных данных, какие существуют классы, и какие типы данных относятся к ним. Важно понять, что действительно нужно Вам и Вашему бизнесу, а не гнаться "за всеми данными", которые можно получить от клиента.

Безопасность — второй не менее важный вопрос в персональных данных. Можно защищать по закону, можно по "IТ понятиям". Рынок средств защиты данных большой, но что выбрать? Покупаем готовое или создаем свое? Мы поговорим о том, какие плюсы и минусы у данных подходов.

Все не так страшно, как преподносят. В большинстве случаев достаточно заранее подумать о подходах, что Вам действительно нужно и как будете защищать — все это очень сильно поможет при аттестации систем. Главное — почувствовать грань между законом и бизнесом.

Published in: Engineering
  • Be the first to comment

  • Be the first to like this

Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (НЮС)

  1. 1. Мифы обработки персональных данных Их безопасность Ярошевский Станислав 152-ФЗ, 195-ФЗ Приказ ФСТЭК от 11 февраля 2013 г. N 17 Приказ ФСТЭК от 18 февраля 2013 г. N 21
  2. 2. 195-ФЗ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ
  3. 3. Статья 19.7. Непредставление сведений (информации), представление которых предусмотрено законом. Штраф: от 3 000 до 5 000 рублей 195-ФЗ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ
  4. 4. Статья 19.7. Непредставление сведений (информации), представление которых предусмотрено законом. Штраф: от 3 000 до 5 000 рублей Статья 13.14. Разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей. Штраф: от 4 000 до 5 000 рублей 195-ФЗ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ
  5. 5. Статья 19.7. Непредставление сведений (информации), представление которых предусмотрено законом. Штраф: от 3 000 до 5 000 рублей Статья 13.14. Разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей. Штраф: от 4 000 до 5 000 рублей Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах. Штраф: от 5 000 до 10 000 рублей 195-ФЗ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ
  6. 6. Статья 19.7. Непредставление сведений (информации), представление которых предусмотрено законом. Штраф: от 3 000 до 5 000 рублей Статья 13.14. Разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей. Штраф: от 4 000 до 5 000 рублей Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах. Штраф: от 5 000 до 10 000 рублей Статья 13.12.1 Использование несертифицированных информационных систем, баз и банков данных. Штраф: от 20 000 до 25 000 рублей 195-ФЗ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ
  7. 7. Основные понятия
  8. 8. Обработка персональных данных Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными. Охранник на проходной - Доставка груза покупателю Основные понятия
  9. 9. Обработка персональных данных Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными. Охранник на проходной - Доставка груза покупателю Автоматизированная обработка персональных данных Обработка персональных данных с помощью средств вычислительной техники. Интернет магазин - Оказание медицинских услуг Основные понятия
  10. 10. Обработка персональных данных Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными. Охранник на проходной - Доставка груза покупателю Автоматизированная обработка персональных данных Обработка персональных данных с помощью средств вычислительной техники. Интернет магазин - Оказание медицинских услуг Персональные данные (ПД) Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) ФИО, паспортные данные, мобильный телефон, адрес регистрации Основные понятия Общие выдержки из закона 152-ФЗ
  11. 11. Классы персональных данных
  12. 12. Класс 4 Обезличенные и (или) общедоступные персональные данные. Класс 3 Персональные данные, позволяющие идентифицировать субъекта персональных данных. Классы персональных данных
  13. 13. Класс 4 Обезличенные и (или) общедоступные персональные данные. Класс 3 Персональные данные, позволяющие идентифицировать субъекта персональных данных. Класс 2 Персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1. Класс 1 Персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. Классы персональных данных
  14. 14. Что такое персональные данные?
  15. 15. Что такое персональные данные? Является объектом ПД: ● Фамилия, Имя, Отчество, дата рождения, место прописки; ● Номер и серия паспорта; ● Страховой номер индивидуального лицевого счета (СНИЛС); ● Идентификационный номер налогоплательщика (ИНН); ● Банковский счет или номер банковской карты; ● Адрес места жительства ИП; ● Фамилия и Инициалы в сочетании с дополнительные сведениями; ● Фотография человека который являлся объектом съемки;
  16. 16. Что такое персональные данные? Является объектом ПД: ● Фамилия, Имя, Отчество, дата рождения, место прописки; ● Номер и серия паспорта; ● Страховой номер индивидуального лицевого счета (СНИЛС); ● Идентификационный номер налогоплательщика (ИНН); ● Банковский счет или номер банковской карты; ● Адрес места жительства ИП; ● Фамилия и Инициалы в сочетании с дополнительные сведениями; ● Фотография человека который являлся объектом съемки; Не является объектом ПД по отдельности: ● Фамилия и Имя, Фамилия и Инициалы, Имя и Отчество; ● Мобильный телефон;
  17. 17. Что такое персональные данные? Является объектом ПД: ● Фамилия, Имя, Отчество, дата рождения, место прописки; ● Номер и серия паспорта; ● Страховой номер индивидуального лицевого счета (СНИЛС); ● Идентификационный номер налогоплательщика (ИНН); ● Банковский счет или номер банковской карты; ● Адрес места жительства ИП; ● Фамилия и Инициалы в сочетании с дополнительные сведениями; ● Фотография человека который являлся объектом съемки; Не является объектом ПД по отдельности: ● Фамилия и Имя, Фамилия и Инициалы, Имя и Отчество; ● Мобильный телефон; ● Адрес проживания; ● Адрес электронной почты; ● Дата рождения; ● Фотография человека позировавшего за плату;
  18. 18. От теории к практике
  19. 19. МИФ 1. Обязательна регистрация в реестре Роскомнадзора как оператора ПД
  20. 20. МИФ 1. Обязательна регистрация в реестре Роскомнадзора как оператора ПД До начала обработки персональных данных "оператор" обязан представить в "уполномоченный орган" уведомление о намерении осуществлять такую обработку ("ч. 1 ст. 22" Закона). Как и для каких целей Вы обрабатываете ПД?
  21. 21. МИФ 1. Обязательна регистрация в реестре Роскомнадзора как оператора ПД До начала обработки персональных данных "оператор" обязан представить в "уполномоченный орган" уведомление о намерении осуществлять такую обработку ("ч. 1 ст. 22" Закона). Как и для каких целей Вы обрабатываете ПД? Уведомление не требуется:
  22. 22. МИФ 1. Обязательна регистрация в реестре Роскомнадзора как оператора ПД До начала обработки персональных данных "оператор" обязан представить в "уполномоченный орган" уведомление о намерении осуществлять такую обработку ("ч. 1 ст. 22" Закона). Как и для каких целей Вы обрабатываете ПД? Уведомление не требуется: ● Обработка в соответствии с трудовым законодательством ● Обработка без средств автоматизации ● Включающие только фамилии, имена и отчества ● Для однократного пропуска на территорию ● Для исполнения договора
  23. 23. МИФ 1. Обязательна регистрация в реестре Роскомнадзора как оператора ПД До начала обработки персональных данных "оператор" обязан представить в "уполномоченный орган" уведомление о намерении осуществлять такую обработку ("ч. 1 ст. 22" Закона). Как и для каких целей Вы обрабатываете ПД? Уведомление не требуется: ● Обработка в соответствии с трудовым законодательством ● Обработка без средств автоматизации ● Включающие только фамилии, имена и отчества ● Для однократного пропуска на территорию ● Для исполнения договора Требуется уведомление:
  24. 24. МИФ 1. Обязательна регистрация в реестре Роскомнадзора как оператора ПД До начала обработки персональных данных "оператор" обязан представить в "уполномоченный орган" уведомление о намерении осуществлять такую обработку ("ч. 1 ст. 22" Закона). Как и для каких целей Вы обрабатываете ПД? Уведомление не требуется: ● Обработка в соответствии с трудовым законодательством ● Обработка без средств автоматизации ● Включающие только фамилии, имена и отчества ● Для однократного пропуска на территорию ● Для исполнения договора Требуется уведомление: ● Передача данных третьим лицам ● Иное использование персональных данных
  25. 25. МИФ 2. Получить согласие об обработке ПД очень сложно
  26. 26. МИФ 2. Получить согласие об обработке ПД очень сложно Кто Вы? ● Агент — согласие не требуется ● Оператор — согласие требуется
  27. 27. МИФ 2. Получить согласие об обработке ПД очень сложно Кто Вы? ● Агент — согласие не требуется ● Оператор — согласие требуется Получаем согласие на обработку ПД
  28. 28. МИФ 2. Получить согласие об обработке ПД очень сложно Кто Вы? ● Агент — согласие не требуется ● Оператор — согласие требуется Получаем согласие на обработку ПД ● Письменное согласие ● Публичная оферта
  29. 29. МИФ 3. Обмен информацией, содержащей ПД - это сложно
  30. 30. Важные составляющие: ● Юридический отдел ● Отдел информационных технологий ● Выбор программного решения МИФ 3. Обмен информацией, содержащей персональные данные - это сложно
  31. 31. МИФ 4. Сложно соответствовать 3 категории обработки ПД
  32. 32. Приказы ФСТЭК 17 и 21: ● Прописать модели угроз ● Состав мер по обеспечению безопасности ● Документация для Роспотребнадзора ● Декларирование на соответствие категории 3 МИФ 4. Сложно соответствовать 3 категории обработки ПД
  33. 33. Приказы ФСТЭК 17 и 21: ● Прописать модели угроз ● Состав мер по обеспечению безопасности ● Документация для Роспотребнадзора ● Декларирование на соответствие категории 3 База правового применения на данный момент мала МИФ 4. Сложно соответствовать 3 категории обработки ПД
  34. 34. Ярошевский Станислав syaroshevskiy@gmail.com

×