Защита персональных данных ООО Учебно-научный центр информационной безопасности

Зарегистрируйтесь, чтобы просмотреть полный документ!

Защита персональных данных ООО Учебно-научный центр информационной безопасности ООО «УНЦИБ» Русская версия № 1

Защита персональных данных как реализация конституционных прав граждан на неприкосновенность частной жизни Защита персональных данных

Защита персональных данных как реализация конституционных прав граждан на неприкосновенность частной жизни Конституция Российской Федерации Защита персональных данных обеспечивает реализацию конституционных прав человека на неприкосновенность частной жизни, личную и семейную тайну (ст. 23 Конституции РФ) и ограничение сбора, хранения, использования и распространения информации о частной жизни (ст. 24 Конституции РФ). Защита персональных данных

Защита персональных данных как реализация конституционных прав граждан на неприкосновенность частной жизни Гражданский кодекс РФ Статья 152. 2. Охрана частной жизни гражданина Если иное прямо не предусмотрено законом, не допускаются без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни. Защита персональных данных

Защита персональных данных как реализация конституционных прав граждан на неприкосновенность частной жизни ФЗ «О персональных данных» Проблемы, решаемые законом: Обеспечение неприкосновенности частной жизни граждан. Предоставление гражданам доступа к их персональным данным в органах власти и частных организациях. Защита персональных данных

Международное законодательство и национальное законодательство зарубежных стран о защите персональных данных Защита персональных данных

Международное законодательство и национальное законодательство зарубежных стран о защите персональных данных Свобода информации Первый в мире закон о свободе информации: Закон Шведского Парламента «О доступе к публичным документам» 1766 г. Защита персональных данных

Международное законодательство и национальное законодательство зарубежных стран о защите персональных данных Свобода информации С развитием информационных технологий, созданием баз данных возникла новая угроза правам граждан – возможность легкого копирования и объединения этих данных. Более 50 стран в мире приняли законы о свободе информации, способствующие доступу к документам правительственных органов, и более 30 стран предпринимают попытки принять подобные законы. Более половины законов были приняты только за последние десять лет. Рост прозрачности правительств стал ответом на требования гражданских общественных организаций, СМИ и международных кредиторов. Защита персональных данных

Международное законодательство и национальное законодательство зарубежных стран о защите персональных данных Свобода информации Факторы, обусловившие законодательное регулирование свободы информации: ь Международное давление: • Совет Европы и Организация американских государств (руководства по применению законов и модельное законодательство по свободе информации) • Международный Банк, Международный валютный фонд (давление по принятию законов, направленных на уменьшение коррупции и обеспечение прозрачности финансовых систем) • ООН (Конвенция по доступу к информации об окружающей среде) Защита персональных данных

Международное законодательство и национальное законодательство зарубежных стран о защите персональных данных Свобода информации Факторы, обусловившие законодательное регулирование свободы информации: üМодернизация и информационное общество: • Интернет • Формирование электронного правительства (модернизация системы сбора документов и информации) Защита персональных данных

Международное законодательство и национальное законодательство зарубежных стран о защите персональных данных Свобода информации Факторы, обусловившие законодательное регулирование свободы информации: üКонституционные права (переход к демократическому правлению): • Свобода информации стала правом человека, почти все заново созданные или модифицированные конституции включили право на доступ к информации государственных органов власти • Конституции также часто стали содержать право физических лиц получать доступ к информации о себе Защита персональных данных

Международное законодательство и национальное законодательство зарубежных стран о защите персональных данных Первыми угрозу осознали европейские страны, которые приняли в 1981 году Конвенцию Совета Европы о защите частных лиц применительно к автоматизированной обработке персональных данных, а затем в 1995 году Директиву Европейского парламента и Совета Европейского Союза о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных. Защита персональных данных

