Защита персональных данных на предприятии: от законодательных актов - к практическим шагам



Дата проведения: 24 сентября 2009

 гостиница Radisson-Славянская

Москва, пл. Европы, д. 2

Схема проезда

                 

 

Конференция ориентирована на руководителей компаний, подпадающих под определение оператора персональных данных, руководителей подразделений, в ведении которых находится обработка персональных данных, менеджеров и специалистов, отвечающих за информационную безопасность предприятий и обеспечение конфиденциальности информации, ИТ-директоров, ИТ-менеджеров и сотрудников других подразделений, имеющих отношение к хранению и обработке персональных данных в организациях различного размера и специализации.

Платиновый партнер

 

Серебрянный партнер

Бронзовые партнеры

Информационный партнер

 

Требования регулятора

В соответствии с Конвенцией Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (ETS №108, 1981 г.) в нашей стране действует Федеральный закон № 152 «О персональных данных» (ФЗ-152), подписанный Президентом РФ В.В. Путиным 27 июля 2006 г., а также ряд нормативно-правовых актов, обеспечивающих выполнение требований упомянутого закона. В сферу действия последнего попадают все государственные и муниципальные органы, юридические и физические лица, которые собирают, учитывают, обеспечивают хранение, администрирование, передачу и обработку персональных данных граждан РФ (сотрудников, клиентов, партнеров и т.п.). Закон обязывает оператора персональных данных обеспечить конфиденциальность этой информации с использованием специализированного программного и аппаратного обеспечения. В случае нарушения положений закона компания может лишиться лицензии и даже подвергнуться судебному преследованию, а виновные в этом лица - понести гражданскую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством РФ.

В настоящее время установлены четыре категории персональных данных, отражающие их характер - от обезличенной и общедоступной персональной информации (четвертая категория) до сведений о расовой и национальной принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья и т.п. (первая категория). Как следствие, любая информационная система, обрабатывающая персональные данные, в зависимости от категории этих данных, их объема и степени детализации, распределенности информационной системы и ряда других факторов должна быть отнесена к определенному классу, а уровень ее защищенности - соответствовать критичности данных. Другими словами, к информационным системам разных классов предъявляются различные требования с точки зрения защиты персональных данных от несанкционированного доступа, уничтожения, изменения, копирования, распространения и иных неправомерных действий. Для некоторых классов инфомационных систем, обрабатывающих персональные данных, требуется развертывание нескольких средств информационной безопасности, включая подсистемы антивирусной защиты, анализа защищенности и выявления уязвимостей, криптографической защиты информации, маршрутизации, коммутации и межсетевого экранирования, обнаружения вторжений и даже защиты информации от утечки по техническим каналам. Существенно, что все средства защиты персональных данных должны быть сертифицированы ФСТЭК или ФСБ.

Защита персональных данных на практике

Сегодня подавляющее большинство информационных систем хранят и обрабатывают такие сведения персонального характера, как фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия. По некоторым оценкам, на конец 2008 г. в Российской Федерации насчитывалось от 4,5 до 7,5 миллионов операторов персональных данных, информационные системы которых должны быть защищены. Принятие закона «О персональных данных» привело к тому, что обеспечение безопасности персональных данных стало неотъемлемой частью эксплуатации информационных систем. Закон устанавливает, что информационные системы, обрабатывающие персональные данные и созданные до вступления закона в силу, должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 г.

Как показывают опросы представителей российских компаний, многие организации до сих пор даже не инициировали проекты, направленные на приведение корпоративных информационных систем в соответствие с положениями упомянутого закона. Среди причин такого положения дел следует назвать сравнительно позднее появление полного набора нормативных актов, относящихся к данной сфере, сложности с финансированием соответствующих проектов, неготовность к модернизации бизнес-процессов, затрагивающих обработку персональных данных. Сокращение бюджетов в период кризиса еще больше осложнило запуск и выполнение проектов в области защиты персональных данных, а сокращение персонала породило дополнительные риски в области информационной безопасности.

В некоторых организациях бытует представление о том, что усилия регулятора в данной области на поверку окажутся не более чем очередной агитационной кампанией. Однако уже начавшиеся проверки отечественных предприятий Роскомнадзором заставляют сильно усомниться в обоснованности подобной точки зрения. Некоторые руководители полагают, что их предприятие проверки обойдут стороной или что выполнить требования законодательства удастся в последний момент. В действительности же обеспечение защиты персональных данных - от выбора сертифицированных средств защиты либо получения сертификатов ФСБ до развертывания полномасштабной системы защиты, перестройки сопутствующих бизнес-процессов и аудита средств информационной безопасности - требует значительных ресурсов, в том числе и временных.

