1 / 19

Практическая реализация положений законодательства о персональных данных в деятельности НПФ и УК

Практическая реализация положений законодательства о персональных данных в деятельности НПФ и УК . Особенности НПФ: Общие вопросы защиты. КЛЮЧЕВЫЕ ОСОБЕННОСТИ НПФ: Большой объем персональных данных: вкладчиков, страхователей, участников, застрахованных лиц.

gagan
Download Presentation

Практическая реализация положений законодательства о персональных данных в деятельности НПФ и УК

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Практическая реализация положений законодательства о персональных данных в деятельности НПФ и УК

  2. Особенности НПФ: Общие вопросы защиты КЛЮЧЕВЫЕ ОСОБЕННОСТИ НПФ: • Большой объем персональных данных: вкладчиков, страхователей, участников, застрахованных лиц. • Небольшая численность собственного персонала. • ИТ персонал, как правило, либо на аутсорсинге, либо универсальные специалисты, «закрывающие» все возможные ИТ проблемы. • Существенная ограниченность бюджета, выделяемого на защиту информации

  3. Особенности НПФ: Общие вопросы защиты КАК СЛЕДСТВИЕ: • Вопросами защиты персональных данных занимается персонал не имеющий квалификацию и опыта в данном вопросе. • Отсутствие уведомления об обработке ПД (на 17.02.2011 в реестр операторов, осуществляющих обработку персональных данных, включено только 40 негосударственных пенсионных фондов) • Отсутствие согласий субъектов на обработку персональных данных, отсутствие внутренних документов, регламентирующих обработку персональных данных (описаны в стандартах) • Сложности при привлечении сотрудников к дисциплинарной ответственности за разглашение и нарушения порядка обработки персональных данных, ввиду отсутствия локальных актов, обеспечивающих защиту персональных данных, а также неустановления обязательств по сохранению конфиденциальности персональных данных сотрудников в должностных инструкциях и трудовом договоре

  4. Особенности НПФ: Состояние информационных систем • Территориально распределенные системы • Относительно небольшое количество серверов и рабочих мест • Фактор «бюджет» КАК СЛЕДСТВИЕ: • Слабая система защиты • Средства защиты, даже когда установлены, некорректно настроены • Немотивированность ИТ персонала на создание и поддержку должного уровня защиты • Отсутствие контрольных мероприятий, предусмотренных законодательством • Высокие риски отказа информационных систем

  5. Особенности НПФ: физическая безопасность/места хранения • Отсутствие собственной серверной • Отсутствие должной охраны помещений/мест хранения документов • Документы разных субъектов ПД хранятся совместно • Отсутствие порядка хранения/уничтожения документов

  6. Особенности НПФ: трудности при построении систем защиты • Нехватка денежных средств на закупку сертифицированных средств защиты • При проведении аудита приходиться заниматься не только вопросами систем защиты персональных данных, но и реализацией стандартных методов («best practices») при построении ИТ систем. Например: • Резервное копирование • Отсутствие процедуры восстановления систем в случае сбоев • Отсутствие управления рисками • Несоблюдение требований пожарной безопасности и условий эксплуатации техники • Использование нелицензионного программного обеспечения

  7. РЕКОМЕНДАЦИИ • Придерживаться стандартов НАПФ!! • Повысить квалификацию ИТ персонала в вопросах защиты персональных данных • Провести обучение всех сотрудников, участвующих в обработке персональных данных, общим принципам защиты и обработки • Уделить особое внимание вопросу ИТ аутсорсинга: передача третьим лицам? прописаны ли гарантии конфиденциальности? • Поддерживать систему защиты персональных данных в актуальном состоянии

  8. Стандарты СРО (НАПФ, НАУФОР) • Являются своеобразным кодексом необходимых требований к обеспечению безопасности и конфиденциальности персональных данных; • Включают в себя минимальные рекомендации как по реализации организационных, так и технических мер; • Содержат проекты типовых документов; • Разъяснены нормативные требования и термины, описаны способы реализации методов обеспечения безопасности персональных данных; • Положения Стандартов действуют напрямую путем включения ссылок на них, либо путем включения содержащихся в них норм в локальные документы Компаний; • Унифицируют подход к защите персональных данных в рамках конкретной деятельности, вводя единые критерии и процедуры, охватывающие весь жизненный цикл системы защиты персональных данных ; • Содержат поэтапные пути внедрения системы защиты персональных данных в деятельность Компании, включая этапы планирования, реализации, контроля и корректировки соответствующих мероприятий.

  9. Особенности УК: Общие вопросы защиты КЛЮЧЕВЫЕ ОСОБЕННОСТИ УК: • Относительно небольшой объем персональных данных • Невысокая численность персонала • Большое количество информационных систем • Высокие требования к непрерывности процессов: ежедневная отчетность • Необходимость в квалифицированном ИТ персонале выше • Затраты на построение системы защиты ПД сопоставимы с НПФ (или даже выше), несмотря на меньший объем ПД

  10. Оценка затрат на создание системы защиты персональных данных

  11. Основные этапы работ по обеспечению безопасности персональных данных Этап 1- Проведение внутренних организационно-распорядительных мероприятий Выявление и описание информационных систем персональных данных Анализ актуальности угроз Классификация ИСПД Разработка организационно - распорядительной документации Этап 2 - Создание системы защиты персональных данных определение требований к системе защиты персональных данных; физическая защита технические средства защиты информации программное обеспечение и информационные технологии используемые для защиты персональных данных Этап 3 - Поддержание системы защиты персональных данных в актуальном состоянии (обслуживание, модернизация, управление) внедрение системы защиты персональных данных; отслеживание процессов происходящих в ИС реакция на возникающие угрозы в ИС администрирование ИС, ведение необходимой технологической

  12. Этап 1. Проведение внутренних организационно-распорядительных мероприятий • Проведение обследования всех информационных систем персональных данных, используемых в пенсионном фонде, инвентаризация всех хранилищ, отчуждаемых носителей информации и содержащихся в них персональных данных. Производится описание конфигурации, физического расположения и структуры информационной системы в целом и ее отдельных компонентов, путем составления перечней: Для минимизации расходов, данный этап имеет смысл проводить собственными силами не привлекая сторонних исполнителей. • Разработка необходимых документов таких как Акт категорирования, модели угроз, технического задания, и организационно распорядительных документов. При разработке Модели угроз следует стремиться (по возможности) к понижению класса обрабатываемых ПДн. (Обезличивание, выделение в отдельный сегмент, разделение БД) Позволяет понизить требования к средствам защиты

  13. Этап 2. Создание системы защиты персональных данных; • На этом этапе, исходя из разработанного Технического задания производится закупка, установка, настройка средств защиты информации. Количество и тип используемых средств в прямую зависит от конфигурации информационной сети компании,

  14. Этап 3. Поддержание системы защиты персональных данных в актуальном состоянии (обслуживание, модернизация, управление) • Исходя из требований нормативных документов для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных; • Привлечении квалифицированной поддержки у сторонних организаций в части оказания услуг по технической защите конфиденциальной информации.

  15. Задачи выполняемые системой защиты(подсистемы защиты приказ 58 ФСТЭК) • Подсистема управления доступом • Подсистема регистрации и учета • Подсистема обеспечения целостности • Подсистема антивирусной защиты • Подсистема межсетевого взаимодействия • Подсистема обнаружения вторжений • Подсистема анализа защищенности • Подсистема криптозащиты

  16. Возможные решения

  17. Приблизительная стоимость предлагаемых СЗИ

  18. Возможности минимизации затрат

  19. ЗАКЛЮЧЕНИЕ СПАСИБО ЗА ВНИМАНИЕ!!! Презентацию для Вас подготовили: Круглова Елена +7 (495) 777-01-70Elena.Kruglova@kapital-am.ru Валентин Семисчастнов +7 (495) 777-01-70 vs@kapital-am.ru

More Related