Международное законодательство и национальное законодательство зарубежных стран о защите персональных данных Директива ЕС 2002/58/ЕС «О регулировании обработки персональных данных и защите неприкосновенности частной жизни в сфере электронных коммуникаций» Защита персональных данных не должна нарушать основополагающий принцип ЕС - принцип свободы обращения товаров, лиц, услуг и капиталов. Более свободное использование персональных данных возможного в тех случаях, когда между лицом и компанией заключается договор. В качестве заключения договора рассматривается: ü Оплата (или даже гарантия) кредитной картой ü «Клик» клавишей компьютера Защита персональных данных

Международное законодательство и национальное законодательство зарубежных стран о защите персональных данных Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г. ) (с изменениями от 15 июня 1999 г. ) ETS N 108 Защита персональных данных

Законодательство РФ о персональных данных Основы информационного законодательства формирует Федеральный закон «Об информации, информационных технологиях и о защите информации» (№ 149 -ФЗ от 27 июля 2006 года). Защита персональных данных

Персональные данные в системе документооборота учреждений Защита персональных данных

Персональные данные в организации (в учреждении) Защита персональных данных

Персональные данные в системе документооборота учреждения. Персональные данные в документообороте Кадровое делопроизводство Бухгалтерия Подразделения по работе с клиентами - физическими лицами (договора, заказы, квитанции, адреса и т. п. ) Письма, жалобы, обращения граждан Особое положение: организации и предприятия, работающие с населением (ЗАГСы, паспортные столы, медицинские учреждения и т. п. ) Защита персональных данных

Персональные данные в системе документооборота учреждения. Персональные данные в документообороте ь Абонентская база операторов связи ь Базы клиентов и их счетов банков ь Базы клиентов страховых компаний ь Базы резюме агентств по трудоустройству ь Базы клиентов туристических компаний ь Системы продажи билетов в компаниях – перевозчиках ь Системы лояльности клиентов ь Электронные медицинские книжки и амбулаторные карты в медицинских учреждениях ь Базы жильцов в эксплуатирующих компаниях Защита персональных данных

Персональные данные в системе документооборота учреждения. Утечки персональных данных 31 октября 2012. г. Москва. Использование базы данных ГИБДД для оформления «липовых» актов о ДТП с получением страховки на доверенных лиц. (www. searchinform. ru/incidents/188) доверенных лиц. 14 ноября 2012. г. Карпинск. Из салона «Связной» на свалку выброшены персональные данные, дополненные кредитными документами. (www. searchinform. ru/incidents/206) документами. 14 марта 2013. г Самара. Оформление фиктивных документов на оплату 4 тыс. памятников ветеранам Великой отечественной войны с присвоением бюджетных средств на сумму около 100 млн. руб. (www. rg. ru/2013/03/14/dushi. html) 17 мая 2013 г. Документы Сбербанка с персональными данными клиентов оказались разбросаны возле мусорного контейнера в 3 микрорайоне Зеленограда. На помойке оказались заявления на получение карт и банковское обслуживание, договоры на открытие счетов — с именами клиентов, их адресами, телефонами, Защита персональных данных паспортными данными и суммами вкладов.

Область применения закона. Ограничения Защита персональных данных

Цель закона Целью ФЗ «О персональных данных» является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну Защита персональных данных

Область применения закона. Ограничения Отношения, регулируемые законом Законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой органами государственной власти, органами местного самоуправления, юридическими лицами и физическими лицами с использованием средств автоматизации или без использования таких средств. Защита персональных данных

Область применения закона. Ограничения применения Действие закона не распространяется на отношения, возникающие при: 1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных; 2) организации хранения, комплектования, учета и использования содержащих персональные данные архивных документов, 3) обработке персональных данных, отнесенных к сведениям, составляющим государственную тайну; 4) предоставлении уполномоченными органами 4) информации о деятельности судов в Российской Федерации. Защита персональных данных

Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных 1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных. 2. Федеральными законами, указами Президента Российской Федерации, нормативными правовыми актами Правительства Российской Федерации могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных. Защита персональных данных

Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных 3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. 4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом. Защита персональных данных