Эксперты отмечают, что обеспечение защиты персональных данных выходит далеко за пределы функций отдела информационной безопасности, а связанные с ней ключевые решения должны приниматься топ-менеджментом компании. Руководству организации прежде всего предстоит ответить на вопрос: чьими силами будет выполняться проект. Как правило, свои аргументы находятся и в пользу опоры на собственные ресурсы, и в защиту аутсорсинговых схем. После того, как выбор сделан, предстоит точно описать все ситуации, при которых возникает необходимость в сборе, хранении, передаче или обработке персональных данных, выделить сопряженные с ними бизнес-процессы, определить круг вовлеченных информационных систем и совокупность обрабатываемых персональных данных, выполнить классификацию этих данных, сформировать актуальные модели угроз, подготовить рекомендации по использованию технических средств защиты персональных данных, отправить документы в регулирующие органы. Только после этого можно приступить к развертыванию полноценной системы обработки персональных данных, полномасштабному внедрению средств защиты, аттестации информационных систем, модернизации бизнес-процессов, обучению сотрудников, выработке процедур реагирования на регулярные проверки и т.д. и т.п.

Тематика конференции

На конференции будет рассмотрен весь комплекс вопросов, связанных с выполнением требований Закона «О персональных данных» и сопутствующих законодательных актов, различные организационные и технические меры, направленные на защиту персональных данных, способы минимизации рисков утечки персональных данных и наложения штрафных санкций со стороны регулирующих органов. Особое внимание предполагается уделить практическим вопросам защиты персональных данных, включая разработку внутренних нормативных документов, классификацию эксплуатируемых информационных систем, создание моделей угроз, взаимодействие с регулирующими органами. Участникам будут представлены реальные примеры построения систем защиты персональных данных на российских предприятиях.

Основные темы конференции:

  • Специфика персональных данных с точки зрения информационной безопасности и требования нормативных документов
  • Основные этапы проектов, нацеленных на защиту персональных данных
  • Модернизация бизнес-процессов и внутренних политик безопасности для обеспечения защиты персональных данных
  • Защита персональных данных в современных информационных системах
  • Анализ и минимизация рисков в области защиты персональных данных
  • Аутсорсинг защиты персональных данных

 

Стоимость участия в конференции:

- Для представителей корпоративного сектора регистрационный взнос* составляет:

  • для одного человека - 4750 рублей, включая НДС

- Для поставщиков решений и услуг в области защиты персональных данных регистрационный взнос* составляет 13950 рублей, включая НДС, на одного человека независимо от срока подачи заявки.

ВНИМАНИЕ! Для корпоративного сектора предусмотрена льготная регистрация, при оплате до 6 сентября регистрационный взнос* составляет:

  • для одного человека - 3450 рублей, включая НДС

ВНИМАНИЕ! Спецпредложение для компаний из всех российских регионов, кроме Москвы и Московской области Скидка 50% при регистрации двух и более сотрудников одной компании

Условия участия и порядок оплаты

Заявки принимаются до 22 сентября 2009 года.

Для участия в конференции необходимо заполнить регистрационную форму на сайте. В течение 1 рабочего дня организаторы конференции направят Вам подтверждение о получении заявки и выставят счет, который необходимо оплатить в течение 5 рабочих дней. Оплата за услуги осуществляется банковским переводом или наличными.

Замена участников может быть осуществлена до 22 сентября без дополнительной оплаты. Информацию о замене участников следует направить в письменном виде по электронной почте или факсу (495) 253-92-04/05. В случае если участник по какой либо причине не смог посетить конференцию и письменно не уведомил об этом организаторов конференции, компания оставляет за собой право не возвращать оплату в качестве возмещения затрат на организацию участия делегата. При письменном уведомлении за месяц до начала конференции возврат составляет 100% оплаты, за две недели-50%.

По вопросам участия:
Ольга Кузьмина, kon@osp.ru
тел. (495) 956-33-06, факс (495) 253-92-04/05


* Регистрационный взнос обеспечивает участие во всех мероприятиях конференции, получение полного комплекта материалов конференции, питание в течение всего периода конференции.

Организаторы: еженедельник Computerworld  и Агентство корпоративных коммуникаций OSP-Con