Закон О персональных данных: требования, регуляторы, реализация презентация

Содержание

Случаи нарушения конфиденциальности успешный несанкционированный доступ к данным Интернет-сервисов PlayStation Network и Qriocity (77 миллионов учётных записей, апрель 2011) Номер телефона и текст СМС-сообщения Мегафон, МТС, Билайн (лето 2011) ссылки на

Слайд 1Закон «О персональных данных» требования, регуляторы, реализация
Виталия Лепехина
Руководитель направления аудита и консалтинга


Vitaliya.Lepekhina@softline.ru

Слайд 2Случаи нарушения конфиденциальности
успешный несанкционированный доступ к данным Интернет-сервисов PlayStation Network и

Qriocity (77 миллионов учётных записей, апрель 2011)

Номер телефона и текст СМС-сообщения Мегафон, МТС, Билайн (лето 2011)
ссылки на страницы со статусами заказов в различных интернет-магазинах (лето 2011)
Электронные железнодорожные билеты с датами, номерами рейсов, именами пассажиров (лето 2011)
Имена, фамилии, адреса и телефоны почти 1,6 млн абонентов МТС в Башкирии и Петербурге на сайте zhiltsy.net (осень 2011)
и т.д.


Слайд 3Законодательство по защите персональных данных

Европейская Конвенция
«О защите физических лиц при

автоматизированной обработке персональных данных»
от 28.01.1981г.

Директива 95/46/ЕС
«О защите прав частных лиц применительно к обработке персональных данных»
от 24.10.1995 г.

Директива 97/66/ЕС
«Об использовании персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций»
от 15.12.1997 г.

Международное законодательство


Федеральный закон Российской Федерации от 27 июля 2006 г. № 152 «О персональных данных»

Федеральный закон Российской Федерации от 25 июля 2011 г. N 261 «О внесении изменений в Федеральный закон «О персональных данных»»

Российское законодательство


подписана от имени Российской Федерации в городе Страсбурге 7 ноября 2001 года
ратифицирована Федеральным законом №160 от 19 декабря 2005 года



Слайд 4Российское законодательство по защите персональных данных

ФЗ №152 от 27 июля 2006
«О

персональных данных»

Постановление Правительства РФ №781 от 17 ноября 2007 г. «Об обеспечении безопасности персональных данных при их обработке в ИСПДн»

Постановление Правительства РФ №687 от 15 сентября 2008 г. «Об особенностях обработки персональных данных без использования …»

ФЗ №261 от 25 июля 2011
«О внесении изменений…»






Методические документы ФСТЭК России

Методические документы ФСБ России

Совместный приказ ФСБ, ФСТЭК, Минкомсвязи

Административный регламент Роскомнадзора


Организации всех форм собственности и физ.лица


Организации банковской сферы
Комплекс Стандарта Банка России







Слайд 5Основные определения


Слайд 6Обработка совместно с другими лицами


Слайд 7Основания обработки ПДн


Слайд 8Меры по обеспечению безопасности, закрепленные в 152-ФЗ
Ассоциации, союзы и иные объединения

операторов вправе определить дополнительные угрозы безопасности ПДн, актуальные при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов

Определение угроз безопасности
Применение организационных и технических мер в соответствии с установленными Правительством РФ уровнями защищенности
Использование СЗИ, прошедших процедуру оценки соответствия
Оценка эффективности применяемых мер до ввода ИСПДн в эксплуатацию
Назначение лица, ответственного за организацию обработки ПДн
Контроль за принимаемыми мерами и уровнем защищенности ПДн
И т.д.


Слайд 9Российское законодательство по защите персональных данных сегодня

ФЗ №152 от 27 июля

2006 г.
«О персональных данных»
В редакции ФЗ №261 от 25 июля 2011 г.

Постановление Правительства РФ №781 от 17 ноября 2007 г. «Об Обеспечении безопасности персональных данных при их обработке в ИСПДн»

Постановление Правительства РФ №687 от 15 сентября 2008 г. «Об особенностях обработки персональных данных без использования …»



Методические документы ФСТЭК России

Методические документы ФСБ России


Организации всех форм собственности и физ.лица


Организации банковской сферы
Комплекс Стандарта Банка России




Совместный приказ ФСБ, ФСТЭК, Минкомсвязи


Административный регламент Роскомнадзора







Слайд 10Основные направления деятельности по защите персональных данных
Защита от НСД к информации
Защита

информации от утечки по техническим каналам

Криптографическая защита

утечка ПДн по каналу ПЭМИН
утечка ПДн по акустическому каналу
обеспечение физической защиты ПДн

защита ПДн при их передаче по каналам связи
защита информации, хранимой в ИСПДн
защита съемных носителей информации
использование ЭЦП
применение СОВ

Примечание: выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы… (п. 1.4 Приказа ФСТЭК №58)

ФСТЭК России

ФСБ
России


управление доступом
регистрация и учет
обеспечение целостности
межсетевое экранирование
антивирусная защита
анализ защищенности
(сетевые сканеры)


Слайд 11Обязанности оператора по обеспечению безопасности персональных данных


Слайд 12Обязанности оператора
Блокирование ПДн
Прекратить обработку и уничтожить ПДн в течение 30 рабочих

дней

Блокирование ПДн и их уничтожение в срок, не более 6 месяцев


Неточные ПДн

Обработка ПДн

Обработка ПДн


Неправомерная обработки ПДн


Подтверждение

Уточнить в течение 7 рабочих дней

Прекратить в течение 3 рабочих дней. В противном случае – уничтожить в течение 10 рабочих дней


Достижение цели
обработки


Отзыв согласия субъекта


Отсутствие возможности уничтожения


Слайд 13
Регуляторы в сфере защиты ПДн
РОСКОМНАДЗОР
Уполномоченный орган по защите прав субъектов персональных

данных:
Государственный контроль и надзор за обработкой ПДн
Ведение реестра операторов
Применение мер профилактического и пресекательного характера, направленных на недопущение нарушений в сфере защиты ПДн

ФСТЭК России
Уполномоченный орган в области противодействия техническим разведкам и технической защиты информации




ФСБ России
Уполномоченный орган в области обеспечения криптографической и инженерно-технической защиты информации

ФСТЭК России и ФСБ России определены как регуляторы для государственных ИС, однако, по решению Правительства, ФСТЭК России и ФСБ России могут быть регуляторами для определенных видов деятельности (не являющимися государственными ИС) без права ознакомления с ПДн


Слайд 14Основания для плановой проверки Роскомнадзором
Плановая проверка
Истечение 3х лет со дня государственной

регистрации оператора в качестве юридического лица,
индивидуального предпринимателя

Истечение 3х лет со дня окончания проведения последней плановой проверки оператора

Начало осуществления оператором деятельности по обработке персональных данных


Слайд 15Основания для внеплановой проверки Роскомнадзором
Внеплановая проверка
Поступление сведений о возникновении угрозы причинения

вреда жизни, здоровью граждан или причинение вреда жизни, здоровью граждан

Нарушение оператором прав и законных интересов субъектов либо требований законодательства

Истечение срока исполнения ранее выданного предписания об устранении выявленных нарушений

Приказ руководителя Службы, изданный в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации

Несоответствие сведений в уведомлении об обработке фактической деятельности. Нарушение Оператором требований законодательства


Слайд 16Осуществление проверки
- Утверждение Плана проверки
- Согласование внеплановой проверки с органами прокуратуры

-

Уведомление о плановой проверке за 3 дня
- Уведомление о внеплановой проверке за 24 часа

- Составление Акта проверки
- Выдача предписания об устранении нарушений
- Передача материалов в суд или в органы прокуратуры

Срок проведения проверки – до 20 рабочих дней. При необходимости может быть продлен на срок до 20 рабочих дней.


Слайд 17Результаты проведенных проверок
148
449
741
1420
284
804
?
86
2996
?
78 000
4 480 000
2009 г.
2010 г.
2011 г.




На 2012 год

запланировано 1674 плановые проверки

Слайд 18Проверки Роскомнадзора
148
449
?
Статья 19.7 КоАП:
непредставление или несвоевременное представление в Уполномоченный орган уведомления

об обработке персональных данных (часть 1 статьи 22 ФЗ №152)
непредставление либо несвоевременное представление информации на запрос Уполномоченного органа (часть 4 статьи 20 ФЗ №152)
непредставление сведений об изменении информации, содержащейся в уведомлении (часть 7 статьи 22 ФЗ №152)

Статья 13.11 КоАП:
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

1420

804

284


Слайд 19Риски неисполнения требований законодательства
Неисполнение требований 152-ФЗ влечет для бизнеса компании риски

следующего характера:

Гражданские иски со стороны клиентов или работников
Приостановление или прекращение обработки персональных данных в компании
Привлечение компании и (или) ее руководства к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности
Приостановление действия или аннулирование лицензий на основной вид деятельности компании
Репутационные риски
Риски недобросовестной конкуренции (приостановления деятельности компании с подачи конкурентов при имеющихся нарушениях правил защиты персональных данных)

Слайд 20Ответственность
ст. 24, 152-ФЗ: Лица, виновные в нарушении требований настоящего Федерального закона,

несут предусмотренную законодательством Российской Федерации ответственность
Дисциплинарная
ТК РФ: статьи 81, 90, 195, 237, 391
Максимум: возмещение морального вреда сотруднику, получившему ущерб от разглашения его ПДн
Административная
КоАП РФ: статьи 13.11, 13.12, 13.13, 13.14, 19.4, 19.5, 19.7, 19.20
Максимум: 250 000 р. + приостановление деятельности на срок до 90 суток + дисквалификация должностного лица на срок до 3-х лет + конфискация средств защиты
Уголовная
УК РФ: статьи 137, 140, 272, 273, 274
Максимум: 300 000 р. + принудительные работы на срок до 4-х лет + арест до 6-ти месяцев + лишение права занимать должность на срок до 5-ти лет

Слайд 21Проект по созданию системы защиты персональных данных
Консалтинг
Техническая реализация
Постпроектное сопровождение


Слайд 22Консалтинг
Анализ рисков и вариантов по их минимизации или устранению
Несколько вариантов реализации

системы защиты ПДн
Разработка организационно-распорядительной документации,
перечень необходимых СЗИ, работ и документов с указанием стоимости и сроков
отсутствие проблем при внедрение СЗИ

Слайд 23Перечень документов, разрабатываемых Softline в ходе проектной деятельности
Материалы проектирования

материалы предпроектного обследования
результаты

технического проектирования (материалы разработки и обоснования мероприятий по защите ПДн, описание облика системы защиты ПДн)
результаты опытной эксплуатации и итоговых испытаний

Эксплуатационные документы


акты, журналы , перечни
инструкции по эксплуатации и правила пользования
формы и соглашения
матрица доступа
описание технологического процесса
протоколы испытаний

Организационно-распорядительные документы


положения
приказы
должностные инструкции
технические регламенты


Примечание: указанная документация создаёт необходимую основу для осуществления контроля и надзора за обработкой персональных данных со стороны уполномоченных органов (ФСБ, ФСТЭК, Роскомнадзор)


Слайд 24Техническая реализация проекта
Поставка и внедрение сертифицированных средств защиты информации
Тестирование и отладка

процессов
Обучение персонала
Сопровождение и контроль


Слайд 25Постпроектное сопровождение
Актуализация документов
Техническая поддержка
Повышение квалификации персонала


Слайд 26Наши проекты
Крупная энергогенерирующая компания Российской Федерации
Класс 2, 50 АРМ, количество площадок

– 3
Лидер по производству молочной продукции
Класс 1, 2500 АРМ, количество площадок – 54
Префектура ЮЗАО г. Москвы
Класс 2, 400 АРМ, количество площадок – 13
Комитет государственных услуг г. Москвы
Класс 2, 600 АРМ, количество площадок – 3
Управление делами Президента
Класс 2, 230 АРМ, количество площадок – 4
Крупная компания в области сетей быстрого питания
Класс 3, 550 АРМ, количество площадок – 98
Крупный гостиничный комплекс
Класс 2, 700 АРМ, количество площадок – 11

Слайд 27Наши проекты
Крупный международный банк
Класс 2, 150 АРМ, количество площадок – 3
Компания-лидер

сектора FMCG
Класс 2, 600 АРМ, количество площадок – более 200 по России
Нефтедобывающая компания
Класс 2, 200 АРМ, количество площадок – 4
Крупный НПФ
Класс 2, 120 АРМ, количество площадок – 15 по России
Международная инвестиционная компания
Класс 2, 70 АРМ, количество площадок – 2





Слайд 28Лицензии Softline
Лицензия ФСБ на выполнение работ, связанных с использованием сведений, составляющих

государственную тайну
Лицензия ФСБ на осуществление технического обслуживания шифровальных (криптографических) средств
Лицензия ФСБ на осуществление распространения шифровальных (криптографических) средств
Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации
Лицензия ФСТЭК на деятельность по разработке и (или) производству средств защиты конфиденциальной информации







Слайд 29Наши партнерские статусы
Symantec Platinum Partner
Symantec Authorized Technical Assistance Partner (первый в

России!)
Symantec Endpoint Management Specialization
Check Point Certified Collaborative Support Provider (CCSP)
Check Point Authorized Training Center (ATC)
McAfee Authorized Distributor
McAfee Elite Solution Provider 2007
McAfee Certified Training center
Kaspersky Authorized Distributor
Clearswift Authorized Distributor
Infowatch Business Partner
Microsoft Gold Certified Partner (Security Solution)
Trend Micro Authorized Technical Support Center
Trend Micro Premium Partner
Trend Micro Authorized Distributor
SurfControl Valued Member of SurfControl’s Worldwide
Channel Programm
Aladdin Distributor
ESET Corporate Premier Partner
Kaspersky Lab. Premier Partner
Agnitum Outpost Premium Reseller
RSA Solutions Partner
CA Premier Partner
GFI Gold Authorized reseller
и другие…


Слайд 30Хотите узнать больше?

(495)232-00-23 (# 1461)
Vitaliya.Lepekhina@softline.ru


Обратная связь

Если не удалось найти и скачать презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:

Email: Нажмите что бы посмотреть 

Что такое ThePresentation.ru?

Это сайт презентаций, докладов, проектов, шаблонов в формате PowerPoint. Мы помогаем школьникам, студентам, учителям, преподавателям хранить и обмениваться учебными материалами с другими пользователями.


Для правообладателей

Яндекс.Метрика