Безопасность персональных данных Артем Агеев @4rt3m. - презентация

1 Безопасность персональных данных Артем

2 Остерегайтесь мошенников! «Консалтинг» Статья КоАП. Незаконная деятельность в области защиты информации Штраф до рублей, конфискация средств защиты информации. Установка или обслуживание средств защиты без лицензии ФСТЭК (ФСБ) Статья 171 УК РФ. Незаконное предпринимательство Штраф до рублей, либо лишение свободы до 5 лет.

3 Особенности законодательства Персональные данные – сведения, конфиденциальность которых устанавливается государством Персональные данные есть в каждой организации ВЫВОД Каждая организация обязана выполнить ряд мероприятий по защите персональных данных

4 Особенности законодательства - 2 Нет единых требований Нет рекомендованных шаблонов Ежемесячные изменения в нормативной базе Отсутствуют либо быстро устаревают отраслевые рекомендации

5 Рособразование

6 Нормативное дерево 152-ФЗ «О ПДн» ПП687 Без автоматизации ПП512 Био ПДн ПП781 ИСПДн ПП211 Меры для Г(М)О ПП1119 Уровни защищенности ФСТЭК 21 СОИСО Приказ ФСТЭК ФСБ Минсвязи 55/86/20 Классификация ИСПДн ФСТЭК 58 ФСТЭК МУ ФСТЭК ЮФО ФСБ СКЗИ ФСБ Регламент проверок РКН Регламент проверок ФСБ СКЗИ ФСТЭК 17 ГИС РКН Обезличивание РКН Разъяснения РКН Перечень государств ФСТЭК Методические рекомендации

7 Регуляторы РОСКОМНАДЗОР орган по защите прав субъектов ПДн; основной «проверяющий»; реестр операторов ПДн. ФСТЭК техническая защита ИСПДн (кроме криптографии); сертификация СЗИ и аттестация ИСПДн. ФСБ техническая защита ИСПДн (криптография); запасной «проверяющий»; сертификация СКЗИ.

8 По письменному запросу оператор обязан (ч.4 ст ФЗ) предоставить: Роскомнадзор Уведомление либо справку о причинах неуведомления; уровень защищённости ИСПДн; меры по защите ПДн; средства защиты и средства шифрования; и другая информация.. Информацию об ответственном за организацию обработки персональных данных; Внутренние документы по защите персональных данных; Сведения о правовых, организационных и технических мерах по обеспечению безопасности ПДн; Сведения о внутреннем контроле и аудите безопасности персональных данных; Оценку вреда субъектам в случае нарушения организацией норм 152-ФЗ; Сведения об ознакомлении персонала с документами в области ПДн.

9 178 протоколов

10 Улыбнитесь, вас «мониторят»!

11 Роскомнадзор готовит поправки в КоАП Штрафы 1. Количество статей КоАП за нарушения обработки ПДн увеличится с 1 до 4 2. Увеличат размеры штрафов до рублей 3. РКН получит право составлять протоколы по новым статьям

12 Организация обработки ПДн

13 Уведомление о начале обработки Статья 19.7 КоАП. Непредставление сведений (информации). Штраф 5 тысяч рублей (+ проверка) Статья ФЗ. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган о своем намерении осуществлять обработку персональных данных.

14 ТК РФ Статья 86. Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников.

15 Разъяснения Роскомнадзора О ксерокопиях паспортов, фотографиях в личном деле, рентгеновских снимках и др. htm Кадровые вопросы

16 ПДн на бумаге Постановление Правительства 687 Требования к анкетам 1. сведения о цели обработки персональных данных; 2. имя (наименование) и адрес оператора; 3.фамилию, имя, отчество и адрес субъекта персональных данных; 4. источник получения персональных данных; 5. сроки обработки персональных данных; 6. перечень действий с персональными данными; 7. общее описание используемых оператором способов обработки персональных данных; 8.поле, для отметки о своем согласии на обработку персональных данных. Требования к местам хранения Должен быть установлен перечень лиц, имеющих доступ к материальным носителям; Должны быть утверждены места хранения персональных данных; Должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

17 Передача персональных данных Если организация передает персональные данные субъектов в рамках договора, то: Договор должен включать (ч.4 ст ФЗ): 1. перечень действий с персональными данными; 2. цели обработки; 3. обязанность соблюдения конфиденциальности и обеспечения безопасности; 4. требования к защите ПДн в соответствие с ст ФЗ. Организация несет ответственность перед субъектам (ч.6 ст ФЗ); Организация-обработчик должна иметь лицензию ФСТЭК по ТЗКИ (см. информационное сообщение Федеральной службы по техническому и экспортному контролю от 30 мая 2012 г. 240/22/2222).

18 Dnevnik.ru и прочие 152-ФЗ, Статья Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона. 5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор.

19 Dnevnik.ru и прочие

20 Списки учащихся и преподавателей

21 Нарушения и наказания

22 Как попасть под проверку? 1. Быть в плане проверок ФСТЭК, ФСБ, РКН ( 2. Не отреагировать на письменный запрос РКН 3. Попасть под «мониторинг» 4. Нарушить права субъекта персональных данных

23 Типовые нарушения

24 Типовые нарушения ФГБОУ ВПО «Сибирский государственный индустриальный университет» вывесил у деканата списки студентов В шаблоне анкеты ООО «Аварийный комиссар» не было адреса организации, целей обработки ПДн и др Ст КоАП. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) В типовой форме согласия на обработку ПДн ЗАО «Юлмарт» отсутствовало наименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора У Администрации Юргинского муниципального района отсутствовал утвержденный перечень мер, необходимых для обеспечения сохранности персональных данных

25 Типовые нарушения Сведения в уведомлении ОАО «ТАВС «Кубань» не соответствовали действительности (сменился адрес) ООО Управляющая компания «Кречет» - не утверждены места хранения бумажных носителей, не утвержден перечень лиц, имеющих доступ к бумажным ПДн Банк «Платежные системы» обрабатывал персональные данные близких родственник без их согласия ООО «УК «Свой Дом». В договоре с организацией отсутствовало условие обеспечения конфиденциальности Ст КоАП. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

26 Прецеденты

27 Прецеденты УО

28

29

30 htm Прецеденты

31

32 Прецеденты

33 Контроль эффективности СЗИ, Аттестация/переаттестация Организационное обеспечение защиты ПДн Участие в проверках РКН, ФСБ, ФСТЭК Обучение, инструктаж, контроль знаний персонала Расследование инцидентов Защищенный документооборот. Услуги удостоверяющего центра. Установка и настройка СЗИ (СКЗИ)

34 Онлайн сервис по разработке документов

35

36

37

38 Спасибо за внимание! Есть вопросы? Артем Александрович Агеев (861)

39 ШТРАФЫ ДОКУМЕНТЫ СРЕДСТВА ЗАЩИТЫ АТТЕСТАЦИЯ АУДИТ ОСТАНОВКА РАБОТЫ ОТЗЫВ ЛИЦЕНЗИИ ПРОВЕРКА ФСТЭК и ФСБ ПРОВЕРКА ФСТЭК и ФСБ ШТРАФ на должностное лицо МОРАЛЬНЫЙ УЩЕРБ