Сфокусированные на бизнес-задачах ECM-решения Практические способы обеспечения требований закона о персональных данных в ECM-системе Чермак Константин Руководитель проекта DIRECTUM

Сфокусированные на бизнес-задачах ECM-решения Определение Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Сфокусированные на бизнес-задачах ECM-решения Определение Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных ИСПДн - информационная система представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств

Сфокусированные на бизнес-задачах ECM-решения Законодательство о персональных данных

Сфокусированные на бизнес-задачах ECM-решения Категории персональных данных КатегорияОписание 1 категория персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни 2 категория персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 (например, сведения об образовании, об имуществе лица и т.п.) 3 категория персональные данные, позволяющие идентифицировать субъекта персональных данных 4 категорияобезличенные и (или) общедоступные персональные данные

Сфокусированные на бизнес-задачах ECM-решения Объем персональных данных Объем 1 Более чем субъектов или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом. 2 От 1000 до субъектов или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования. 3Менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

Сфокусированные на бизнес-задачах ECM-решения Классы ИСПДн Объем Категория Менее От до Более Категория 4 Обезличенные и (или) общедоступные персональные данные К4 Категория 3 Идентификация субъекта К3 К2 Категория 2 Идентификация субъекта + дополнительная информация, кроме относящейся к категории 1 К3К2К1 Категория 1 Расовая, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь К1

Сфокусированные на бизнес-задачах ECM-решения Требования к операторам ТребованиеК1К2К3К4 Декларирование соответствия--+- Аттестация ИСПДн++-- Лицензия на деятельность по технической защите конфиденциальной информации ++ Для распред. систем - Защита от утечки за счет побочных электромагнитных излучений и наводок ++-- Применение средств криптозащиты+---

Сфокусированные на бизнес-задачах ECM-решения DIRECTUM – какие ПДн хранятся в системе Место хранения и категория ПДн Класс ИСПДн К3Класс ИСПДн К2 Работники (Категория 3) Объем до записей Объем > записей Контактные лица организаций (Категория 3) Объем до записей Объем > записей Персоны (категория 3) Объем до записей Объем > записей ТКЭД Кадровый приказ (Категория 3) Объем до записей Объем > записей ТКЭД Заявления (Категория 3) Объем до записей Объем > записей Обращения граждан и организаций (Категория 2) Объем до 1000 записейОбъем > 1000 записей Не структурированные документы – в зависимости от содержания Структурированные данные

Сфокусированные на бизнес-задачах ECM-решения Превентивные меры. Снижение класса Персональные данные имеют свою цену и эта цена высока! Удалить персональные данные: –которые собирались «до кучи» –которые более не нужны –хранение которых неоправданно дорого Разбить ИСПДн на отдельные системы Обезличивать уже обработанные данные

Сфокусированные на бизнес-задачах ECM-решения Превентивные меры. Мероприятия Оставить права доступа к ПДн только тем пользователям, кому это действительно необходимо для исполнения должностных обязанностей При передаче ПД на обработку 3-му лицу включить в договор пункт об обязанности обеспечения оператором и 3-ми лицами конфиденциальности и безопасности персональных данных при их обработке

Сфокусированные на бизнес-задачах ECM-решения DIRECTUM. Превентивные меры Снижение класса ИСПДн (что касается DIRECTUM): Не внесение лишних данных Уменьшение количества – удаление записей, введение срока жизни записи Уменьшение сведений о субъекте ПДн – скрытие «лишних» полей Обезличивание – формирование и хранение статистики, но удаление идентифицирующей информации

Сфокусированные на бизнес-задачах ECM-решения DIRECTUM. Превентивные меры

Сфокусированные на бизнес-задачах ECM-решения DIRECTUM. Превентивные меры Разделение систем обычной и выделение отдельной системы, в которой будут обрабатываться ПДн. Основная система входит в ИСПДн низкого класса (К4,К3) Дополнительная система с ограниченным доступом (К2,К1) Соответствующая своему классу защита систем Сквозные процессы

Сфокусированные на бизнес-задачах ECM-решения DIRECTUM. Превентивные меры

Сфокусированные на бизнес-задачах ECM-решения Организационные меры Создание регламентов Назначение ответственных Получение от субъектов ПДн согласия на обработку их ПДн Уведомление регулятора Аттестация (ИСПДН 1-2 класса) Сертификация СЗИ Получение лицензии ФСТЭК на ТЗКИ (операторы ИСПДн 1-2 класса)

Сфокусированные на бизнес-задачах ECM-решения Получение согласия от субъектов ПДн Необходимо согласие в письменной форме (за исключением установленных законом случаев): обработка специальных категорий персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни) обработка биометрических данных Согласие не требуется: обработка на основании закона (отчетность в ПФР, в ФНС, в соцстрах) обработка на основании договора (трудовой договор, услуги, купля-продажа) доставка почты организациями почтовой связи и для осуществления расчетов операторами электросвязи В остальных случаях согласие требуется (например, рассылка информации покупателям)

Сфокусированные на бизнес-задачах ECM-решения Уведомление направляется в Роскомнадзор Уведомление не требуется: –трудовые отношения –иные договорные отношения (услуги, купля- продажа, консалтинг) –ФИО и иные общедоступные данные –однократный пропуск на территорию оператора –обработка без использования средств автоматизации Уведомление регулятора об обработке ПДн

Сфокусированные на бизнес-задачах ECM-решения Технические меры. Требования ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Сайт ФСТЭК

Сфокусированные на бизнес-задачах ECM-решения Все меры защиты регламентируются ФСТЭК, степень защиты зависит от класса ИСПДн Антивирусы (Касперский, NOD32) Сертифицированные ОС (Windows XP, Server 2003) Модули доверенной загрузки (Эшелон) Электронные замки («Соболь», «КРИПТОН-ЗАМОК») Средства криптографической защиты информации (КриптоПро) Межсетевые экраны и шлюзы безопасности Системы акустической и виброакустической защиты Инструменты для организации физической защиты оборудования и зданий Технические меры

Сфокусированные на бизнес-задачах ECM-решения DIRECTUM. Технические меры Шифрование документов в системе (с использованием сертифицированных средств защиты) Разграничение прав доступа Шифрование дисков с БД (минус – снижение быстродействия) Шифрование файловых хранилищ Windows-аутентификация Организация отдельных подсетей для работы ИСПДн, защита серверов Применение межсетевых экранов (защита периметров подсетей файерволом) Наличие антивирусной защиты разного класса для разного класса ИСПДн (ПМВ)

Сфокусированные на бизнес-задачах ECM-решения Сертификации подлежат только средства защиты информации (СЗИ), DIRECTUM – средство обработки Не все ПДн организации хранятся в DIRECTUM (также в учетных системах, CRM, в файловой системе). Не все хранимые в DIRECTUM данные относятся к ПДн Наличие сертификата не отменяет обязанности выстроить систему защиты ПДн Частые вопросы к DIRECTUM

Сфокусированные на бизнес-задачах ECM-решения Спасибо за внимание! Ваши вопросы?