Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
Презентация была опубликована 12 лет назад пользователемwww.4cio.ru
1 Практические аспекты выполнения законодательных требований при обработке персональных данных Докладчик: Шубин А.С., Служба информационной безопасности 22 сентября 2009 г.
2 2 ЦЕЛЬ ЗАКОНА 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» Статья 2. Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну
3 3 ЧТО ДЕЛАТЬ?
4 4 АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА Закон 152-ФЗ и подзаконные нормативно- правовые акты (Постановление Правительства РФ 781 – 2007г. и другие) ОБРАБОТКА без СРЕДСТВ АВТОМАТИЗАЦИИ Закон 152-ФЗ и подзаконные нормативно-правовые акты (Постановление Правительства РФ 687 – 2008г. и другие) ИСПД персональные данные информационные технологии средства автоматизации технические средства персональные данные Законодательно определенные меры защиты при обработке ПД ПРАВОВЫЕОрганизационныеТЕХНИЧЕСКИЕПРАВОВЫЕОрганизационныеТЕХНИЧЕСКИЕ технические средства ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ в БАНКЕ «ВОЗРОЖДЕНИЕ» Федеральный закон от 27 июля 2006 года 152-ФЗ « О персональных данных » (большинство законодательных норм закона – «прямого действия»)
5 5 Статья 16. Защита информации представляет собой принятие правовых, организационных и технических мер … Федеральный закон 149 _ФЗ «Об информации, информационных технологиях и о защите информации»
6 6 ШАГ ПЕРВЫЙ
7 7 ШАГ ВТОРОЙ
8 8 Политика информационной безопасности Банка «Возрождение» (ОАО) (ПИБ-2008) Вторая редакция Введена в действие с 10 января 2008 года Устанавливает общие положения по обеспечению информационной безопасности в корпоративной информационной системе Открытого акционерного общества Банк «Возрождение»
9 9 СОДЕРЖАНИЕ ПИБ Область применения 2. Нормативные ссылки 3. Термины и определения 4. Общие положения 5. Объекты защиты и субъекты информационных отношений 6. Исходная концептуальная схема обеспечения информационной безопасности 7. Основные принципы обеспечения информационной безопасности 8. Общие (основные) требования по обеспечению информационной безопасности 9. Система менеджмента информационной безопасности 10. Проверка и оценка информационной безопасности 11. Модель зрелости процессов менеджмента информационной безопасности 12. Правовые основы системы менеджмента информационной безопасности 13. Меры ответственности
10 Правовые основы системы менеджмента информационной безопасности 12.1 Общие положения Организация правовых процедур по защите информации, составляющей коммерческую тайну (сведений, являющихся секретом производства) Организация правовых процедур по защите персональных данных Организация правовых процедур по защите банковской тайны Организация правовых процедур при лицензировании деятельности по защите информации и сертификации продукции (услуг)
11 11 Циклическая модель Деминга «… планирование реализация проверка совершенствование планирование …» является основой модели менеджмента стандартов качества ГОСТ Р ИСО 9001, информационной безопасности ГОСТ Р ИСО\МЭК 27001:2006 и комплекса стандартов Банка России по обеспечению информационной безопасности СТО БР ИББС_1.Х Процессы ИБ планы ИБ Планирование Реализация Проверка Совершенствование,, деятельности
12 12 1. Корректировка Перечня сведений конфиденциального характера, подлежащих защите в банке, в части определения ПД. Основные мероприятия Плана по реализации требований Федерального закона «О персональных данных» 152-ФЗ в банке 2. Разработка Списка документов и форм, содержащих обрабатываемые ПД и порядка его ведения. 5. Ревизия типовых договоров, анкет и других применяемых типовых форм. 6. Формирование Модели угроз безопасности персональных данных и Модели нарушителя. 7. Классификация ИСПД банка. 9. Доработка ИСПД банка в соответствии с требованиями законодательства РФ по обработке ПД (по отдельному плану). 8. Обучение персонала. 3. Разработка формы Согласия субъекта ПД – клиента банка. 4. Приведение в соответствие законодательным требованиям документационного обеспечения процессов обработки ПД в ИСПД банка. 10. Аттестация ИСПД (объектов информатизации) банка.
13 13 Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от г. N 55/86/20 «Порядок проведения классификации информационных систем персональных данных» Постановление Правительства РФ от г. 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Федеральный закон 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных категория 4 - обезличенные и (или) общедоступные персональные данные
14 14 Специальные категории персональных данных: касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни ЗАКОН «О ПЕРСОНАЛЬНЫХ ДАННЫХ» 152-ФЗ Биометрические персональные данные: характеризуют физиологические особенности человека и на основе которых можно установить его личность Общедоступные персональные данные: персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности
15 15
16 16 Список документов и форм, содержащих обрабатываемые персональные данные
17 17 Перечень сведений, составляющих персональные данные 1. Персональные данные 1 категории (специальные ПД) Сведения о состоянии здоровья и интимной жизни, о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях (данные справок и медицинских заключений о состоянии здоровья, данные диспансеризации, данные листов о временной нетрудоспособности в части диагнозов заболеваний, признаки причастности клиентов к террористам или экстремистам, к влиятельным политическим лицам). 2. Персональные данные 2 категории (биометрические ПД). Персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1: 2.1. Сведения о биометрических персональных данных, характеризующих физиологические особенности человека, за исключением персональных данных, относящихся к 1 категории (видеозаписи систем охранного телевидения, банковских терминальных устройств, ксерокопии с документов, удостоверяющих личность и имеющих фотографию владельца, фотографии сотрудников и клиентов Банка, данные в устройствах, использующих для идентификации биометрические данные человека). 3. Персональные данные 3 категории (общие ПД). Персональные данные, позволяющие идентифицировать субъекта персональных данных: 3.1. Фамилия, имя, отчество, год, месяц, дата и место рождения, паспортные данные (номер, серия, данные о выдаче), сведения о месте и дате регистрации (месте жительства) Сведения о номере и серии страхового свидетельства государственного пенсионного страхования Сведения из страховых полисов обязательного (добровольного) медицинского страхования (в т.ч. данные соответствующих карточек медицинского страхования) Сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу. ……………………………………
18 18 Перечень сведений, составляющих персональные данные (продолжение) 4. Персональные данные 4 категории (общие ПД). Обезличенные и (или) общедоступные персональные данные: 4.1. Сведения о семейном положении (состояние в браке, наличие брачного контракта, дата регистрации, фамилия, имя и отчество супруга (и) и его (ее) социальный статус, наличие детей и их возраст, семейные доходы и расходы, долги и другие сведения, кроме указанных в соответствующем пункте раздела 3) Данные о трудовой деятельности (данные о трудовой занятости на текущее время, стаж работы, наличие трудового договора, организации, занимаемые в них должности и время работы в этих организациях, а также другие сведения, кроме указанных в соответствующем пункте раздела 3) Сведения об образовании, квалификации, о наличии специальных знаний или специальной подготовки (образовательная категория, ученая степень, образовательное учреждение, дата начала и завершения обучения, квалификация и специальность по окончании учебного заведения и другие сведения, кроме указанных в соответствующем пункте раздела 3) Сведения об имуществе (имущественное положение): - автотранспорт (вид владения, марка, модель, производство, год выпуска, способ получения и другие сведения, кроме указанных в соответствующем пункте раздела 3); - недвижимое имущество (вид, тип, способ получения, общие характеристики, стоимость и другие сведения, кроме указанных в соответствующем пункте раздела 3); ……………………………………………………….
19 19 Благодарю за внимание!
Еще похожие презентации в нашем архиве:
© 2024 MyShared Inc.
All rights reserved.