Презентация на тему: Практические аспекты защиты персональных данных у операторов связи

Практические аспекты защиты персональных данных у операторов связи Корольков Сергей, BSI ISMS Lead AuditorТехический директор ЗАО «ДиалогНаука»

План презентации Часть 1. Законодательство по вопросам защиты ПДнЧасть 2. Вопросы защиты ПДн у операторовЧасть 3. О компании ЗАО «ДиалогНаука»Часть 4. Обсуждение и вопросы

План презентации Часть 1Законодательство по вопросам защиты ПДн

Используемые сокращения ПДн – Персональные данныеИСПДн - информационная система персональных данных СЗПДн - система защиты персональных данных ОРД – организационно-распорядительная документация

Основные понятия ФЗ «О персональных данных» Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данныхОбработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных

Законодательная и нормативная база в области ПДн Федеральный закон «О персональных данных» № 152-ФЗ с поправкамиОператор обязан принимать организационные и технические меры, для защиты ПДн от НСД, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действийПравительство РФ устанавливает требования к обеспечению безопасности ПДн при их обработкеФедеральные органы в области обеспечения безопасности ПДн (Роскомнадзор, ФСБ России, ФСТЭК России) осуществляют контроль и надзорЛица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность

Документы, разработанные на основе ФЗ «О персональных данных» Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности ПДн при их обработке в ИСПДн"Постановление Правительства РФ от 15 сентября 2008 г. N 687 Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизацииПриказ ФСТЭК, ФСБ, Мининформсвязи от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации ИСПДн»Приказ ФСТЭК от 5 февраля 2010 г. N 58 «Об утверждении Положения о методах и способах защиты информации в ИСПДн»Отраслевой стандарт по защите персональных данных для операторов связи (НИР «ТРИТОН»)

Изменения в законодательной базе в области ПДн Готовится большое количество изменений в ФЗ «О персональных данных»Вопросы сбора согласий на обработкуВопросы формирования требований к защите ПДн. Возможно будет легализованы отраслевые стандарты по защите ПДнИзменения в форму согласия на обработку

Ключевые положения законодательства в области ПДн Необходимо выполнить уже действующие требования ФЗ-152Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 годаВ ИСПДн К1 применяются СЗИ, соответствующие 4 уровню контроля отсутствия недекларированных возможностейВ ИСПДн применяются СЗИ, прошедшие процедуру оценки соответствия. Сама процедура в отношении ИСПДн в настоящий момент не определена.Оценка соответствия ИСПДн не требуется, но рекомендуется

Проверки Регуляторами Плановые и внеплановые проверки проводятся в форме документарной или выездной проверкиПлановые:Плановые проверки проводятся на основании ежегодного плана проведения плановых проверок на текущий календарный годПлановые проверки проводятся в отношении Операторов, включенных в Реестр операторов, осуществляющих обработку персональных данных (далее – Реестр), а также в отношении Операторов, не включенных в Реестр, но осуществляющих обработку персональных данныхВнеплановые:Истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушенияПоступление в или ее территориальные органы обращений и заявленийНарушение прав и законных интересов граждан действиями (бездействием) Операторов при обработке их персональных данных.Нарушение Операторами требований законодательства РФ в области персональных данных

Запрашиваемые документы учредительные документы Оператора;копия уведомления об обработке персональных данных;положение о порядке обработки персональных данных; положение о подразделении, осуществляющем функции по организации защиты персональных данных;должностные регламенты лиц, имеющих доступ и (или) осуществляющих обработку персональных данных;план мероприятий по защите персональных данных;план внутренних проверок состояния защиты ПДн;приказ о назначении ответственных лиц по работе с ПДн;типовые формы документов, предполагающие или допускающие содержание персональных данных;

Запрашиваемые документы журналы, реестры, книги, содержащие ПДн, необходимые для однократного пропуска субъекта ПДн на территорию, на которой находится Оператор;договоры с субъектами ПДн, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных;выписки из ЕГРЮЛ, содержащие актуальные данные на момент проведения проверки;приказы об утверждении мест хранения материальных носителей персональных данных;письменное согласие субъектов на обработку их ПДн;распечатки электронных шаблонов полей, содержащие ПДн;

Запрашиваемые документы справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка ПДн;заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия СЗИ, предназначенных для обеспечения безопасности ПДн при их обработке;приказ о создании комиссии и акты проведения классификации ИСПДн;журналы (книги) учета обращений граждан (субъектов персональных данных);акт об уничтожении персональных данных субъекта(ов) ПДн (в случае достижения цели обработки);иные документы, отражающие исполнение Оператором требований законодательства РФ в области ПДн

