Закон о персональных данных и розничный бизнес банков Закон о персональных данных и розничный бизнес банков Олег Подкопаев, CIO 18 сентября, 2009.

Презентация:



Advertisements
Похожие презентации
Текущая ситуация Законодательство, нормативы ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 27 ИЮЛЯ 2006 Г. 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА.
Advertisements

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ в информационных системах операторов связи.
Защита персональных данных: основные аспекты. Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Персональные данные (ПДн) Кто? От кого?
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ Требования законодательства РФ в области обработки и защиты ПДн. © 2010, ООО «НПО «ОнЛайн Защита». Все права защищены ,
Обеспечение информационной безопасности при подготовке и проведении единого государственного экзамена в 2012 году Начальник отдела по информационной безопасности.
Защита персональных данных 2008 г.. CNews Forum 2008 Информация о компании О компании ReignVox - российская компания, специализирующаяся на разработках.
22 сентября 2009 г. Леонид Хоревский Директор Департамента сопровождения Компания «Диасофт» 152-ФЗ: Соблюдать нельзя игнорировать.
» ГБУ СО «СОЦИ» 1 31 января 2011 года Докладчик: Заместитель начальника отдела информационной безопасности ГБУ СО «СОЦИ» Колгин Антон Александрович 14.
Обеспечение безопасности персональных данных. Проблемы и решения 9 марта 2011 года.
Федеральный закон 152 «О персональных данных» Федеральный закон 152 «О персональных данных» Федеральный закон 152 «О персональных данных»
Федеральный закон 152-ФЗ «О персональных данных» от 27 июля 2006 года ( с последними изменениями от 25 июля 2011 года) Требования к юридическим лицам.
КОМПАНИЯ СТЭК « Применение законодательства по защите прав субъектов при обработке персональных данных »
1 SaaS и ФЗ сентября 2010 г. Москва. Агентство маркетинговых коммуникаций CNews Conferences и аналитическое агентство CNews Analytics. Круглый стол.
М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.
Методология определения класса ИСПДн. КАТЕГОРИЯ ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ДАННЫХ - Х ПД; ОБЪЁМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ (КОЛИЧЕСТВО.
Бикбулатов Тагир Ахатович Управление Роскомнадзора по Республике Башкортостан Специалист-эксперт отдела по защите прав субъектов персональных данных.
Обработка данных по пациентам, контактным с ВИЧ-инфицированными при помощи программного средства Гусев А. Г. начальник отдела компьютерного обеспечения.
Компания «Инфо-Оберег» Дорофеев Владимир Игоревич.
Образец заголовка АБС и Федеральный Закон 152-ФЗ «О персональных данных» Юрий Муратов Руководитель Управления производства и развития ЗАО «Новая Афина»
Законодательная и нормативная база правового регулирования вопросов защиты персональных данных. Руководящие документы по защите персональных данных Законодательная.
Транксрипт:

Закон о персональных данных и розничный бизнес банков Закон о персональных данных и розничный бизнес банков Олег Подкопаев, CIO 18 сентября, 2009

Русфинанс – краткая справка Состоит из Русфинанс Банка, ООО «Русфинанс» и банка СКТ Выполняет функцию основной базы группы Societe Generale по потребительскому кредитованию в России Группа специализируется на потребительских кредитах, выдаваемых через сеть коммерческих партнеров (сети розничных магазинов и авто дилеров), а также прямые займы по телефону, почте или через Интернет Насчитывает более сотрудников и обслуживает более 3 миллионов клиентов в 68 регионах России Русфинанс занимает - 2-е место по объему выданных автокредитов* - 1-е место по автокредитованию в автосалонах* - 3-е место по потребительскому кредитованию в точках продаж** * РБК Daily, март 2008 ** Финанс., январь 2008

Историческая справка 1981 год - Совет Европы принял Конвенцию «О защите личности в связи автоматической обработкой персональных данных» 2001 год – Россия присоединилась к Конвенции Совета Европы 2005 год - подписан Федеральный закон от ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных») 2006 год - подписан Федеральный закон от ФЗ «О персональных данных». К 2006 году почти вся Европа, многие страны Азии, Америки и даже Африки имели аналогичные законы. В чем Россия пошла дальше других стран, так это в разработке технических регламентов и требований, которые транслируют положения верхнего уровня в конкретные советы и рекомендации, обязательные к исполнению.

