Обеспечение безопасности персональных данных Качалков Александр Михайлович Начальник отдела обеспечения ИБ ЕФ ФГУП «Центр Информ»

О предприятии Федеральное Государственное унитарное предприятие «Центр Информ» Прежнее название ФГУП «НТЦ «Атлас». История предприятия ведется с 1951 года. За заслуги в создании новой техники в 1981 г. предприятие награждено Орденом Трудового Красного Знамени. На сегодняшний день ФГУП «Центр Информ» это: Головное предприятие в Санкт-Петербурге; 23 филиала по всей России от Калининграда до Владивостока; Наличие всех необходимых лицензий ФСТЭК и ФСБ России; Квалифицированные кадры и самое современное оборудование. Направления деятельности охватывают все области обеспечения безопасности.

1. Нормативная база. 1. Федеральный закон от 27 июля 2006 г ФЗ "О персональных данных". 2. Положение об особенностях обработки ПДн, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. 687). 3. Требования к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн (утв. постановлением Правительства РФ от 6 июля 2008 г. 512). 4. Требования к защите ПДн при их обработке в ИСПДн (утв. постановлением Правительства РФ от 1 ноября 2012 г. 1119).

1. Нормативная база (ФСБ). 5. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих ГТ в случае их использования для обеспечения безопасности ПДн при их обработке в ИСПДн (утв. ФСБ РФ 21 февраля 2008 г. 149/6/6-622).

1. Нормативная база (ФСБ). 6. Состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн с использованием СКЗИ, необходимых для выполнения установленных Правительством РФ требований к защите ПДн для каждого из уровней защищенности (утв. приказом ФСБ России от 10 июля 2014 г. 378).

1. Нормативная база (ФСТЭК). 7. Базовая модель угроз безопасности ПДн при их обработке в ИСПДн (утв. ФСТЭК 15 февраля 2008 г.). 8. Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн (утв. ФСТЭК 14 февраля 2008 г.). 9. Состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн (утв. приказом ФСТЭК от 18 февраля 2013 г. 21).

Регулирует отношения, связанные с обработкой ПДн: 1. С использованием СВТ. 2. Или без использования СВТ, если такая обработка соответствует по характеру действий обработке с использованием СВТ: 1) есть систематизированное собрание ПДн (например, картотека); 2) разработан алгоритм поиска ПДн или доступа к ПДн, которые зафиксированы на материальном носителе систематизированного собрания ПДн. 1. Сфера применения.

Действие 152-ФЗ не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих ПДн архивных документов в соответствии с законодательством об архивном деле в РФ. 1. Сфера применения.

1. Сбор сведений об обработке и защите ПДн (категории субъектов ПДн, категории ПДн, цели обработки ПДн, состав ТС, состав документов и т.д.). 2.Подготовка: 2.1. Отчета по результатам обследования Моделей угроз безопасности ПДн Приказа о создании комиссии по защите ПДн Актов определения уровня защищенности ПДн при их обработке в ИСПДн ЧТЗ на создание системы защиты ПДн. 2. Состав работ.

2.6. Пояснительной записки к техническому проекту системы защиты ПДн Локальных актов по обработке и защите ПДн Рекомендаций по отправке уведомления в РКН или внесению изменений в отправленное уведомление Рекомендаций по доработке бланков письменных согласий субъектов ПДн Рекомендаций по доработке типовых форм бумажных документов, в которые включаются ПДн Рекомендаций по доработке договоров, если поручается обработка ПДн (банки, ЧОП и т.д.). 2. Состав работ.

3.Поставка, установка, настройка СЗИ. 4.Ознакомление, обучение. 5. Аттестация ИСПДн. 6. Сопровождение системы защиты ПДн: 6.1. Ведение журналов учета Поддержание локальных актов по обработке и защите ПДн в актуальном состоянии Периодический контроль выполнения требований Изменение настроек СЗИ, обновление СЗИ, восстановление работоспособности СЗИ. 2. Состав работ.

3. Кто проверяет? 1. В соответствии с ч.1 ст.23 ФЗ Роскомнадзор контролирует соответствие обработки ПДн требованиям ФЗ (152-ФЗ, ТК, ПП 687, ПП 512). 2. В соответствии с ч.8 ст.19 ФЗ ФСБ России и ФСТЭК России контролируют выполнение мер защиты ПДн в государственных ИСПДн. 3. В других ИСПДн ФСБ России и ФСТЭК России могут осуществлять контроль на основании решения Правительства РФ.