Ответственность Меры по приостановлению или прекращению обработки ПДн, осуществляемой с нарушением требований ФЗ «О персональных данных»Направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов ПДнКонфискация несертифицированных средств защиты информации (в т.ч. основного оборудования и программного обеспечения ИС, т.к. персональные данные обрабатываются непосредственно в ИС, а средства защиты интегрированы в стандартное оборудование и программное обеспечение ИС)Конфискация используемых средств шифрованияПривлечение к административной и уголовной ответственности лиц, виновных в нарушении соответствующих статей уголовного и административного кодекса

Что должен сделать оператор Зарегистрироваться в реестре операторовКлассифицировать ИСПДнВыполнить требования по обработке ПДнВыполнить требования по обработке ПДн без использования средств автоматизацииПринять организационные и технические меры по защите ПДнПривести ИСПДн в соответствие требованиям по безопасности информации по не позже 1 июля 2011 года

План презентации Часть 2Вопросы защиты ПДн у операторов связи

ИСПДн у операторов связи Операторы связи, как правило, обладают следующими ИСПДн:Кадровый учет и бухгалтерияБиллинговые системыCRMЛичные кабинетыЗаявки на подключения на web сайтеКонтакт-центры

Биллинговые системы Как правильно классифицировать биллинговую систему«Трехглавый приказ» не дает точно ответа о том, какая категория ПДн обрабатывается в биллинговых системахРекомендуем использовать отраслевой стандарт для снижения класса ИСПДн

Личные кабинеты пользователей Формально личные кабинеты должны быть обезличеныили должна обеспечиваться защита с использованием сертифицированных СКЗИНа рабочей станции пользователя должно быть установлено СКЗИ

Заявки на подключения В настоящий момент, процесс сбора заявок на подключение, заполняемых на сайтах операторов, противоречат требованиям ФЗ-152Согласие на обработку персональных данных должно быть получено в письменном виде

Голосовая обработка ПДн При ведении голосовой обработки ПДн необходимо принимать ряд организационно-технических мероприятий:Размещение помещения контакт-центра внутри офисаПроведение замеров утечек по акустическому каналу и установка средств зашумления, если например окна центра выходят на улицу

Пакет ОРД

Типовой пакет ОРД

Типовой пакет ОРД

Типовой пакет ОРД

Техническое задание Рекомендуем составлять Техническое задание на создание системы защиты персональных данныхОценка соответствия, которая должна проводится по требованиям ПП 781, проводится на соответствие требованиям по обеспечению безопасности ПДн

План презентации Часть 3О компании ЗАО «ДиалогНаука»

Членство в ассоциациях Межрегиональная общественная организация «Ассоциация защиты информации» (АЗИ)Ассоциации документальной электросвязи (АДЭ)Сообщество ABISS (Association of Banking Information Security Standards)Сертифицированный партнер BSI Management SystemsАссоциация IT компаний «Инфорус»

Лицензии и аттестаты компании «ДиалогНаука» Лицензия ФСТЭК на деятельность по разработке и (или) производству средств защиты конфиденциальной информацииЛицензия ФСТЭК на деятельность по технической защите конфиденциальной информации.Лицензия ФСБ на осуществление разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем. Регистрационный номер 3237 П от 15 июня 2006 гЛицензия ФСБ на осуществление технического обслуживания шифровальных (криптографических) средствЛицензия ФСБ на распространение шифровальных (криптографических) средствЛицензия ФСБ на предоставления услуг в области шифрования информацииАттестат аккредитации органа аттестации в системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 для проведения аттестации объектов информатизации

Услуги ЗАО «ДиалогНаука» в области защиты ПДн Обследование ИСПДн компании на соответствие требованиям Федерального закона «О персональных данных»Разработка системы защиты персональных данных, обрабатываемых в информационных системах ЗаказчикаПоставка, установка и настройка средств защиты информации для обеспечения безопасности персональных данныхПодготовка к оценке соответствия информационных систем Заказчика по требованиям безопасности информацииОценка соответствия информационных систем персональных данных Заказчика по требованиям безопасности информации

Ключевые клиенты ЗАО «ДиалогНаука»

Проекты по выполнению требований 152-ФЗ

Проекты по выполнению требований 152-ФЗ

План презентации Часть 4Обсуждение и вопросы

Контакты Корольков Сергей, Технический директор ЗАО «ДиалогНаука»Тел.: +7(495) 980-67-76 доб. 163, Факс: +7(495) 980-67-75URL: http://www.DialogNauka.ru, E-mail: [email protected]