Сфокусированные на бизнес-задачах ECM-решения Практические способы обеспечения требований закона о персональных данных в ECM-системе Чермак Константин.

Презентация:



Advertisements
Похожие презентации
Защита персональных данных: основные аспекты. Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Персональные данные (ПДн) Кто? От кого?
Advertisements

Методология определения класса ИСПДн. КАТЕГОРИЯ ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ДАННЫХ - Х ПД; ОБЪЁМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ (КОЛИЧЕСТВО.
Федеральный закон о персональных данных. Необходимо: 1.Получать разрешение на обработку и передачу персональных данных. 2.Уведомлять РОСКОМНАДЗОР о том,
Текущая ситуация Законодательство, нормативы ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 27 ИЮЛЯ 2006 Г. 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА.
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ Требования законодательства РФ в области обработки и защиты ПДн. © 2010, ООО «НПО «ОнЛайн Защита». Все права защищены ,
Обеспечение безопасности персональных данных. Проблемы и решения 9 марта 2011 года.
Защита персональных данных от несанкционированного доступа.
Структура нормативных документов ФЗ-152 «О персональных данных» ФСТЭК Приказ 58 Порядок проведения классификации Базовая модель Методика определения угроз.
М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.
Выполнила: Студентка группы 11Инф 112 Анянова Радослава.
Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 1 Тема:
Компания «Инфо-Оберег» Дорофеев Владимир Игоревич.
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ АСТРАХАНСКОЙ ОБЛАСТИ О соблюдении требований Федерального закона от ФЗ «О персональных данных» при организации.
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ СТАВРОПОЛЬСКИЙ ГОСУДАРСТВЕННЫЙ АГРАРНЫЙ УНИВЕРСИТЕТ.
ФЗ 142 ОТ ГОДА « О ПЕРСОНАЛЬНЫХ ДАННЫХ » ВЫПОЛНИЛА СТУДЕНТКА 5 КУРСА ГРУППЫ ТО 14/1 ЯРОВАЯ АЛЁНА.
» ГБУ СО «СОЦИ» 1 31 января 2011 года Докладчик: Заместитель начальника отдела информационной безопасности ГБУ СО «СОЦИ» Колгин Антон Александрович 14.
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ в информационных системах операторов связи.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.
Марийский региональный центр повышения квалификации и переподготовки кадров Мероприятия по определению персональных данных и подготовке нормативных документов.
Защита персональных данных Начальник отдела мобилизационной подготовки и защиты информации И.В.Тимохин.
Транксрипт:

Сфокусированные на бизнес-задачах ECM-решения Практические способы обеспечения требований закона о персональных данных в ECM-системе Чермак Константин Руководитель проекта DIRECTUM

Сфокусированные на бизнес-задачах ECM-решения Определение Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Сфокусированные на бизнес-задачах ECM-решения Определение Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных ИСПДн - информационная система представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств

Сфокусированные на бизнес-задачах ECM-решения Законодательство о персональных данных

Сфокусированные на бизнес-задачах ECM-решения Категории персональных данных КатегорияОписание 1 категория персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни 2 категория персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 (например, сведения об образовании, об имуществе лица и т.п.) 3 категория персональные данные, позволяющие идентифицировать субъекта персональных данных 4 категорияобезличенные и (или) общедоступные персональные данные

Сфокусированные на бизнес-задачах ECM-решения Объем персональных данных Объем 1 Более чем субъектов или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом. 2 От 1000 до субъектов или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования. 3Менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

Сфокусированные на бизнес-задачах ECM-решения Классы ИСПДн Объем Категория Менее От до Более Категория 4 Обезличенные и (или) общедоступные персональные данные К4 Категория 3 Идентификация субъекта К3 К2 Категория 2 Идентификация субъекта + дополнительная информация, кроме относящейся к категории 1 К3К2К1 Категория 1 Расовая, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь К1

Сфокусированные на бизнес-задачах ECM-решения Требования к операторам ТребованиеК1К2К3К4 Декларирование соответствия--+- Аттестация ИСПДн++-- Лицензия на деятельность по технической защите конфиденциальной информации ++ Для распред. систем - Защита от утечки за счет побочных электромагнитных излучений и наводок ++-- Применение средств криптозащиты+---

Сфокусированные на бизнес-задачах ECM-решения DIRECTUM – какие ПДн хранятся в системе Место хранения и категория ПДн Класс ИСПДн К3Класс ИСПДн К2 Работники (Категория 3) Объем до записей Объем > записей Контактные лица организаций (Категория 3) Объем до записей Объем > записей Персоны (категория 3) Объем до записей Объем > записей ТКЭД Кадровый приказ (Категория 3) Объем до записей Объем > записей ТКЭД Заявления (Категория 3) Объем до записей Объем > записей Обращения граждан и организаций (Категория 2) Объем до 1000 записейОбъем > 1000 записей Не структурированные документы – в зависимости от содержания Структурированные данные

