персональные данные.ppt
- Количество слайдов: 25
ПРОБЛЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Конституция Российской Федерации Статья 23. 1. Каждый имеет право на неприкосновенность частной жизни, личную семейную тайну, защиту своей чести и доброго имени. 2. Каждый имеет право на тайну переписки, телефонных разговоров и иных сообщений. Статья 24. 1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается. 2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если оное не предусмотрено законом.
Требования к обработке персональных данных
ПЕРЕЧЕНЬ ПРАВОВЫХ И НОРМАТИВНО-МЕТОДИЧЕСКИХ ДОКУМЕНТОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ü Федеральный закон от 27 июля 2006 г. N 152 -ФЗ «О персональных данных» ü Федеральный закон от 27 июля 2006 г. N 149 -ФЗ "Об информации, информационных технологиях и защите информации" ü Трудовой кодекс Российской Федерации ü Указ Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера» ü Постановление Правительства РФ от 17 ноября 2007 г. N 781, которым утверждено Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных ü Постановление Правительства РФ от 15 сентября 2008 г. N 681, которым утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации üПриказ Россвязькомнадзора от 17 июля 2008 г. № 08 «Об утверждении образца формы Уведомления об обработке персональных данных Вифлеемский А. Б. , 2009
ПЕРЕЧЕНЬ ПРАВОВЫХ И НОРМАТИВНО-МЕТОДИЧЕСКИХ ДОКУМЕНТОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ü Постановление Правительства РФ от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» ü Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных» Документы для служебного пользования ФСТЭК России: ü «Основные мероприятия по организации и техническому обеспечению персональных данных, обрабатываемых в информационных системах персональных данных» от 15 февраля 2008 г. ü «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 г. ü Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 г. ü Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 г. Вифлеемский А. Б. , 2009
ФЗ-152 «О персональных данных» от 27 июля 2006 года Регулирует отношения, связанные с обработкой персональных данных, осуществляемой: • федеральными, региональными, муниципальными органами государственной власти • юридическими лицами • физическими лицами с использованием средств автоматизации
ОСНОВНЫЕ ПОНЯТИЯ Конфиденциальная информация - это документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. К персональным данным относятся любые сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Специальные данные, в отношении которых действуют повышенные меры защиты от несанкционированной обработки и распространения. Это информация, касающаяся: - расовой, национальной принадлежности; - политических взглядов, религиозных или философских убеждений; - состояния здоровья, интимной жизни Информационные системы персональных данных (информационные системы) - совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации. Вифлеемский А. Б. , 2009
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных в пункте 2. 2. Согласия субъекта персональных данных не требуется в следующих случаях: 1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора; 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных; Вифлеемский А. Б. , 2009
ПОЛОЖЕНИЕ О ПЕРСОНАЛЬНЫХ ДАННЫХ Примерная структура: ü Общие положения ü Условия проведения обработки персональных данных ü Хранение и использование персональных данных ü Порядок передачи персональных данных ü Права работников, обучающихся на обеспечение защиты персональных данных ü Обязанности субъекта персональных данных по обеспечению достоверности его персональных данных ü Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных Вифлеемский А. Б. , 2009
УВЕДОМЛЕНИЕ УПОЛНОМОЧЕННОГО ОРГАНА 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных пунктом 2. 2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения; 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; 4) являющихся общедоступными персональными данными; 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных; Вифлеемский А. Б. , 2009
УВЕДОМЛЕНИЕ УПОЛНОМОЧЕННОГО ОРГАНА 6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях; 7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; 8) обрабатываемых федеральными без использования законами или иными средств автоматизации нормативными в соответствии правовыми актами с РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. . Вифлеемский А. Б. , 2009
Персональные данные Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в т. ч. : • Фамилия, имя, отчество • Год, меся, дата и место рождения • Адрес • Семейное, социальное, имущественное положение • Образование • Профессия • Доходы • Иная информация…
Вифлеемский А. Б. , 2009 ПЕРСОНАЛЬНЫЕ ДАННЫЕ И ИНФОРМАЦИОННЫЕ СИСТЕМЫ
ИНФОРМАЦИОННЫЕ СИСТЕМЫ совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. ст. 3 Федерального закона «О персональных данных» Вифлеемский А. Б. , 2009
АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА включает в себя следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение. Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера (ETS № 108, Заключена в г. Страсбурге 28. 01. 1981) Вифлеемский А. Б. , 2009
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Постановление Правительства РФ от 15 сентября 2008 г. № 687 Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации Вифлеемский А. Б. , 2009
ВЫВОД: С точки зрения определений, данных в действующем законодательстве, подавляющее большинство информационных систем, используемых образовательными учреждениями, формально можно рассматривать как осуществляемые без использования средств автоматизации (включая АРМ «Директор» , и значительную часть бухгалтерского программного обеспечения). Вифлеемский А. Б. , 2009
АЛГОРИТМ ОРГАНИЗАЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 1. Определение состава и категории обрабатываемых персональных данных. 2. Инвентаризация системы обработки персональных данных в учреждении. 3. Формирование перечня персональных данных. 4. Установление сроков обработки персональных данных. 5. Ограничение доступа работников учреждения к персональным данным. 6. Документальная регламентация работы с персональными данными. 7. Согласие субъектов персональных данных на обработку. 8. Пересмотр договоров с субъектами. 9. Составление и направление в уполномоченный орган соответствующего уведомления. Вифлеемский А. Б. , 2009
АЛГОРИТМ ОРГАНИЗАЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ Следующие шаги необходимы только при наличии в учреждении информационной системы персональных данных, позволяющих осуществлять обработку персональных данных с использованием средств автоматизации. При этом образовательному учреждению следует оценить правовые основания работы с документами ДСП, качество собственной юридической службы (при ее наличии), перспективы судебных разбирательств и объем потенциальных санкций в случае признания судом методических документов ДСП, изданных ФСТЭК, обязательными для исполнения нормативными правовыми актами. Подавляющему большинству образовательных реализовывать нет необходимости. учреждений нижеперечисленные шаги 10. Получение во ФСТЭК документов ДСП для выполнения требований действующего законодательства. 11. Формирование модели угроз персональным данным. 12. Классифицирование информационных систем персональных данных 13. Приведение системы защиты персональных данных в соответствие с требованиями законодательства 14. Получение лицензии на техническую защиту конфиденциальной информации. 15. Создание подсистемы информационной безопасности ИСПД и ее аттестация (сертификация). 16. Организация эксплуатации ИСПД и контроль за безопасностью. Вифлеемский А. Б. , 2009
Информационные системы персональных данных (ИСПДн) üКадровые системы üБухгалтерские системы üАвтоматизированные медицинские системы üСистемы документооборота üПочтовые системы üАвтоматизированные системы бюро пропусков и т. д.
Категории персональных данных Категория 1 ПДн, касающиеся расовой, национальной принадлежности. Политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни Категория 2 ПДн, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1 Категория 3 ПДн, позволяющие идентифицировать субъекта ПДн Категория 4 Обезличенные и (или) общедоступные персональные данные
Класс системы Класс 1 (К 1) Информационные системы, для которых нарушения могут привести к значительным негативным последствиям для субъектов ПДн Класс 2 (К 2) Информационные системы, для которых нарушения могут привести к негативным последствиям для субъектов ПДн Класс 3 (К 3) Информационные системы, для которых нарушения могут привести к незначительным негативным последствиям для субъектов ПДн Класс 4 (К 4) Информационные системы, для которых нарушения не приводят к негативным последствиям для субъектов ПДн
ИСПДн
КОРОТКО О ГЛАВНОМ: 1. Обязательными являются организационные мероприятия - получение согласия родителей учащихся и работников на предоставление персональных данных 2. Наличие положения по работе с персональными данными сотрудников и обучающихся, кто и к каким данным имеет доступ, какие данные и в каком порядке могут предоставляться во внешние организации и т. д. ; 3. В зависимости от класса системы обработки - сертификация ПЭВМ и ЛВС; 4. Сертификация операционной системы (Microsoft, Linux) на работу с персональными данными. На сайте ФСТЭК перечислены операционные системы, прошедшие сертификацию. 5. АРМ Директор- это только элемент общей системы обработки информации. Защита персональных данных в них полностью обеспечивается сертифицированными операционными системами: защита от несанкционированного доступа, регистрация (протоколирование) попыток несанкционированного доступа к системе и др. Вифлеемский А. Б. , 2009
Спасибо за внимание!
персональные данные.ppt