Практические аспекты выполнения законодательных требований при обработке персональных данных Докладчик: Шубин А.С., Служба информационной безопасности.

Презентация:

Advertisements

Похожие презентации

Текущая ситуация Законодательство, нормативы ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ 27 ИЮЛЯ 2006 Г. 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА.

Advertisements

Методология определения класса ИСПДн. КАТЕГОРИЯ ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ДАННЫХ - Х ПД; ОБЪЁМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ (КОЛИЧЕСТВО.

Защита персональных данных работников. Положения о защите персональных данных работников регламентируют Конституция Российской Федерации Конституция Российской.

Защита персональных данных: основные аспекты. Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Персональные данные (ПДн) Кто? От кого?

Обеспечение информационной безопасности при подготовке и проведении единого государственного экзамена в 2012 году Начальник отдела по информационной безопасности.

» ГБУ СО «СОЦИ» 1 31 января 2011 года Докладчик: Заместитель начальника отдела информационной безопасности ГБУ СО «СОЦИ» Колгин Антон Александрович 14.

Обеспечение безопасности персональных данных. Проблемы и решения 9 марта 2011 года.

Федеральный закон РФ от 27 июля 2006 года 152-ФЗ «О персональных данных»

ФЗ 142 ОТ ГОДА « О ПЕРСОНАЛЬНЫХ ДАННЫХ » ВЫПОЛНИЛА СТУДЕНТКА 5 КУРСА ГРУППЫ ТО 14/1 ЯРОВАЯ АЛЁНА.

Компания «Инфо-Оберег» Дорофеев Владимир Игоревич.

Разработка проекта стандарта информационной безопасности атомной энергетики Исполнитель : Лепикоршев А. Е. Научный руководитель : Малюк А. А.

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ в информационных системах операторов связи.

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ Требования законодательства РФ в области обработки и защиты ПДн. © 2010, ООО «НПО «ОнЛайн Защита». Все права защищены ,

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ СТАВРОПОЛЬСКИЙ ГОСУДАРСТВЕННЫЙ АГРАРНЫЙ УНИВЕРСИТЕТ.

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.

Федеральный закон о персональных данных. Необходимо: 1.Получать разрешение на обработку и передачу персональных данных. 2.Уведомлять РОСКОМНАДЗОР о том,

М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Закон о персональных данных: проблемы реализации 4-й ЕВРАЗИЙСКИЙ ФОРУМ ИНФОФОРУМ-Евразия.

1 Об Уполномоченном органе по защите прав субъектов персональных данных Заместитель руководителя Управления Роскомнадзора по Ивановской области Семененко.

М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.

Защита персональных данных Начальник отдела мобилизационной подготовки и защиты информации И.В.Тимохин.

Транксрипт:

Практические аспекты выполнения законодательных требований при обработке персональных данных Докладчик: Шубин А.С., Служба информационной безопасности 22 сентября 2009 г.

2 ЦЕЛЬ ЗАКОНА 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» Статья 2. Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну

3 ЧТО ДЕЛАТЬ?

4 АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА Закон 152-ФЗ и подзаконные нормативно- правовые акты (Постановление Правительства РФ 781 – 2007г. и другие) ОБРАБОТКА без СРЕДСТВ АВТОМАТИЗАЦИИ Закон 152-ФЗ и подзаконные нормативно-правовые акты (Постановление Правительства РФ 687 – 2008г. и другие) ИСПД персональные данные информационные технологии средства автоматизации технические средства персональные данные Законодательно определенные меры защиты при обработке ПД ПРАВОВЫЕОрганизационныеТЕХНИЧЕСКИЕПРАВОВЫЕОрганизационныеТЕХНИЧЕСКИЕ технические средства ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ в БАНКЕ «ВОЗРОЖДЕНИЕ» Федеральный закон от 27 июля 2006 года 152-ФЗ « О персональных данных » (большинство законодательных норм закона – «прямого действия»)

5 Статья 16. Защита информации представляет собой принятие правовых, организационных и технических мер … Федеральный закон 149 _ФЗ «Об информации, информационных технологиях и о защите информации»

6 ШАГ ПЕРВЫЙ

7 ШАГ ВТОРОЙ

8 Политика информационной безопасности Банка «Возрождение» (ОАО) (ПИБ-2008) Вторая редакция Введена в действие с 10 января 2008 года Устанавливает общие положения по обеспечению информационной безопасности в корпоративной информационной системе Открытого акционерного общества Банк «Возрождение»

9 СОДЕРЖАНИЕ ПИБ Область применения 2. Нормативные ссылки 3. Термины и определения 4. Общие положения 5. Объекты защиты и субъекты информационных отношений 6. Исходная концептуальная схема обеспечения информационной безопасности 7. Основные принципы обеспечения информационной безопасности 8. Общие (основные) требования по обеспечению информационной безопасности 9. Система менеджмента информационной безопасности 10. Проверка и оценка информационной безопасности 11. Модель зрелости процессов менеджмента информационной безопасности 12. Правовые основы системы менеджмента информационной безопасности 13. Меры ответственности

Правовые основы системы менеджмента информационной безопасности 12.1 Общие положения Организация правовых процедур по защите информации, составляющей коммерческую тайну (сведений, являющихся секретом производства) Организация правовых процедур по защите персональных данных Организация правовых процедур по защите банковской тайны Организация правовых процедур при лицензировании деятельности по защите информации и сертификации продукции (услуг)

11 Циклическая модель Деминга «… планирование реализация проверка совершенствование планирование …» является основой модели менеджмента стандартов качества ГОСТ Р ИСО 9001, информационной безопасности ГОСТ Р ИСО\МЭК 27001:2006 и комплекса стандартов Банка России по обеспечению информационной безопасности СТО БР ИББС_1.Х Процессы ИБ планы ИБ Планирование Реализация Проверка Совершенствование,, деятельности

12 1. Корректировка Перечня сведений конфиденциального характера, подлежащих защите в банке, в части определения ПД. Основные мероприятия Плана по реализации требований Федерального закона «О персональных данных» 152-ФЗ в банке 2. Разработка Списка документов и форм, содержащих обрабатываемые ПД и порядка его ведения. 5. Ревизия типовых договоров, анкет и других применяемых типовых форм. 6. Формирование Модели угроз безопасности персональных данных и Модели нарушителя. 7. Классификация ИСПД банка. 9. Доработка ИСПД банка в соответствии с требованиями законодательства РФ по обработке ПД (по отдельному плану). 8. Обучение персонала. 3. Разработка формы Согласия субъекта ПД – клиента банка. 4. Приведение в соответствие законодательным требованиям документационного обеспечения процессов обработки ПД в ИСПД банка. 10. Аттестация ИСПД (объектов информатизации) банка.

13 Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от г. N 55/86/20 «Порядок проведения классификации информационных систем персональных данных» Постановление Правительства РФ от г. 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Федеральный закон 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных категория 4 - обезличенные и (или) общедоступные персональные данные

14 Специальные категории персональных данных: касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни ЗАКОН «О ПЕРСОНАЛЬНЫХ ДАННЫХ» 152-ФЗ Биометрические персональные данные: характеризуют физиологические особенности человека и на основе которых можно установить его личность Общедоступные персональные данные: персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности

15

16 Список документов и форм, содержащих обрабатываемые персональные данные

17 Перечень сведений, составляющих персональные данные 1. Персональные данные 1 категории (специальные ПД) Сведения о состоянии здоровья и интимной жизни, о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях (данные справок и медицинских заключений о состоянии здоровья, данные диспансеризации, данные листов о временной нетрудоспособности в части диагнозов заболеваний, признаки причастности клиентов к террористам или экстремистам, к влиятельным политическим лицам). 2. Персональные данные 2 категории (биометрические ПД). Персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1: 2.1. Сведения о биометрических персональных данных, характеризующих физиологические особенности человека, за исключением персональных данных, относящихся к 1 категории (видеозаписи систем охранного телевидения, банковских терминальных устройств, ксерокопии с документов, удостоверяющих личность и имеющих фотографию владельца, фотографии сотрудников и клиентов Банка, данные в устройствах, использующих для идентификации биометрические данные человека). 3. Персональные данные 3 категории (общие ПД). Персональные данные, позволяющие идентифицировать субъекта персональных данных: 3.1. Фамилия, имя, отчество, год, месяц, дата и место рождения, паспортные данные (номер, серия, данные о выдаче), сведения о месте и дате регистрации (месте жительства) Сведения о номере и серии страхового свидетельства государственного пенсионного страхования Сведения из страховых полисов обязательного (добровольного) медицинского страхования (в т.ч. данные соответствующих карточек медицинского страхования) Сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу. ……………………………………

18 Перечень сведений, составляющих персональные данные (продолжение) 4. Персональные данные 4 категории (общие ПД). Обезличенные и (или) общедоступные персональные данные: 4.1. Сведения о семейном положении (состояние в браке, наличие брачного контракта, дата регистрации, фамилия, имя и отчество супруга (и) и его (ее) социальный статус, наличие детей и их возраст, семейные доходы и расходы, долги и другие сведения, кроме указанных в соответствующем пункте раздела 3) Данные о трудовой деятельности (данные о трудовой занятости на текущее время, стаж работы, наличие трудового договора, организации, занимаемые в них должности и время работы в этих организациях, а также другие сведения, кроме указанных в соответствующем пункте раздела 3) Сведения об образовании, квалификации, о наличии специальных знаний или специальной подготовки (образовательная категория, ученая степень, образовательное учреждение, дата начала и завершения обучения, квалификация и специальность по окончании учебного заведения и другие сведения, кроме указанных в соответствующем пункте раздела 3) Сведения об имуществе (имущественное положение): - автотранспорт (вид владения, марка, модель, производство, год выпуска, способ получения и другие сведения, кроме указанных в соответствующем пункте раздела 3); - недвижимое имущество (вид, тип, способ получения, общие характеристики, стоимость и другие сведения, кроме указанных в соответствующем пункте раздела 3); ……………………………………………………….

19 Благодарю за внимание!