1 / 27

Законодательная и нормативно-правовая база в области обеспечения безопасности персональных данных

Законодательная и нормативно-правовая база в области обеспечения безопасности персональных данных. Руководитель проектов ЗАО «Калуга Астрал» Кухтинов Алексей Анатольевич +79092517676 alex@astralnalog.ru. ПРОЛОГ.

kaye-carrillo
Download Presentation

Законодательная и нормативно-правовая база в области обеспечения безопасности персональных данных

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Законодательная и нормативно-правовая база в области обеспечения безопасности персональных данных Руководитель проектов ЗАО «Калуга Астрал» Кухтинов Алексей Анатольевич +79092517676 alex@astralnalog.ru

  2. ПРОЛОГ Конституция РФ, Статья 231. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.Конституция РФ, Статья 241. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Выделение категории «персональные данные» из более общей категории «частная жизнь», связано прежде всего с распространением автоматизированных систем обработки и хранения информации, в первую очередь компьютерных баз данных, к которым возможен несанкционированный доступ. Именно эти системы, по сути, сделавшие революцию в вопросах структурирования, хранения и поиска необходимых данных, создали предпосылки для возникновения проблемы защиты сведений персонального характера-персональных данных с целью защиты прав и свобод граждан.

  3. ЗАКОНОДАТЕЛЬНО-НОРМАТИВНАЯ БАЗА • НОРМАТИВНАЯ БАЗА ПО ЗАЩИТЕ ПДн ПРИ ИСПОЛЬЗОВАНИИ СРЕДСТВ АВТОМАТИЗАЦИИ • Федеральный закон 2006 г. № 149-ФЗ «Об информации,информатизации и защите информации». • 2. Федеральный закон 2006 г. № 152-ФЗ «О персональных данных». • 3. Постановление Правительства РФ от 17 ноября 2007 г.№781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». • 4. Постановление Правительства РФ от 15 сентября 2008 г.№ 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». • 5. Постановление Правительства РФ от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем • персональных данных». • 6. Документы уполномоченных федеральных органов.

  4. ДОКУМЕНТЫ УПОЛНОМОЧЕННЫХ ФЕДЕРАЛЬНЫХ ОРГАНОВ 1. Порядок проведения классификации информационных систем персональных данных. Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. №55/86/20. Зарегестрирован в Минюсте России 3 апреля 2008 года, регистрационный №11462. • ФСТЭК России • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г. ДСП. • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.Утверждена заместителем директора ФСТЭК России 14 февраля 2008 г. ДСП. • Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждены заместителем директора ФСТЭК России 15 февраля 2008 г. ДСП. • Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. Утверждены заместителем директора ФСТЭК России 15 февраля 2008 г. ДСП. Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г . (конечно, ФСТЭК убрал раздел с утечками информации по каналам побочных электромагнитных излучений и наводок из базовой модели угроз). www.fstec.ru

  5. ДОКУМЕНТЫ УПОЛНОМОЧЕННЫХ ФЕДЕРАЛЬНЫХ ОРГАНОВ • ФСБ России • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств,предназначенных для защиты информации, не содержащей сведений,составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. № 149/6/6-622, 2008 г., • ФСБ России. • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. № 149/54-144, 2008 г. ФСБ России. www.fsb.ru

  6. НАЗНАЧЕНИЕ И ОБЛАСТЬ ПРИМЕНЕНИЯ ДОКУМЕНТОВ УПОЛНОМОЧЕННЫХ ФЕДЕРАЛЬНЫХ ОРГАНОВ Документы предназначены для использования при обеспечении безопасности ПДн в ИС: государственных и муниципальных органов власти; юридических лиц (независимо от формы их собственности); - физических лиц (кроме случаев использования ИС только для личных и семейных нужд).

  7. ОСНОВНЫЕ ПОЛОЖЕНИЯ ФЗ 2006 г. №152 «О ПЕРСОНАЛЬНЫХ ДАННЫХ» 1. Сфера действия (ст.1) 1. Федеральным законом регулируются отношения, связанные с обработкой ПДн, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка ПДн без использования таких средств соответствует характеру действий (операций), совершаемых с ПДн с использованием средств автоматизации. 2. Действие Федерального закона не распространяется на отношения, возникающие при: 1) обработке ПДн физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов ПДн; 2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ других архивных документов в соответствии с законодательством об архивном деле в РФ; 3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством РФ в связи с деятельносью физического лица в качестве индивидуального предпринимателя; 4) обработка ПД, отнесеных в установленном порядке к сведениям, составляющим государственную тайну.

