М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.

Презентация:



Advertisements
Похожие презентации
В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет: Положение об обеспечении 1.
Advertisements

Основные этапы подготовки образовательного учреждения к реализации ФЗ 152 «О персональных данных»
М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Закон о персональных данных: проблемы реализации 4-й ЕВРАЗИЙСКИЙ ФОРУМ ИНФОФОРУМ-Евразия.
Защита персональных данных. Практический алгоритм проведения работ в организациях, учреждениях, на предприятиях Истомин Дмитрий
Основные этапы подготовки образовательного учреждения к реализации ФЗ 152 «О защите персональных данных» 19 ноября 2010 г.
Текущая ситуация Законодательство, нормативы ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 27 ИЮЛЯ 2006 Г. 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА.
Защита персональных данных: основные аспекты. Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Персональные данные (ПДн) Кто? От кого?
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.
Общий порядок действий оператора по выполнению требований Федерального закона от ФЗ «О персональных данных»
Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 1 Тема:
Заместитель директора ООО «ИТ Энигма» по информационной безопасности Метальников Александр ОСНОВНЫЕ ВОПРОСЫ РАБОТЫ ИТ- СПЕЦИАЛИСТА ЛПУ ПО ЗАЩИТЕ ПДН.
Защита персональных данных 2008 г.. CNews Forum 2008 Информация о компании О компании ReignVox - российская компания, специализирующаяся на разработках.
Основные мероприятия по организации обеспечения безопасности персональных данных Выполнила студентка группы 11 инф 112: Анянова Радослава.
Федеральный закон о персональных данных. Необходимо: 1.Получать разрешение на обработку и передачу персональных данных. 2.Уведомлять РОСКОМНАДЗОР о том,
ИНФОРМЗАЩИТА-СОФТ новый уровень безопасности Правовые, организационно - технические мероприятия по обеспечению безопасности персональных данных при их.
Персональные данные (ПДн). Организация работы по защите ПДн в образовательном учреждении 14 апреля 2010 года.
Федеральный закон 152-ФЗ «О персональных данных» от 27 июля 2006 года ( с последними изменениями от 25 июля 2011 года) Требования к юридическим лицам.
Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в.
Защита персональных данных работников. Положения о защите персональных данных работников регламентируют Конституция Российской Федерации Конституция Российской.
Защита персональных данных в информационных системах 24 ноября 2010 года.
Транксрипт:

М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ 03 июня 2008 г., Москва

Проанализировать все эксплуатируемые информационные системы и традиционные хранилища данных, выявить все, где присутствуют и обрабатываются персданные. Защита персональных данных ШАГ 1: ИНВЕНТАРИЗАЦИЯ РЕСУРСОВ

Оценить наличие предусмотренных законом оснований для обработки персональных данных, в случаях, когда они отсутствуют – получить согласие субъекта. Отдельный вопрос – передача персональных данных ШАГ 2: СОГЛАСИЕ СУБЪЕКТОВ НА ОБРАБОТКУ

Пересмотреть договора с работниками и клиентами в части обработки персональных данных и, особенно, их распространения (передачи) ШАГ 3: ПЕРЕСМОТР ДОГОВОРОВ С СУБЪЕКТАМИ

ШАГ 4: СФОРМИРОВАТЬ ПЕРЕЧЕНЬ ПЕРСДАННЫХ ФЗ «О персональных данных» Статья 9. Письменное согласие субъекта персданных на обработку своих персональных данных должно включать в себя …перечень персональных данных, на обработку которых дается согласие субъекта Статья 14. Субъект персданных имеет право на получение … информации, касающейся обработки его персданных, в том числе содержащей … перечень обрабатываемых персданных и источник их получения

Определить и зафиксировать документально предельные сроки хранения персональных данных после расторжения (прекращения) договора с работником, клиентом, абонентом (физическими лицами), исходя из сроков: требований законодательства: гражданского трудового пенсионного о безопасности и правоохранительной деятельности … исковой давности взаимных претензий банка и клиента ШАГ 5: УСТАНОВИТЬ СРОКИ ОБОРАБОТКИ ПЕРСДАННЫХ

ШАГ 6: ОГРАНИЧИТЬ ДОСТУП РАБОТНИКОВ БАНКА К ПЕРСДАННЫМ Положение об обеспечении безопасности персональных данных при их обработке в ИСПДн 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя … учет лиц, допущенных к работе с персональными данными в информационной системе 14. Лица, доступ которых к персданным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персданным на основании списка, утвержденного оператором или уполномоченным лицом.

ШАГ 7: ДОКУМЕНТАЛЬНО РЕГЛАМЕНТИРОВАТЬ РАБОТУ С ПЕРСДАННЫМИ Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты 8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области

ШАГ 8: СФОРМИРОВАТЬ МОДЕЛЬ УГРОЗ ПЕРСДАННЫМ Положение об обеспечении безопасности персональных данных при их обработке в ИСПДн 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в ИС включают в себя: а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз г. Заместителем директора ФСТЭК России утверждены: Базовая модель угроз безопасности ПД при их обработке в ИСПД Методика определения актуальных угроз безопасности ПД при их обработке в ИСПД

ШАГ 9: КЛАССИФИЦИРОВАТЬ ИСПДн Приказ ФСТЭК/ФСБ/Мининформсвязи от /86/20 «Об утверждении порядка проведения классификации ИСПДн» Классификация ИСПДн проводится госорганами, …, юридическими и физическими лицами, организующими и осуществляющими обработку ПДн, а также определяющими цели и содержание такой обработки Определяются следующие категории обрабатываемых в информационной системе персональных данных (Х ПД ): - категория 2 – ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию; Коэффициент ХПДН может принимать следующие значения: - 1 – в ИСПДн одновременно обрабатываются ПДн более чем субъектов ПДн…; - 2 – в ИСПДн одновременно обрабатываются ПДн от до субъектов ПДн;

ШАГ 10: СОСТАВИТЬ И НАПРАВИТЬ В УПОЛНОМОЧЕННЫЙ ОРГАН УВЕДОМЛЕНИЕ

ФЗ «О персональных данных» Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персданных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персданных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персданных, а также от иных неправомерных действий. ШАГ 11: ПРИВЕСТИ СИСТЕМУ ЗАЩИТЫ ПЕРСДАННЫХ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ РЕГУЛЯТОРОВ

ШАГ 12: ПОЛУЧИТЬ ЛИЦЕНЗИЮ НА ТЕХНИЧЕСКУЮ ЗАЩИТУ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ Основные мероприятия по организации и техническому обеспечению безопасности ПД, обрабатываемых в ИСПД Операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальная информация) при их обработке в ИСПДн 1 и 2 классов и распределенных ИС 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации

ШАГ 13: СОЗДАТЬ ПОДСИСТЕМУ ИБ ИСПДн И АТТЕСТОВАТЬ (СЕРТИФИЦИРОВАТЬ) ЕЕ Основные мероприятия по организации и техническому обеспечению безопасности ПД, обрабатываемых в ИСПД Оценка соответствия ИСПДн по требованиям безопасности ПДн производится: Для ИСПДн 1 и 2 классов – обязательная сертификация (аттестация) по требованиям безопасности информации

ШАГ 14: ОРГАНИЗОВАТЬ ЭКСПЛУАТАЦИЮ ИСПДн И КОНТРОЛЬ ЗА БЕЗОПАНОСТЬЮ Положение об обеспечении безопасности персональных данных при их обработке в ИСПДн 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: з) контроль за соблюдением условий использования СЗИ, предусмотренных эксплуатационной и технической документацией; и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования СЗИ, которые могут привести к нарушению конфиденциальности ПДн…

(495) ВОПРОСЫ? М.Ю.Емельянников ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ 03 июня 2008 г., Москва