'

Киберпреступность в России. Защита персональных данных.

Понравилась презентация – покажи это...





Слайд 0

Киберпреступность в России. Защита персональных данных. Заместитель генерального директора по информационной безопасности Артём Агеев


Слайд 1

Киберпреступность Объём рынка киберпреступности в мире (Group IB)– 7 млрд. дол. Из них «российский сегмент» - 1,3 млрд.; «русский» – 2,5 млрд. Из 10 крупнейших спаммеров (www.spamhaus.org): - 3 россиянина; 3 украинца; эстонец. Рост киберпреступности – 115% за 2010 год (Гос. Деп. США)


Слайд 2

Основные направления Дистанционное банковское обслуживание (ДБО, банк-клиент). DDOS атаки. Шантаж и вымогательство. СМС - мошенничество Социальные сети Кибервойна (Stuxnet) Спам. Ботнеты. Нелегальные медикаменты и ПО.


Слайд 3

«Бизнес» процесс Покупка вредоносного ПО Покупка траффика (загрузок) Создание ботнета СПАМ DDOS ДБО 1. Специализация. 2. Упрощение процедур. 3. Эффективность.


Слайд 4

ГОС. РЕГУЛИРОВАНИЕ 1. Не знает о виртуальных серверах, облачных вычислениях, терминалах … ВЫВОД: Отстаёт на 5-10 лет 2. Активно ловит западных шпионов (ПЭМИН) 3. Плодит регуляторов (ФСТЭК, ФСБ, РОСКОМНАДЗОР, МИНСВЯЗИ и т.д.) 4. Любит ГОСТ, сертификацию, аттестацию и лицензирование


Слайд 5


Слайд 6

Приказы Федеральных Служб Постановления Правительства Федеральные Законы 152-ФЗ «О ПДн» ПП781 ИСПДн ПП687 ПДн без средств автоматизации ФСТЭК ФСБ Минсвязи 55/86/20 Классификация ИСПДн ФСБ Криптография ФСТЭК 58 ИБ ПДн ФСБ Регламент проверок ФСТЭК МУ ФСТЭК ЮФО РКН Регламент проверок ПП512 БиоПДн Комплекс БР ИББС СТО БР ИББС-1.х РС БР ИББС-2.х Методические рекомендации Нормативно-правовые документы ФСБ Криптография ФСТЭК МУ Письмо «шести»


Слайд 7

ПДн Криптография; Модель угроз ФСБ. Технические вопросы; Аттестация, Сертификация; Модель угроз ФСТЭК. Реестр операторов; Защита прав субъектов ПДн.


Слайд 8

Модель угроз Объект Угроза 1 Угроза 2 Угроза 3 Ущерб: небольшой Ущерб: средний Ущерб: значительный Вероятность: средняя Вероятность: средняя Вероятность: низкая Неактуальная Актуальная Актуальная


Слайд 9

Что такое ИСПДн? информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств; обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. 152-ФЗ «О персональных данных»


Слайд 10

Классификация ИСПДн < 1 000 1 000 < X < 100 000 > 100 000 4 кат. 3 кат. 2 кат. 1 кат. К4 К4 К4 К3 К3 К3 К2 К2 К1 К1 К1 К1


Слайд 11

Согласия на обработку Часть 1 Статьи 6: Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением… Часть 1 Статьи 10: Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением… Часть 1 Статьи 11: Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением Часть 1 Статьи 8: …В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных. Часть 3 Статьи 18: …Если персональные данные были получены не от субъекта персональных данных … оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:… СОГЛАСИЕ СУБЪЕКТА ПДн СОГЛАСИЕ на обработку СПЕЦИАЛЬННЫХ категорий ПДн СОГЛАСИЕ на обработку БИОМЕТРИЧЕСКИХ ПДн Часть 3 Статьи 12: Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях: 1) наличия согласия в письменной форме субъекта персональных данных… СОГЛАСИЕ на публикацию ПДн в общедоступных источниках СОГЛАСИЕ на трансграничную передачу ПДн Часть 2 Статьи 16: Решение, порождающее юридические последствия … на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта … СОГЛАСИЕ на передачу ПДн третьим лицам СОГЛАСИЕ на автоматизированную обработку с принятием юридически значимого решения


Слайд 12

152-ФЗ и Интернет Часть 4 статьи 9: Согласие субъекта должно включать собственноручную подпись, либо ЭЦП. Часть 1 статьи 7: Обеспечение конфиденциальности передаваемых данных. Часть 1 статьи 8: согласие на публикацию в общедоступных источниках. Часть 2 статьи 7: не требуется обеспечивать конфиденциальность общедоступных данных. Часть 2 статьи 22: уведомление не требуется, если обрабатываются общедоступные ПДн. Часть 1 статьи 5: Принцип достоверности при обработке ПДн