  8. ОСНОВНЫЕ ПОНЯТИЯ Цель Федерального закона «О персональных данных» (ст.2)Целью Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. ОСНОВНЫЕ ПОНЯТИЯ 1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. 2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. 3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

  9. Условия обработки персональных данных (ст.6)‏ • Обработка ПДн может осуществляться оператором с согласия субъетов ПДн, за исключение случаев, предусмотренных частью 2 настоящей статьи. • 2. Согласие субъекта ПДн, не требуется в следующих случаях: • 1) обработка ПДн осуществляется на основнии федерального закона, устанавливающего ее цель, условия получения ПДн и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора; • 2) обработка ПДн осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных; • 3) обработка ПДн осуществляется для статических или иных научных целей при условии обязательного обезналичивания ПДн; • 4) обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно; • 5) обработка ПДн необходима для достаки почтовых отправлений организациям почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи; • 6) обработка ПДн осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПДн; • 7) осуществляется обработка ПДн, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПДн лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

  10. Уведомление об обработке персональных данных (ст.22) • Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 статьи 7. • 2. Обеспечение конфиденциальности персональных • данных не требуется: • 1) в случае обезличивания персональных данных; • 2) в отношении общедоступных персональных данных. • Оператор до начала обработки ПДн обязан уведомить уполномоченный орган • по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных частью 2 настоящей статьи. (Ст22). • Форма уведомления о намерении оператором обрабатывать персональные данные • установлена приказом Федеральной службы по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзор) №8 от 17 июля 2008 г. www.pd.rsoc.ru www.rsoc.ru

  11. Уведомление об обработке персональных данных (ст.22) Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъекта ПДн обработку ПДн: 1) относящихся к субъектам ПДн, которых связывают с оператором трудовые отношения; 2) полученных оператором в связи с заключением договора, стороной которого является субъект ПДн, если ПДн не распространяются, а также не предоставляются третьими лицами без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн; 3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединениям или религиозной организацией, действующими в соответствии с законодательством Россиийской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что ПДн не будут распространяться без согласия в письменной форме субъектов ПДн; 4) являющихся общедоступными ПДн; 5) включающих в себя только фамилии, имена и отчества субъектов ПДн; 6) необходимых в целях однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях; 7) включенных в информационные системы ПДн, имеющие в соответствии с ФЗ статус федеральных автоматизированных ИС, также в государственные ИСПДн, созданные в целях защиты безопасности государства и общественного порядка; 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности ПДн при их обработке и к соблюдению прав субъектов персональных данных.

  12. Уполномоченный орган • В настоящее время Уполномоченным органом по защите прав субъектов персональных данных,назначаемым в соответствии со ст.23 ФЗ «О персональных данных», является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), преобразованная из Федеральной службы по надзору в сфере связи массовых коммуникаций в соответствии с указом Президента РФ от 3 декабря 2008 года №1715 • Уполномоченный орган по защите прав субъектов персональных данных имеет право: • требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных; • 2) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона; • 3) обращаться в суд с исковыми заявлениями в защиту прав субъектов ПДн и представлять интересы субъектов персональных данных в суде; • 4) направлять заявление в орган, осуществляющий лицензированиедеятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством РФ порядке; • 5) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектовперсональных данных, в соответствии с подведомственностью; • 6) привлекать к административной ответственности лиц, виновных внарушении Федерального закона.

  13. Документ устанавливает требования к обеспечению безопасности ПДн при их обработке в ИСПДн. ПОЛОЖЕНИЕ ОБ ОСОБЕННОСТЯХ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ(Постановление Правительства РФ от 15.9.2008 г. №687)‏ Устанавливает особенности обработки ПДн, осуществляемой без использования средств автоматизации. ПОЛОЖЕИЕ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ(Постановление Правительства РФ от 17 ноября 2007 г. №781)‏

  14. ТРЕБОВАНИЯ К МАТЕРИАЛЬНЫМ НОСИТЕЛЯМ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ И ТЕХНОЛОГИЯМ ХРАНЕНИЯ ТАКИХ ДАННЫХ ВНЕ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ (Постановление Правительства РФ от 6.7.2008 г. №512)‏ Документ устанавливает требования при использовании материалных носителей (машиночитаемых носителей информации), на которые осуществляется запись биометрических персональных данных, а также при хранении биометрических персональных данных вне информационных систем персональных данных

  15. - Содержит общее системное изложение вероятных угроз безопасности ПД при их обработке в ИС. - Предназначена для использования при разработке моделей угроз для конкретных ИС ПД. БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПД ПРИ ИХ ОБРАБОТКЕ В ИС(ФСТЭК России)‏

  16. - Определяет порядок моделирования угроз безопасности ПДн при их обработке в ИСПДн и выявления актуальных угроз (на основе экспертного анализа)‏ - Результаты моделирования служат для формирования обоснованных требований по защите ПДн при их обработке в ИСПДн МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ПД ПРИ ИХ ОБРАБОТКЕ В ИС(ФСТЭК России)‏

  17. ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОРГАНИЗАЦИИ И ТЕХНИЧЕСКОМУ ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПД, ОБРАБАТЫВАЕМЫХ В ИС (ФСТЭК России) Документ определяет мероприятия по организации и техническому обеспечению безопасности персональных (не криптографическими методами) при их обработке в ИСПДн в зависимости от класса ИСПДн

  18. РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПД ПРИ ИХ ОБРАБОТКЕ В ИСПДн (ФСТЭК России) В документе приведены рекомендации и разъяснения требований по вопросам обеспечения безопасности ПДн, оценки актуальности угроз безопасности ПДн,применения способов, мер и средств защиты ПДн.

