Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days
Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"Fwdays
Докладчик Андрей Логвиненко — руководитель юридического отдела SupportYourApp и Label Your Data, специалист GDPR, CCPA и имплементации ІТ стандартов PCI DSS, ISO 27001.
В программе:
актуальность информационной безопасности в разработке искусственного интеллекта (случаи нарушений и их последствия);
датасеты и их легальное использование (сбор данных и использование датасетов);
правовые нормы в разработке моделей искусственного интеллекта (законные основания использования чужой модели и Federated learning);
что необходимо учитывать при аутсорсинге искусственного интеллекта и обработки данных.
Ознакомиться с деталями митапа: https://bit.ly/305mG7e
8 и 15 августа пройдет бесплатная Data Science fwdays'20 онлайн-конференция.
Участие бесплатно, но регистрация обязательна☝️
Узнать детали и зарегистрироваться: https://bit.ly/32gM7VO
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015Mikhail Emeliyannikov
Презентация М. Емельянникова на Cyber Security Forum 2015 по проблемам организации обработки персональных данных в условиях их передачи большому количеству контрагентов и привлечения большого количества обработчиков, хостинга или колокации информационных систем персональных данных в коммерческом ЦОДе.
Информация о сотрудниках-под защитой. Примеры и практика. Типовые сценарииКРОК
Вторая Всероссийская конференция-семинар «Персональные данные».
Подробнее о мероприятии http://www.croc.ru/action/partners/detail/2266/
Презентация Ильи Рацимор, Юриста компании КРОК
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days
Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"Fwdays
Докладчик Андрей Логвиненко — руководитель юридического отдела SupportYourApp и Label Your Data, специалист GDPR, CCPA и имплементации ІТ стандартов PCI DSS, ISO 27001.
В программе:
актуальность информационной безопасности в разработке искусственного интеллекта (случаи нарушений и их последствия);
датасеты и их легальное использование (сбор данных и использование датасетов);
правовые нормы в разработке моделей искусственного интеллекта (законные основания использования чужой модели и Federated learning);
что необходимо учитывать при аутсорсинге искусственного интеллекта и обработки данных.
Ознакомиться с деталями митапа: https://bit.ly/305mG7e
8 и 15 августа пройдет бесплатная Data Science fwdays'20 онлайн-конференция.
Участие бесплатно, но регистрация обязательна☝️
Узнать детали и зарегистрироваться: https://bit.ly/32gM7VO
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015Mikhail Emeliyannikov
Презентация М. Емельянникова на Cyber Security Forum 2015 по проблемам организации обработки персональных данных в условиях их передачи большому количеству контрагентов и привлечения большого количества обработчиков, хостинга или колокации информационных систем персональных данных в коммерческом ЦОДе.
Информация о сотрудниках-под защитой. Примеры и практика. Типовые сценарииКРОК
Вторая Всероссийская конференция-семинар «Персональные данные».
Подробнее о мероприятии http://www.croc.ru/action/partners/detail/2266/
Презентация Ильи Рацимор, Юриста компании КРОК
White paper: Защита информации в финансовом сектореМФИ Софт
Аналитический центр «МФИ Софт» подготовил white paper о защите данных в финансовых организациях. На примере практических кейсов использования систем защиты информации «Гарда Предприятие» и «Гарда БД» эксперты компании рассмотрели, какие данные и почему необходимо обезопасить, а также структурировали рекомендации для снижения внутренних угроз.
White paper: Защита информации в финансовом сектореМФИ Софт
Аналитический центр «МФИ Софт» подготовил white paper о защите данных в финансовых организациях. На примере практических кейсов использования систем защиты информации «Гарда Предприятие» и «Гарда БД» эксперты компании рассмотрели, какие данные и почему необходимо обезопасить, а также структурировали рекомендации для снижения внутренних угроз.
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days
Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.
Мифы, проблемы и решения вопросов работы с персональными данными на сайтах / ...Ontico
Тема персональных данных и правильной работы с ними вызывает много вопросов и создает большое количество мифов из-за того, что затрагивает одновременно юридические, технические аспекты, а также серьезно зависит от законодательных инициатив и позиции регуляторов.
Чтобы разобраться с мифами и вопросами по поводу персональных данных, обрабатываемых на сайте, я кратко пройдусь по тому, для чего создавался закон "О персональных данных", что и от кого требуют, и каковы его основные риски. Это даст общее понимание.
Затем будут разобраны основные мифы, касающиеся выполнения данного закона.
В завершении разложим по полочкам, что нужно делать, чтобы регуляторы (Роскомнадзор, ФСБ и ФСТЭК России) были довольны, не пришли с внеплановыми проверками, не приостановили деятельность и не наложили штрафы за неправильный сбор, хранение и иную обработку персональных данных на сайте.
По итогам этого доклада слушатели смогут:
- понимать основные риски, присущие обработке персональных данных.
- привести свой сайт и веб-системы в соответствие с требованиями законодательства малой кровью.
- познать позицию регулирующих органов, чтобы уверенно чувствовать себя в случае проверок, "писем счастья" и наездов со стороны клиентов.
Закон "О персональных данных": грядут переменыValery Bychkov
Презентация с вебинара в сообществе Смартсорсинг. Ведущий: Макс Лагутин, серийный предприниматель, CEO проекта Б-152, специалист по информационной безопасности, обладатель mini-MBA "Менеджмент в сфере интернет-технологий", резидент бизнес-инкубатора HSE-Inc, участник программы акселерации TexDrive.
Основные темы вебинара:
Изменения законодательства в области персональных данных: что ждет компании в 2013 году
Послабление по требованиям защиты персональных данных
Тренды 2013: изменение взгляда операторов персональных данных
Практика увольнения сотрудников за разглашение конфиденциальной информацииИгорь Агурьянов
Практика увольнения работника Компании по статье трудового кодекса за разглашение информации ограниченного доступа (не являющейся коммерческой тайной).
White paper: Защита информации в финансовом сектореМФИ Софт
Аналитический центр «МФИ Софт» подготовил white paper о защите данных в финансовых организациях. На примере практических кейсов использования систем защиты информации «Гарда Предприятие» и «Гарда БД» эксперты компании рассмотрели, какие данные и почему необходимо обезопасить, а также структурировали рекомендации для снижения внутренних угроз.
White paper: Защита информации в финансовом сектореМФИ Софт
Аналитический центр «МФИ Софт» подготовил white paper о защите данных в финансовых организациях. На примере практических кейсов использования систем защиты информации «Гарда Предприятие» и «Гарда БД» эксперты компании рассмотрели, какие данные и почему необходимо обезопасить, а также структурировали рекомендации для снижения внутренних угроз.
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days
Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.
Мифы, проблемы и решения вопросов работы с персональными данными на сайтах / ...Ontico
Тема персональных данных и правильной работы с ними вызывает много вопросов и создает большое количество мифов из-за того, что затрагивает одновременно юридические, технические аспекты, а также серьезно зависит от законодательных инициатив и позиции регуляторов.
Чтобы разобраться с мифами и вопросами по поводу персональных данных, обрабатываемых на сайте, я кратко пройдусь по тому, для чего создавался закон "О персональных данных", что и от кого требуют, и каковы его основные риски. Это даст общее понимание.
Затем будут разобраны основные мифы, касающиеся выполнения данного закона.
В завершении разложим по полочкам, что нужно делать, чтобы регуляторы (Роскомнадзор, ФСБ и ФСТЭК России) были довольны, не пришли с внеплановыми проверками, не приостановили деятельность и не наложили штрафы за неправильный сбор, хранение и иную обработку персональных данных на сайте.
По итогам этого доклада слушатели смогут:
- понимать основные риски, присущие обработке персональных данных.
- привести свой сайт и веб-системы в соответствие с требованиями законодательства малой кровью.
- познать позицию регулирующих органов, чтобы уверенно чувствовать себя в случае проверок, "писем счастья" и наездов со стороны клиентов.
Закон "О персональных данных": грядут переменыValery Bychkov
Презентация с вебинара в сообществе Смартсорсинг. Ведущий: Макс Лагутин, серийный предприниматель, CEO проекта Б-152, специалист по информационной безопасности, обладатель mini-MBA "Менеджмент в сфере интернет-технологий", резидент бизнес-инкубатора HSE-Inc, участник программы акселерации TexDrive.
Основные темы вебинара:
Изменения законодательства в области персональных данных: что ждет компании в 2013 году
Послабление по требованиям защиты персональных данных
Тренды 2013: изменение взгляда операторов персональных данных
Практика увольнения сотрудников за разглашение конфиденциальной информацииИгорь Агурьянов
Практика увольнения работника Компании по статье трудового кодекса за разглашение информации ограниченного доступа (не являющейся коммерческой тайной).
2. 2
Понятие конфиденциальной информации
Разглашение конфиденциальной информации
Конфиденциальность данных о заработной плате
Меры обеспечения конфиденциальности информации
при расчете заработной платы
Содержание
4. Конфиденциальность информации (149-ФЗ «Об информации…») –
обязательное для выполнения лицом, получившим доступ к
определенной информации, требование не передавать такую
информацию третьим лицам без согласия ее обладателя.