Сфокусированные на бизнес-задачах ECM-решения Превентивные меры. Снижение класса Персональные данные имеют свою цену и эта цена высока! Удалить персональные данные: –которые собирались «до кучи» –которые более не нужны –хранение которых неоправданно дорого Разбить ИСПДн на отдельные системы Обезличивать уже обработанные данные

Сфокусированные на бизнес-задачах ECM-решения Превентивные меры. Мероприятия Оставить права доступа к ПДн только тем пользователям, кому это действительно необходимо для исполнения должностных обязанностей При передаче ПД на обработку 3-му лицу включить в договор пункт об обязанности обеспечения оператором и 3-ми лицами конфиденциальности и безопасности персональных данных при их обработке

Сфокусированные на бизнес-задачах ECM-решения DIRECTUM. Превентивные меры Снижение класса ИСПДн (что касается DIRECTUM): Не внесение лишних данных Уменьшение количества – удаление записей, введение срока жизни записи Уменьшение сведений о субъекте ПДн – скрытие «лишних» полей Обезличивание – формирование и хранение статистики, но удаление идентифицирующей информации

Сфокусированные на бизнес-задачах ECM-решения DIRECTUM. Превентивные меры

Сфокусированные на бизнес-задачах ECM-решения DIRECTUM. Превентивные меры Разделение систем обычной и выделение отдельной системы, в которой будут обрабатываться ПДн. Основная система входит в ИСПДн низкого класса (К4,К3) Дополнительная система с ограниченным доступом (К2,К1) Соответствующая своему классу защита систем Сквозные процессы

Сфокусированные на бизнес-задачах ECM-решения DIRECTUM. Превентивные меры

Сфокусированные на бизнес-задачах ECM-решения Организационные меры Создание регламентов Назначение ответственных Получение от субъектов ПДн согласия на обработку их ПДн Уведомление регулятора Аттестация (ИСПДН 1-2 класса) Сертификация СЗИ Получение лицензии ФСТЭК на ТЗКИ (операторы ИСПДн 1-2 класса)

Сфокусированные на бизнес-задачах ECM-решения Получение согласия от субъектов ПДн Необходимо согласие в письменной форме (за исключением установленных законом случаев): обработка специальных категорий персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни) обработка биометрических данных Согласие не требуется: обработка на основании закона (отчетность в ПФР, в ФНС, в соцстрах) обработка на основании договора (трудовой договор, услуги, купля-продажа) доставка почты организациями почтовой связи и для осуществления расчетов операторами электросвязи В остальных случаях согласие требуется (например, рассылка информации покупателям)

Сфокусированные на бизнес-задачах ECM-решения Уведомление направляется в Роскомнадзор Уведомление не требуется: –трудовые отношения –иные договорные отношения (услуги, купля- продажа, консалтинг) –ФИО и иные общедоступные данные –однократный пропуск на территорию оператора –обработка без использования средств автоматизации Уведомление регулятора об обработке ПДн

Сфокусированные на бизнес-задачах ECM-решения Технические меры. Требования ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Сайт ФСТЭК

Сфокусированные на бизнес-задачах ECM-решения Все меры защиты регламентируются ФСТЭК, степень защиты зависит от класса ИСПДн Антивирусы (Касперский, NOD32) Сертифицированные ОС (Windows XP, Server 2003) Модули доверенной загрузки (Эшелон) Электронные замки («Соболь», «КРИПТОН-ЗАМОК») Средства криптографической защиты информации (КриптоПро) Межсетевые экраны и шлюзы безопасности Системы акустической и виброакустической защиты Инструменты для организации физической защиты оборудования и зданий Технические меры

Сфокусированные на бизнес-задачах ECM-решения DIRECTUM. Технические меры Шифрование документов в системе (с использованием сертифицированных средств защиты) Разграничение прав доступа Шифрование дисков с БД (минус – снижение быстродействия) Шифрование файловых хранилищ Windows-аутентификация Организация отдельных подсетей для работы ИСПДн, защита серверов Применение межсетевых экранов (защита периметров подсетей файерволом) Наличие антивирусной защиты разного класса для разного класса ИСПДн (ПМВ)

Сфокусированные на бизнес-задачах ECM-решения Сертификации подлежат только средства защиты информации (СЗИ), DIRECTUM – средство обработки Не все ПДн организации хранятся в DIRECTUM (также в учетных системах, CRM, в файловой системе). Не все хранимые в DIRECTUM данные относятся к ПДн Наличие сертификата не отменяет обязанности выстроить систему защиты ПДн Частые вопросы к DIRECTUM

Сфокусированные на бизнес-задачах ECM-решения Спасибо за внимание! Ваши вопросы?