Контроль и надзор за обработкой персональных данных Защита персональных данных

Контроль и надзор за обработкой персональных данных Система государственного контроля и надзора за обеспечением безопасности персональных данных ь Уполномоченный орган по защите прав субъектов персональных данных [Роскомнадзор] ь ФОИВ, уполномоченный в области обеспечения безопасности [ФСБ] ь ФОИВ, уполномоченный в области противодействия техническим разведкам и технической защиты информации [ФСТЭК] ь Министерство связи и массовых коммуникаций [выдвижение требований по безопасности ИСПДн] Защита персональных данных

Контроль и надзор за обработкой персональных данных Уполномоченный орган по защите прав субъектов персональных данных Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям ФЗ «О персональных данных» , является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Защита персональных данных

Ответственность за нарушение требований по обращению с персональными данными Защита персональных данных

Ответственность за нарушение требований по обращению с персональными данными Лица, виновные в нарушении требований ФЗ «О персональных данных» , несут ответственность: ь ь ь гражданскую уголовную административную дисциплинарную иную, предусмотренную законодательством РФ Защита персональных данных

Ответственность за нарушение требований по обращению с персональными данными Гражданская ответственность ФЗ «О персональных данных» : Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке Защита персональных данных

Ответственность за нарушение требований по обращению с персональными данными Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим ФЗ, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков. Защита персональных данных

Ответственность за нарушение требований по обращению с персональными данными ОТВЕТСТВЕННОСТЬ ЗА НЕПРАВОМЕРНОЕ ОБРАЩЕНИЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ Административная ответственность Статья 13. 11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Защита персональных данных

Ответственность за нарушение требований по обращению с персональными данными ОТВЕТСТВЕННОСТЬ ЗА НЕПРАВОМЕРНОЕ ОБРАЩЕНИЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ Правительство России подготовило законопроект о внесении изменений в Кодекс об административных наказаниях. Если кратко, то вот обновленные штрафы (для юр. лиц): • Обработка ПДн с нарушением требований к содержанию согласия субъектов ПДн - 15 000 - 50 000 рублей. • Обработка ПДн без согласия субъектов ПДн (если оно нужно) - 30 000 - 50 000 рублей. • Незаконная обработка специальных категорий ПДн (в случаях, не предусмотренных законодательством РФ) - 150 000 - 300 000 рублей. Помимо этого, появились новые статьи и штрафы: Статья 13. 11. 2. Непредставление оператором информации и (или) доступа к сведениям, предусмотренных законодательством РФ о ПДн. • Не обеспечение неограниченного доступа к политике в области ПДн и сведениях о реализуемых мерах защиты - 15 000 - 30 000 рублей. • Не предоставление субъекту ПДн информации, касающейся обработки его ПДн - 20 000 - 40 000 рублей. Защита персональных данных

Ответственность за нарушение требований по обращению с персональными данными ОТВЕТСТВЕННОСТЬ ЗА НЕПРАВОМЕРНОЕ ОБРАЩЕНИЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ Статья 13. 11. 3. Несоблюдение требований законодательства РФ о ПДн по обеспечению безопасности ПДн • Невыполнение обязанностей по соблюдению условий, обеспечивающих сохранность ПДн при хранении материальных носителей, если с ПДн произошел инцидент (при отсутствии признаков уголовно наказуемого деяния) - 25 000 - 50 000 рублей. • Невыполнение обязанностей по защите ПДн при автоматизированной обработке если с ПДн произошел инцидент (при отсутствии признаков уголовно наказуемого деяния) - 100 000 - 200 000 рублей. • Инциденты с ПДн в государственных и муниципальных учреждениях - штраф на должностное лицо в размере 30 000 - 50 000 рублей. Итого, за утечки ПДн будут штрафовать. Операторам ПДн не удастся отделаться организационными мерами и минимальными штрафами. Необходимо выстраивать комплексную систему защиты ПДн, внедрять процессы реагирования на инциденты и взаимодействия с субъектами ПДн.