4
Определение
5. 1. Коммерческая выгода от информации для организации;
2. Недоступность в открытых источниках;
3. Соблюдение прав/интересов других субъектов;
4. Законность обладания информацией;
5. Применение работодателем специальных мер защиты.
5
Критерии конфиденциальности
7. В большинстве стран нет единого нормативного акта, определяющего понятие
конфиденциальной информации или коммерческой тайны.
США:
• есть закон о коммерческой тайне (1979);
• соглашение о сохранении коммерческой тайны при приеме;
• специальная разъяснительная работа с сотрудником;
• сотрудник может подписать заявление о том, что он не вправе
раскрывать секреты, полученные по предыдущему месту работы;
Япония:
• нет законов либо актов, предусматривающих ответственность за
разглашение коммерческой тайны;
• департаменты кадров контролируют неукоснительное соблюдение
режима секретности сотрудниками;
• сказывается действие концепции «пожизненного найма» и
лояльности сотрудников компании.
7
Зарубежная практика
8. Разглашение информации - ситуация, когда информация становится
известна третьим лицам без согласия обладателя такой информации
либо вопреки трудовому или гражданско-правовому договору.
(На основании №98-ФЗ О коммерческой тайне, ст. 3, п 9)
Неправомерный доступ – самовольное получение информации и ее
использование лицом, не имеющим права ею владеть.
ТК РФ устанавливает ответственность только за РАЗГЛАШЕНИЕ
конфиденциальной информации, но не устанавливает ответственности
за неправомерный ДОСТУП.
8
Определение
Разглашение
информации
Неправомерный
доступ
9. 9
Каналы утечки информации
Человеческий
фактор, ошибки
Намеренный
ущерб, воровство
Технические сбои
электронных
систем
Недостатки
контроля доступа к
конфиденциальной
информации
Причины: Каналы утечки:
Подготовленона основанииисточника:Исследование компанииInfoWatch,2013
Потеря
мобильных
устройств
Кража/ потеря
оборудования
Съемные
носители
Сеть
(браузер,
Cloud)
Электронная
почта
Бумажные
документы
IM (текст,
голос, видео)
Не определено
10. 10
Неосведомленность сотрудников
Каждый 2-ой
не знаком с правилами
информационной безопасности
1/3
самовольно использует
системы хранения файлов
(Dropbox, Google Docs)
1/4
не блокирует компьютер,
покидая рабочее место
Каждый 2-ой
пересылает рабочие документы
с рабочего ящика на личный
4 из 5-ти
не уничтожают носители
с корпоративной информацией
1/3
хранит пароли в легкодоступных
местах или использует один
и тот же пароль
Конфиденциальная
информация
Каждый 2ой уволенный
выносил конфиденциальные
данные и использовал их
на новой работе
12. Несмотря на то, что:
• в законодательстве РФ нет прямого указания, что организации
обязаны относить информацию об оплате труда своих
сотрудников к конфиденциальной,
и
• в российском праве отсутствует четкое определение понятия
конфиденциальной информации,
…на большинстве предприятий информация о заработной плате
сотрудников конфиденциальна.
12
Конфиденциальность
данных о заработной плате
13. 1. Во многих компаниях сотрудники
на одинаковых позициях или
позициях одного уровня получают
разную оплату труда.
2. Во многих компаниях существует
заметный разрыв между оплатой
труда высшего менеджмента и
ключевых сотрудников и оплатой
труда остального персонала.
13
Основания для конфиденциальности
2,9 Скандинавия
3,5 США
12,5 Россия
14,2 Бразилия, Китай, Индия
Личный
фактор
Новые
сотрудники
Ситуация
на рынке
Слияния,
поглощения
Подготовленона основанииисточника:по данным компании HayGroup
14. ПОГЛОЩЕНИЕ
Российское
производство (FMCG)
Международная
компания:
ПРОБЛЕМЫ
Более высокие
требования
к обеспечению
конфиденциальности
информации.
Новая команда
топ-менеджеров
– 50 чел.
Различия
корпоративной
культуры.
Возросшая
социальная
напряженность
в коллективе.
Аутсорсинг расчета
заработной платы
топ-менеджеров – 50 чел.;
+
Внутренний расчет остальных
сотрудников – 3000 чел.
14
Пример: поглощение компании
Преимущества данного решения:
• Сохранение конфиденциальности уровня
доходов новой команды менеджеров;
• Минимальные затраты по сравнению с
переводом на аутсорсинг полного расчет ЗП;
• Снятие социальной напряженности в
коллективе и сохранение занятости
сотрудников отдела ЗП.
