Киберпреступность в России. Защита персональных данных.

Содержание

Слайд 2

Киберпреступность

Объём рынка киберпреступности в мире (Group IB)– 7 млрд. дол.
Из них

Киберпреступность Объём рынка киберпреступности в мире (Group IB)– 7 млрд. дол. Из
«российский сегмент» - 1,3 млрд.; «русский» – 2,5 млрд.

Из 10 крупнейших спаммеров (www.spamhaus.org):
- 3 россиянина; 3 украинца; эстонец.

Рост киберпреступности – 115% за 2010 год
(Гос. Деп. США)

Слайд 3

Основные направления

Дистанционное банковское обслуживание (ДБО, банк-клиент).

DDOS атаки. Шантаж и вымогательство.

СМС - мошенничество

Основные направления Дистанционное банковское обслуживание (ДБО, банк-клиент). DDOS атаки. Шантаж и вымогательство.

Социальные сети

Кибервойна (Stuxnet)

Спам. Ботнеты. Нелегальные медикаменты и ПО.

Слайд 4

«Бизнес» процесс

Покупка вредоносного ПО

Покупка траффика (загрузок)

Создание
ботнета

СПАМ

DDOS

ДБО

1. Специализация.

2. Упрощение процедур.

3. Эффективность.

«Бизнес» процесс Покупка вредоносного ПО Покупка траффика (загрузок) Создание ботнета СПАМ DDOS

Слайд 5

ГОС. РЕГУЛИРОВАНИЕ

1. Не знает о виртуальных серверах, облачных вычислениях, терминалах …

ВЫВОД: Отстаёт

ГОС. РЕГУЛИРОВАНИЕ 1. Не знает о виртуальных серверах, облачных вычислениях, терминалах …
на 5-10 лет

2. Активно ловит западных шпионов (ПЭМИН)

3. Плодит регуляторов (ФСТЭК, ФСБ, РОСКОМНАДЗОР, МИНСВЯЗИ и т.д.)

4. Любит ГОСТ, сертификацию, аттестацию и лицензирование

Слайд 7

Приказы
Федеральных
Служб

Постановления
Правительства

Федеральные
Законы

152-ФЗ
«О ПДн»

ПП781
ИСПДн

ПП687
ПДн без средств автоматизации

ФСТЭК ФСБ Минсвязи
55/86/20
Классификация ИСПДн

ФСБ
Криптография

ФСТЭК 58
ИБ ПДн

ФСБ
Регламент
проверок

ФСТЭК МУ

ФСТЭК ЮФО

РКН
Регламент

Приказы Федеральных Служб Постановления Правительства Федеральные Законы 152-ФЗ «О ПДн» ПП781 ИСПДн
проверок

ПП512
БиоПДн

Комплекс БР ИББС

СТО БР ИББС-1.х

РС БР ИББС-2.х

Методические рекомендации

Нормативно-правовые документы

ФСБ
Криптография

ФСТЭК МУ

Письмо «шести»

Слайд 8

ПДн

Криптография;
Модель угроз ФСБ.

Технические вопросы;
Аттестация, Сертификация;
Модель угроз ФСТЭК.

Реестр операторов;
Защита прав субъектов ПДн.

ПДн Криптография; Модель угроз ФСБ. Технические вопросы; Аттестация, Сертификация; Модель угроз ФСТЭК.

Слайд 9

Модель угроз

Объект

Угроза 1

Угроза 2

Угроза 3

Ущерб:
небольшой

Ущерб:
средний

Ущерб:
значительный

Вероятность:
средняя

Вероятность:
средняя

Вероятность:
низкая

Неактуальная

Актуальная

Актуальная

Модель угроз Объект Угроза 1 Угроза 2 Угроза 3 Ущерб: небольшой Ущерб:

Слайд 10

Что такое ИСПДн?

информационная система персональных данных - информационная система, представляющая собой совокупность

Что такое ИСПДн? информационная система персональных данных - информационная система, представляющая собой
персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

152-ФЗ «О персональных данных»

Слайд 11

Классификация ИСПДн

< 1 000

1 000 < X < 100 000

> 100 000

4

Классификация ИСПДн 1 000 > 100 000 4 кат. 3 кат. 2
кат.

3 кат.

2 кат.

1 кат.

