Так ли страшен черт или в чем риск 01.01.10? ОАО ЭЛВИС-ПЛЮС ____________________ Москва, 29 сентября 2009 г.

Презентация:



Advertisements
Похожие презентации
1 Об Уполномоченном органе по защите прав субъектов персональных данных Заместитель руководителя Управления Роскомнадзора по Ивановской области Семененко.
Advertisements

Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Костромской области г. Кострома, микрорайон.
Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Вологодской области Заместитель руководителя.
Законодательная и нормативная база правового регулирования вопросов защиты персональных данных. Руководящие документы по защите персональных данных Законодательная.
Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 1 Тема:
М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.
Соблюдение требований законодательства о персональных данных органами государственной власти и местного самоуправления по Ярославской области Начальник.
Защита персональных данных 2008 г.. CNews Forum 2008 Информация о компании О компании ReignVox - российская компания, специализирующаяся на разработках.
Общий порядок действия оператора по выполнению требований Федерального закона от «О персональных данных» (Часть 1): ШАГ 1 Определить структурное.
Требования закона «О персональных данных»: разумная реализация «Функциональная безопасность бизнеса» Надежда Александровская Заместитель генерального директора.
Бикбулатов Тагир Ахатович Управление Роскомнадзора по Республике Башкортостан Специалист-эксперт отдела по защите прав субъектов персональных данных.
Компания «Инфо-Оберег» Дорофеев Владимир Игоревич.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.
Федеральный закон о персональных данных. Необходимо: 1.Получать разрешение на обработку и передачу персональных данных. 2.Уведомлять РОСКОМНАДЗОР о том,
Обеспечение безопасности персональных данных. Проблемы и решения 23 сентября 2009 года.
Защита персональных данных работников. Положения о защите персональных данных работников регламентируют Конституция Российской Федерации Конституция Российской.
Управление ФСТЭК России по Сибирскому федеральному округу «О требованиях к защите персональных данных при их обработке в информационных системах персональных.
Защита персональных данных: основные аспекты. Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Персональные данные (ПДн) Кто? От кого?
Общий порядок действий оператора по выполнению требований Федерального закона от ФЗ «О персональных данных»
2009 г. Об обеспечении безопасности персональных данных с использованием шифровальных (криптографических) средств.
Транксрипт:

Так ли страшен черт или в чем риск ? ОАО ЭЛВИС-ПЛЮС ____________________ Москва, 29 сентября 2009 г.

Какие риски несет оператор персональных данных (ПДн)? Реализация каких основных угроз может привести к возникновению рисков оператора ПДн? – новые риски или новые угрозы? Пути снижения рисков Вопросы презентации

Информационные системы персональных данных Правительство Российской Федерации Федеральная служба по надзору в сфере связи (Уполномоченный орган по защите прав субъектов ПДн) Информационные системы персональных данных Информационные системы ПДн Биометрические ПДн ПДн Реестр операторов информационных систем ПДн Уведомляет о своем намерении осуществлять обработку ПДн Согласие на обработку своих ПДн. (отзыв) Запрос о наличии ПДн. Обработка, обеспечение безопасности ПДн Сообщает о наличии ПДн Контроль и надзор за выполнением требований к обеспечению безопасности ПДн Принимает меры по приостановлению или прекращению обработки ПДн Отчеты о деятельности Представление о приостановлении или прекращению обработки ПДн Субъект персональных данных Ведет ФСБ России, ФСТЭК России Оператор Функции оператора: определение целей и содержания обработки ПДн; принятие мер по обеспечению конфиденциальности и целостности ПДн; блокирование персональных данных; уточнение ПДн; уничтожение ПДн. Функции уполномоченного органа по защите прав субъектов ПДн: контроль и надзора за соответствием обработки ПДн требованиям Федерального закона; рассмотрение обращений субъекта ПДн о соответствии содержания и способов обработки ПДн цели их обработки; проверка сведений, сообщаемых операторами при уведомлении о намерении осуществлять обработку ПДн; принятие мер по приостановлению или прекращению обработки ПДн; подготовка предложений по совершенствованию нормативного правового регулирования защиты прав субъектов ПДн. Устанавливает требования и разрабатывает комплекс мер по обеспечению безопасности ПДн Заявления о приостановлении действия лицензии Орган, осуществляющий лицензирование деятельности оператора

