Миграция в облако для компаний, работающих в банковской сфере. Применение Федерального Закона 152 к облачным технологиям. Макеева Анна, ООО «КроСистем» anna@crosys.ru www.crosys.ru Кто имеет отношение к персональным данным НЕСЕТ ВСЮ ПОЛНОТУ ОТВЕТСТВЕННОСТИ! Оператор персональных данных БАНК Субъект персональных данных Клиент банка (заемщик) Персональные данные Разработчик автоматизированных систем обработки данных В ЗАКОНЕ НЕ ОБОЗНАЧЕН! International Association of Microsoft Certified Partners (IAMCP) Федеральный закон №152-ФЗ «О персональных данных» Оператор пер. данных несет ответственность за: Требование закона Способы обеспечения соответствия требованию Соответствие принципам, установленным в законе Создание локального нормативного акта (далее - ЛНА), регулирующего обработку персональных данных в процессе кредитования Требование об уничтожении персональных данных по достижению цели их обработки Обеспечение возможности уничтожения персональных данных по достижении условий, обозначенных в ЛНА Наличие письменного согласия субъекта персональных данных на их обработку Создание унифицированной формы согласия субъекта персональных данных, обеспечение ее подписания субъектом и хранение в течение установленного ЛНА срока Запрет на принятие решений, имеющих юридические последствия, только на основании автоматической обработки данных Приведение процесса выдачи кредита в соответствие с данным требованием (окончательное утверждение решения сотрудником), и описание данного процесса в ЛНА. Защита персональных данных «от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий» Описание в ЛНА системы мер по обеспечению защиты персональных данных. Приведение программных средств в соответствие с ЛНА. International Association of Microsoft Certified Partners (IAMCP) Федеральный закон №152-ФЗ «О персональных данных» Оператор пер. данных несет ответственность за: Требование закона Способы обеспечения соответствия требованию Блокировка ПД в случае обнаружения их недостоверности Описание в ЛНА процесса уточнение у субъекта ПД его данных и снятие блокировки. Предоставление технических средств для блокировки обработки ПД в случае подтверждения их недостоверности. Осуществление защиты ПД с помощью системы мер (организационных и технических) Описание системы мер, применяемых Оператором для защиты ПД, в ЛНА. Обеспечение соответствия программных средств требованиям законодательства РФ и Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности РФ. Приведение программных средств в соответствие с требованиями ЛНА Заказчика. Несанкционированный доступ Определение в ЛНА списка лиц, имеющих доступ к ПД, процедуры допуска, а так же прав указанных лиц при обработке ПД. Приведение программных средств в соответствие с ЛНА International Association of Microsoft Certified Partners (IAMCP) Следствия для информационных систем Требование закона «О персональных данных» Следствие 1 Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных В системе не должно быть автоматического принятия окончательного решения, может быть только рекомендация системы 2 В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных. Система должна обеспечивать возможность оперативного и полного удаления данных 3 Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона International Association of Microsoft Certified Partners (IAMCP) Требуется доработка ранее разработанных систем и их приведение к соответствию с законом. Критерии классификации систем Категория обрабатываемых данных Объем обрабатываемы х данных Классификация осуществляется в соответствии с приказом ФСТЭК, ФСБ и Мининформсвязи от 13 февраля 2008 г. N 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных". International Association of Microsoft Certified Partners (IAMCP) Категории персональных данных Категория 1 Категория 2 Персональные данные, касающиеся расовой принадлежности, политических взглядов, религиозных философских убеждений, состояния здоровья Персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 Категория 3 Персональные данные, позволяющие идентифицировать субъекта персональных данных Категория 4 Обезличенные персональные данные International Association of Microsoft Certified Partners (IAMCP) Объем обрабатываемых данных Категория 1 В информационной системе одновременно обрабатываются персональные данные о более 100 000 субъектов Категория 2 В информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов Категория 3 В информационной системе одновременно обрабатываются персональные данные менее, чем 1000 субъектов International Association of Microsoft Certified Partners (IAMCP) Классы информационных систем 4 класс информационной системы Информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных. 3 класс информационной системы Информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных. 2 класс информационной системы Информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных. 1 класс информационной системы Информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных. International Association of Microsoft Certified Partners (IAMCP) Суммарные требования к классам систем Требование к системе 1 Класс 2 Класс Управление доступом Регистрация и учет пользователе Обеспечение целостности Периодическое тестирование функций системы Наличие средств восстановления системы защиты персональных данных Применение средств межсетевого экранирования Регистрация выдачи печатных (графических) документов на бумажный носитель Учет всех защищаемых носителей информации Дублирующий учет Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти Регистрация запуска (завершения) программ и процессов Регистрация попыток доступа программных средств Регистрация попыток доступа программных средств к дополнительным защищаемым объектам доступа International Association of Microsoft Certified Partners (IAMCP) 3 Класс 4 Класс Последствия законодательства для облака ?? Система обработки данных ? Не очевидно как и где хранятся и обрабатываются данные, кто несет ответственность. По законодательству ответственность будет нести организация, предоставляющая хостинг для системы (хранящая у себя информацию) Без специальной регистрации можно обрабатывать информацию, не относящуюся к персональной (например, о юридических лицах) Получить статус оператора персональных данных International Association of Microsoft Certified Partners (IAMCP) Использование системы в частном облаке между организациями кредитнофинансового сектора, где одна из организация (или все) сертифицировали систему должным образом и имеют необходимые статусы Как стать членом ассоциации • Стоимость годового взноса: $50 – индивидуальное участие $100 – корпоративное членство • Регистрация: www.iamcp.org -> Join IAMCP -> Start Registration -> Russia -> Выберите тип участия -> Оплата по карте Наша группа в facebook: http://www.facebook.com/#!/groups/iamcpru/ International Association of Microsoft Certified Partners (IAMCP) Ресурсы и контакты IAMCP Россия • • • • http://www.iamcp.org – Chapters – Russia Блог: http://iamcpru.wordpress.com E-mail: iamcp@live.ru Facebook: IAMCP Russia (группа) • • • • Председатель секции - Данил Динцис, consult@dintsis.org Директор по развитию – Артем Черневский Комитет по этике – и партнерству – Максим Гвоздев, m@l4s.ru IAMCP в Санкт Петербурге – Татьяна Зудилова, zudilova@limtu.spb.ru International Association of Microsoft Certified Partners (IAMCP)