К4

К4

К4

К3

К3

К3

К2

К2

К1

К1

К1

К1

Слайд 12

Согласия на обработку

Часть 1 Статьи 6: Обработка персональных данных может осуществляться оператором

Согласия на обработку Часть 1 Статьи 6: Обработка персональных данных может осуществляться
с согласия субъектов персональных данных, за исключением…

Часть 1 Статьи 10: Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением…

Часть 1 Статьи 11: Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением

Часть 1 Статьи 8: …В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

Часть 3 Статьи 18: …Если персональные данные были получены не от субъекта персональных данных … оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:…

СОГЛАСИЕ СУБЪЕКТА ПДн

СОГЛАСИЕ на обработку
СПЕЦИАЛЬННЫХ категорий ПДн

СОГЛАСИЕ на обработку
БИОМЕТРИЧЕСКИХ ПДн

Часть 3 Статьи 12: Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных…

СОГЛАСИЕ на публикацию
ПДн в общедоступных источниках

СОГЛАСИЕ на трансграничную передачу ПДн

Часть 2 Статьи 16: Решение, порождающее юридические последствия … на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта …

СОГЛАСИЕ на передачу ПДн третьим лицам

СОГЛАСИЕ на автоматизированную обработку с принятием юридически значимого решения

Слайд 13

152-ФЗ и Интернет

Часть 4 статьи 9: Согласие субъекта должно включать собственноручную

152-ФЗ и Интернет Часть 4 статьи 9: Согласие субъекта должно включать собственноручную
подпись, либо ЭЦП.

Часть 1 статьи 7: Обеспечение конфиденциальности передаваемых данных.

Часть 1 статьи 8: согласие на публикацию в общедоступных источниках.
Часть 2 статьи 7: не требуется обеспечивать конфиденциальность общедоступных данных.
Часть 2 статьи 22: уведомление не требуется, если обрабатываются общедоступные ПДн.

Часть 1 статьи 5: Принцип достоверности при обработке ПДн

Слайд 14

Мифы о защите ПДн

ОБЕЗЛИЧИВАНИЕ

СНИЖЕНИЕ КЛАССА

ОТКАЗ ОТ ЗАЩИТЫ

ОБЪЕДИНЕНИЕ ИСПДн

Статья 23 Конституции РФ:
Каждый имеет

Мифы о защите ПДн ОБЕЗЛИЧИВАНИЕ СНИЖЕНИЕ КЛАССА ОТКАЗ ОТ ЗАЩИТЫ ОБЪЕДИНЕНИЕ ИСПДн
право на неприкосновенность частной жизни, личную и семейную тайну…
Статья 86 ТК РФ:
9) работники не должны отказываться от своих прав на сохранение и защиту тайны.

Адрес, телефон, e-mail практически однозначно определяют человека.

К2=К3

Ст. 5 152-ФЗ. Принципы обработки ПДн:
5) недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

НЕСЕРТИФИЦИРОВАННЫЕ СЗИ

Статья 13.12 КоАП:
Использование несертифицированных средств защиты информации …
Штраф до 20 тыс. руб. и конфискация СЗИ.

Слайд 15

Сертификация средств защиты

Серия (производство)

Партия

Экземпляр

Кем?

Что?

Как?

МЭ

СВТ

ОУД

НДВ

ТУ

КЛАСС АС

КЛАСС ИСПДн

КС1(2,3)

МЭ

АВ

СОКА

ВЕРСИЯ

КОМПЛЕКТ ПОСТАВКИ

ОБНОВЛЕНИЯ

ПЕРЕСЕРТИФИКАЦИЯ

Сертификация средств защиты Серия (производство) Партия Экземпляр Кем? Что? Как? МЭ СВТ

Слайд 16


Нарушения и наказания

Нарушения и наказания

Слайд 17

Федеральный Закон 152-ФЗ «О персональных данных»
Часть 3 статьи 22:
Уведомление должно быть направлено

Федеральный Закон 152-ФЗ «О персональных данных» Часть 3 статьи 22: Уведомление должно
в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения: …..
Пример: изменились реквизиты организации, а уведомление не обновили.
КоАП, ст. 19.7:
Непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление в государственный орган таких сведений в неполном объёме или в искажённом виде ..
Прокуратура. Предупреждение или штраф.

Слайд 18

Часть 1 статьи 6:
Обработка персональных данных может осуществляться оператором с согласия субъектов

Часть 1 статьи 6: Обработка персональных данных может осуществляться оператором с согласия
персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Пример: сбор сведений о близких родственниках, супругах, хранение сведений об уволенных сотрудниках (кроме бухгалтерской отчетности) без согласий.
КоАП, ст. 13.11:
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Прокуратура. Предупреждение или штраф.

Слайд 19

Часть 4 статьи 6:
В случае, если оператор на основании договора поручает обработку

Часть 4 статьи 6: В случае, если оператор на основании договора поручает
персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
Пример: охрана периметра другой организацией, корпоративный спортзал, негосударственный пенсионный фонд, «зарплатный» банк. В договорах с ними отсутствует обязательное условие обеспечения конфиденциальности.
КоАП, ст. 13.11:
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Прокуратура. Предупреждение или штраф.

