6.08M
Категория: ИнформатикаИнформатика

Коммерческая тайна

1.

З
Коммерческая тайна
Информация, которая в силу своей неизвестности другим
организациям позволяет Банку увеличить доходы, избежать
неоправданных расходов, получить коммерческую выгоду

2.

В
з
У
Чем выше для Банка ценность
информации и больше
возможные потери при
нарушении ее
конфиденциальности, тем выше
категория
Категорию конфиденциальности устанавливает работник Банка —
исполнитель документа.
Лица, виновные в нарушении правил обработки и защиты конфиденциальной информации
несут дисциплинарную, гражданско-правовую или уголовную ответственность
в соответствии с законодательством Российской Федерации.
Вы

3.

Категории конфиденциальности информации
К-1
К информации категории К-1 относится:
Коммерческая тайна, которая в соответствии с Перечнем информации,
составляющей КТ Банка, прямо отнесена к категории К-1.
К-2
К-3
К-4
Разглашение информации этой категории несет крайне
критичные последствия для Банка.
Примеры информации категории К-1:
• Стратегия Банка (закрытая часть)
• Условия договора с ключевыми партнерами (сегмент «Крупный
бизнес»)
• Сведения об инцидентах кредитного риска (клиент сегмента
«Крупнейший»)
• Скоринговые модели
• Инновационные разработки, ноу-хау Банка
3/6

4.

5.

К информации категории К-2 относится:
Коммерческая тайна, которая отнесена к категории К-2
в соответствии с Перечнем информации,
составляющей КТ Банка
Персональные данные клиентов, контрагентов и
работников Банка
Банковская тайна
Служебная тайна (входящие документы с пометкой
«ДСП»
Разглашение информации этой категории несет
существенные последствия для Банка.
Примеры информации категории К-2:
• Информация об остатке на банковском счете клиента
Банка
• ФИО, паспортные данные клиента Банка
• Проектные документы с описанием будущего
банковского продукта, способа его реализации
• Данные держателей банковских карт (PAN — номер
карты, имя владельца карты, срок действия карты)
• Условия договора кредитования с клиентом массового
сегмента

6.

Информация категории К-3 не является
конфиденциальной, но для открытой публикации не
предназначена.
Примеры информации категории К-3:
• Обезличенные персональные данные (например,
только ФИО или семейное положение)
• Формы/бланки, не предназначенные для клиентов
• Служебная переписка самостоятельных
подразделений Банка, не содержащая грифы «КТ»,
«БТ»
• Телефонный справочник сотрудников Банка
• Материалы для обучения сотрудников Банка
• Доверенности

7.

Информация категории К-4 — это общедоступная
информация, которая предназначена для публикации в
СМИ.
Негативные последствия от разглашения отсутствуют
Примеры К-4:
Общие условия и тарифы предоставления услуг
клиентам
Информация о расположении офисов обслуживания
клиентов

8.

9.

Заменить текст
заголовка
Принципы маркировки грифом конфиденциальности
Требования к оформлению и учету конфиденциальных документов определены в ВНД Банка,
регламентирующих порядок работы с конфиденциальными документами.
Заменить текст
слайда
Грифом конфиденциальности маркируются:
Электронные и
бумажные документы
Регистрационные
карточки в СЭОДО
Съёмные носители
информации
Способ внесения грифа зависит от типа сообщения или носителя.
Гриф должен соответствовать наивысшей категории конфиденциальности информации,
содержащейся в тексте документа, сообщения или помещенной на носитель.
айд
Обязанность определить категорию конфиденциальности информации и присвоить
соответствующий гриф лежит на работнике Банка — исполнителе (разработчике)
документа.

10.

нить текст в
бражении
енить
ст в
ражен
и
К-1
К-2
К-3
К-4

11.

Замени
текст в
изображе
К-1
К-2
Замени
текст
изображе

12.

Без
изменений

13.

Без
изменений

14.

15.

Способы передачи информации
В пределах внутреннего
сегмента корп. сети
Alpha – Alpha
Alpha – Omega
Omega – Omega
К-2
К-3
В пределах внешнего сегмента
корп. сети
Электронной почтой на адрес
не входящий в домен
организации и Группы
К-1
Размещение во внешних
облачных интернет-сервисах и
облачных хранилищах
Клиенту Банка – физическому
лицу
Электронной почтой или путём
размещения информации в
ГИС (для госорганов)
С контролируемым
разграничением доступа,
что необходимо для
фиксации прав доступа
пользователей к
информации при выгрузке
информации из АС и ее
передаче вне АС
(межпользовательский
обмен).
В открытом виде
(ограничен круг
получателей)
В открытом виде

16.