Нормативная база Приказ ФСТЭК РФ 55, ФСБ РФ 86, Мининформсвязи РФ 20 «Об утверждении порядка проведения классификации информационных систем персональных данных» от Документ ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» от Документ ФСТЭК «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных персональных данных» от Документ ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» от Документ ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от Постановление Правительства РФ 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от Постановление Правительства РФ 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от Федеральный закон «О персональных данных» 152-ФЗ от

Классификация систем ПД Категории персональных данных 1 категория - ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. 2 категория - ПДн, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 3 категория - ПДн, позволяющие идентифицировать субъекта персональных данных 4 категория - Обезличенные и (или) общедоступные ПДн Классификация в зависимости от объема обрабатываемых персональных данных 1 Свыше субъектов ПДн субъектов ПДн в рамках субъекта РФ или РФ в целом 2 От 1000 до субъектов ПДн субъектов из отрасли экономики ПДн субъектов из органа госвласти ПДн субъектов проживающих в пределах муниципального образования 3 менее 1000 субъектов ПДн субъектов в пределах одной организации Объем ПД 1Объем ПД 2Объем ПД 3 Категория ПД 1К1 Категория ПД 2К1К2К3 Категория ПД 3К2К3 Категория ПД 4К4

Риски розничных банков Юридические Операционные Коммерческие Финансовые Кредитные Технологические

Действия операторов ПД Юридические процедуры: Приведение внутренней нормативной базы и перестройка технологических процессов в соответствии с требованиями законодательства и нормативных документов Уведомление уполномоченного органа (Россвязькомнадзор) о намерении осуществлять обработку персональных данных. Получение согласия субъектов персональных данных на обработку их персональных данных. Аттестация по требованиям безопасности (получение аттестатов на системы и помещения) Получение лицензий ФСТЭК и ФСБ Технические процедуры: Идентификация информационных систем персональных данных. Формирование перечня ПДн, включая причины их обработки Классификация информационных систем персональных данных Построение модели угроз и определение необходимых мер по защите Документирование информационных систем Реализация системы защиты персональных данных

Оценка готовности к выполнению требований федерального закона «О персональных данных» Результаты исследования Сентябрь 2009 года

Оценка готовности к выполнению требований федерального закона «О персональных данных»9 © 2009 ЗАО «Делойт и Туш СНГ» Цели и задачи исследования В ходе исследования стояла задача получить ответы на следующие основные вопросы: Какова ситуация с защитой персональных данных в крупнейших российских организациях в настоящее время? С какими трудностями сталкиваются организации в процессе совершенствования своего подхода к хранению и обработке персональных данных в целях соблюдения требований законодательства? Какие финансовые и временные ресурсы необходимы для выполнения требований Федерального закона «О персональных данных»?

Оценка готовности к выполнению требований федерального закона «О персональных данных»10 © 2009 ЗАО «Делойт и Туш СНГ» Респонденты Исследование проводилось среди российских организаций и российских подразделений международных организаций, занятых в отраслях, связанных с обработкой значительного количества персональных данных: Телекоммуникационные компании, хранящие и/или обрабатывающие данные более чем 10 млн. субъектов персональных данных, 10%. Финансовые организации, хранящие и/или обрабатывающие данные 1 млн. 5 млн. субъектов персональных данных, 33%. Остальные респонденты, хранящие и/или обрабатывающие данные менее чем 500 тыс. субъектов персональных данных, 52%.

Оценка готовности к выполнению требований федерального закона «О персональных данных»11 © 2009 ЗАО «Делойт и Туш СНГ» Текущее состояние 1. Менее половины респондентов уверены в том, что существующие средства информационной безопасности позволяют надежно защитить персональные данные.

Оценка готовности к выполнению требований федерального закона «О персональных данных»12 © 2009 ЗАО «Делойт и Туш СНГ» Оценка нормативной базы 2. Подавляющее число респондентов признают важность законодательного регулирования в области персональных данных, однако считают многие требования Закона неясными, избыточными или спорными.

Оценка готовности к выполнению требований федерального закона «О персональных данных»13 © 2009 ЗАО «Делойт и Туш СНГ» Влияние на основную деятельность 3. Большинство респондентов не видят в выполнении требований Закона прямой практической пользы для своих клиентов и опасаются повышения стоимости предоставляемых услуг.

Оценка готовности к выполнению требований федерального закона «О персональных данных»14 © 2009 ЗАО «Делойт и Туш СНГ» Текущие показатели 4. Выполнение требований Закона рассматривается на данный момент скорее как задача службы информационной безопасности, а не всей организации в целом, что делает степень готовности недостаточно высокой.

Оценка готовности к выполнению требований федерального закона «О персональных данных»15 © 2009 ЗАО «Делойт и Туш СНГ» Планы 5. Недостаточное количество специалистов, а также существенные финансовые и временные затраты делают маловероятной готовность большинства организаций к выполнению требований Закона до 1 января 2010 года.

Закон о персональных данных и розничный бизнес банков Закон о персональных данных и розничный бизнес банков Олег Подкопаев, CIO 18 сентября, 2009