Решение при
поглощении компании
более 3000
сотрудников
5 чел.
более 50 лет
16. 16
Задачи
1. 2. 3. 4.
Документы:
• Снизить
количество
конфиденциальн
ых документов
Процессы:
• Организовать
хранение и
движение
информации и
документов
Люди:
• Ограничить
круг лиц,
имеющих
доступ к
информации
Ответственность:
• Повысить
уровень
ответственности
18. 18
1. Четкий перечень конфиденциальной информации;
2. Внутренние политики;
3. Перечень КИ в трудовых договорах.
4. Источники конфиденциальной информации по ключевым
сотрудникам (носители):
• Кадровые документы (ТД, приказы, б/л)
• Информация о З/П и начислениях в системе
• Индивидуальные расчетные листки
• Платежная ведомость в банк
• Формы индивидуальных сведений для ПФ
• Формы 2-НДФЛ для сдачи в налоговую
• Внутренняя и управленческая отчетность
Конфиденциальное
делопроизводство
1. Документы
19. 19
1. Организация рабочих мест и рабочего пространства;
2. Места и правила хранения информации и документов
(электронные в системе, сканы, оригиналы, копии и др.);
3. Средства информационной и электронной безопасности
(решения DLP – Data Loss Protection);
4. Регламент и контроль движения документов и информации;
5. Реестр работников, имеющих доступ к КИ и документам;
6. Соглашения о конфиденциальности;
7. Мотивация работников, владеющих КИ.
Организация процессов
2. Процессы
20. 20
Ограничение круга лиц
доступ есть доступ возможен
Главный
бухгалтер
Сотрудники
бухгалтерии
Директор
по персоналу
Сотрудники
HR службы
Ключевые
сотрудники
Руководство
Остальные
сотрудники
Открытая
информация
Информация
по остальным
сотрудникам
Информация
по ключевым
сотрудникам
3. Люди
21. 21
Ограничение круга лиц
при аутсорсинге
доступ есть доступ возможен
Главный
бухгалтер
Сотрудники
бухгалтерии
Директор
по персоналу
Сотрудники
HR службы
Ключевые
сотрудники
Руководство
Остальные
сотрудники
Открытая
информация
Информация
по остальным
сотрудникам
Информация
по ключевым
сотрудникам
Аутсорсинг - ограничение круга лиц в компании,
кто может получить доступ к конфиденциальной
информации
3. Люди
22. За нарушение действующего законодательства РФ о коммерческой тайне
предусмотрена дисциплинарная, административная, гражданско-правовая
и уголовная ответственность.
Возможность привлечь сотрудников за разглашение коммерческой тайны
к ответственности (по ТК РФ):
1. Официально установленный режим коммерческой тайны
2. Установление грифа «Коммерческая тайна» на документе
3. Учет лиц, имеющих доступ к информации, составляющей
коммерческую тайну
4. Доказательство ознакомления сотрудника с режимом
коммерческой тайны
5. Доказательства факта разглашения коммерческой тайны
третьим лицам
6. Запрос и получение объяснений от сотрудника
22
Ответственность
4. Ответственность
23. 1. Ответственность и соглашение о неразглашении (как часть SLA) на
уровне юридического лица, в рамках ГК РФ
2. Ответственность и соглашение о неразглашении на уровне
сотрудников Провайдера
3. Ограничение допуска сотрудников Провайдера к информации
Клиента
• только команда обслуживания
• только для выполнения конкретных задач
• только на период участия в оказании услуг
4. Согласование списка и полномочий участников при обмене
информацией
23
Ответственность
при аутсорсинге
4. Ответственность
24. Аутсорсинг расчета заработной платы ключевых сотрудников
позволяет:
– Снизить риск разглашения конфиденциальной информации о доходах
– Уменьшить объем документов с конфиденциальной информацией
– Сократить круг лиц, имеющих доступ
– Повысить надежность средств информационной защиты передачи
данных
– Обеспечить непрерывность процесса расчета и снизить влияние
болезней, отпусков сотрудников бухгалтерии и пр.
– Снизить нагрузку на отделы расчета З/П и кадровые отделы
– Во многом снизить риски, связанные с трудовыми спорами, спорами с
налоговыми органами, трудовыми инспекциями и проч.
24
Конфиденциальность
при аутсорсинге
25. Процесс расчета заработной платы ключевых сотрудников может быть
организован таким образом, чтобы:
• выстроить надежные системы контроля учетных процессов;
• снизить риски, связанные с уходом ключевых сотрудников;
• сократить издержки вследствие централизации либо
аутсорсинга учетных функций;
• повысить конфиденциальность данных.
25
Заключение