Способы передачи информации
В пределах внутреннего
сегмента корп. сети
Alpha/Omega – Sigma
Sigma – Sigma
В пределах внешнего сегмента
корп. сети
Электронной почтой на адрес
не входящий в домен
организации и Группы
К-1
К-2
К-3
Размещение во внешних
облачных интернет-сервисах и
облачных хранилищах
В зашифрованном виде
Клиенту Банка – физическому
лицу
Электронной почтой или путём
размещения информации в
ГИС (для госорганов)
С контролируемым
разграничением доступа,
что необходимо для
фиксации прав доступа
пользователей к
информации при выгрузке
информации из АС и ее
передаче вне АС
(межпользовательский
обмен).
В открытом виде

17.

Способы передачи информации
В пределах внутреннего
сегмента корп. сети
В пределах внешнего сегмента
корп. сети
Передача информации разрешается только в случаях,
предусмотренных ВНД Банка.
К-1
Запрещено
Электронной почтой на адрес
не входящий в домен
организации и Группы
Размещение во внешних
облачных интернет-сервисах и
облачных хранилищах
К-2
Запрещено, если
не предусмотрено в ВНД
Клиенту Банка – физическому
лицу
Электронной почтой или путём
размещения информации в
ГИС (для госорганов)
К-3
В открытом виде

18.

Способы передачи информации
В пределах внутреннего
сегмента корп. сети
В пределах внешнего сегмента
корп. сети
Размещение информации допускается только по
согласованию с Департаментом кибербезопасности.
К-1
Электронной почтой на адрес
не входящий в домен
организации и Группы
Размещение во внешних
облачных интернет-сервисах и
облачных хранилищах
К-2
Запрещено без согласования
с ДБ
Передача банковской тайны и
данных платежных карт
запрещена
Клиенту Банка – физическому
лицу
Электронной почтой или путём
размещения информации в
ГИС (для госорганов)
Передача запрещена
К-3
В открытом виде

19.

Способы передачи информации
В пределах внутреннего
сегмента корп. сети
К-1
В пределах внешнего сегмента
корп. сети
Электронной почтой на адрес
не входящий в домен
организации и Группы
К-2
Размещение во внешних
облачных интернет-сервисах и
облачных хранилищах
Клиенту Банка – физическому
лицу
Электронной почтой или путём
размещения информации в
ГИС (для госорганов)
К-3
Передача запрещена
Без шифрования (на основании
заявления посредством
электронной почты)
Без шифрования (на основании
заявления посредством
электронной почты)

20.

Способы передачи информации
В пределах внутреннего
сегмента корп. сети
К-1
К-2
В пределах внешнего сегмента
корп. сети
Электронной почтой на адрес
не входящий в домен
организации и Группы
Размещение во внешних
облачных интернет-сервисах и
облачных хранилищах
Клиенту Банка – физическому
лицу
Электронной почтой или путём
размещения информации в
ГИС (для госорганов)
Меры защиты определяются по
требованиям госоргана
К-3

21.

Хранение конфиденциальной информации
В пределах внутреннего
сегмента корпоративной сети
(домены Alpha, Omega)
К-1
К-2
К-3
В пределах внешнего
сегмента корпоративной
сети (домен Sigma)
На публичных файловых
и облачных ресурсах
В составе АС
С контролируемым разграничением доступа
В открытом виде с разграничением доступа при хранении в ФИР или
на стационарных АРМ
В зашифрованном виде при хранении на мобильном АРМ
В открытом виде

22.

Хранение конфиденциальной информации
В пределах внутреннего
сегмента корпоративной сети
(домены Alpha, Omega)
В пределах внешнего
сегмента корпоративной
сети (домен Sigma)
В составе АС
С контролируемым разграничением доступа
В зашифрованном виде
К-2
С контролируемым разграничением доступа
К-3
В открытом виде
К-1
На публичных файловых
и облачных ресурсах

23.

Хранение конфиденциальной информации
В пределах внутреннего
сегмента корпоративной сети
(домены Alpha, Omega)
К-1
К-2
К-3
В пределах внешнего
сегмента корпоративной
сети (домен Sigma)
На публичных файловых
и облачных ресурсах
В зашифрованном виде
Персональные данные в зашифрованном виде
Прочая информация категории К-2
• В зашифрованном виде
• Без шифрования в случаях, предусмотренных договором
Передача банковской тайны и данных платежных карт запрещена
Требования определяются отдельными нормативными документами Банка

24.

25.

вить текст
При работе с конфиденциальной информацией, соблюдайте эти простые правила:
Рекомендуется
Запрещено
Держите конфиденциальные документы на бумажных и электронных носителях под присмотром,
а во время Вашего отсутствия — в запираемых шкафах, ящиках, сейфах
Забирайте распечатанные документы из принтера сразу после окончания печати
Покидая переговорные комнаты, забирайте со столов все документы, листы флипчартов,
стирайте записи с магнитно-маркерной доски
Уничтожайте ненужные бумажные конфиденциальные документы с помощью шредеров.
Вынос документов для уничтожения за пределы территории Банка запрещен
Проводите конфиденциальные переговоры только в присутствии лиц, у которых есть доступ
к обсуждаемой информации, и в предназначенных для переговоров помещениях
Покидая рабочее место, блокируйте экран компьютера комбинацией
Win+L для Windows и Command+Control+Q для Mac OS

26.

При работе с конфиденциальной информацией, соблюдайте эти простые правила:
Рекомендуется
Запрещено
Самовольно выносить конфиденциальные документы за пределы территории Банка
Изменить
текст
Фотографировать документы, экраны компьютеров и демонстраций в ходе
презентаций и совещаний, а также осуществлять их аудио и видеозапись
Человек с
ноутбуком в
кафе
Работать с конфиденциальной информацией категорий К-1 и К-2 в
общественных местах (транспорте, кафе и др.)
Добавить
пункт

27.

Основные понятия
Персональные данные (далее ПДн) ― любая информация, относящаяся к прямо или
косвенно определенному или определяемому физическому лицу (Субъекту
персональных данных).
К персональным данным относятся:
ИНН: 6449013711
+7 905 333-11-22
[email protected]
г. Москва ул. Верхняя
Любые
идентификационные
номера гражданина
Номер телефона
Адрес электронной
почты
Сведения о
местоположении
Сookie
Сookie-файлы, при их
использовании в качестве
идентификаторов
139.17.54.23
IP-адреса

28.

Обработка персональных данных
Обработка персональных данных – это любые действия по работе с ПДн, а именно:
сбор
запись
систематизация
накопление
удаление
хранение
уточнение (обновление,
изменение)
извлечение
уничтожение
передача (распространение,
предоставление, доступ)
обезличивание
блокирование
В обработке персональных данных участвуют:
Оператор ПДн
Любое юридическое или физическое лицо, которое:
• обрабатывает персональные данные
• определяет цели этой обработки
Обработчик ПДн
Лицо, осуществляющее обработку
ПДн по поручению и в интересах
Оператора

29.

далее, по
сти, сделать
и акктореона
размера
Ответственность за нарушение правил работы с ПДн
Персональные данные о клиентах являются одним из ключевых активов Банка.
Объём клиентских данных постоянно растёт.
Последствия неосторожного
обращения с ПДн
Документы, регулирующие
работу с ПДН
Последствия неосторожного или безответственного обращения с ПДн или
пренебрежения принципами их обработки и требованиями к их защите:
Правовые и репутационные
риски для Банка
Существенный моральный и
материальный вред субъектам
персональных данных

30.

Ответственность за нарушение правил работы с ПДн
Персональные данные о клиентах являются одним из ключевых активов Банка.
Объём клиентских данных постоянно растёт.
Последствия неосторожного
обращения с ПДн
Документы, регулирующие
работу с ПДН
Основными документами, регулирующими работу с ПДн и ответственность за их нарушение,
являются:
Государственные
Федеральный закон №152-ФЗ
Трудовой кодекс РФ, глава №14
Документы Банка
Политика обработки персональных данных
№3324-3 от 29.04.2014
Регламент обработки и защиты персональных
данных №4863 от 19.11.2018
Стандарт обработки ПДн на этапах
жизненного цикла ПДн №4916 от 19.03.2019

31.

Категории персональных данных
ЕТП
Законодательством РФ определены следующие категории персональных данных:
Специальная категория ПДн
Общедоступные ПДн
Биометрические ПДн
Иные ПДн
Данные о национальной
принадлежности, политических
взглядах, религиозных или
философских убеждениях, состоянии
здоровья, интимной жизни

32.

Категории персональных данных
Законодательством РФ определены следующие категории персональных данных:
Специальная категория ПДн
Общедоступные ПДн
Биометрические ПДн
Иные ПДн
Данные, которые предоставлены самим
Субъектом или по его просьбе для
неограниченного круга лиц, а также данные
из общедоступных источников

33.