Информационные системы персональных данных Правительство Российской Федерации Федеральная служба по надзору в сфере связи (Уполномоченный орган по защите прав субъектов ПДн) Информационные системы персональных данных Информационные системы ПДн Биометрические ПДн ПДн Реестр операторов информационных систем ПДн Уведомляет о своем намерении осуществлять обработку ПДн Согласие на обработку своих ПДн. (отзыв) Запрос о наличии ПДн. Обработка, обеспечение безопасности ПДн Сообщает о наличии ПДн Контроль и надзор за выполнением требований к обеспечению безопасности ПДн Принимает меры по приостановлению или прекращению обработки ПДн Отчеты о деятельности Представление о приостановлении или прекращению обработки ПДн Субъект персональных данных Ведет ФСБ России, ФСТЭК России Оператор Устанавливает требования и разрабатывает комплекс мер по обеспечению безопасности ПДн Заявления о приостановлении действия лицензии Орган, осуществляющий лицензирование деятельности оператора

Информационные системы персональных данных Федеральная служба по надзору в сфере связи (Уполномоченный орган по защите прав субъектов ПДн) Информационные системы персональных данных Информационные системы ПДн Биометрические ПДн ПДн Реестр операторов информационных систем ПДн Уведомляет о своем намерении осуществлять обработку ПДн Согласие на обработку своих ПДн. (отзыв) Запрос о наличии ПДн. Обработка, обеспечение безопасности ПДн Сообщает о наличии ПДн Контроль и надзор за выполнением требований к обеспечению безопасности ПДн Принимает меры по приостановлению или прекращению обработки ПДн Представление о приостановлении или прекращению обработки ПДн Субъект персональных данных Ведет ФСБ России, ФСТЭК России Оператор Устанавливает требования и разрабатывает комплекс мер по обеспечению безопасности ПДн Заявления о приостановлении действия лицензии Орган, осуществляющий лицензирование деятельности оператора

Информационные системы персональных данных Федеральная служба по надзору в сфере связи (Уполномоченный орган по защите прав субъектов ПДн) Информационные системы персональных данных Информационные системы ПДн Биометрические ПДн ПДн Уведомляет о своем намерении осуществлять обработку ПДн Согласие на обработку своих ПДн. (отзыв) Запрос о наличии ПДн. Обработка, обеспечение безопасности ПДн Сообщает о наличии ПДн Контроль и надзор за выполнением требований к обеспечению безопасности ПДн Принимает меры по приостановлению или прекращению обработки ПДн Представление о приостановлении или прекращению обработки ПДн Субъект персональных данных ФСБ России, ФСТЭК России Оператор Устанавливает требования и разрабатывает комплекс мер по обеспечению безопасности ПДн Заявления о приостановлении действия лицензии Орган, осуществляющий лицензирование деятельности оператора

Возможность материального ущерба; Возможность репутационного ущерба. Главные риски оператора персональных данных

Угроза судебных исков владельцев персональных данных, связанных с нарушением порядка обработки их ПДн; Угроза административной ответственности, наступившей после проверок регуляторов, выявивших нарушение порядка обработки ПДн оператором. Угрозы, приводящие к материальному ущербу оператора персональных данных на момент ДО

Угроза судебных исков владельцев персональных данных, связанных с нарушением порядка обработки их ПДн; Угроза административной ответственности, наступившей после проверок регуляторов, выявивших нарушение порядка обработки ПДн оператором; Угроза приостановления или прекращении обработки персональных данных оператором. Угрозы, приводящие к материальному ущербу оператора персональных данных на момент ПОСЛЕ