1

Слайд 20

Часть 3 статьи 9:
В случае обработки общедоступных персональных данных, обязанность доказывания того,

Часть 3 статьи 9: В случае обработки общедоступных персональных данных, обязанность доказывания
что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
Пример: публикация ПДн на сайте, в телефонном справочнике.
КоАП, ст. 13.11:
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Прокуратура. Предупреждение или штраф.

Слайд 21

Часть 1 статьи 10:
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности,

Часть 1 статьи 10: Обработка специальных категорий персональных данных, касающихся расовой, национальной
политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи (имеется письменное согласие).
Пример: графа «национальность» в анкете, сбор сведений о здоровье.
КоАП, ст. 13.11:
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Прокуратура. Предупреждение или штраф.

Слайд 22

Часть 3 статьи 10:
Обработка персональных данных о судимости может осуществляться государственными органами

Часть 3 статьи 10: Обработка персональных данных о судимости может осуществляться государственными
или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
Пример: графа «судимость» в анкете
КоАП, ст. 13.11:
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Прокуратура. Предупреждение или штраф.

3

Слайд 23

Часть 1 статьи 11:
Сведения, которые характеризуют физиологические особенности человека и на основе

Часть 1 статьи 11: Сведения, которые характеризуют физиологические особенности человека и на
которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.
Пример: Фотография сотрудника (на пропуске, в личном деле, в справочнике Outlook; рост, вес).
КоАП, ст. 13.11:
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Прокуратура. Предупреждение или штраф.

Слайд 24

Часть 3 статьи 18:
Если персональные данные были получены не от субъекта персональных

Часть 3 статьи 18: Если персональные данные были получены не от субъекта
данных, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных информацию о наименовании, адресе, целях обработки, пользователях, правах субъекта персональных данных
Пример: УК провела конкурс на «лучшего клиента», получив от филиала информацию о клиентах.
КоАП, ст. 13.11:
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Прокуратура. Предупреждение или штраф.

Слайд 25

Часть 4 статьи 21:
В случае достижения цели обработки персональных данных оператор обязан

Часть 4 статьи 21: В случае достижения цели обработки персональных данных оператор
незамедлительно прекратить обработку персональных данных, уничтожить соответствующие персональные данные и уведомить об этом субъекта персональных данных.
Пример: -
КоАП, ст. 13.11:
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Прокуратура. Предупреждение или штраф.

Слайд 26

Часть 1 статьи 5:
Обработка персональных данных должна осуществляться на основе принципов: …

Часть 1 статьи 5: Обработка персональных данных должна осуществляться на основе принципов:
недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
Пример: -

Слайд 27

Постановления Правительства РФ № 687
(неавтоматизированная обработка ПДн)
Пункт 6:
Лица, осуществляющие обработку персональных данных,

Постановления Правительства РФ № 687 (неавтоматизированная обработка ПДн) Пункт 6: Лица, осуществляющие
должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
Пункт 8:
Устанавливает особенности ведения журналов учёта посетителей.
Пункт 13:
Обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
Пункт 15:
При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

2

Слайд 28

ФСТЭК

ФСБ

Наши лицензии

ФСТЭК ФСБ Наши лицензии
Имя файла: Киберпреступность-в-России.-Защита-персональных-данных..pptx
Количество просмотров: 625
Количество скачиваний: 5
- Предыдущая
Фасовка и упаковка новых видов лекарственных препаратов в Республике Беларусь
Следующая -
VINISOL – Растворимые Виниловые Смолы Разработка: Mr. Stephen Fitzpatrick – Технический директор Выполнение: Mr. Thiago B. Spedo – Освоение рынка.

Похожие презентации

Стратегия продвижения компаний и проектов в социальных сетях. INTOURFEST 2012. - презентация
Словари русского языка
Классицизм в изобразительном искусстве
Право и организация социального обеспечения
синтаксис (1)
Платежные инструменты как двигатель развития электронной коммерции
Компетентностный подход в образовании
Комплектные распределительные устройства
Ситиформат
Обмен триацилглицеролов и жирных кислот
Презентация на тему Итоговое повторение за курс 6 класса
Обоснование цены при формировании начальной (максимальной) цены контракта (договора)
Характеристика взглядов Петражицкого Л.И. в области социологии права
ЦЕПОЧКА (1)
Гербы
Рисунок акрилом
Семинар 11практическое занятиепо темам: понимание и категории
Цикл разработки ПО и роль тестера на каждом этапе
Francisco Vazquez and Pablo Federico Bank Funding Structures and Risk: Evidence from the Global Financial Crisis
МСФО - международная перспектива
Закрепление навыков сложения и вычитания в пределах 20
Законодательные и исполнительные органы государственной власти субъектов РФ
Смоленск
Презентация "эмо"
Взаимная интеграцияжелезнодорожных систем 1520/1435Балтийский фактор
Пернатые изобретатели
Индивидуальное обучение на дому
Стефанович Галина Викторовна
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть