Содержание
-
Практические аспекты защиты персональных данных у операторов связи
Корольков Сергей, BSI ISMS Lead Auditor Техический директор ЗАО «ДиалогНаука»
-
План презентации
Часть 1. Законодательство по вопросам защиты ПДн Часть 2. Вопросы защиты ПДн у операторов Часть 3. О компании ЗАО «ДиалогНаука» Часть 4. Обсуждение и вопросы
-
Часть 1 Законодательство по вопросам защиты ПДн
-
Используемые сокращения
ПДн – Персональные данные ИСПДн - информационная система персональных данных СЗПДн - система защиты персональных данных ОРД – организационно-распорядительная документация
-
Основные понятия ФЗ «О персональных данных» Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных
-
Законодательная и нормативная база в области ПДн Федеральный закон «О персональных данных» № 152-ФЗ с поправками Оператор обязан принимать организационные и технические меры, для защиты ПДн от НСД, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий Правительство РФ устанавливает требования к обеспечению безопасности ПДн при их обработке Федеральные органы в области обеспечения безопасности ПДн (Роскомнадзор, ФСБ России, ФСТЭК России) осуществляют контроль и надзор Лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность
-
Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности ПДн при их обработке в ИСПДн" Постановление Правительства РФ от 15 сентября 2008 г. N 687Об утверждении положенияоб особенностях обработки персональных данных, осуществляемой без использованиясредств автоматизации Приказ ФСТЭК, ФСБ, Мининформсвязи от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации ИСПДн» Приказ ФСТЭК от 5 февраля 2010 г. N 58 «Об утверждении Положения о методах и способах защиты информации в ИСПДн» Отраслевой стандарт по защите персональных данных для операторов связи (НИР «ТРИТОН») Документы, разработанные на основе ФЗ «О персональных данных»
-
Изменения в законодательной базе в области ПДн Готовится большое количество изменений в ФЗ «О персональных данных» Вопросы сбора согласий на обработку Вопросы формирования требований к защите ПДн. Возможно будет легализованы отраслевые стандарты по защите ПДн Изменения в форму согласия на обработку
-
Необходимо выполнить уже действующие требования ФЗ-152 Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года В ИСПДн К1применяются СЗИ, соответствующие 4 уровню контроля отсутствия недекларированных возможностей В ИСПДн применяются СЗИ, прошедшие процедуру оценки соответствия. Сама процедура в отношении ИСПДн в настоящий момент не определена. Оценка соответствия ИСПДн не требуется, но рекомендуется Ключевые положения законодательства в области ПДн
-
Плановые и внеплановые проверки проводятся в форме документарной или выездной проверки Плановые: Плановые проверки проводятся на основании ежегодного плана проведения плановых проверок на текущий календарный год Плановые проверки проводятся в отношении Операторов, включенных в Реестр операторов, осуществляющих обработку персональных данных (далее – Реестр), а также в отношении Операторов, не включенных в Реестр, но осуществляющих обработку персональных данных Внеплановые: Истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушения Поступление в или ее территориальные органы обращений и заявлений Нарушение прав и законных интересов граждан действиями (бездействием) Операторов при обработке их персональных данных. Нарушение Операторами требований законодательства РФ в области персональных данных Проверки Регуляторами
-
учредительные документы Оператора; копия уведомления об обработке персональных данных; положение о порядке обработки персональных данных; положение о подразделении, осуществляющем функции по организации защиты персональных данных; должностные регламенты лиц, имеющих доступ и (или) осуществляющих обработку персональных данных; план мероприятий по защите персональных данных; план внутренних проверок состояния защиты ПДн; приказ о назначении ответственных лиц по работе с ПДн; типовые формы документов, предполагающие или допускающие содержание персональных данных; Запрашиваемые документы
-
журналы, реестры, книги, содержащие ПДн, необходимые для однократного пропуска субъекта ПДн на территорию, на которой находится Оператор; договоры с субъектами ПДн, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных; выписки из ЕГРЮЛ, содержащие актуальные данные на момент проведения проверки; приказы об утверждении мест хранения материальных носителей персональных данных; письменное согласие субъектов на обработку их ПДн; распечатки электронных шаблонов полей, содержащие ПДн; Запрашиваемые документы
-
справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка ПДн; заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия СЗИ, предназначенных для обеспечения безопасности ПДн при их обработке; приказ о создании комиссии и акты проведения классификации ИСПДн; журналы (книги) учета обращений граждан (субъектов персональных данных); акт об уничтожении персональных данных субъекта(ов) ПДн (в случае достижения цели обработки); иные документы, отражающие исполнение Оператором требований законодательства РФ в области ПДн Запрашиваемые документы