Ответственность за нарушение требований по обращению с персональными данными Административная ответственность Статья 13. 12. Нарушение правил защиты информации 2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну)… 6. Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи… Защита персональных данных

Ответственность за нарушение требований по обращению с персональными данными Административная ответственность Статья 13. Незаконная деятельность в области защиты информации Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение такая лицензия) в соответствии с федеральным законом обязательно (обязательна) Защита персональных данных

Ответственность за нарушение требований по обращению с персональными данными Административная ответственность Статья 13. 14. Разглашение информации с ограниченным доступом Разглашение информации, доступ к которой ограничен федеральным законом лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей Статья 5. 39. Отказ в предоставлении гражданину информации Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина Защита персональных данных

Ответственность за нарушение требований по обращению с персональными данными ОТВЕТСТВЕННОСТЬ ЗА НЕПРАВОМЕРНОЕ ОБРАЩЕНИЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ Уголовная и административная ответственность К уголовной и административной ответственности могут привлекаться руководитель организации, подразделения, виновный в разглашении персональных данных работника, или же другое должностное лицо, отдавшее распоряжение использовать то или иное ограничение или самостоятельно исполнившее данное распоряжение. Защита персональных данных

Ответственность за нарушение требований по обращению с персональными данными ОТВЕТСТВЕННОСТЬ ЗА НЕПРАВОМЕРНОЕ ОБРАЩЕНИЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ Уголовная ответственность Статья 137. Нарушение неприкосновенности частной жизни Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации Защита персональных данных

Ответственность за нарушение требований по обращению с персональными данными Уголовная ответственность Статья 140. Отказ в предоставлении гражданину информации Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина Защита персональных данных

Ответственность за нарушение требований по обращению с персональными данными Уголовная ответственность Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационнотелекоммуникационных сетей 1. Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, - наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок. 2. Деяние, предусмотренное частью первой настоящей статьи, если оно повлекло тяжкие последствия или создало угрозу их наступления, - наказывается принудительными работами на срок до пяти лет либо лишением свободы на тот же срок". Защита персональных данных

Работа с персональными данными в учреждении Защита персональных данных

Мероприятия по защите сведений конфиденциального характера Шаг 1 Проанализировать все эксплуатируемые информационные системы и традиционные хранилища данных, выявить все, где присутствуют и обрабатываются персональные данные. Защита персональных данных

Мероприятия по защите сведений конфиденциального характера Шаг 2 Оценить наличие предусмотренных законом оснований для обработки персональных данных, в случаях, когда они отсутствуют - получить согласие субъекта. Отдельный вопрос - передача персональных данных Защита персональных данных

Мероприятия по защите сведений конфиденциального характера Шаг 3 Пересмотреть договора с работниками и физическими лицами в части обработки персональных данных и, особенно, их распространения Защита персональных данных

Формирование перечня персональных данных Шаг 4 Сформировать Перечень обрабатываемых персональных данных Защита персональных данных

Формирование перечня персональных данных Шаг 5 Определить и зафиксировать документально предельные сроки хранения персональных данных после расторжения (прекращения) договора с работником, клиентом, абонентом (физическими лицами), исходя из сроков: ü требований законодательства: • Трудового • Пенсионного • Об ОРД (например, постановления правительства № 538 2005 г. ) • … ü исковой давности взаимных претензий оператора и клиента Защита персональных данных

Требования к операторам, являющимся государственными или муниципальными органами Требования Федерального закона «О персональных данных» и Постановления Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» Защита персональных данных

Требования ФЗ и Постановления № 211 ФЗ «О персональных данных» Статья 18. 1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. Защита персональных данных

Требования ФЗ и Постановления № 211 Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» Защита персональных данных

Требования ФЗ и Постановления № 211 Постановление Правительства РФ от 21 марта 2012 г. № 211 1. Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами: а) назначают ответственного за организацию обработки персональных данных в государственном или муниципальном органе из числа служащих данного органа; б) утверждают актом руководителя государственного или муниципального органа следующие документы: • правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований; Защита персональных данных

