10 ключевых вопросов защиты персональных данных

14 марта 2012

«Подводные камни» проектов по соответствию

Содержание

• Что волнует операторов

• Мифы о соответствии

• Почему именно 10?

• 10 ключевых вопросов защиты ПД

• Кейсы и примеры

• Ответы на вопросы

2www.pointlane.ru

Введение

3www.pointlane.ru

Чего не будет в этой презентации?

4www.pointlane.ru

• Этот семинар для тех, кто уже в теме защиты ПДн• Мы не будем говорить о:

– Основных положениях закона о персональных данных– Основных подзаконных актах– Основных мероприятиях– Обязательных документах

• НО:– Те, кто прослушает семинар будут намного больше

подготовлены к тому, чтобы реализовать проект по защите ПДн правильно.

Что волнует операторов?

5www.pointlane.ru

• Будет ли выполненный проект:– Соответствовать всем требованиям?– Обеспечивать реальную защиту ПДн?

• Будут ли замечания при проверке регуляторами? • Как поддерживать систему защиты ПДн в

актуальном состоянии? • Кого назначить ответственным за мероприятия по

защите ПДн? • Как заставить сотрудников выполнять требования

ОРД? • Возможно ли достичь соответствия без

значительных вложений?

«Мифы» о соответствии

6www.pointlane.ru

• Мы написали «Положение об обработке ПД» этого достаточно!

• Мы заказали работы у сторонней компании. Они принесли нам пачку документов. Вот они лежат на полке.

• У нас в службе безопасности работает бывший полковник. Он нам обеспечит прохождение проверки.

• IT говорит, что все системы и так уже защищены.• Мы закупили сертифицированные средства защиты.

Вот они стоят на компьютерах.• Мы маленькая компания. К нам не придут.

10 ключевых вопросов

7www.pointlane.ru

Почему именно 10?

8www.pointlane.ru

• Это основное, что спрашивают

• Это максимум, что можно обсудить за отведенное время

• Это ключевые факторы успеха проекта, а не его этапы

• Можно и больше, но всё сведется к перечисленному

1. Защищаем данные, а не компанию

9www.pointlane.ru

• Цель – защитить данные субъекта, а не выполнить формальные требования и не попасть под санкции регулятора

• Отталкиваемся не от ответственности по КОАП и УК, а от возможного ущерба для субъекта

• Негативные последствия в первую очередь от жалоб субъектов, а не от плановых проверок

2. Кто отвечает за успех проекта?«Один в поле не воин».

10www.pointlane.ru

ИТ/ИБ

Бизнес/Функциональные подразделения/Руководство

Юристы/Compliance

Проект, реализованный без участия всех сторон

ОБРЕЧЕН

на инциденты и замечания регуляторов

Организационные Технические

Требования

Актуальные угрозы

ИСПДн

ИС

Процессы обработки

Состав, цели, сроки,

обоснование

Типы субъектов

ПДн

3. Не упустить детали

• Максимально ДЕТАЛЬНОЕ обследование!

• Тесное взаимодействие в рабочей группе

11www.pointlane.ru

4. Выстроить взаимоотношения

12www.pointlane.ru

Оператор

Регуляторы

Субъект ПДнСторонние организации

«Обработчик»

5. Ответственность и ответственные

13www.pointlane.ru

• Распределение ответственности

• Выделение ролей

• Делегирование• Осуществлять

контроль

Ответственный за обработку ПДн

Ответственный за защиту ПДн

Сотрудники

Ответственные за обработку ПДн в ИСПДн

Генеральный директор

6. ОРД

14www.pointlane.ru

• ФОРМАЛИЗОВАТЬ И ЗАФИКСИРОВАТЬ процессы обработки ПДн

• Заставить сотрудников следовать требованиям по обработке и защите ПДн

• Нельзя ограничиваться шаблонами– Шаблоны не отражают реальную ситуацию в компании– Шаблоны нельзя интегрировать в систему управления

компании (проектами, изменениями)

• Ввести в действие

7. Обучение и осведомленность

15www.pointlane.ru

• Осведомленность о 152 ФЗ– В рамках должностных обязанностей– Персональная ответственность каждого сотрудника– Ограничения и требования

• Обучение в рамках распределенных ролей• Система обучения• Слабое звено – рядовые исполнители,

взаимодействующие с субъектом• Кто виноват?

– Знал и не сделал – виноват работник– Не знал и поэтому не сделал – виноват руководитель

работника – Какую цель нужно достичь?

8. Управлять инцидентами

16www.pointlane.ru

• Инциденты:– Запросы

• субъекта ПДн• проверяющих органов• контрагентов• сотрудников

– Критические инциденты• утечка данных• несанкционированный доступ к ПДн

• Нельзя не реагировать• Обязательный анализ каждого инцидента• Вносить изменения по результатам анализа• Наказывать виновных• Периодическое тестирование

9. СЗПДн. Защищать или соответствовать?

17www.pointlane.ru

• Как выполнить жесткие требования регуляторов?– Отсутствие финансирования– Сложности применения сертифицированных средств в уже

функционирующих инфраструктурах– Длительный и дорогостоящий процесс сертификации

• Главное – защитить персональные данные субъектов и минимизировать возможные последствия от инцидентов– В первую очередь защищать данные, а не ждать пока

сертифицируют оборудование.

• Что можно сделать уже сейчас:– Сегментировать ИСПДн в соответствии с целями обработки– Определить права доступа и сформировать матрицы доступа– Шифрование ПДн при передаче по каналам– Применить обезличивание данных– Заменить часть технических мер организационными

• Факт инцидента гораздо хуже предписания

10. Поддерживать актуальность

18www.pointlane.ru

• Работы «для галочки» не работают

• Регуляторы не поверят что журналы пустые

• Выделите роли, отвечающие за контроль и актуализацию

• Выделение средств и времени

• Каждое изменение в системе защиты ПДн должно быть учтено

Вопросы и кейсы

19www.pointlane.ru

Реальная ситуация

20www.pointlane.ru

ПРИМЕР:

Мы – производственное предприятие и при приеме на работу кандидаты проходят тщательное медицинское обследование.

ВОПРОС:

Можем ли мы хранить данные кандидата, который не прошел медкомиссию?

www.pointlane.ru

Спасибо за внимание!

Компания «Pointlane»

Москва, ул. Ильинка, д 4

Тел 233-65-08

consult@pointlane.ru

www.pointlane.ru

21