ݺߣ

ݺߣShare a Scribd company logo

Vladimir Kozak - Информационная безопасность и защита персональных данных в компании. Национальные особенности #uisgcon9

UISGCON
UISGCON
1 of 19
Информационная безопасность и защита персональных данных в компании. Национальные особенности Козак Владимир Федорович, Заместитель Председателя Государственной службы Украины по вопросам защиты персональных данных volodymyr.kozak@zpd.gov.ua +38044 517 85 86
Информационная безопасность и защита персональных данных в компании. Национальные особенности    Защита персональных данных – что это? Data Protection Officer – кто это? ISMS & Data Protection     Risks/Controls/Sertification Engineering Privacy by Design Privacy Enhanced Technologies Защита персональных данных в Украине– где мы находимся куда мы движемся a
Захист персональних даних в Україні: Європейські джерела 1981 Конвенція про захист осіб стосовно автоматизованої обробки даних особистого характеру 2001 Додатковий протокол до Конвенції .. щодо ОРГАНІВ НАГЛЯДУ та транскордонних потоків даних Ратифіковані Україною 06/07/2010 Директива 95/46/ЄС Європейського Парламенту і Ради "Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних" від 24 жовтня 1995 року Підтримка принципів Закон України “Про захист персональних даних” з 01/01/2011
ПЕРСОНАЛЬНЫЕ ДАННЫЕ ОПРЕДЕЛЕНИЕ Персональные данные – это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано
Защита персональных данных: ТРЕБОВАНИЯ К ОБРАБОТКЕ 1.законность; 2.конкретность целей; 3.точность и своевременное обновление; 4.ограничение времени обработки; 5.неизбыточность; 6.права физического лица; 7.защита информации; 8.ограничение трансграничной передачи . Закон Украины «О защите персональных данных»
ЗАКОННЫЕ ОСНОВАНИЯ ДЛЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 1) 2) 3) 4) 5) Законом требует/разрешает обработку ПД Контракт Согласие Защита жизненно важных интересов Защита законных интересов компании
Защита персональных данных: ТРЕБОВАНИЯ К ОБРАБОТКЕ 1.законность; 2.конкретность целей; 3.точность и своевременное обновление; 4.ограничение времени обработки; 5.неизбыточность; 6.права физического лица; 7.защита информации; 8.ограничение трансграничной передачи . Закон Украины «О защите персональных данных»
Конвенция 108 и Закон Украины «О защите персональных данных КАЖДЫЙ ИМЕЕТ ПРАВО: ЗНАТЬ КТО И ГДЕ обрабатывает его ПД КОМУ передаются его ПД КАК получить доступ и потребовать исправления/удаления своих ПД ОБРАЩАТЬСЯ к администрации банка в уполномоченный орган по вопросам защиты своих персональных данных в суд для правовой защиты своих прав 
Защита персональных данных ЭТО обеспечение 1.законности обработки ПД 2.конкретности целей обработки ПД 3.точности и своевременномти обновления ПД, 4.ограничения времени обработки ПД 5.неизбыточности ПД, 6.прав субъекта персональных данных при обработке ПД 7.информационной безопасности при обработке ПД 8.ограничение трансграничной передачи ПД
Data Protection Officer «..структурний підрозділ або відповідальна особа, яка організовує роботу, пов’язану із захистом персоанальних даних при їх обробці» Знання законодавства та практики захисту персональних даних. Завдання:   перевірка документів політики обробки ПД;  дотримання вимог захисту ПД при запровадженні нових бізнес-процесів, вимог за замовчуванням, вимог безпеки даних, обробка запитів суб’єктів ПД; попередня перевірка та авторизація запроваджуваних процесів та технологій  нагляд за дотриманням затверджених процедур обробки ПД, проведення тренінгів персоналу, аудиту  нотифікація та комунікації з Уповноваженим органом з питань захисту ПД, відповіді на запити
Data Protection Officer «..структурний підрозділ або відповідальна особа, яка організовує роботу, пов’язану із захистом персоанальних даних при їх обробці» Знання законодавства та практики захисту персональних даних. Завдання:   перевірка документів політики обробки ПД;  дотримання вимог захисту ПД при запровадженні нових бізнес-процесів, вимог за замовчуванням, вимог безпеки даних, обробка запитів суб’єктів ПД; попередня перевірка та авторизація запроваджуваних процесів та технологій  нагляд за дотриманням затверджених процедур обробки ПД, проведення тренінгів персоналу, аудиту  нотифікація та комунікації з Уповноваженим органом з питань захисту ПД, відповіді на запити
