Коммерческая тайна презентация

нарушении ее конфиденциальности, тем выше категория

Убрать часть текста, увеличить картинку

Категорию конфиденциальности устанавливает работник Банка — исполнитель документа.

Выделить текст

Лица, виновные в нарушении правил обработки и защиты конфиденциальной информации несут дисциплинарную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.

Заменить текст

В изображении заменить текст:
К1 на К-1
К2 на К-2
К3 на К-3
К4 на К-4

с Перечнем информации, составляющей КТ Банка, прямо отнесена к категории К-1.

Разглашение информации этой категории несет крайне критичные последствия для Банка.

ЕТП

Примеры информации категории К-1:
Стратегия Банка (закрытая часть)
Условия договора с ключевыми партнерами (сегмент «Крупный бизнес»)
Сведения об инцидентах кредитного риска (клиент сегмента «Крупнейший»)
Скоринговые модели
Инновационные разработки, ноу-хау Банка

Новый слайд, вместо слайдов: Категория К-1, Категория К-2, Категория К-3, Категория К-4

3/6

Необходима иконка восклицательного знака

Новый слайд (42-45) вместо слайдов: Категория К-1, Категория К-2, Категория К-3, Категория К-4

в соответствии с Перечнем информации, составляющей КТ Банка
Персональные данные клиентов, контрагентов и работников Банка
Банковская тайна
Служебная тайна (входящие документы с пометкой «ДСП»

Разглашение информации этой категории несет существенные последствия для Банка.

Примеры информации категории К-2:
Информация об остатке на банковском счете клиента Банка
ФИО, паспортные данные клиента Банка
Проектные документы с описанием будущего банковского продукта, способа его реализации
Данные держателей банковских карт (PAN — номер карты, имя владельца карты, срок действия карты)
Условия договора кредитования с клиентом массового сегмента

положение)
Формы/бланки, не предназначенные для клиентов
Служебная переписка самостоятельных подразделений Банка, не содержащая грифы «КТ», «БТ»
Телефонный справочник сотрудников Банка
Материалы для обучения сотрудников Банка
Доверенности

Информация категории К-3 не является конфиденциальной, но для открытой публикации не предназначена.

в СМИ.

Негативные последствия от разглашения отсутствуют

Примеры К-4:
Общие условия и тарифы предоставления услуг клиентам
Информация о расположении офисов обслуживания клиентов

текст заголовка

Требования к оформлению и учету конфиденциальных документов определены в ВНД Банка, регламентирующих порядок работы с конфиденциальными документами.

Обязанность определить категорию конфиденциальности информации и присвоить соответствующий гриф лежит на работнике Банка — исполнителе (разработчике) документа.

Принципы маркировки грифом конфиденциальности

Заменить текст слайда

Способ внесения грифа зависит от типа сообщения или носителя.
Гриф должен соответствовать наивысшей категории конфиденциальности информации, содержащейся в тексте документа, сообщения или помещенной на носитель.

Новый слайд

корп. сети

Электронной почтой на адрес не входящий в домен организации и Группы

Размещение во внешних облачных интернет-сервисах и облачных хранилищах

Клиенту Банка – физическому лицу

Электронной почтой или путём размещения информации в ГИС (для госорганов)

Alpha – Alpha

Alpha – Omega

Omega – Omega

С контролируемым разграничением доступа, что необходимо для фиксации прав доступа пользователей к информации при выгрузке информации из АС и ее передаче вне АС (межпользовательский обмен).

В открытом виде (ограничен круг получателей)

В открытом виде

Новый слайд
ЕТП

Новый слайд
ЕТП 55-60 слайды

корп. сети

Электронной почтой на адрес не входящий в домен организации и Группы

Размещение во внешних облачных интернет-сервисах и облачных хранилищах

Клиенту Банка – физическому лицу

Электронной почтой или путём размещения информации в ГИС (для госорганов)

Alpha/Omega – Sigma

Sigma – Sigma

В зашифрованном виде

С контролируемым разграничением доступа, что необходимо для фиксации прав доступа пользователей к информации при выгрузке информации из АС и ее передаче вне АС (межпользовательский обмен).

В открытом виде

корп. сети

Электронной почтой на адрес не входящий в домен организации и Группы

Размещение во внешних облачных интернет-сервисах и облачных хранилищах

Клиенту Банка – физическому лицу

Электронной почтой или путём размещения информации в ГИС (для госорганов)

Передача информации разрешается только в случаях, предусмотренных ВНД Банка.

Запрещено, если
не предусмотрено в ВНД

Запрещено

В открытом виде

корп. сети

Электронной почтой на адрес не входящий в домен организации и Группы

Размещение во внешних облачных интернет-сервисах и облачных хранилищах

Клиенту Банка – физическому лицу

Электронной почтой или путём размещения информации в ГИС (для госорганов)

Размещение информации допускается только по согласованию с Департаментом кибербезопасности.

Передача запрещена

Запрещено без согласования с ДБ

В открытом виде

Передача банковской тайны и данных платежных карт запрещена

корп. сети

Электронной почтой на адрес не входящий в домен организации и Группы

Размещение во внешних облачных интернет-сервисах и облачных хранилищах

Клиенту Банка – физическому лицу

Электронной почтой или путём размещения информации в ГИС (для госорганов)

Передача запрещена

Без шифрования (на основании заявления посредством электронной почты)

Без шифрования (на основании заявления посредством электронной почты)

корп. сети

Электронной почтой на адрес не входящий в домен организации и Группы

Размещение во внешних облачных интернет-сервисах и облачных хранилищах

Клиенту Банка – физическому лицу

Электронной почтой или путём размещения информации в ГИС (для госорганов)

Меры защиты определяются по требованиям госоргана

Alpha, Omega)

В пределах внешнего сегмента корпоративной сети (домен Sigma)

На публичных файловых и облачных ресурсах

В составе АС
С контролируемым разграничением доступа

В открытом виде с разграничением доступа при хранении в ФИР или на стационарных АРМ
В зашифрованном виде при хранении на мобильном АРМ

В открытом виде

Новый слайд.

Omega)

В пределах внешнего сегмента корпоративной сети (домен Sigma)

На публичных файловых и облачных ресурсах

• В составе АС
• С контролируемым разграничением доступа
В зашифрованном виде

С контролируемым разграничением доступа

В открытом виде

Новый слайд

Omega)

В пределах внешнего сегмента корпоративной сети (домен Sigma)

На публичных файловых и облачных ресурсах

В зашифрованном виде

Персональные данные в зашифрованном виде
Прочая информация категории К-2
В зашифрованном виде
Без шифрования в случаях, предусмотренных договором

Требования определяются отдельными нормативными документами Банка

Передача банковской тайны и данных платежных карт запрещена

Новый слайд.

блокируйте экран компьютера комбинацией Win+L для Windows и Command+Control+Q для Mac OS

Добавить текст

ЕТП

Держите конфиденциальные документы на бумажных и электронных носителях под присмотром, а во время Вашего отсутствия — в запираемых шкафах, ящиках, сейфах

Забирайте распечатанные документы из принтера сразу после окончания печати

Покидая переговорные комнаты, забирайте со столов все документы, листы флипчартов, стирайте записи с магнитно-маркерной доски

Уничтожайте ненужные бумажные конфиденциальные документы с помощью шредеров. Вынос документов для уничтожения за пределы территории Банка запрещен

Проводите конфиденциальные переговоры только в присутствии лиц, у которых есть доступ к обсуждаемой информации, и в предназначенных для переговоров помещениях

компьютеров и демонстраций в ходе презентаций и совещаний, а также осуществлять их аудио и видеозапись

Работать с конфиденциальной информацией категорий К-1 и К-2 в общественных местах (транспорте, кафе и др.)

Изменить текст

Добавить пункт

Человек с ноутбуком в кафе

Самовольно выносить конфиденциальные документы за пределы территории Банка

или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных).

Любые идентификационные номера гражданина

Номер телефона

Адрес электронной почты

Сведения о местоположении

К персональным данным относятся:

IP-адреса

Сookie-файлы, при их использовании в качестве идентификаторов

ИНН: 6449013711

+7 905 333-11-22

Ivanov@gmail.com

г. Москва ул. Верхняя

Сookie

139.17.54.23

с ПДн, а именно:

сбор
запись
систематизация
накопление
удаление

хранение
уточнение (обновление, изменение)
извлечение
уничтожение

передача (распространение, предоставление, доступ)
обезличивание
блокирование

В обработке персональных данных участвуют:

Оператор ПДн

Обработчик ПДн

Любое юридическое или физическое лицо, которое:
обрабатывает персональные данные
определяет цели этой обработки

Лицо, осуществляющее обработку ПДн по поручению и в интересах Оператора

одним из ключевых активов Банка. Объём клиентских данных постоянно растёт.

Последствия неосторожного или безответственного обращения с ПДн или пренебрежения принципами их обработки и требованиями к их защите:

Правовые и репутационные риски для Банка

Существенный моральный и материальный вред субъектам персональных данных

Последствия неосторожного обращения с ПДн

Документы, регулирующие работу с ПДН

ЕТП

Здесь и далее, по возможности, сделать кнопки ЕТП и акктореона одного размера

одним из ключевых активов Банка. Объём клиентских данных постоянно растёт.

Основными документами, регулирующими работу с ПДн и ответственность за их нарушение, являются:

Последствия неосторожного обращения с ПДн

Документы, регулирующие работу с ПДН

Государственные

Федеральный закон №152-ФЗ
Трудовой кодекс РФ, глава №14

Документы Банка

Политика обработки персональных данных №3324-3 от 29.04.2014
Регламент обработки и защиты персональных данных №4863 от 19.11.2018
Стандарт обработки ПДн на этапах жизненного цикла ПДн №4916 от 19.03.2019

ПДн

Биометрические ПДн

Иные ПДн

Данные о национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни

ЕТП

ПДн

Биометрические ПДн

Иные ПДн

Данные, которые предоставлены самим Субъектом или по его просьбе для неограниченного круга лиц, а также данные из общедоступных источников

ПДн

Биометрические ПДн

Иные ПДн

Данные о физиологических и биологических особенностях человека, на основании которых можно установить его личность

ПДн

Биометрические ПДн

Иные ПДн

Данные, не относящиеся к указанным выше категориям

руководствуется следующими основными принципами:

Законность обработки

Конфиденциальность

Соответствие целям обработки

Сбор, обработка и передача ПДн должны осуществляться только при наличии законных оснований, в том числе:
Требование Закона РФ
Исполнение условий договора. В случае если Субъект ПДн — сторона договора или выгодоприобретатель/поручитель
Согласие на обработку/передачу ПДн

Аккордеон

руководствуется следующими основными принципами:

Законность обработки

Конфиденциальность

Соответствие целям обработки

Работники, получившие доступ к ПДн, обязаны не раскрывать их содержание третьим лицам и не распространять ПДн без согласия Субъекта или иных законных оснований. При обработке/передаче ПДн работник обязан соблюдать требования Банка к защите ПДн.

руководствуется следующими основными принципами:

Законность обработки

Конфиденциальность

Соответствие целям обработки

Содержание и объём обрабатываемых ПДн должны соответствовать заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к целям обработки.

и Субъект наделены следующими правами и обязанностями:

Банк

Субъект

У Банка как Оператора есть следующие обязанности:

Объяснять Субъекту последствия отказа от предоставления ПДн (в случаях если их предоставление является обязательным)
Предоставить Субъекту информацию о порядке обработки ПДн по его запросу
Выполнять законные требования Субъекта по блокированию или прекращению обработки ПДн (их удалению), если нет оснований для продолжения обработки

ЕТП

и Субъект наделены следующими правами и обязанностями:

Банк

Субъект

ЕТП

Субъекты персональных данных имеют право на:

Получение информации от Оператора о своих ПДн
Требование блокирования и уточнения своих ПДн
Требование удаления своих ПДн из баз данных Оператора
Отказ от предоставления согласия на обработку ПДн
Отзыв ранее данного согласия
Подачу жалобы на действия или бездействие Оператора, как в адрес самого Оператора, так и в органы государственной власти

Субъекты принимают решение о предоставлении ПДн своей волей и в своих интересах.

