Так ли страшен черт или в чем риск ? ОАО ЭЛВИС-ПЛЮС ____________________ Москва, 29 сентября 2009 г.
Какие риски несет оператор персональных данных (ПДн)? Реализация каких основных угроз может привести к возникновению рисков оператора ПДн? – новые риски или новые угрозы? Пути снижения рисков Вопросы презентации
Информационные системы персональных данных Правительство Российской Федерации Федеральная служба по надзору в сфере связи (Уполномоченный орган по защите прав субъектов ПДн) Информационные системы персональных данных Информационные системы ПДн Биометрические ПДн ПДн Реестр операторов информационных систем ПДн Уведомляет о своем намерении осуществлять обработку ПДн Согласие на обработку своих ПДн. (отзыв) Запрос о наличии ПДн. Обработка, обеспечение безопасности ПДн Сообщает о наличии ПДн Контроль и надзор за выполнением требований к обеспечению безопасности ПДн Принимает меры по приостановлению или прекращению обработки ПДн Отчеты о деятельности Представление о приостановлении или прекращению обработки ПДн Субъект персональных данных Ведет ФСБ России, ФСТЭК России Оператор Функции оператора: определение целей и содержания обработки ПДн; принятие мер по обеспечению конфиденциальности и целостности ПДн; блокирование персональных данных; уточнение ПДн; уничтожение ПДн. Функции уполномоченного органа по защите прав субъектов ПДн: контроль и надзора за соответствием обработки ПДн требованиям Федерального закона; рассмотрение обращений субъекта ПДн о соответствии содержания и способов обработки ПДн цели их обработки; проверка сведений, сообщаемых операторами при уведомлении о намерении осуществлять обработку ПДн; принятие мер по приостановлению или прекращению обработки ПДн; подготовка предложений по совершенствованию нормативного правового регулирования защиты прав субъектов ПДн. Устанавливает требования и разрабатывает комплекс мер по обеспечению безопасности ПДн Заявления о приостановлении действия лицензии Орган, осуществляющий лицензирование деятельности оператора
Информационные системы персональных данных Правительство Российской Федерации Федеральная служба по надзору в сфере связи (Уполномоченный орган по защите прав субъектов ПДн) Информационные системы персональных данных Информационные системы ПДн Биометрические ПДн ПДн Реестр операторов информационных систем ПДн Уведомляет о своем намерении осуществлять обработку ПДн Согласие на обработку своих ПДн. (отзыв) Запрос о наличии ПДн. Обработка, обеспечение безопасности ПДн Сообщает о наличии ПДн Контроль и надзор за выполнением требований к обеспечению безопасности ПДн Принимает меры по приостановлению или прекращению обработки ПДн Отчеты о деятельности Представление о приостановлении или прекращению обработки ПДн Субъект персональных данных Ведет ФСБ России, ФСТЭК России Оператор Устанавливает требования и разрабатывает комплекс мер по обеспечению безопасности ПДн Заявления о приостановлении действия лицензии Орган, осуществляющий лицензирование деятельности оператора
Информационные системы персональных данных Федеральная служба по надзору в сфере связи (Уполномоченный орган по защите прав субъектов ПДн) Информационные системы персональных данных Информационные системы ПДн Биометрические ПДн ПДн Реестр операторов информационных систем ПДн Уведомляет о своем намерении осуществлять обработку ПДн Согласие на обработку своих ПДн. (отзыв) Запрос о наличии ПДн. Обработка, обеспечение безопасности ПДн Сообщает о наличии ПДн Контроль и надзор за выполнением требований к обеспечению безопасности ПДн Принимает меры по приостановлению или прекращению обработки ПДн Представление о приостановлении или прекращению обработки ПДн Субъект персональных данных Ведет ФСБ России, ФСТЭК России Оператор Устанавливает требования и разрабатывает комплекс мер по обеспечению безопасности ПДн Заявления о приостановлении действия лицензии Орган, осуществляющий лицензирование деятельности оператора
Информационные системы персональных данных Федеральная служба по надзору в сфере связи (Уполномоченный орган по защите прав субъектов ПДн) Информационные системы персональных данных Информационные системы ПДн Биометрические ПДн ПДн Уведомляет о своем намерении осуществлять обработку ПДн Согласие на обработку своих ПДн. (отзыв) Запрос о наличии ПДн. Обработка, обеспечение безопасности ПДн Сообщает о наличии ПДн Контроль и надзор за выполнением требований к обеспечению безопасности ПДн Принимает меры по приостановлению или прекращению обработки ПДн Представление о приостановлении или прекращению обработки ПДн Субъект персональных данных ФСБ России, ФСТЭК России Оператор Устанавливает требования и разрабатывает комплекс мер по обеспечению безопасности ПДн Заявления о приостановлении действия лицензии Орган, осуществляющий лицензирование деятельности оператора
Возможность материального ущерба; Возможность репутационного ущерба. Главные риски оператора персональных данных
Угроза судебных исков владельцев персональных данных, связанных с нарушением порядка обработки их ПДн; Угроза административной ответственности, наступившей после проверок регуляторов, выявивших нарушение порядка обработки ПДн оператором. Угрозы, приводящие к материальному ущербу оператора персональных данных на момент ДО
Угроза судебных исков владельцев персональных данных, связанных с нарушением порядка обработки их ПДн; Угроза административной ответственности, наступившей после проверок регуляторов, выявивших нарушение порядка обработки ПДн оператором; Угроза приостановления или прекращении обработки персональных данных оператором. Угрозы, приводящие к материальному ущербу оператора персональных данных на момент ПОСЛЕ
Неправомерное распространение или передача персональных данных субъекта, о которых стало известно; Конфликты между оператором и субъектом персональных данных (на любой почве). Уязвимости, позволяющие реализовать угрозу судебных исков Группа уязвимостей, выражающаяся в недовольство субъекта персональных, повлекшее обращение в суд
Жалоба субъекта персональных данных в надзорный орган; Нарушение порядка обработки ПДн оператором, которые могут быть выявлены в ходе плановых проверок надзорных органов. Уязвимости, позволяющие реализовать угрозу административной ответственности
Отказ субъекта персональных данных в согласии на обработку своих ПДн Серьезные нарушения порядка обработки ПДн оператором, выявленные в ходе плановых проверок надзорных органов. Уязвимости, позволяющие реализовать угрозу приостановления или прекращении обработки персональных данных оператором.
Информационные системы персональных данных Федеральная служба по надзору в сфере связи (Уполномоченный орган по защите прав субъектов ПДн) Информационные системы персональных данных Информационные системы ПДн Биометрические ПДн ПДн Уведомляет о своем намерении осуществлять обработку ПДн Согласие на обработку своих ПДн. (отзыв) Запрос о наличии ПДн. Обработка, обеспечение безопасности ПДн Сообщает о наличии ПДн Контроль и надзор за выполнением требований к обеспечению безопасности ПДн Принимает меры по приостановлению или прекращению обработки ПДн Представление о приостановлении или прекращению обработки ПДн Субъект персональных данных ФСБ России, ФСТЭК России Оператор Устанавливает требования и разрабатывает комплекс мер по обеспечению безопасности ПДн Заявления о приостановлении действия лицензии Орган, осуществляющий лицензирование деятельности оператора
Группа технико-правовых уязвимостей Группа социально-правовых уязвимостей Уязвимости оператора персональных данных Уязвимости можно разделить на две условные группы:
Пути снижения рисков операторов ПДн Сокращение количества ПДн, собираемых оператором Ясное объяснение субъектам ПДн целей сбора и предоставление убедительных гарантий в сохранности их данных Выстраивание позитивных отношений с субъектами ПДн Предупреждение субъекта обо всех операциях и на всех уровнях взаимодействия Оперативное реагирование на все запросы субъекта ПДн По группе социально правовых уязвимостей основные усилия должны быть направлены на минимизацию возможности недовольства субъекта:
Пути снижения рисков операторов ПДн Сокращение количества ПДн, обрабатываемых в ИС ПДн Проведение мероприятий по приведению ИС ПДн в соответствие требованиям Закона (хотя бы начать что- то делать) По возможности снижение класса ИС ПДн и категории обрабатываемых ПДн По группе технико-правовых уязвимостей основные усилия должны быть направлены на снижение нарушений обработки ПДн:
максимальное использование возможностей уже имеющихся в ИС средств защиты информации, возможностей ОС и прикладного ПО принятие дополнительных мер, позволяющих снизить требования к части ИСПДн или сегментам сети, где такие ИСПДн расположены сокращение количества АРМ, обрабатывающих ПДн, разделение функций пользователей, минимизирование одновременной обработки ПДн из разных систем обезличивание части ИСПДн (переход на абонентские и табельные номера, номера лицевых счетов и т.п.); разделение ИС межсетевыми экранами на отдельные сегменты (ИСПДн), классификация каждого сегмента и снижения требований к ним организация терминального доступа к ИСПДн исключение из ИСПДн части ПДн, хранение их на бумажных или иных носителях Как удешевить систему защиты ? Пути минимизации затрат на защиту ПДн
Спасибо за внимание ! Роман Кобцев , МОСКВА, Зеленоград, а\я 81 тел. (495) , факс (499)