Data Protection Officer Особа, яка організовує роботу, пов’язану із захистом персональних даних = юрист + фахівець з інформаційної безпеки
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ И СИСТЕМА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ ISMS ISO 27001 Information Security Management System СУИБ PIMS BS 10012 Система управления обработкой персональных данних Personal Information Management System IT Security Trustworthy System Assesment ISO/IEC 29100:2011 Information technology -Security techniques -Privacy framework КСЗИ 13
АНАЛИЗ РИСКОВ В КОНТЕКСТЕ ПРИВАТНОСТИ Оценка в рамках существующих бизнес-процессов: наличия законных оснований обр.ПД (ст.11 ЗПД) информирования субъектов ПД (ст.12 ЗПД) обеспечения прав доступа к своим ПД (п.3 ч.2 ст.8 ЗПД), возражать против обработки(п.5 ч.2 ст.8 ЗПД), корректировки или уничтожения ПД (п.6 ч.2 ст.8 ЗПД) чтобы избежать обработки ПД без наличия законных оснований (нарушение абз.3 ч.1 ст.6 ЗПД) обробки ПД, с целью, отличной от цели, для кот. есть основания (нарушение ч.5 ст.6 ЗПД) чрезмерности ПД относительно (нарушение ч.3 ст.6 ЗПД) незаконного доступа к ПД неавторизованных лиц (нарушение ч.2 ст 24 ЗПД) использования устаревших ПД (нарушение ч.2 ст.6 ЗПД) хранение ПД, подлежащих уничтожению (нарушение ст..11 ЗПД), а следовательно, избежать административных правонарушений КУАП ст.188-39 (несоблюдение установленого законодательством порядка защиты пероснальных данных, что повлекло незаконных доступ к ПД и репутационных потерь
Engineering privacy Privacy stages 0 identifiability identified Approach to privacy protection privacy by policy (notice and choice) 1 Linkability of data to personal identifiers linked linkable with reasonable & automatable effort pseudonymous 2 privacy by architecture 15 3 anonymous not linkable with reasonable effort unlinkable System Characteristics • unique identifiers across databases • contact information stored with profile information • no unique identifies across databases • common attributes across databases • contact information stored separately from profile or transaction information • no unique identifiers across databases • no common attributes across databases • random identifiers • contact information stored separately from profile or transaction information • collection of long term person characteristics on a low level of granularity • technically enforced deletion of profile details at regular intervals • no collection of contact information • no collection of long term person characteristics • k-anonymity with large value of k
Зміни європейських правил захисту персональних даних Драматичні зміни технологій: Інтернет Соціальні мережі Мобільні телефони та мобільний інтернет Геолокалізація (визначення місцезнаходження користувача інтренетмобільного зв’язку Біометрія Глобалізація Нові моделі бізнесу: SaaS/PaaS|IaaS – програмне забезпечення/платформа/інфраструктура як сервіс Хмарні технології
Зміни європейських правил захисту персональних даних 1. 2. 3. 4. 5. 6. 7. 27 країн – один нормативно-правовий акт Ширше застосування Повідодомлення про інциденти оОбов’язкова оцінка рівня ІБ Право бути забутим офіцер з захисту персональних даних Відсутність реєстрації Щтрафи – до 2% від річного обігу
Зміни європейських правил захисту персональних даних 1. 2. 3. 4. 5. 6. 7. 27 країн – один нормативно-правовий акт Ширше застосування Повідодомлення про інциденти оОбов’язкова оцінка рівня ІБ Право бути забутим офіцер з захисту персональних даних Відсутність реєстрації Щтрафи – до 2% від річного обігу
ЩОДО ПРАКТИЧНОГО ЗАСТОСУВАННЯ ЗАКОНОДАВСТВА СФЕРІ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ ДЯКУЮ ЗА УВАГУ Козак Володимир Федорович, Заступник Голови Державної служби з питань захисту персональних даних

More Related Content

Vladimir Kozak - Информационная безопасность и защита персональных данных в компании. Национальные особенности #uisgcon9

  • 1. Информационная безопасность и защита персональных данных в компании. Национальные особенности Козак Владимир Федорович, Заместитель Председателя Государственной службы Украины по вопросам защиты персональных данных volodymyr.kozak@zpd.gov.ua +38044 517 85 86
  • 2. Информационная безопасность и защита персональных данных в компании. Национальные особенности    Защита персональных данных – что это? Data Protection Officer – кто это? ISMS & Data Protection     Risks/Controls/Sertification Engineering Privacy by Design Privacy Enhanced Technologies Защита персональных данных в Украине– где мы находимся куда мы движемся a
  • 3. Захист персональних даних в Україні: Європейські джерела 1981 Конвенція про захист осіб стосовно автоматизованої обробки даних особистого характеру 2001 Додатковий протокол до Конвенції .. щодо ОРГАНІВ НАГЛЯДУ та транскордонних потоків даних Ратифіковані Україною 06/07/2010 Директива 95/46/ЄС Європейського Парламенту і Ради "Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних" від 24 жовтня 1995 року Підтримка принципів Закон України “Про захист персональних даних” з 01/01/2011
  • 4. ПЕРСОНАЛЬНЫЕ ДАННЫЕ ОПРЕДЕЛЕНИЕ Персональные данные – это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано
  • 5. Защита персональных данных: ТРЕБОВАНИЯ К ОБРАБОТКЕ 1.законность; 2.конкретность целей; 3.точность и своевременное обновление; 4.ограничение времени обработки; 5.неизбыточность; 6.права физического лица; 7.защита информации; 8.ограничение трансграничной передачи . Закон Украины «О защите персональных данных»
  • 6. ЗАКОННЫЕ ОСНОВАНИЯ ДЛЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 1) 2) 3) 4) 5) Законом требует/разрешает обработку ПД Контракт Согласие Защита жизненно важных интересов Защита законных интересов компании
  • 7. Защита персональных данных: ТРЕБОВАНИЯ К ОБРАБОТКЕ 1.законность; 2.конкретность целей; 3.точность и своевременное обновление; 4.ограничение времени обработки; 5.неизбыточность; 6.права физического лица; 7.защита информации; 8.ограничение трансграничной передачи . Закон Украины «О защите персональных данных»
  • 8. Конвенция 108 и Закон Украины «О защите персональных данных КАЖДЫЙ ИМЕЕТ ПРАВО: ЗНАТЬ КТО И ГДЕ обрабатывает его ПД КОМУ передаются его ПД КАК получить доступ и потребовать исправления/удаления своих ПД ОБРАЩАТЬСЯ к администрации банка в уполномоченный орган по вопросам защиты своих персональных данных в суд для правовой защиты своих прав 
  • 9. Защита персональных данных ЭТО обеспечение 1.законности обработки ПД 2.конкретности целей обработки ПД 3.точности и своевременномти обновления ПД, 4.ограничения времени обработки ПД 5.неизбыточности ПД, 6.прав субъекта персональных данных при обработке ПД 7.информационной безопасности при обработке ПД 8.ограничение трансграничной передачи ПД
  • 10. Data Protection Officer «..структурний підрозділ або відповідальна особа, яка організовує роботу, пов’язану із захистом персоанальних даних при їх обробці» Знання законодавства та практики захисту персональних даних. Завдання:   перевірка документів політики обробки ПД;  дотримання вимог захисту ПД при запровадженні нових бізнес-процесів, вимог за замовчуванням, вимог безпеки даних, обробка запитів суб’єктів ПД; попередня перевірка та авторизація запроваджуваних процесів та технологій  нагляд за дотриманням затверджених процедур обробки ПД, проведення тренінгів персоналу, аудиту  нотифікація та комунікації з Уповноваженим органом з питань захисту ПД, відповіді на запити
  • 11. Data Protection Officer «..структурний підрозділ або відповідальна особа, яка організовує роботу, пов’язану із захистом персоанальних даних при їх обробці» Знання законодавства та практики захисту персональних даних. Завдання:   перевірка документів політики обробки ПД;  дотримання вимог захисту ПД при запровадженні нових бізнес-процесів, вимог за замовчуванням, вимог безпеки даних, обробка запитів суб’єктів ПД; попередня перевірка та авторизація запроваджуваних процесів та технологій  нагляд за дотриманням затверджених процедур обробки ПД, проведення тренінгів персоналу, аудиту  нотифікація та комунікації з Уповноваженим органом з питань захисту ПД, відповіді на запити
