1 / 40

«О мерах по защите персональных данных в соответствии с действующим законодательством»

«О мерах по защите персональных данных в соответствии с действующим законодательством». Семинар-совещание, 17 марта 2011 г. Нормативные правовые документы. Федеральный закон «Об информации, информационных технологиях и защите информации» N 149-ФЗ от 27.07.2006

ronan-hood
Download Presentation

«О мерах по защите персональных данных в соответствии с действующим законодательством»

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. «О мерах по защите персональных данныхв соответствии с действующим законодательством» Семинар-совещание, 17 марта 2011 г.

  2. Нормативные правовые документы • Федеральный закон «Об информации, информационных технологиях и защите информации» N 149-ФЗ от 27.07.2006 • Федеральный закон «О персональных данных» N 152-ФЗ от 27.07.2006 • Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ - Глава 14 «Защита персональных данных работника» • Постановление Правительства РФ от 17.11.07 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» • Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без средств автоматизации» • Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" • Приказ ФСТЭК России от 05.02.2010 г. N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных

  3. Методические документыФСТЭК и ФСБ • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена 14.02.08) • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена 15.02.08) • Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (утверждены 15.02.08) • Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены 15.02.08) • Специальные требования и рекомендации по технической защите конфиденциальной информации (утверждены 30.08.02) • Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (утверждены 30.03.1992)

  4. В соответствии с письмами • Роскомнадзора от 23.06.2009 № 07‑2/6639 и Рособразования от 03.09.2008 № 17-02-09/185, а также письмом ФАО от 29 июля 2009 г. № 17-110, информационные системы персональных данных, созданные после вступления в действие Федерального закона Российской Федерации от 26.07.2006 № 152-ФЗ «О персональных данных», должны соответствовать требованиям данного закона. Ранее созданные информационные системы должны быть приведены в соответствие с требованиями Закона, вступающими в силу с 1 января 2011 года.

  5. Главное • В соответствии с частью 3 статьи 25 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (изм. от 23.12.2010 N 359-ФЗ "О внесении изменения в статью 25 Федерального закона "О персональных данных") все информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями Федерального закона "О персональных данных" не позднее 1 июля 2011 года.

  6. Учрежденияобязаны осуществить ряд мероприятий: • провести классификацию ИСПДн с оформлением соответствующего акта; • до 01.07.2011 реализовать комплекс мер по защите ПДн в соответствии с правовыми актами и методическими документами; • провести оценку соответствия ИСПДн требованиям безопасности в форме сертификации (аттестации) или декларирования соответствия (при выявлении ИСПДн соответствующего класса).

  7. Роскомнадзор (ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ и МАССОВЫХ КОММУНИКАЦИЙ) -уполномоченный орган по защите прав субъектов ПДн – основной надзорный орган в области ПДн http://www.rsoc.ru;ФСБ – основной надзорный орган в части использования средств шифрования;ФСТЭК – надзорный орган в части использования технических средств защиты информации. Контроль за выполнением законодательства возложен на следующие органы:

  8. Основные понятия Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Информационная система персональных данных- информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. Обработка персональных данных- действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

  9. Закон обязывает оператора принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. 

  10. Организационные меры по защите ПД включают в себя: • разработку организационно-распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты ПД; • определения перечня мероприятий по защите ПД. Технические меры по защите ПД предполагают использование программно-аппаратных средств защиты информации.

  11. Этапы реализации: • Назначение ответственных за обеспечение безопасности персональных данных • Определение информационной системы передачи данных (проведение инвентаризации ИСПДн) • Категоризация ПДн • Классификация ИСПДн • Определение реальных угроз безопасности ИСПДн • Уведомление Роскомнадзора • Получение согласия на обработку ПДн • Подготовка и утверждение комплекта документации • Реализация организационных и технических мероприятий по защите ПДн

  12. Уведомление в Роскомнадзор http://www.rsoc.ru http://www.pd.rsoc.ru/operators-registry/notification http://www.pd.rsoc.ru/operators-registry/notification_check/

  13. Документы, запрашиваемые при проверке • Копия уведомления об обработке персональных данных • Выписка из реестра операторов обработки ПДн  В соответствии со статьей 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», приказами Роскомнадзора и утвержденной формой уведомления

  14. Требования к обеспечению безопасности персональных данных установлены Постановлением Правительства № 781 от 17.11.2007 г. «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационной системе персональных данных». Положение определяет требования по обеспечению безопасности персональных данных при их обработке в информационных системах в соответствии с их классом.Классификация информационных систем производится операторами самостоятельно в зависимости от объема и состава обрабатываемых персональных данных в соответствии с совместным приказом ФСТЭК, ФСБ и Мининформсвязи от 13.02.2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных». Требования к ИСПДн

  15. Классификация ИСПДн • Для выбора необходимых методов и способов защиты ПДн, оператору нужно провести классификацию ИСПДн. • Для проведения классификации необходимо (приказом руководителя) создать специальную комиссию (с привлечением специалистов по безопасности информации)

  16. Перечень ПДн • Определить состав и категории обрабатываемых персональных данных • Результат оформить в виде перечня ПДн (утвержденного руководителем ОУ.

  17. Законом установлены следующие категории ПДн: – категория 1 - касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; – категория 2 - позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1; – категория 3 - персональные данные, позволяющие идентифицировать субъекта ПД; – категория 4 - обезличенные и (или) общедоступные ПД.

  18. Основные понятия Конфиденциальность персональных данных- обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания. Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. Обезличенные персональные данные – персональные данные, по которым не возможно определить принадлежность персональных данных конкретному субъекту персональных данных.

  19. Информационные системы ПДн • Типовые информационные системы — информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных. • Специальные информационные системы — информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

  20. В обязательном порядке к специальным системам должны быть отнесены: • информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; • информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

  21. - Анализ всех эксплуатируемых систем и хранилищ данных Выявление всех мест где хранятся и обрабатываются ПДн Анализ полученной информацииПримеры: кадровая, бухгалтерская системы, автоматизированная банковская система, автоматизированная система расчета за услуги, базы договоров, отчетов, электронные системы управления ОУ и т. п.).- Определение автоматизированной обработки ПДн- Определение неавтоматизированной обработки ПДн- Формирование перечня обрабатываемых ПДн Определение основания для обработки и сроки хранения Утверждение перечня ПДн- Определение категории и объем обрабатываемых ПДн- Определение вида(типовые, специальные) , структуры ИС и местоположение ее технических средств;- Определение режима обработки персональных данных;- Определение режимов разграничения прав доступа пользователей;- Определение наличия подключений к сетям общего пользования и (или) сетям международного информационного обмена. Классификация ИСПДн

  22. Классификация ИСПДн производится • на основании Отчета о результатах проведения внутренней проверки • и оформляется соответствующим Актом классификации информационной системы персональных данных.

  23. Классификация ИС персональных данных Класс типовой ИС выбирается по таблице: В зависимости от последствий нарушений безопасности ПД типовой ИС присваивается один из классов: класс 1 (К1) – ИС, для которых нарушения могут привести кзначительным негативным последствиям для субъектов ПД класс 2 (К2) –ИС, для которых нарушения могут привести к негативным последствиям для субъектов ПД класс 3 (К3) –ИС, для которых нарушения могут привести к незначительным негативным последствиям для субъектов ПД класс 4 (К4) –ИС, для которых нарушения не приводят к негативным последствиям для субъектов ПД Класс специальной ИС определяется на основе модели угроз

  24. Дифференцированный подход к обеспечению безопасности персональных данных Федеральный закон от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности», Постановление Правительства РФ от 16.08.2006г. №504«О лицензировании деятельности по технической защите конфиденциальной информации» Операторы информационных систем ПД при проведении мероприятий по обеспечению безопасности ПД при их обработке в информационных системах классов 1, 2 и распределенных информационных систем класса 3 должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке

  25. Лицензионные требования • наличие в штате специалистов, имеющих квалификацию по вопросам технической защиты информации; • наличие помещений для осуществления обработки ПД, соответствующих установленным техническим нормам и требованиям; • наличие испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством РФ метрологическую поверку; • использование ИСПДн и средств защиты, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством РФ; • использование предназначенных для обработки ПД программ для ЭВМ и баз данных; • наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты в соответствии с перечнем, установленным ФСТЭК

  26. Важно • Для ИСПДн класса К4 обязательные требования по защите ПДн не устанавливаются! Так как ведется обработка только обезличенных и (или) общедоступных ПД • Для ИСПДн класса К3 обязательные мероприятия по защите ПДн могут быть осуществлены без привлечения специалистов в области информационной безопасности

  27. Способы понижения класса ИСПДн • Обезличивание ПДн (табельные, идентификационные номера субъектов ПДн, т.н. мнемокоды) • Полное исключение из ИСПДн сведений 1-й категории • Сегментирование ИСПДн • Отключение сегментов ИСПДн от сетей общего пользования • Организация выделенных автоматизированных рабочих мест • Постановка требований поставщикам и разработчикам типовых систем обработки персональных данных, используемых в учреждениях

  28. Необходимо иметь ввиду, что • объявить персональные данные общедоступными только внутри организации, даже с согласия субъектов ПДн, нельзя. • В соответствии с Федеральным законом Российской Федерации от 27 июля 2007 г. № 152-ФЗ «О персональных данных», общедоступными являются персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. • Поэтому в информационных системах бухгалтерского и кадрового учета, учета контингента и успеваемости учащихся обязательно будут иметься персональные данные, которые необходимо защищать.

  29. Письменное согласие на обработку персональных данных

  30. Письменное согласие на обработку персональных данных должно содержать: – фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; – наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных; – цель обработки персональных данных; – перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; – перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; – срок, в течение которого действует согласие, а также порядок его отзыва. Требования к оформлению согласия субъектов персональных данных на их обработку изложены в письме Федерального агентства по образованию от 29.07.2009 № 17-110 «Об обеспечении защиты персональных данных».

  31. Независимо от того, в письменной или устной форме получено согласие субъекта на обработку его персональных данных, на оператора возлагается обязанность по доказыванию факта получения такого согласия.

  32. Согласие субъекта не требуется, когда обработка данных: • ведется на основании федерального закона, устанавливающего ее цель, условия получения данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора; • проводится в целях исполнения договора, одной из сторон которого является субъект; • ведется для статистических или иных научных целей при условии обязательного обезличивания персональных данных; • необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия на обработку данных невозможно; • необходима для доставки почтовых отправлений организациями почтовой связи, для расчетов операторами электросвязи с пользователями за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи; • ведется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта.

  33. Анализ угроз безопасности ИСПДн ОУ • Адаптировать модель угроз к конкретной ИСПДн учреждения (на основе Базовой модели угроз безопасности ПДн при их обработке в ИСПДн, утв. Зам. директора ФСТЭК России 15.02.2008 г.) • Результат оформить в виде Модели угроз

  34. Средства защиты ПДн • Средства управления и разграничения доступа пользователей • Средства обеспечения регистрации и учета действий с информацией • Средства, обеспечивающие целостность данных • Средства антивирусной защиты • Средства межсетевого экранирования • Средства анализа защищенности • Средства обнаружения вторжений • Средства криптографической защиты ПДН, при их передаче по каналам связи сетей общего или международного обмена

  35. При обработке ПДН, • осуществляемой без использования средств автоматизации, необходимо руководствоваться Постановлением Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». • с использованием средств автоматизации необходимо руководствоваться Постановлением Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». В данном случае наличие технических мер защиты является обязательным условием, а их количество и степень защиты определяется исходя из класса системы ПД.

  36. Рекомендации по обеспечению обмена ПДн • Соблюдать инструкцию о порядке обеспечения конфиденциальности при обращении с информацией, содержащей ПДн • Использовать маркированные съемные носители информации • При необходимости передачи информации с ПДн по сети Интернет: • АРМ, подключенное к сети Интернет, но не подключено к локальным сетевым ИСПДн • Наличие средств криптографической защиты, сертифицированные в установленном порядке

  37. Не исполнение требований Закона «О персональных данных» влечет риски следующего характера • Гражданские иски со стороны участников образовательного процесса. • Приостановление или прекращение обработки персональных данных в ОУ. • Привлечение руководителя ОУ и ответственных лиц к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности. • Приостановление действия или аннулирование лицензий на образовательную деятельность.

  38. Примерный перечень запрашиваемых документов при проверке:  • Копия уведомления об обработке персональных данных, выписка из реестра операторов ПД;  • Положение о порядке обработки персональных данных; • Положение о подразделении, осуществляющем функции по организации защиты персональных данных;  • Должностные регламенты лиц, имеющих доступ и (или) осуществляющих обработку персональных данных;  • План мероприятий по защите персональных данных;  • План внутренних проверок состояния защиты персональных данных; • Приказ о назначении ответственных лиц по работе с персональными данными; типовые формы документов, предполагающие или допускающие содержание персональных данных;  • Журналы, реестры, книги, содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Оператор, или в иных аналогичных целях;  • Договоры с субъектами персональных данных, лицензии на виды деятельности, в рамках которых осуществляется обработка персональных данных;  • Выписки из ЕГРЮЛ, содержащие актуальные данные на момент проведения проверки; 

  39. Примерный перечень запрашиваемых документов при проверке:  • Приказы об утверждении мест хранения материальных носителей персональных данных; • Письменное согласие субъектов персональных данных на обработку их персональных данных (типовая форма); • Распечатки электронных шаблонов полей, содержащие персональные данные; справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка персональных данных;  • Заключения экспертизы ФСБ России, ФСТЭК России об оценке соответствия средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке (проверяется только наличие данных документов);  • Приказ о создании комиссии и акты проведения классификации информационных систем персональных данных (проверяется только наличие данных документов); журналы (книги) учета обращений граждан (субъектов персональных данных); акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки);  • Иные документы, отражающие исполнение Оператором требований законодательства Российской Федерации в области персональных данных. 

  40. Руководителям: • Назначить приказом по учреждению специалиста, ответственного за организацию информационной безопасности (либо целую комиссию с наделением ее полномочиями по проведению мероприятий по организации защиты ПДн). • Проверить состояние уведомления в Роскомнадзор • Получить письменные согласия субъектов ПД на обработку, в том числе передачу их персональных данных третьим лицам. • Провести классификацию информационных систем, использующихся в учреждении и оформить акт классификации ИС • Разработать и утвердить план мероприятий по защите персональных данных • Разработать и утвердить внутренние организационно-распорядительные документы • Принять меры по защите ИСПДн

More Related