  19. МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ С ПОМОЩЬЮ КРИПТОСРЕДСТВ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХОБРАБОТКЕ В ИНФОРМАЦИОНН ЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ АВТОМАТИЗАЦИИ (ФСБ России) Документ предназначен для операторов и разработчиков информационных систем персональных данных и определяет (в случае обеспечения с помощью криптосредств безопасности персональных данных): • порядок формирования модели угроз безопасности персональных данных; • порядок формирования модели нарушителя; • порядок определения на основе построенной модели нарушителя требуемого уровня криптографической защиты ПДн и, как следствие, определения требуемого класса защиты применяемого криптосредства; • требования к контролю встраивания криптосредств.

  20. РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПД ПРИ ИХ ОБРАБОТКЕ В ИСПДн (ФСТЭК России) В документе приведены рекомендации и разъяснения требований по вопросам обеспечения безопасности ПДн, оценки актуальности угроз безопасности ПДн,применения способов, мер и средств защиты ПДн.

  21. ТИПОВЫЕ ТРЕБОВАНИЯ ПО ОРГАНИЗАЦИИ И ОБЕСПЕЧЕНИЮ ФУНКЦИОНИРОВАНИЯ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ, ПРЕДНАЗНАЧЕННЫХ ДЛЯ ЗАЩИТЫ ИНФОРМАЦИИ, НЕ СОДЕРЖАЩЕЙ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ, В СЛУЧАЕ ИХ • ИСПОЛЬЗОВАНИЯ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ • ПДн ПРИ ИХ ОБРАБОТКЕ В ИСПДн (ФСБ России) • Документ определяет порядок организации и обеспечения функционирования шифровальных (криптографических) средств, в том числе: • организационно-технические меры при развертывании и эксплуатации информационных систем; • порядок обращения с криптосредствами и криптоключами к ним; • мероприятия при компрометации криптоключей; • порядок размещения, специального оборудования, охраны и организации режима в помещениях, где установлены криптосредства или хранятся ключевые документы к ним.

  22. Регуляторы Сроки реализации требований Федерального закона «О персональных данных» (ст. 25) После дня вступления в силу Федерального закона (27.01.2007) обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с Федеральным законом. Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.

  23. ОБЯЗАННОСТИ ОПЕРАТОРОВ • провести инвентаризацию ИР, обрабатываемых в ИС и определить перечень обрабатываемых ПДн; • урегулировать правовые вопросы обработки (использования) ПДн (уточнение правовых оснований • обработки ПДн, получение согласия субъектов на обработку, пересмотр (при необходимости) договоров с субъектами, установление сроков обработки ПДн и др.); • оформить и направить в территориальный орган уполномоченного органа по защите прав субъектов ПДн уведомление об обработке ПДн (при необходимости); • разработать модель угроз (на основании результатов обследования ИСПДн); • провести классификацию с оформлением акта

  24. ОБЯЗАННОСТИ ОПЕРАТОРОВ получить при необходимости (для операторов ИСПДн 1 и 2 класса) лицензию на деятельность по ТЗИ (согласно постановлению Правительства РФ 2006 г. № 504); определить требования по защите ПДн при их обработке вИСПДн в соответствии с присвоенным классом и результатами моделирования угроз; осуществить проектирование Системы защиты персональных данных (СЗПДн); реализовать проект на создание СЗПДн; провести оценку соответствия ИСПДн требованиям безопасности согласно присвоенному классу; организовать эксплуатацию ИСПДн в соответствии с требованиями безопасности и контроль соблюдения использования СЗИ.

  25. 29 декабря опубликован и вступил в силу Федеральный закон РФ от 27.12.2009 г. № 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных». Срок для приведения информационных систем персональных данных в соответствие с Законом о защите персональных данных перенесен с 2010 на 2011 год. Перенос сроков связан с существенным увеличением затрат на приведение информационных систем в соответствие с требованиями по безопасности персональных данных, и особенно – затрат на поддержание таких систем, которые сложно осуществимы в условиях финансового кризиса. Следствием этого могло бы стать массовое несоответствие хозяйствующих субъектов требованиям Федерального закона, при том, что с начала 2010 года государственные регуляторы были бы вправе осуществлять проверки исполнения требований закона в отношении информационных систем персональных данных и привлекать к ответственности нарушителей. Исключено также требование, согласно которому при обработке персональных данных необходимо использовать шифровальные (криптографические) средства. При определенных способах обработки (например, неавтоматическая) защита персональных данных возможна и без указанных средств. Обработка ПДн, содержащихся в ИСПДн либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии человека.

  26. www. genproc.gov.ru

  27. КОНТАКТЫ ЗАО «Калуга Астрал» г. Калуга, пер. Теренинский,6, г. Москва, Плеханова, 7 тел. (4842) 788999, 57-74-61, 57-74-62, 56-42-62, 57-42-62, 56-39-90 www.astralnalog.ru e-mail: astral@kaluga.ru Кухтинов Алексей Анатольевич Руководитель проектов +7 909 251 76 76 ?

More Related