10 ключевых вопросов защиты персональных данных:...
description
Transcript of 10 ключевых вопросов защиты персональных данных:...
![Page 1: 10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию](https://reader033.fdocuments.net/reader033/viewer/2022061214/549a044ab47959aa348b45a0/html5/thumbnails/1.jpg)
10 ключевых вопросов защиты персональных данных
14 марта 2012
«Подводные камни» проектов по соответствию
![Page 2: 10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию](https://reader033.fdocuments.net/reader033/viewer/2022061214/549a044ab47959aa348b45a0/html5/thumbnails/2.jpg)
Содержание
• Что волнует операторов
• Мифы о соответствии
• Почему именно 10?
• 10 ключевых вопросов защиты ПД
• Кейсы и примеры
• Ответы на вопросы
2www.pointlane.ru
![Page 3: 10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию](https://reader033.fdocuments.net/reader033/viewer/2022061214/549a044ab47959aa348b45a0/html5/thumbnails/3.jpg)
Введение
3www.pointlane.ru
![Page 4: 10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию](https://reader033.fdocuments.net/reader033/viewer/2022061214/549a044ab47959aa348b45a0/html5/thumbnails/4.jpg)
Чего не будет в этой презентации?
4www.pointlane.ru
• Этот семинар для тех, кто уже в теме защиты ПДн• Мы не будем говорить о:
– Основных положениях закона о персональных данных– Основных подзаконных актах– Основных мероприятиях– Обязательных документах
• НО:– Те, кто прослушает семинар будут намного больше
подготовлены к тому, чтобы реализовать проект по защите ПДн правильно.
![Page 5: 10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию](https://reader033.fdocuments.net/reader033/viewer/2022061214/549a044ab47959aa348b45a0/html5/thumbnails/5.jpg)
Что волнует операторов?
5www.pointlane.ru
• Будет ли выполненный проект:– Соответствовать всем требованиям?– Обеспечивать реальную защиту ПДн?
• Будут ли замечания при проверке регуляторами? • Как поддерживать систему защиты ПДн в
актуальном состоянии? • Кого назначить ответственным за мероприятия по
защите ПДн? • Как заставить сотрудников выполнять требования
ОРД? • Возможно ли достичь соответствия без
значительных вложений?
![Page 6: 10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию](https://reader033.fdocuments.net/reader033/viewer/2022061214/549a044ab47959aa348b45a0/html5/thumbnails/6.jpg)
«Мифы» о соответствии
6www.pointlane.ru
• Мы написали «Положение об обработке ПД» этого достаточно!
• Мы заказали работы у сторонней компании. Они принесли нам пачку документов. Вот они лежат на полке.
• У нас в службе безопасности работает бывший полковник. Он нам обеспечит прохождение проверки.
• IT говорит, что все системы и так уже защищены.• Мы закупили сертифицированные средства защиты.
Вот они стоят на компьютерах.• Мы маленькая компания. К нам не придут.
![Page 7: 10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию](https://reader033.fdocuments.net/reader033/viewer/2022061214/549a044ab47959aa348b45a0/html5/thumbnails/7.jpg)
10 ключевых вопросов
7www.pointlane.ru
![Page 8: 10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию](https://reader033.fdocuments.net/reader033/viewer/2022061214/549a044ab47959aa348b45a0/html5/thumbnails/8.jpg)
Почему именно 10?
8www.pointlane.ru
• Это основное, что спрашивают
• Это максимум, что можно обсудить за отведенное время
• Это ключевые факторы успеха проекта, а не его этапы
• Можно и больше, но всё сведется к перечисленному
![Page 9: 10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию](https://reader033.fdocuments.net/reader033/viewer/2022061214/549a044ab47959aa348b45a0/html5/thumbnails/9.jpg)
1. Защищаем данные, а не компанию
9www.pointlane.ru
• Цель – защитить данные субъекта, а не выполнить формальные требования и не попасть под санкции регулятора
• Отталкиваемся не от ответственности по КОАП и УК, а от возможного ущерба для субъекта
• Негативные последствия в первую очередь от жалоб субъектов, а не от плановых проверок
![Page 10: 10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию](https://reader033.fdocuments.net/reader033/viewer/2022061214/549a044ab47959aa348b45a0/html5/thumbnails/10.jpg)
2. Кто отвечает за успех проекта?«Один в поле не воин».
10www.pointlane.ru
ИТ/ИБ
Бизнес/Функциональные подразделения/Руководство
Юристы/Compliance
Проект, реализованный без участия всех сторон
ОБРЕЧЕН
на инциденты и замечания регуляторов
![Page 11: 10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию](https://reader033.fdocuments.net/reader033/viewer/2022061214/549a044ab47959aa348b45a0/html5/thumbnails/11.jpg)
Организационные Технические
Требования
Актуальные угрозы
ИСПДн
ИС
Процессы обработки
Состав, цели, сроки,
обоснование
Типы субъектов
ПДн
3. Не упустить детали
• Максимально ДЕТАЛЬНОЕ обследование!
• Тесное взаимодействие в рабочей группе
11www.pointlane.ru
![Page 12: 10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию](https://reader033.fdocuments.net/reader033/viewer/2022061214/549a044ab47959aa348b45a0/html5/thumbnails/12.jpg)
4. Выстроить взаимоотношения
12www.pointlane.ru
Оператор
Регуляторы
Субъект ПДнСторонние организации
«Обработчик»
![Page 13: 10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию](https://reader033.fdocuments.net/reader033/viewer/2022061214/549a044ab47959aa348b45a0/html5/thumbnails/13.jpg)
5. Ответственность и ответственные
13www.pointlane.ru
• Распределение ответственности
• Выделение ролей
• Делегирование• Осуществлять
контроль
Ответственный за обработку ПДн
Ответственный за защиту ПДн
Сотрудники
Ответственные за обработку ПДн в ИСПДн
Генеральный директор
![Page 14: 10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию](https://reader033.fdocuments.net/reader033/viewer/2022061214/549a044ab47959aa348b45a0/html5/thumbnails/14.jpg)
6. ОРД
14www.pointlane.ru
• ФОРМАЛИЗОВАТЬ И ЗАФИКСИРОВАТЬ процессы обработки ПДн
• Заставить сотрудников следовать требованиям по обработке и защите ПДн
• Нельзя ограничиваться шаблонами– Шаблоны не отражают реальную ситуацию в компании– Шаблоны нельзя интегрировать в систему управления
компании (проектами, изменениями)
• Ввести в действие
![Page 15: 10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию](https://reader033.fdocuments.net/reader033/viewer/2022061214/549a044ab47959aa348b45a0/html5/thumbnails/15.jpg)
7. Обучение и осведомленность
15www.pointlane.ru
• Осведомленность о 152 ФЗ– В рамках должностных обязанностей– Персональная ответственность каждого сотрудника– Ограничения и требования
• Обучение в рамках распределенных ролей• Система обучения• Слабое звено – рядовые исполнители,
взаимодействующие с субъектом• Кто виноват?
– Знал и не сделал – виноват работник– Не знал и поэтому не сделал – виноват руководитель
работника – Какую цель нужно достичь?
![Page 16: 10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию](https://reader033.fdocuments.net/reader033/viewer/2022061214/549a044ab47959aa348b45a0/html5/thumbnails/16.jpg)
8. Управлять инцидентами
16www.pointlane.ru
• Инциденты:– Запросы
• субъекта ПДн• проверяющих органов• контрагентов• сотрудников
– Критические инциденты• утечка данных• несанкционированный доступ к ПДн
• Нельзя не реагировать• Обязательный анализ каждого инцидента• Вносить изменения по результатам анализа• Наказывать виновных• Периодическое тестирование
![Page 17: 10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию](https://reader033.fdocuments.net/reader033/viewer/2022061214/549a044ab47959aa348b45a0/html5/thumbnails/17.jpg)
9. СЗПДн. Защищать или соответствовать?
17www.pointlane.ru
• Как выполнить жесткие требования регуляторов?– Отсутствие финансирования– Сложности применения сертифицированных средств в уже
функционирующих инфраструктурах– Длительный и дорогостоящий процесс сертификации
• Главное – защитить персональные данные субъектов и минимизировать возможные последствия от инцидентов– В первую очередь защищать данные, а не ждать пока
сертифицируют оборудование.
• Что можно сделать уже сейчас:– Сегментировать ИСПДн в соответствии с целями обработки– Определить права доступа и сформировать матрицы доступа– Шифрование ПДн при передаче по каналам– Применить обезличивание данных– Заменить часть технических мер организационными
• Факт инцидента гораздо хуже предписания
![Page 18: 10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию](https://reader033.fdocuments.net/reader033/viewer/2022061214/549a044ab47959aa348b45a0/html5/thumbnails/18.jpg)
10. Поддерживать актуальность
18www.pointlane.ru
• Работы «для галочки» не работают
• Регуляторы не поверят что журналы пустые
• Выделите роли, отвечающие за контроль и актуализацию
• Выделение средств и времени
• Каждое изменение в системе защиты ПДн должно быть учтено
![Page 19: 10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию](https://reader033.fdocuments.net/reader033/viewer/2022061214/549a044ab47959aa348b45a0/html5/thumbnails/19.jpg)
Вопросы и кейсы
19www.pointlane.ru
![Page 20: 10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию](https://reader033.fdocuments.net/reader033/viewer/2022061214/549a044ab47959aa348b45a0/html5/thumbnails/20.jpg)
Реальная ситуация
20www.pointlane.ru
ПРИМЕР:
Мы – производственное предприятие и при приеме на работу кандидаты проходят тщательное медицинское обследование.
ВОПРОС:
Можем ли мы хранить данные кандидата, который не прошел медкомиссию?
![Page 21: 10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов по соответствию](https://reader033.fdocuments.net/reader033/viewer/2022061214/549a044ab47959aa348b45a0/html5/thumbnails/21.jpg)
www.pointlane.ru
Спасибо за внимание!
Компания «Pointlane»
Москва, ул. Ильинка, д 4
Тел 233-65-08
www.pointlane.ru
21