Требования ФЗ и Постановления № 211 Постановление Правительства РФ от 21 марта 2012 г. № 211 • правила рассмотрения запросов субъектов персональных данных или их представителей; • правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора; • правила работы с обезличенными данными; • перечень информационных систем персональных данных; • перечни персональных данных, обрабатываемых в государственном или муниципальном органе в связи с реализацией трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций; • перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных; Защита персональных данных

Требования ФЗ и Постановления № 211 Постановление Правительства РФ от 21 марта 2012 г. № 211 • перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным; • должностная инструкция ответственного за организацию обработки персональных данных в государственном или муниципальном органе; • типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного или муниципального контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей; • типовая форма согласия на обработку персональных данных служащих государственного или муниципального органа, иных субъектов персональных данных, а также • типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные; • порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных; Защита персональных данных

Требования ФЗ и Постановления № 211 ИНФОРМАЦИОННЫЕ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ Постановление Правительства РФ от 21 марта 2012 г. № 211 в) при эксплуатации информационных систем персональных данных в случае, если государственный или муниципальный орган является оператором таких информационных систем, принимают правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке, предусмотренные соответствующими нормативными правовыми актами, для выполнения установленных Правительством Российской Федерации требований к защите персональных данных при их обработке, исполнение которых обеспечивает установленные уровни защищенности персональных данных; Защита персональных данных

Требования ФЗ и Постановления № 211 НЕАВТОМАТИЗИРОВАННАЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ Постановление Правительства РФ от 21 марта 2012 г. № 211 г) при обработке персональных данных, осуществляемой без использования средств автоматизации, выполняют требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"; Защита персональных данных

Требования ФЗ и Постановления № 211 ОСУЩЕСТВЛЕНИЕ ВНУТРЕННЕГО КОНТРОЛЯ Постановление Правительства РФ от 21 марта 2012 г. № 211 д) в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организуют проведение периодических проверок условий обработки персональных данных в государственном или муниципальном органе. Проверки осуществляются ответственным за организацию обработки персональных данных в государственном или муниципальном органе либо комиссией, образуемой руководителем государственного или муниципального органа. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю государственного или муниципального органа докладывает ответственный за организацию обработки персональных данных в государственном или муниципальном органе либо председатель комиссии; Защита персональных данных

Требования ФЗ и Постановления № 211 ОБУЧЕНИЕ, УВЕДОМЛЕНИЕ, ОБЕЗЛИЧИВАНИЕ Постановление Правительства РФ от 21 марта 2012 г. № 211 е) осуществляют ознакомление служащих государственного или муниципального органа, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных служащих; ж) уведомляют уполномоченный орган по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных, за исключением случаев, установленных Федеральным законом "О персональных данных"; з) согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ. Защита персональных данных

Требования ФЗ и Постановления № 211 ОБЕЗЛИЧИВАНИЕ Роскомнадзор выпустил методические рекомендации по исполнению приказа Службы от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» . Разработанные специалистами Роскомнадзора методические рекомендации содержат анализ процессов автоматизированной обработки обезличенных данных в информационных системах государственных и муниципальных органов власти, требования к обезличенным данным и методологию обезличивания. Документ поможет адаптировать применение технологии обезличивания к конкретным задачам государственных и муниципальных организаций, оперирующих персональными данными. Контроль исполнения рекомендаций государственными и муниципальными операторами персональных данных планируется осуществлять со второго квартала 2014 года. Защита персональных данных

Требования ФЗ и Постановления № 211 ОБЕЗЛИЧИВАНИЕ • 6 сентября 2014 года издано постановление Правительства Российской Федерации № 911, которым внесены изменения в постановление Правительства Российской Федерации от 21. 03. 2012 № 211. Документом отменяется обязанность операторов персональных данных – государственных и муниципальных органов осуществлять обезличивание персональных данных, обрабатываемых в информационных системах. • Постановление Правительства Российской Федерации было опубликовано на официальном интернет-портале правовой информации pravo. gov. ru 10 сентября 2014 года и вступает в силу с 18 сентября 2014 года. Защита персональных данных

Требования ФЗ и Постановления № 211 ОПУБЛИКОВАНИЕ Постановление Правительства РФ от 21 марта 2012 г. № 211 2. Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения. Защита персональных данных

Требования законодательства ОПУБЛИКОВАНИЕ ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ ОТ 10 ИЮЛЯ 2013 Г. N 582 "ОБ УТВЕРЖДЕНИИ ПРАВИЛ РАЗМЕЩЕНИЯ НА ОФИЦИАЛЬНОМ САЙТЕ ОБРАЗОВАТЕЛЬНОЙ ОРГАНИЗАЦИИ В ИНФОРМАЦИОННОТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ "ИНТЕРНЕТ" И ОБНОВЛЕНИЯ ИНФОРМАЦИИ ОБ ОБРАЗОВАТЕЛЬНОЙ ОРГАНИЗАЦИИ" ОБЗОР ДОКУМЕНТА Какую информацию должны публиковать образовательные организации? Образовательные организации размещают на своих сайтах некоторые данные. Это, в частности, сведения о дате создания организации, ее учредителях, месте нахождения, графике работы, уровне образования, формах обучения. Также публикуется информация о сроке действия госаккредитации образовательной программы, учебном плане, бюджетных местах, языках, на которых ведется обучение, педагогических работниках, выплачиваемых стипендиях, наличии общежития. Помимо этого на сайте размещаются копии следующих документов. Это устав образовательной организации, лицензия на осуществление деятельности, свидетельство о госаккредитации, план финансово-хозяйственной деятельности и др. Также опубликованию подлежит отчет о результатах самообследования. Сведения обновляются в течение 10 рабочих дней после их изменения. Информация представляется в текстовом формате или в форме таблиц. Сведения публикуются на русском языке. Также могут быть использованы языки республик и иностранные языки. На сайте обязательно должна быть ссылка на сайт Минобрнауки России. Установлены требования к используемым технологическим и программным средствам. Прежний порядок утрачивает силу. Постановление вступает в силу с 1 сентября 2013 г. Защита персональных данных

Ограничение доступа к персональным данным. Учет лиц, допущенных к персональным данным. Защита персональных данных

Ограничение доступа к персональным данным Организация доступа пользователей к ИСПДн 1. Инвентаризация информационных ресурсов, выявление приложений, где ведется обработка персональных данных 2. Назначение и обучение лиц, ответственных за конкретный ресурс, содержащий персональные данные 3. Определение и документирование процедуры предоставления доступа к ИСПДн (роли: пользователь, линейный руководитель, ответственный за ресурс, принимающий решение, администратор, супервизор) 4. Организация контроля за соблюдением процедуры Защита персональных данных

Ограничение доступа к персональным данным Организация доступа пользователей к ИСПДн Роль Полномочия Пользователь Имеет доступ к персональным данным, обрабатываем в ИСПДн, для выполнения служебных (трудовых) обязанностей Линейный руководитель Руководитель структурного подразделения, где работает пользователь, имеющий право инициировать заявку на доступ к ИСПДн с указанием требуемых прав Ответственный за ресурс Лицо, в чьих интересах создан ресурс ИСПДн, согласовывающий заявку на пользователя Принимающий решение Лицо, утверждающее заявку и разрешающий конфликты между Линейным руководителем и ответственным за ресурс Администратор ИС (сервера, сети), выполняющий технические действия по предоставлению пользователю доступа к ресурсу в соответствии заявкой Супервизор Работник СИБ (администратор безопасности), контролирующий соблюдение процедуры предоставления доступа и фактические списки пользователей ресурсов ИСПДн (без доступа к персональным данным) Защита персональных данных

Ограничение доступа к персональным данным Защита персональных данных

Ограничение доступа к персональным данным Внутренние нормативные документы по охране конфиденциальности сведений: 1. 2. 3. 4. 5. 6. Перечень персональных данных Модель угроз и нарушителя безопасности персональных данных Акт об установлении уровня защищенности ПДн Положение (инструкция, руководство) об обеспечении безопасности персональных данных при их обработке Описание системы защиты, обеспечивающей нейтрализацию угроз для соответствующего уровня защищенности ПДн Заключения о возможности эксплуатации средств защиты персональных данных Защита персональных данных

Техническая защита персональных данных в информационных системах Требования Федерального закона «О персональных данных» и Постановления Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" Защита персональных данных

Требования ФЗ и Постановления № 1119 ФЗ «О персональных данных» Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Защита персональных данных

Требования ФЗ и Постановления № 1119 Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» В соответствии со статьей 19 Федерального закона "О персональных данных» Правительство Российской Федерации п о с т а н о в л я е т : 1. Утвердить прилагаемые требования к защите персональных данных при их обработке в информационных системах персональных данных. 2. Признать утратившим силу постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2007, № 48, ст. 6001). Защита персональных данных

Требования ФЗ и Постановления № 1119 Постановление Правительства РФ от 1 ноября 2012 г. № 1119 Настоящий документ устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) и уровни защищенности таких данных. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных» . Защита персональных данных

Требования ФЗ и Постановления № 1119 Постановление Правительства РФ от 1 ноября 2012 г. № 1119 Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе. Защита персональных данных

Требования ФЗ и Постановления № 1119 Постановление Правительства РФ от 1 ноября 2012 г. № 1119 Система защиты персональных данных включает в себя: ь организационные меры защиты информации ь технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах. Защита персональных данных

Требования ФЗ и Постановления № 1119 Постановление Правительства РФ от 1 ноября 2012 г. № 1119 Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных» . Защита персональных данных

Требования ФЗ и Постановления № 1119 УРОВНИ ЗАЩИЩЕННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ Постановление Правительства РФ от 1 ноября 2012 г. № 1119 АУ 1 АУ 2 АУ 3 типа Категория ПДн + кол-во Спец. категории ПДн более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора 1 1 2 Спец. категории ПДн сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора 1 2 3 Биометрические ПДн 1 2 3 Иные категории ПДн более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора 1 2 3 Иные категории ПДн данных сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора 1 3 4 Общедоступные ПДн более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора 2 2 4 Общедоступные ПДн сотрудников оператора или общедоступные ПДн менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора 2 3 4 Защита персональных данных

Требования ФЗ и Постановления № 1119 КОНТРОЛЬ ЗА ВЫПОЛНЕНИЕМ ТРЕБОВАНИЙ Постановление Правительства РФ от 1 ноября 2012 г. № 1119 Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом). Защита персональных данных

Техническая защита персональных данных в информационных системах Федеральная служба по техническому и экспортному контролю (ФСТЭК РФ) Защита персональных данных

Техническая защита персональных данных в информационных системах Что же нового для операторов персональных данных несет данный документ? 1. Приказ ФСТЭК России от 5 февраля 2010 № 58 официально утратил силу. Это было вполне ожидаемо в связи с выходом ПП 1119, ведь последняя идеология СЗПДн (уровни защищенности) требовала внесения существенных правок в прежние требования к защите. 2. Изменился подход к выбору мер защиты. Процедура стала чуть сложнее, чем была до ПП 1119, но теперь операторы ПДн могут отказываться от обязательных мер в угоду компенсирующим, учитывая их экономическую целесообразность. Защита персональных данных

Техническая защита персональных данных в информационных системах 3. Существенно изменился перечень мер защиты (по сравнению с подходом из ПП 781 и Приказа ФСТЭК № 58). Сейчас стало 15 групп мер. 4. Появились дополнительные меры, направленные на снижение актуальных угроз к 1 и 2 типа (НДВ). 5. Появилось требование по регулярной (1 раз в 3 года) оценке эффективности реализованных мер (п. 6). 6. Прописана возможность привлечения лицензиатов ФСТЭК для выполнения работ по обеспечению безопасности ПДн и (или) оценки эффективности реализованных мер (п. 2, п. 6). Защита персональных данных

Техническая защита персональных данных в информационных системах Защита персональных данных

Техническая защита персональных данных в информационных системах 1. Даны разъяснения (имеющие характер обязательных) положений ПП-1119. Например, что такое "организация режима обеспечения безопасности помещений", "сохранность персональных данных", "электронный журнал сообщений" и т. п. 2. Средства криптографической защиты персональных данных могут быть ТОЛЬКО сертифицированными. 3. Ограничено применение для защиты ПДн СКЗИ классом КС 3 (!) и выше. 4. СКЗИ КВ 2 применяются, когда могут быть использованы недекларированные возможности в прикладном ПО или у нарушителя есть исходные коды прикладного ПО. 5. СКЗИ КА 1 применяются, когда могут быть использованы недекларированные возможности в системном ПО. 6. Все помещения, в которых ведется обработка ПДн, должны по окончании рабочего дня не просто закрываться, а опечатываться. 7. Все носители персональных данных должны учитываться поэкземплярно. Защита персональных данных

Требования законодательства Защита персональных данных

Аутсорсинг систем технической защиты персональных данных Защита персональных данных

Аутсорсинг систем технической защиты персональных данных Аутсо рсинг (от англ. outsourcing: (outer-source-using) использование синг внешнего источника/ресурса) — передача организацией, на основании договора, определённых бизнес-процессов или производственных функций на обслуживание другой компании, специализирующейся в соответствующей области. В отличие от услуг сервиса и поддержки, имеющих разовый, эпизодический, случайный характер и ограниченных началом и концом, на аутсорсинг передаются обычно функции по профессиональной поддержке бесперебойной работоспособности отдельных систем и инфраструктуры на основе длительного контракта (не менее 1 года). Наличие бизнес-процесса является отличительной чертой аутсорсинга от различных других форм оказания услуг и абонентского обслуживания. Главным источником экономии затрат с помощью аутсорсинга является повышение эффективности предприятия (учреждения) в целом и появление возможности освободить соответствующие организационные, финансовые и человеческие ресурсы, чтобы развивать новые направления, или сконцентрировать усилия на существующих, требующих повышенного внимания. Защита персональных данных

Аутсорсинг систем технической защиты персональных данных Пути решения? Подготовка и обучение персонала Удержание персонала Консалтинг Аутсорсинг Защита персональных данных

Аутсорсинг систем технической защиты персональных данных Взвесим? Уменьшение затрат на техническое оснащение Повышение эффективности использования систем ИБ Отсутствие необходимости содержания дорогостоящих и узких специалистов Снижение фонда заработной платы Невозможность взыскания ущерба с аутсорсеров Отсутствие снижения операционных доходов Проблема доверия Передача функций организации, имеющей опыт и специалистов Защита персональных данных

Вопросы? Защита персональных данных

Спасибо за внимание! Адреса: РМЭ, г. Йошкар-Ола, ул. Машиностроителей, д. 8 Г, офис 303 РТ, г. Казань, ул. Тази Гиззата, д. 1 Б, офис 204, 205 РБ, г. Уфа, ул. Менделеева, д. 23/2, офис 405 Самарская обл. , г. Самара, ул. Мечникова, д. 1, офис 219 Тел/факс: (836) 263 -07 -83 (843) 526 -03 -83, 526 -04 -83 (347) 257 -26 -00 (846) 265 -08 -75, 275 -02 -55, 997 -75 -50 e-mail: info@uncib. ru www: uncib. ru ООО «УНЦИБ» Русская версия № 1 от 12/12/2014 © 2014 ООО «УНЦИБ» Все права зарезервированы

Скачать презентацию Защита персональных данных ООО Учебно-научный центр информационной безопасности

4facd4d184b9a1df6950d1f3ce1fb008.ppt

Количество слайдов: 89