Категории персональных данных
Законодательством РФ определены следующие категории персональных данных:
Специальная категория ПДн
Общедоступные ПДн
Биометрические ПДн
Иные ПДн
Данные о физиологических и
биологических особенностях
человека, на основании которых
можно установить его личность

34.

Категории персональных данных
Законодательством РФ определены следующие категории персональных данных:
Специальная категория ПДн
Общедоступные ПДн
Биометрические ПДн
Иные ПДн
Данные, не относящиеся к указанным выше категориям

35.

ордеон
Принципы обработки персональных данных
Банк как Оператор персональных данных при обработке ПДн руководствуется
следующими основными принципами:
Законность обработки
Сбор, обработка и передача ПДн должны осуществляться только при наличии
законных оснований, в том числе:
• Требование Закона РФ
• Исполнение условий договора. В случае если Субъект ПДн — сторона договора
или выгодоприобретатель/поручитель
• Согласие на обработку/передачу ПДн
Конфиденциальность
Соответствие целям обработки

36.

Принципы обработки персональных данных
Банк как Оператор персональных данных при обработке ПДн руководствуется
следующими основными принципами:
Законность обработки
Конфиденциальность
Работники, получившие доступ к ПДн, обязаны не раскрывать их содержание
третьим лицам и не распространять ПДн без согласия Субъекта или иных законных
оснований. При обработке/передаче ПДн работник обязан соблюдать требования
Банка к защите ПДн.
Соответствие целям обработки

37.

Принципы обработки персональных данных
Банк как Оператор персональных данных при обработке ПДн руководствуется
следующими основными принципами:
Законность обработки
Конфиденциальность
Соответствие целям обработки
Содержание и объём обрабатываемых ПДн должны соответствовать заявленным
целям обработки. Не допускается избыточность обрабатываемых персональных
данных по отношению к целям обработки.

38.

Права и обязанности при обработке персональных данных
При обработке персональных данных Банк и Субъект наделены следующими
правами и обязанностями:
У Банка как Оператора есть следующие обязанности:
Банк
Субъект
Объяснять Субъекту последствия отказа от предоставления
ПДн (в случаях если их предоставление является
обязательным)
Предоставить Субъекту информацию о порядке обработки
ПДн по его запросу
Выполнять законные требования Субъекта по
блокированию или прекращению обработки ПДн (их
удалению), если нет оснований для продолжения
обработки

39.

Права и обязанности при обработке персональных данных
При обработке персональных данных Банк и Субъект наделены следующими
правами и обязанностями:
Субъекты принимают решение о предоставлении ПДн своей
волей и в своих интересах.
Субъекты персональных данных имеют право на:
Банк
Субъект
Получение информации от Оператора о своих ПДн
Требование блокирования и уточнения своих ПДн
Требование удаления своих ПДн из баз данных
Оператора
Отказ от предоставления согласия на обработку ПДн
Отзыв ранее данного согласия
Подачу жалобы на действия или бездействие
Оператора, как в адрес самого Оператора, так и в
органы государственной власти

40.

Обязанности Оператора и Обработчика при обработке ПДн
При обработке персональных данных у Банка и Обработчика ПДн есть следующие обязанности:
У Банка как Оператора есть следующие обязанности:
• Получить согласие субъектов на передачу их ПДн Обработчику
• Заключить с Обработчиком договор-поручение на обработку,
перед передачей ему ПДн
Банк
Содержание
договора
БанкОбработчик
Цели обработки ПДн Обработчиком
Перечень действий с ПДн, которые будет
совершать Обработчик
Прописанная обязанность Обработчика
соблюдать конфиденциальность ПДн и
обеспечивать их безопасность
Обработчик ПДн
Оператор несет полную ответственность перед Субъектом
ПДн, в том числе за действия Обработчика.

41.

Обязанности Оператора и Обработчика при обработке ПДн
При обработке персональных данных у Банка и Обработчика ПДн есть следующие обязанности:
Обработчик ПДн имеет перед Банком следующие обязанности:
Банк
Соблюдать принципы и правила обработки ПДн,
предусмотренные законодательством
Соблюдать положения Договора, заключенного с Банком
Обработчик несет ответственность за свои действия с
персональными данными только перед Оператором.
Обработчик ПДн
ПЕРЕЙТИ К ИГРЕ

42.

6 уровень
Основные правила работы с
ПДн в Банке

43.

Категории персональных данных
В Банке внедрена система классификации информации по уровню конфиденциальности.
Персональные данные по этой системе категорируются следующим образом:
К-1
ЕТП
К-2
К-3
К-4
Коммерческая тайна
Персональные данные, входящие в состав информации, в отношении которой
установлен режим КТ Банка в соответствии с Перечнем сведений, составляющих КТ
(см. Регламент №227-3-Р).

44.

Категории персональных данных
В Банке внедрена система классификации информации по уровню конфиденциальности.
Персональные данные по этой системе категорируются следующим образом:
К-1
К-2
К-3
К-4
Информация о действующих и потенциальных клиентах, контрагентах и их
представителях, работниках и соискателях
Информация о действующих и потенциальных клиентах, контрагентах и их
представителях, работниках и соискателях.
Например:
ФИО
Дата рождения
Паспортные данные
Мобильный телефон
Возраст
ИНН
СНИЛС

45.

Категории персональных данных
В Банке внедрена система классификации информации по уровню конфиденциальности.
Персональные данные по этой системе категорируются следующим образом:
К-1
К-2
К-3
К-4
Обезличенные ПДн и иные ПДн работников, размещенные с их письменного
согласия в общем доступе внутри Банка
Например:
Пол
Возраст
Покупательская способность
Интересы
Телефонная и адресная книги

46.

Категории персональных данных
В Банке внедрена система классификации информации по уровню конфиденциальности.
Персональные данные по этой системе категорируются следующим образом:
К-1
К-2
К-3
К-4
Любые ПДн, которые считаются публичными в силу закона, а также
опубликованные с письменного согласия Субъекта или им лично
Например:
• Данные государственных реестров — ЕРЮЛ, ЕРГИП, ФНС, ФССП и т.д.
• Любые ПДн, опубликованные с согласия Субъекта ПДн

47.

дению:
нты[1] - в
Неавтоматизированная обработка ПДн
Руководители структурных подразделений несут персональную ответственность за организацию
обращения с документами и материальными носителями персональных данных.
При неавтоматизированной обработке ПДн:
Все бумажные документы[1], не нужные
для дальнейшей обработки и хранения,
уничтожаются с применением офисных
шредеров
овой
дению:
ные[2] –
ьных
Категорически запрещено выбрасывать
документы, не уничтоженные при
помощи шредера, в мусорные корзины
Персональные данные[2], обработка
которых осуществляется в различных
целях, хранятся раздельно
Документы и съёмные носители ПДн
хранятся в сейфах или запираемых
шкафах
Съёмные носители ПДн подлежат
обязательному учету, в соответствии с
Порядком №1091
Носители персональных данных
своевременно готовятся и передаются в
оперативный и долговременный архивы
Определяются должностные лица,
ответственные за хранение документов
и других носителей персональных
данных

48.

Требования к обработке ПДн вне зависимости от их категории
В ходе обработки документов, содержащих ПДн, работникам Банка запрещено:
Использовать ПДн,
полученные в ходе рабочей
деятельности, в личных целях
Оставлять документы с ПДн
без личного присмотра на
рабочем столе
Пересылать на личную (не корпоративную)
почту или размещать на публичных
файловых хранилищах документы с ПДн
Оставлять в принтерах/сканерах,
распечатывать без
необходимости документы с ПДн
Разглашать и допускать
несанкционированное ознакомление
(доступ) посторонних лиц с ПДн

49.

ТП
Ответственность за нарушение требований по обработке ПДн
В случае если сотрудники Банка нарушили требования по обработке ПДН, они могут быть
привлечены к следующим видам ответственности:
Ответственность наступает, если в результате действий или
бездействия сотрудника Банка был причинен убыток или
моральный вред Субъекту.
Гражданско-правовая
Штрафы:
Для должностных лиц — до 20 000 руб.
Для организации — до 75 000 руб.
К ответственности могут одновременно привлечь и организацию
и виновное физическое лицо.
Дисциплинарная и
материальная
Если действия сотрудника Банка — физического лица содержали
признаки преступления, то его могут привлечь к уголовной
ответственности

50.

Ответственность за нарушение требований по обработке ПДн
В случае если сотрудники Банка нарушили требования по обработке ПДН, они могут быть
привлечены к следующим видам ответственности:
Работодатель имеет право привлечь виновных сотрудников к
дисциплинарной и материальной ответственности.
Гражданско-правовая
Дисциплинарная и
материальная
English     Русский Правила