-
Меры по приостановлению или прекращению обработки ПДн, осуществляемой с нарушением требований ФЗ «О персональных данных» Направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов ПДн Конфискация несертифицированных средств защиты информации (в т.ч. основного оборудования и программного обеспечения ИС, т.к. персональные данные обрабатываются непосредственно в ИС, а средства защиты интегрированы в стандартное оборудование и программное обеспечение ИС) Конфискация используемых средств шифрования Привлечение к административной и уголовной ответственности лиц, виновных в нарушении соответствующих статей уголовного и административного кодекса Ответственность
-
Зарегистрироваться в реестре операторов Классифицировать ИСПДн Выполнить требования по обработке ПДн Выполнить требования по обработке ПДн без использования средств автоматизации Принять организационные и технические меры по защите ПДн Привести ИСПДн в соответствие требованиям по безопасности информации по не позже 1 июля 2011 года Что должен сделать оператор
-
План презентации
Часть 2 Вопросы защиты ПДн у операторов связи
-
Операторы связи, как правило, обладают следующими ИСПДн: Кадровый учет и бухгалтерия Биллинговые системы CRM Личные кабинеты Заявки на подключения на web сайте Контакт-центры ИСПДн у операторов связи
-
Как правильно классифицировать биллинговую систему «Трехглавый приказ» не дает точно ответа о том, какая категория ПДн обрабатывается в биллинговых системах Рекомендуем использовать отраслевой стандарт для снижения класса ИСПДн Биллинговые системы
-
Формально личные кабинеты должны быть обезличены или должна обеспечиваться защита с использованием сертифицированных СКЗИ На рабочей станции пользователя должно быть установлено СКЗИ Личные кабинеты пользователей
-
В настоящий момент, процесс сбора заявок на подключение, заполняемых на сайтах операторов, противоречат требованиям ФЗ-152 Согласие на обработку персональных данных должно быть получено в письменном виде Заявки на подключения
-
При ведении голосовой обработки ПДн необходимо принимать ряд организационно-технических мероприятий: Размещение помещения контакт-центра внутри офиса Проведение замеров утечек по акустическому каналу и установка средств зашумления, если например окна центра выходят на улицу Голосовая обработка ПДн
-
Пакет ОРД
-
Типовой пакет ОРД
-
Типовой пакет ОРД
-
Типовой пакет ОРД
-
Рекомендуем составлять Техническое задание на создание системы защиты персональных данных Оценка соответствия, которая должна проводится по требованиям ПП 781, проводится на соответствие требованиям по обеспечению безопасности ПДн Техническое задание
-
План презентации
Часть 3 О компании ЗАО «ДиалогНаука»
-
Членство в ассоциациях
Межрегиональная общественная организация «Ассоциация защиты информации» (АЗИ) Ассоциации документальной электросвязи (АДЭ) Сообщество ABISS (Association of Banking Information Security Standards) Сертифицированный партнер BSI Management Systems Ассоциация IT компаний «Инфорус»
-
Лицензии и аттестаты компании «ДиалогНаука»
Лицензия ФСТЭК на деятельность по разработке и (или) производству средств защиты конфиденциальной информации Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации. Лицензия ФСБ на осуществление разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем. Регистрационный номер 3237 П от 15 июня 2006 г Лицензия ФСБ на осуществление технического обслуживания шифровальных (криптографических) средств Лицензия ФСБ на распространение шифровальных (криптографических) средств Лицензия ФСБ на предоставления услуг в области шифрования информации Аттестат аккредитации органа аттестации в системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 для проведения аттестации объектов информатизации
-
Обследование ИСПДн компании на соответствие требованиям Федерального закона «О персональных данных» Разработка системы защиты персональных данных, обрабатываемых в информационных системах Заказчика Поставка, установка и настройка средств защиты информации для обеспечения безопасности персональных данных Подготовка к оценке соответствия информационных систем Заказчика по требованиям безопасности информации Оценка соответствия информационных систем персональных данных Заказчика по требованиям безопасности информации Услуги ЗАО «ДиалогНаука» в области защиты ПДн
-
Ключевые клиенты ЗАО «ДиалогНаука»
-
Проекты по выполнению требований 152-ФЗ
-
Проекты по выполнению требований 152-ФЗ
-
План презентации
Часть 4 Обсуждение и вопросы
-
Контакты
Корольков Сергей, Технический директор ЗАО «ДиалогНаука» Тел.: +7(495) 980-67-76 доб. 163, Факс: +7(495) 980-67-75 URL: http://www.DialogNauka.ru, E-mail: sergey.korolkov@dialognauka.ru
Нет комментариев для данной презентации
Помогите другим пользователям — будьте первым, кто поделится своим мнением об этой презентации.