3. Что такое ГИС? Ст. 13, 14 ФЗ 149: 1. ГИС - ИС, созданные на основании ФЗ, законов субъектов РФ или правовых актов гос. органов. ГИС создаются в целях реализации полномочий гос. органов, обеспечения обмена информацией между гос. органами, в иных установленных ФЗ целях. 2. Реестр федеральных ГИС: / /

3. Общий порядок проверки РКН 1. РКН отправляет Оператору уведомление, копию приказа; 2. РКН передает Оператору заверенную копию приказа под подпись, перечень запрашиваемых документов; 3. Оператор передает копии документов; 4. РКН анализирует документы, проводит проверку на месте; 5. РКН готовит акт проверки;

3. Общий порядок проверки РКН При наличии признаков нарушений: 6. Выдается предписание; 7.1. Должностные лица РКН составляют протокол и направляют его в суд; 7.2. Или должностные лица РКН направляют материалы в органы прокуратуры;

3. Общий порядок проверки РКН При направлении РКН материалов в органы прокуратуры: 8.1. Возбуждается дело об административном правонарушении Или принимается решение об отказе в возбуждении административного производства (например, в связи с истечением срока давности) Или принимаются иные меры прокурорского реагирования (направляются предостережения). При направлении в суд: 9. Материалы рассматриваются в суде.

3. Основания для включения в План 1. Начало осуществления Оператором деятельности по обработке ПДн. 2. Истечение 3-х лет со дня государственной регистрации Оператора в качестве ЮЛ, ИП. 3. Истечение 3-х лет со дня окончания проведения последней плановой проверки Оператора.

3. Основания для внеплановой проверки 1. Истечение срока исполнения ранее выданного предписания об устранении нарушения. 2. Поступление в РКН заявлений, информации от органов гос. власти и местного самоуправления, из СМИ, в т.ч. о следующих фактах: 2.1. Возникновение угрозы причинения вреда жизни, здоровью граждан Причинение вреда жизни, здоровью граждан.

3. Приказ руководителя РКН или руководителя территориального органа РКН, изданный в соответствии с поручениями Президента РФ, Правительства РФ. 4. Требование прокурора о проведении внеплановой проверки в рамках надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям. 3. Основания для внеплановой проверки

1. О проведении плановой проверки Оператор уведомляется не позднее чем в течение 3-х рабочих дней до её начала посредством направления копии приказа любым доступным способом. 2. О проведении внеплановой проверки Оператор уведомляется не менее чем за 24-е четыре часа до её начала любым доступным способом. 3. Если в результате деятельности Оператора причинен или причиняется вред жизни, здоровью граждан, предварительное уведомление о начале проведения внеплановой проверки не требуется. 3. Уведомление о проверке

4.Ответственность: ст КоАП РФ. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (ПДн). Влечет: -предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; -на должностных лиц - от 500 до рублей; -на юридических лиц - от до рублей.

4.Ответственность: ст.19.7 КоАП РФ. Непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление в государственный орган таких сведений в неполном объеме или в искаженном виде. Влечет: -предупреждение или наложение административного штрафа на граждан в размере от 100 до 300 рублей; -на должностных лиц - от 300 до 500 рублей; -на юридических лиц - от до рублей.

Проект Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Прошел публичное обсуждение: ht ml?point=view_project&stage=2&stage _id= ht ml?point=view_project&stage=2&stage _id=6890

4.Нарушения, за которые предусмотрена ответственность. 1. Несоответствие требованиям содержания письменного согласия субъекта ПДн. 2. Отсутствие основания для обработки ПДн (согласия и т.д.). 3. Отсутствие основания для обработки специальных категорий ПДн (письменного согласия и т.д.). 4. Отсутствие опубликованной политики в отношении обработки ПДн. 5. Непредоставление субъекту ПДн информации, касающейся обработки его ПДн.

4.Нарушения, за которые предусмотрена ответственность. 6. Невыполнение требований по защите ПДн, если это повлекло неправомерный или случайный доступ к ПДн: 6.1. При обработке ПДн без использования средств автоматизации При обработке ПДн с использованием средств автоматизации При обработке ПДн с использованием средств автоматизации в ГИС, МИС.

Спасибо за внимание ! ФГУП «Центр Информ» Телефон: Сайт: ci66. ru Почта: