Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Ontico
За последние пару лет государство все активнее обращает внимание на вопросы безопасности персональных данных, их обработки, все больше компаний задумываются о данных вопросах.
Вопросов очень много, но все не так страшно, как кажется на первый взгляд. Мы разберемся с основой персональных данных, какие существуют классы, и какие типы данных относятся к ним. Важно понять, что действительно нужно Вам и Вашему бизнесу, а не гнаться "за всеми данными", которые можно получить от клиента.
Безопасность — второй не менее важный вопрос в персональных данных. Можно защищать по закону, можно по "IТ понятиям". Рынок средств защиты данных большой, но что выбрать? Покупаем готовое или создаем свое? Мы поговорим о том, какие плюсы и минусы у данных подходов.
Все не так страшно, как преподносят. В большинстве случаев достаточно заранее подумать о подходах, что Вам действительно нужно и как будете защищать — все это очень сильно поможет при аттестации систем. Главное — почувствовать грань между законом и бизнесом.
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015Mikhail Emeliyannikov
Презентация М. Емельянникова на Cyber Security Forum 2015 по проблемам организации обработки персональных данных в условиях их передачи большому количеству контрагентов и привлечения большого количества обработчиков, хостинга или колокации информационных систем персональных данных в коммерческом ЦОДе.
ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"
Обзор и комментарии.
Романов Илья, CISA, CISM
Заместитель руководителя отдела консалтинга
ЗАО "ДиалогНаука"
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
ОТВЕТЫ УПРАВЛЕНИЯ РОСКОМНАДЗОРА
ПО ТЮМЕНСКОЙ ОБЛАСТИ, ХМАО-ЮГРЕ И ЯНАО
НА ВОПРОСЫ УЧАСТНИКОВ ВЕБИНАРА
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
КЛЮЧЕВЫЕ ИЗМЕНЕНИЯ В ЗАКОНОДАТЕЛЬСТВЕ 2013
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Ontico
За последние пару лет государство все активнее обращает внимание на вопросы безопасности персональных данных, их обработки, все больше компаний задумываются о данных вопросах.
Вопросов очень много, но все не так страшно, как кажется на первый взгляд. Мы разберемся с основой персональных данных, какие существуют классы, и какие типы данных относятся к ним. Важно понять, что действительно нужно Вам и Вашему бизнесу, а не гнаться "за всеми данными", которые можно получить от клиента.
Безопасность — второй не менее важный вопрос в персональных данных. Можно защищать по закону, можно по "IТ понятиям". Рынок средств защиты данных большой, но что выбрать? Покупаем готовое или создаем свое? Мы поговорим о том, какие плюсы и минусы у данных подходов.
Все не так страшно, как преподносят. В большинстве случаев достаточно заранее подумать о подходах, что Вам действительно нужно и как будете защищать — все это очень сильно поможет при аттестации систем. Главное — почувствовать грань между законом и бизнесом.
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015Mikhail Emeliyannikov
Презентация М. Емельянникова на Cyber Security Forum 2015 по проблемам организации обработки персональных данных в условиях их передачи большому количеству контрагентов и привлечения большого количества обработчиков, хостинга или колокации информационных систем персональных данных в коммерческом ЦОДе.
ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"
Обзор и комментарии.
Романов Илья, CISA, CISM
Заместитель руководителя отдела консалтинга
ЗАО "ДиалогНаука"
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
ОТВЕТЫ УПРАВЛЕНИЯ РОСКОМНАДЗОРА
ПО ТЮМЕНСКОЙ ОБЛАСТИ, ХМАО-ЮГРЕ И ЯНАО
НА ВОПРОСЫ УЧАСТНИКОВ ВЕБИНАРА
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
КЛЮЧЕВЫЕ ИЗМЕНЕНИЯ В ЗАКОНОДАТЕЛЬСТВЕ 2013
ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ).
Russian Personal Data Legislation: Localization RequirementVladislav Arkhipov
The presentation includes some clarifications of the Federal Law No 242-FZ, dated 21 July 2014 and case studies from IP/IT practice which demonstrate experience of Dentons in resolving complex personal data and privacy issues in dynamic Russian environment. The presentation was first delivered at the Conference “Personal Data – New Realities” which was held at Hotel Four Seasons in St. Petersburg on 21 May 2015 and organized by IBM.
Ключевые правовые аспекты регулирования обработки персональных данных на пред...
ISACA_Slides_Ermolaev_16 December 2011
1. Соответствие Закону Украины по
защите персональных данных
Евгений Ермолаев, CISM
Технический директор
Агентство Активного Аудита
2. Требования законодательства по
защите персональных данных
С 1 января 2012 года
вступают в силу изменения в:
ЗАКОН - Кодекс Украины об
УКРАЇНИ административных
правонарушениях
Про захист - и Уголовный кодекс Украины
персональних даних
Типовой порядок обработки
Вступил в силу персональных данных в базах
1 января 2011 персональных данных
пока не утвержден
http://zakon1.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=2297-17
3. Требования законодательства по
защите персональных данных
Должны исполнять все юридические и
физические лица, обрабатывающие
ЗАКОН персональные данные в базах
УКРАЇНИ персональных данных.