Слайд 13

Мифы о защите ПДн ОБЕЗЛИЧИВАНИЕ СНИЖЕНИЕ КЛАССА ОТКАЗ ОТ ЗАЩИТЫ ОБЪЕДИНЕНИЕ ИСПДн Статья 23 Конституции РФ: Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну… Статья 86 ТК РФ: 9) работники не должны отказываться от своих прав на сохранение и защиту тайны. Адрес, телефон, e-mail практически однозначно определяют человека. К2=К3 Ст. 5 152-ФЗ. Принципы обработки ПДн: 5) недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных. НЕСЕРТИФИЦИРОВАННЫЕ СЗИ Статья 13.12 КоАП: Использование несертифицированных средств защиты информации … Штраф до 20 тыс. руб. и конфискация СЗИ.


Слайд 14

Сертификация средств защиты Серия (производство) Партия Экземпляр Кем? Что? Как? МЭ СВТ ОУД НДВ ТУ КЛАСС АС КЛАСС ИСПДн КС1(2,3) МЭ АВ СОКА ВЕРСИЯ КОМПЛЕКТ ПОСТАВКИ ОБНОВЛЕНИЯ ПЕРЕСЕРТИФИКАЦИЯ


Слайд 15

Нарушения и наказания


Слайд 16

Федеральный Закон 152-ФЗ «О персональных данных» Часть 3 статьи 22: Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения: ….. Пример: изменились реквизиты организации, а уведомление не обновили. КоАП, ст. 19.7: Непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление в государственный орган таких сведений в неполном объёме или в искажённом виде .. Прокуратура. Предупреждение или штраф.


Слайд 17

Часть 1 статьи 6: Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. Пример: сбор сведений о близких родственниках, супругах, хранение сведений об уволенных сотрудниках (кроме бухгалтерской отчетности) без согласий. КоАП, ст. 13.11: Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Прокуратура. Предупреждение или штраф.


Слайд 18

Часть 4 статьи 6: В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. Пример: охрана периметра другой организацией, корпоративный спортзал, негосударственный пенсионный фонд, «зарплатный» банк. В договорах с ними отсутствует обязательное условие обеспечения конфиденциальности. КоАП, ст. 13.11: Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Прокуратура. Предупреждение или штраф. 1


Слайд 19

Часть 3 статьи 9: В случае обработки общедоступных персональных данных, обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора. Пример: публикация ПДн на сайте, в телефонном справочнике. КоАП, ст. 13.11: Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Прокуратура. Предупреждение или штраф.


Слайд 20

Часть 1 статьи 10: Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи (имеется письменное согласие). Пример: графа «национальность» в анкете, сбор сведений о здоровье. КоАП, ст. 13.11: Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Прокуратура. Предупреждение или штраф.


Слайд 21

Часть 3 статьи 10: Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами. Пример: графа «судимость» в анкете КоАП, ст. 13.11: Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Прокуратура. Предупреждение или штраф. 3


Слайд 22

Часть 1 статьи 11: Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных. Пример: Фотография сотрудника (на пропуске, в личном деле, в справочнике Outlook; рост, вес). КоАП, ст. 13.11: Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Прокуратура. Предупреждение или штраф.


Слайд 23

Часть 3 статьи 18: Если персональные данные были получены не от субъекта персональных данных, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных информацию о наименовании, адресе, целях обработки, пользователях, правах субъекта персональных данных Пример: УК провела конкурс на «лучшего клиента», получив от филиала информацию о клиентах. КоАП, ст. 13.11: Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Прокуратура. Предупреждение или штраф.


Слайд 24

Часть 4 статьи 21: В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных, уничтожить соответствующие персональные данные и уведомить об этом субъекта персональных данных. Пример: - КоАП, ст. 13.11: Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Прокуратура. Предупреждение или штраф.


Слайд 25

Часть 1 статьи 5: Обработка персональных данных должна осуществляться на основе принципов: … недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных; Пример: -


Слайд 26

Постановления Правительства РФ № 687 (неавтоматизированная обработка ПДн) Пункт 6: Лица, осуществляющие обработку персональных данных, должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки. Пункт 8: Устанавливает особенности ведения журналов учёта посетителей. Пункт 13: Обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Пункт 15: При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. 2


Слайд 27

ФСТЭК ФСБ Наши лицензии


Слайд 28

Спасибо за внимание! Вопросы? (861) 279-32-00 info@rosint.net


×

HTML:





Ссылка: