10 ключевых вопросов защиты персональных данных:...
DESCRIPTION
Рассмотрены ключевые моменты, связанные с построением процессов обеспечения безопасности персональных данных в организации.Сформулированы 10 наиболее актуальных задач, волнующих операторов при осуществлении обработки персональных данных и применимых к организациям практически любой отрасли. Мы расскажем про пути их решения, основываясь на рекомендациях регуляторов и используя накопленный нашими специалистами опыт.Затронуты «тонкие» моменты, специфичные для конкретных ситуаций, которые зачастую остаются вне внимания при реализации внутренних или внешних проектов по соответствию законодательству в области обработки персональных данных.Значительная часть вебинара будет отведена под разбор конкретных вопросов и кейсов, которые участники смогут задать на вебинаре применительно к их ситуации.Аудиозапись вебинара можно скачать тут: http://www.pointlane.ru/cform/?webinar=3TRANSCRIPT
10 ключевых вопросов защиты персональных данных
14 марта 2012
«Подводные камни» проектов по соответствию
Содержание
• Что волнует операторов
• Мифы о соответствии
• Почему именно 10?
• 10 ключевых вопросов защиты ПД
• Кейсы и примеры
• Ответы на вопросы
2www.pointlane.ru
Введение
3www.pointlane.ru
Чего не будет в этой презентации?
4www.pointlane.ru
• Этот семинар для тех, кто уже в теме защиты ПДн• Мы не будем говорить о:
– Основных положениях закона о персональных данных– Основных подзаконных актах– Основных мероприятиях– Обязательных документах
• НО:– Те, кто прослушает семинар будут намного больше
подготовлены к тому, чтобы реализовать проект по защите ПДн правильно.
Что волнует операторов?
5www.pointlane.ru
• Будет ли выполненный проект:– Соответствовать всем требованиям?– Обеспечивать реальную защиту ПДн?
• Будут ли замечания при проверке регуляторами? • Как поддерживать систему защиты ПДн в
актуальном состоянии? • Кого назначить ответственным за мероприятия по
защите ПДн? • Как заставить сотрудников выполнять требования
ОРД? • Возможно ли достичь соответствия без
значительных вложений?
«Мифы» о соответствии
6www.pointlane.ru
• Мы написали «Положение об обработке ПД» этого достаточно!
• Мы заказали работы у сторонней компании. Они принесли нам пачку документов. Вот они лежат на полке.
• У нас в службе безопасности работает бывший полковник. Он нам обеспечит прохождение проверки.
• IT говорит, что все системы и так уже защищены.• Мы закупили сертифицированные средства защиты.
Вот они стоят на компьютерах.• Мы маленькая компания. К нам не придут.
10 ключевых вопросов
7www.pointlane.ru
Почему именно 10?
8www.pointlane.ru
• Это основное, что спрашивают
• Это максимум, что можно обсудить за отведенное время
• Это ключевые факторы успеха проекта, а не его этапы
• Можно и больше, но всё сведется к перечисленному
1. Защищаем данные, а не компанию
9www.pointlane.ru
• Цель – защитить данные субъекта, а не выполнить формальные требования и не попасть под санкции регулятора
• Отталкиваемся не от ответственности по КОАП и УК, а от возможного ущерба для субъекта
• Негативные последствия в первую очередь от жалоб субъектов, а не от плановых проверок
2. Кто отвечает за успех проекта?«Один в поле не воин».
10www.pointlane.ru
ИТ/ИБ
Бизнес/Функциональные подразделения/Руководство
Юристы/Compliance
Проект, реализованный без участия всех сторон
ОБРЕЧЕН
на инциденты и замечания регуляторов
Организационные Технические
Требования
Актуальные угрозы
ИСПДн
ИС
Процессы обработки
Состав, цели, сроки,
обоснование
Типы субъектов
ПДн
3. Не упустить детали
• Максимально ДЕТАЛЬНОЕ обследование!
• Тесное взаимодействие в рабочей группе
11www.pointlane.ru
4. Выстроить взаимоотношения
12www.pointlane.ru
Оператор
Регуляторы
Субъект ПДнСторонние организации
«Обработчик»
5. Ответственность и ответственные
13www.pointlane.ru
• Распределение ответственности
• Выделение ролей
• Делегирование• Осуществлять
контроль
Ответственный за обработку ПДн
Ответственный за защиту ПДн
Сотрудники
Ответственные за обработку ПДн в ИСПДн
Генеральный директор
6. ОРД
14www.pointlane.ru
• ФОРМАЛИЗОВАТЬ И ЗАФИКСИРОВАТЬ процессы обработки ПДн
• Заставить сотрудников следовать требованиям по обработке и защите ПДн
• Нельзя ограничиваться шаблонами– Шаблоны не отражают реальную ситуацию в компании– Шаблоны нельзя интегрировать в систему управления
компании (проектами, изменениями)
• Ввести в действие
7. Обучение и осведомленность
15www.pointlane.ru
• Осведомленность о 152 ФЗ– В рамках должностных обязанностей– Персональная ответственность каждого сотрудника– Ограничения и требования
• Обучение в рамках распределенных ролей• Система обучения• Слабое звено – рядовые исполнители,
взаимодействующие с субъектом• Кто виноват?
– Знал и не сделал – виноват работник– Не знал и поэтому не сделал – виноват руководитель
работника – Какую цель нужно достичь?
8. Управлять инцидентами
16www.pointlane.ru
• Инциденты:– Запросы
• субъекта ПДн• проверяющих органов• контрагентов• сотрудников
– Критические инциденты• утечка данных• несанкционированный доступ к ПДн
• Нельзя не реагировать• Обязательный анализ каждого инцидента• Вносить изменения по результатам анализа• Наказывать виновных• Периодическое тестирование
9. СЗПДн. Защищать или соответствовать?
17www.pointlane.ru
• Как выполнить жесткие требования регуляторов?– Отсутствие финансирования– Сложности применения сертифицированных средств в уже
функционирующих инфраструктурах– Длительный и дорогостоящий процесс сертификации
• Главное – защитить персональные данные субъектов и минимизировать возможные последствия от инцидентов– В первую очередь защищать данные, а не ждать пока
сертифицируют оборудование.
• Что можно сделать уже сейчас:– Сегментировать ИСПДн в соответствии с целями обработки– Определить права доступа и сформировать матрицы доступа– Шифрование ПДн при передаче по каналам– Применить обезличивание данных– Заменить часть технических мер организационными
• Факт инцидента гораздо хуже предписания
10. Поддерживать актуальность
18www.pointlane.ru
• Работы «для галочки» не работают
• Регуляторы не поверят что журналы пустые
• Выделите роли, отвечающие за контроль и актуализацию
• Выделение средств и времени
• Каждое изменение в системе защиты ПДн должно быть учтено
Вопросы и кейсы
19www.pointlane.ru
Реальная ситуация
20www.pointlane.ru
ПРИМЕР:
Мы – производственное предприятие и при приеме на работу кандидаты проходят тщательное медицинское обследование.
ВОПРОС:
Можем ли мы хранить данные кандидата, который не прошел медкомиссию?
www.pointlane.ru
Спасибо за внимание!
Компания «Pointlane»
Москва, ул. Ильинка, д 4
Тел 233-65-08
www.pointlane.ru
21