Неправомерное распространение или передача персональных данных субъекта, о которых стало известно; Конфликты между оператором и субъектом персональных данных (на любой почве). Уязвимости, позволяющие реализовать угрозу судебных исков Группа уязвимостей, выражающаяся в недовольство субъекта персональных, повлекшее обращение в суд

Жалоба субъекта персональных данных в надзорный орган; Нарушение порядка обработки ПДн оператором, которые могут быть выявлены в ходе плановых проверок надзорных органов. Уязвимости, позволяющие реализовать угрозу административной ответственности

Отказ субъекта персональных данных в согласии на обработку своих ПДн Серьезные нарушения порядка обработки ПДн оператором, выявленные в ходе плановых проверок надзорных органов. Уязвимости, позволяющие реализовать угрозу приостановления или прекращении обработки персональных данных оператором.

Информационные системы персональных данных Федеральная служба по надзору в сфере связи (Уполномоченный орган по защите прав субъектов ПДн) Информационные системы персональных данных Информационные системы ПДн Биометрические ПДн ПДн Уведомляет о своем намерении осуществлять обработку ПДн Согласие на обработку своих ПДн. (отзыв) Запрос о наличии ПДн. Обработка, обеспечение безопасности ПДн Сообщает о наличии ПДн Контроль и надзор за выполнением требований к обеспечению безопасности ПДн Принимает меры по приостановлению или прекращению обработки ПДн Представление о приостановлении или прекращению обработки ПДн Субъект персональных данных ФСБ России, ФСТЭК России Оператор Устанавливает требования и разрабатывает комплекс мер по обеспечению безопасности ПДн Заявления о приостановлении действия лицензии Орган, осуществляющий лицензирование деятельности оператора

Группа технико-правовых уязвимостей Группа социально-правовых уязвимостей Уязвимости оператора персональных данных Уязвимости можно разделить на две условные группы:

Пути снижения рисков операторов ПДн Сокращение количества ПДн, собираемых оператором Ясное объяснение субъектам ПДн целей сбора и предоставление убедительных гарантий в сохранности их данных Выстраивание позитивных отношений с субъектами ПДн Предупреждение субъекта обо всех операциях и на всех уровнях взаимодействия Оперативное реагирование на все запросы субъекта ПДн По группе социально правовых уязвимостей основные усилия должны быть направлены на минимизацию возможности недовольства субъекта:

Пути снижения рисков операторов ПДн Сокращение количества ПДн, обрабатываемых в ИС ПДн Проведение мероприятий по приведению ИС ПДн в соответствие требованиям Закона (хотя бы начать что- то делать) По возможности снижение класса ИС ПДн и категории обрабатываемых ПДн По группе технико-правовых уязвимостей основные усилия должны быть направлены на снижение нарушений обработки ПДн:

максимальное использование возможностей уже имеющихся в ИС средств защиты информации, возможностей ОС и прикладного ПО принятие дополнительных мер, позволяющих снизить требования к части ИСПДн или сегментам сети, где такие ИСПДн расположены сокращение количества АРМ, обрабатывающих ПДн, разделение функций пользователей, минимизирование одновременной обработки ПДн из разных систем обезличивание части ИСПДн (переход на абонентские и табельные номера, номера лицевых счетов и т.п.); разделение ИС межсетевыми экранами на отдельные сегменты (ИСПДн), классификация каждого сегмента и снижения требований к ним организация терминального доступа к ИСПДн исключение из ИСПДн части ПДн, хранение их на бумажных или иных носителях Как удешевить систему защиты ? Пути минимизации затрат на защиту ПДн

Спасибо за внимание ! Роман Кобцев , МОСКВА, Зеленоград, а\я 81 тел. (495) , факс (499)