1 / 39

Безопасность персональных данных

Безопасность персональных данных. Артем Агеев. @4rt3m. Остерегайтесь мошенников!. «Консалтинг» Статья 13.13 КоАП. Незаконная деятельность в области защиты информации Штраф до 20 000 рублей, конфискация средств защиты информации.

amela-hernandez
Download Presentation

Безопасность персональных данных

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Безопасность персональных данных Артем Агеев @4rt3m

  2. Остерегайтесь мошенников! «Консалтинг» Статья 13.13 КоАП. Незаконная деятельность в области защиты информации Штраф до 20 000 рублей, конфискация средств защиты информации. Установка или обслуживание средств защиты без лицензии ФСТЭК (ФСБ) Статья 171 УК РФ. Незаконное предпринимательство Штраф до 500 000 рублей, либо лишение свободы до 5 лет.

  3. Особенности законодательства Персональные данные – сведения, конфиденциальность которых устанавливается государством Персональные данные есть в каждой организации ВЫВОД Каждая организация обязана выполнить ряд мероприятий по защите персональных данных

  4. Особенности законодательства - 2 • Нет единыхтребований • Нет рекомендованных шаблонов • Ежемесячные изменения в нормативной базе • Отсутствуют либо быстро устаревают отраслевые рекомендации

  5. Рособразование

  6. Нормативное дерево 152-ФЗ «О ПДн» ПП687 Без автоматизации ПП512 БиоПДн ПП781 ИСПДн ПП1119 Уровни защищенности ПП211 Меры для Г(М)О ФСТЭК 21 СОИСО ФСТЭК17 ГИС Приказ ФСТЭК ФСБ Минсвязи 55/86/20 Классификация ИСПДн ФСБ СКЗИ ФСТЭК 58 ФСБ СКЗИ РКН Регламент проверок ФСТЭК Методические рекомендации ФСТЭК МУ РКН Перечень государств ФСТЭК МУ ФСБ Регламент проверок РКН Разъяснения ФСТЭК ЮФО РКН Обезличивание

  7. Регуляторы • орган по защите прав субъектов ПДн; • основной «проверяющий»; • реестр операторов ПДн. РОСКОМНАДЗОР www.rsoc.ru @roscomnadzor • техническая защита ИСПДн (кроме криптографии); • сертификация СЗИ и аттестация ИСПДн. ФСТЭК www.fstec.ru • техническая защита ИСПДн (криптография); • запасной «проверяющий»; • сертификация СКЗИ. ФСБ www.fsb.ru

  8. Роскомнадзор • Уведомление либо справку о причинах неуведомления; • уровень защищённости ИСПДн; • меры по защите ПДн; • средства защиты и средства шифрования; • и другая информация.. • Информацию об ответственном за организацию обработки персональных данных; • Внутренние документы по защите персональных данных; • Сведения о правовых, организационных и технических мерах по обеспечению • безопасности ПДн; • Сведения о внутреннем контроле и аудите безопасности персональных данных; • Оценку вреда субъектам в случае нарушения организацией норм 152-ФЗ; • Сведения об ознакомлении персонала с документами в области ПДн. По письменному запросу оператор обязан (ч.4 ст.18.1 152-ФЗ) предоставить:

  9. 178 протоколов

  10. Улыбнитесь, вас «мониторят»!

  11. Штрафы Роскомнадзор готовит поправки в КоАП Количество статей КоАП за нарушения обработки ПДн увеличится с 1 до 4 Увеличат размеры штрафов до 500 000 рублей РКН получит право составлять протоколы по новым статьям

  12. Организация обработки ПДн

  13. Уведомление о начале обработки Статья 22 152-ФЗ. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган о своем намерении осуществлять обработку персональных данных. Статья 19.7 КоАП. Непредставление сведений (информации). Штраф 5 тысяч рублей (+ проверка) http://pd.rkn.gov.ru/operators-registry/notification/form/

  14. ТК РФ Статья 86. Работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников.

  15. Разъяснения Роскомнадзора http://rkn.gov.ru/news/rsoc/news17877.htm Кадровые вопросы http://rkn.gov.ru/docs/Raz6jasnenija_RKN_po_biometrii_okonchatel6naja_versija.doc О ксерокопиях паспортов, фотографиях в личном деле, рентгеновских снимках и др.

  16. Постановление Правительства №687 • Требования к анкетам • сведения о цели обработки персональных данных; • имя (наименование) и адрес оператора; • фамилию, имя, отчество и адрес субъекта персональных данных; • источник получения персональных данных; • сроки обработки персональных данных; • перечень действий с персональными данными; • общее описание используемых оператором способов обработки персональных данных; • поле, для отметки о своем согласии на обработку персональных данных. ПДн на бумаге • Требования к местам хранения • Должен быть установлен перечень лиц, имеющих доступ к материальным носителям; • Должны быть утверждены места хранения персональных данных; • Должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

  17. Передача персональных данных Если организация передает персональные данные субъектов в рамках договора, то: • Договор должен включать (ч.4 ст.6 152-ФЗ): • перечень действий с персональными данными; • цели обработки; • обязанность соблюдения конфиденциальности и обеспечения безопасности; • требования к защите ПДн в соответствие с ст.19 152-ФЗ. • Организация несет ответственность перед субъектам (ч.6 ст.6 152-ФЗ); • Организация-обработчик должна иметь лицензию ФСТЭК по ТЗКИ (см. информационное сообщение Федеральной службы по техническому и экспортному контролю от 30 мая 2012 г. № 240/22/2222).

  18. Dnevnik.ru и прочие 152-ФЗ, Статья 6. 3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона. 5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор.

  19. Dnevnik.ru и прочие

  20. Списки учащихся и преподавателей

  21. Нарушения и наказания

  22. Как попасть под проверку? Быть в плане проверокФСТЭК, ФСБ, РКН (http://plan.genproc.gov.ru/plan2014/) Не отреагировать на письменный запрос РКН Попасть под «мониторинг» Нарушить права субъекта персональных данных

  23. Типовые нарушения http://rkn.gov.ru/docs/Otchet_2013_UZPSPD_RSPECTR.doc

  24. Типовые нарушения Ст. 13.11 КоАП. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) • ФГБОУ ВПО «Сибирский государственный индустриальный университет» вывесил у деканата списки студентов • В шаблоне анкеты ООО «Аварийный комиссар» не было адреса организации, целей обработки ПДн и др • В типовой форме согласия на обработку ПДн ЗАО «Юлмарт» отсутствовало наименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора • У Администрации Юргинского муниципального района отсутствовал утвержденный перечень мер, необходимых для обеспечения сохранности персональных данных

  25. Типовые нарушения Ст. 13.11 КоАП. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) • Сведения в уведомлении ОАО «ТАВС «Кубань» не соответствовали действительности (сменился адрес) • ООО Управляющая компания «Кречет» - не утверждены места хранения бумажных носителей, не утвержден перечень лиц, имеющих доступ к бумажным ПДн • Банк «Платежные системы» обрабатывал персональные данные близких родственник без их согласия • ООО «УК «Свой Дом». В договоре с организацией отсутствовало условие обеспечения конфиденциальности

  26. Прецеденты http://pd.rkn.gov.ru/press-service/subject1/news3836/

  27. Прецеденты УО

  28. Прецеденты УО

  29. Прецеденты УО

  30. Прецеденты http://30.rkn.gov.ru/news/news57301.htm

  31. Прецеденты http://rkn.gov.ru/news/regions/news15011.htm

  32. Прецеденты http://ufa.procrb.ru/rss/?ELEMENT_ID=2363

  33. Установка и настройка СЗИ (СКЗИ) Контроль эффективности СЗИ, Аттестация/переаттестация Организационное обеспечение защиты ПДн Участие в проверках РКН, ФСБ, ФСТЭК Обучение, инструктаж, контроль знаний персонала Расследование инцидентов Защищенный документооборот. Услуги удостоверяющего центра.

  34. Онлайн сервис по разработке документов WWW.DOCSHELL.RU

  35. WWW.DOCSHELL.RU/WEBINARS

  36. Спасибо за внимание!Есть вопросы? @4rt3m www.itsec.pro Артем Александрович Агеев (861) 279-32-00 www.rosint.net @RosIntegratsia a.ageev@rosint.net

  37. МОРАЛЬНЫЙ УЩЕРБ ШТРАФ на должностное лицо ПРОВЕРКА ФСТЭК и ФСБ ОТЗЫВ ЛИЦЕНЗИИ ОСТАНОВКА РАБОТЫ АУДИТ АТТЕСТАЦИЯ СРЕДСТВА ЗАЩИТЫ ДОКУМЕНТЫ ШТРАФЫ

More Related