у Банка и Обработчика ПДн есть следующие обязанности:

У Банка как Оператора есть следующие обязанности:
Получить согласие субъектов на передачу их ПДн Обработчику
Заключить с Обработчиком договор-поручение на обработку, перед передачей ему ПДн

Оператор несет полную ответственность перед Субъектом ПДн, в том числе за действия Обработчика.

Цели обработки ПДн Обработчиком
Перечень действий с ПДн, которые будет совершать Обработчик
Прописанная обязанность Обработчика соблюдать конфиденциальность ПДн и обеспечивать их безопасность

Содержание договора Банк-Обработчик

у Банка и Обработчика ПДн есть следующие обязанности:

Обработчик ПДн имеет перед Банком следующие обязанности:

Соблюдать принципы и правила обработки ПДн, предусмотренные законодательством
Соблюдать положения Договора, заключенного с Банком

Обработчик несет ответственность за свои действия с персональными данными только перед Оператором.

ПЕРЕЙТИ К ИГРЕ

данные по этой системе категорируются следующим образом:

Персональные данные, входящие в состав информации, в отношении которой установлен режим КТ Банка в соответствии с Перечнем сведений, составляющих КТ (см. Регламент №227-3-Р).

Коммерческая тайна

ЕТП

этой системе категорируются следующим образом:

Информация о действующих и потенциальных клиентах, контрагентах и их представителях, работниках и соискателях

Информация о действующих и потенциальных клиентах, контрагентах и их представителях, работниках и соискателях.
Например:

ФИО
Дата рождения
Паспортные данные
Мобильный телефон

Возраст
ИНН
СНИЛС

Категории персональных данных

этой системе категорируются следующим образом:

Обезличенные ПДн и иные ПДн работников, размещенные с их письменного согласия в общем доступе внутри Банка

Например:

Пол
Возраст
Покупательская способность

Интересы
Телефонная и адресная книги

Категории персональных данных

этой системе категорируются следующим образом:

Например:
Данные государственных реестров — ЕРЮЛ, ЕРГИП, ФНС, ФССП и т.д.
Любые ПДн, опубликованные с согласия Субъекта ПДн

Любые ПДн, которые считаются публичными в силу закона, а также опубликованные с письменного согласия Субъекта или им лично

Категории персональных данных

с документами и материальными носителями персональных данных.
При неавтоматизированной обработке ПДн:

Все бумажные документы[1], не нужные для дальнейшей обработки и хранения, уничтожаются с применением офисных шредеров

Персональные данные[2], обработка которых осуществляется в различных целях, хранятся раздельно

Документы и съёмные носители ПДн хранятся в сейфах или запираемых шкафах

Съёмные носители ПДн подлежат обязательному учету, в соответствии с Порядком №1091

Носители персональных данных своевременно готовятся и передаются в оперативный и долговременный архивы

Определяются должностные лица, ответственные за хранение документов и других носителей персональных данных

Категорически запрещено выбрасывать документы, не уничтоженные при помощи шредера, в мусорные корзины

Подсказка по наведению:
бумажные документы[1] - в том числе проекты документов и черновой материал

Подсказка по наведению:
персональные данные[2] – носители персональных данных

документов, содержащих ПДн, работникам Банка запрещено:

Использовать ПДн, полученные в ходе рабочей деятельности, в личных целях

Разглашать и допускать несанкционированное ознакомление (доступ) посторонних лиц с ПДн

Оставлять в принтерах/сканерах, распечатывать без необходимости документы с ПДн

Пересылать на личную (не корпоративную) почту или размещать на публичных файловых хранилищах документы с ПДн

Оставлять документы с ПДн без личного присмотра на рабочем столе

в результате действий или бездействия сотрудника Банка был причинен убыток или моральный вред Субъекту.
Штрафы:
Для должностных лиц — до 20 000 руб.
Для организации — до 75 000 руб.
К ответственности могут одновременно привлечь и организацию и виновное физическое лицо.
Если действия сотрудника Банка — физического лица содержали признаки преступления, то его могут привлечь к уголовной ответственности

В случае если сотрудники Банка нарушили требования по обработке ПДН, они могут быть привлечены к следующим видам ответственности:

ЕТП