  • 12. Data Protection Officer Особа, яка організовує роботу, пов’язану із захистом персональних даних = юрист + фахівець з інформаційної безпеки
  • 13. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ И СИСТЕМА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ ISMS ISO 27001 Information Security Management System СУИБ PIMS BS 10012 Система управления обработкой персональных данних Personal Information Management System IT Security Trustworthy System Assesment ISO/IEC 29100:2011 Information technology -Security techniques -Privacy framework КСЗИ 13
  • 14. АНАЛИЗ РИСКОВ В КОНТЕКСТЕ ПРИВАТНОСТИ Оценка в рамках существующих бизнес-процессов: наличия законных оснований обр.ПД (ст.11 ЗПД) информирования субъектов ПД (ст.12 ЗПД) обеспечения прав доступа к своим ПД (п.3 ч.2 ст.8 ЗПД), возражать против обработки(п.5 ч.2 ст.8 ЗПД), корректировки или уничтожения ПД (п.6 ч.2 ст.8 ЗПД) чтобы избежать обработки ПД без наличия законных оснований (нарушение абз.3 ч.1 ст.6 ЗПД) обробки ПД, с целью, отличной от цели, для кот. есть основания (нарушение ч.5 ст.6 ЗПД) чрезмерности ПД относительно (нарушение ч.3 ст.6 ЗПД) незаконного доступа к ПД неавторизованных лиц (нарушение ч.2 ст 24 ЗПД) использования устаревших ПД (нарушение ч.2 ст.6 ЗПД) хранение ПД, подлежащих уничтожению (нарушение ст..11 ЗПД), а следовательно, избежать административных правонарушений КУАП ст.188-39 (несоблюдение установленого законодательством порядка защиты пероснальных данных, что повлекло незаконных доступ к ПД и репутационных потерь
  • 15. Engineering privacy Privacy stages 0 identifiability identified Approach to privacy protection privacy by policy (notice and choice) 1 Linkability of data to personal identifiers linked linkable with reasonable & automatable effort pseudonymous 2 privacy by architecture 15 3 anonymous not linkable with reasonable effort unlinkable System Characteristics • unique identifiers across databases • contact information stored with profile information • no unique identifies across databases • common attributes across databases • contact information stored separately from profile or transaction information • no unique identifiers across databases • no common attributes across databases • random identifiers • contact information stored separately from profile or transaction information • collection of long term person characteristics on a low level of granularity • technically enforced deletion of profile details at regular intervals • no collection of contact information • no collection of long term person characteristics • k-anonymity with large value of k
  • 16. Зміни європейських правил захисту персональних даних Драматичні зміни технологій: Інтернет Соціальні мережі Мобільні телефони та мобільний інтернет Геолокалізація (визначення місцезнаходження користувача інтренетмобільного зв’язку Біометрія Глобалізація Нові моделі бізнесу: SaaS/PaaS|IaaS – програмне забезпечення/платформа/інфраструктура як сервіс Хмарні технології
  • 17. Зміни європейських правил захисту персональних даних 1. 2. 3. 4. 5. 6. 7. 27 країн – один нормативно-правовий акт Ширше застосування Повідодомлення про інциденти оОбов’язкова оцінка рівня ІБ Право бути забутим офіцер з захисту персональних даних Відсутність реєстрації Щтрафи – до 2% від річного обігу
  • 18. Зміни європейських правил захисту персональних даних 1. 2. 3. 4. 5. 6. 7. 27 країн – один нормативно-правовий акт Ширше застосування Повідодомлення про інциденти оОбов’язкова оцінка рівня ІБ Право бути забутим офіцер з захисту персональних даних Відсутність реєстрації Щтрафи – до 2% від річного обігу
  • 19. ЩОДО ПРАКТИЧНОГО ЗАСТОСУВАННЯ ЗАКОНОДАВСТВА СФЕРІ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ ДЯКУЮ ЗА УВАГУ Козак Володимир Федорович, Заступник Голови Державної служби з питань захисту персональних даних