Про захист Кроме:
персональних даних
физических лиц - для
Вступил в силу непрофессиональных личных
1 января 2011 или бытовых нужд;
журналистов - в связи с исполнением ими
служебных или профессиональных
обязанностей;
профессиональных творческих работников -
для осуществления творческой деятельности.
4. Основные требования закона
1) Для обработки персональных данных должно быть законное основание
2) ПД должны обрабатывается только в соответствии с четко
сформулированной целью, быть точными, достоверными и не быть
чрезмерными
1) Все базы персональных данных подлежат регистрации
в Государственном реестре баз персональных данных.
2) Использование персональных данных владельцем базы
осуществляется в случае создания им условий для защиты этих данных.
5. Основные требования закона
1) Для обработки персональных данных должно быть законное
основание
Законные основания обработки ПД:
• Задокументированное согласие субъекта
• В случаях, определенных законом, и только в
интересах национальной безопасности,
экономического благосостояния и прав человека.
• В случае защиты жизненно важных интересов
субъекта до времени, когда получение согласия
станет возможным
6. Основные требования закона
2) ПД должны обрабатывается только в соответствии с четко
сформулированной целью и не быть чрезмерными:
Обработка данных производится в целях обеспечения реализации:
трудовых отношений;
налоговых отношений и отношений в сфере бухгалтерского учета и аудита;
отношений в сфере управления человеческими ресурсами;
отношений в сфере экономических, финансовых услуг;
отношений в сфере телекоммуникационных услуг…. и т.д.
Цель обработки персональных данных должна быть сформулирована в
документах, регулирующих деятельность владельца базы персональных данных
ПД должны быть точными и достоверными
7. Основные требования закона
3) Все базы персональных данных подлежат регистрации
в Государственном реестре баз персональных данных.
Подается заявка путем уведомления:
- По почте на адрес службы
- Опустив в ящик в приемной службы
- Электронным письмом (необходима ЭЦП)
Заявка обязательно должна содержать:
- обращение о внесении базы в Гос. реестр
- информацию о владельце базы персональных данных;
- наименование и местонахождение базы
- цели обработки
- информацию о других распорядителях ( если имеются)
- подтверждение выполнений требований защиты ПД
8. x x
ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ «ФАРТ»
1 2 3 4 5 6 7 - - - - -
Україна 1 1 1 1 1 Київська
Київ Забарська 1 1 1
9. База персональних даних співробітників ТОВ «ФАРТ»
Україна 1 1 1 1 1 Київська
Київ Забарська 1 1 1
Наименование владелец решает сам.
Местонахождение:
картотека – адрес, по которому она находится
в электронном виде – адрес, по которому находятся носители
10.
11. Распорядитель базы персональных данных - физическое или юридическое
лицо, которому владельцем базы персональных данных или законом
предоставлено право обрабатывать эти данные;
12. x
x
ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ «ФАРТ»
Україна 1 1 1 1 1 Київська
Заявитель базы персональных данных - физическое или юридическое
лицо, которому владельцем базы персональных данных или законом
предоставлено право обрабатывать эти данные;
13. 3) Все базы персональных данных подлежат регистрации
в Государственном реестре баз персональных данных.
Об изменениях владелец базы ПД должен уведомить службу не позднее чем
через 10 дней.
СВИДЕТЕЛЬСТВО
О ГОСУДАРСТВЕННОЙ
РЕГИСТРАЦИИ БАЗЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ
14. Основные требования закона
4) Использование персональных данных владельцем базы
осуществляется в случае создания им условий для защиты этих
данных.
Согласно требованиям статьи 24 Закона:
владельцы баз персональных данных обязаны принять меры по обеспечению
защиты персональных данных от незаконной обработки, а также от
незаконного доступа к ним.
Условия защиты определяются владельцем баз персональных данных
самостоятельно.
Рекомендация – провести анализ рисков.
15. Есть СУИБ :
- compliance (соответствие требованиям регуляторов)
Все процессы уже построены, необходимо пересмотреть
подход к защите персональных данных, запустить
необходимые процессы.
Нет СУИБ или компания маленькая-
Система управления персональными данными.
- Выполнить рекомендации Службы в Типовом порядке
обработки персональных данных в базах
персональных данных, где пошагово описаны необходимые
действия.
- Или обратится к третьим сторонам.
16. СПАСИБО ЗА ВНИМАНИЕ
Евгений Ермолаев, CISM
Технический директор
Агентство Активного Аудита
e.ermolaev@auditagency.com.ua