Управление ФСТЭК России по Сибирскому федеральному округу «О требованиях к защите персональных данных при их обработке в информационных системах персональных данных и изменениях в законодательстве в сфере персональных данных» ТЮМЕНЦЕВ Вадим Витальевич

ФЕДЕРАЛЬНЫМ ЗАКОНОМ РОССИЙСКОЙ ФЕДЕРАЦИИ ОТ Г. 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ» УСТАНОВЛЕНО: 2 Статья 7. Конфиденциальность персональных данных Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Статья 7. Конфиденциальность персональных данных Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

ОСНОВНЫЕ ПОНЯТИЯ: Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств 3 ОБЪЕКТЫ ЗАЩИТЫ Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

ОСНОВНЫЕ ПОНЯТИЯ: Техническая защита конфиденциальной информации - выполнение работ и (или) оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней. 4 Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

ОПЕРАТОР ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ОБЯЗАН ПРИНИМАТЬ МЕРЫ ОТ 5 НЕПРАВОМЕРНЫЙ ИЛИ СЛУЧАЙНЫЙ ДОСТУП УНИЧТОЖЕНИЕ ИЗМЕНЕНИЕ БЛОКИРОВАНИЕ КОПИРОВАНИЕ ПРЕДОСТАВЛЕНИЕ РАСПРОСТРАНЕНИЕ

МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПДН ПРИ ИХ ОБРАБОТКЕ определением угроз безопасности ПДн при их обработке в ИСПДн применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн учетом машинных носителей ПДн обнаружением фактов несанкционированного доступа к ПДн и принятием мер восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн 6 контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн

Уровень защищенности персональных данных - комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных 7 Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных ОСНОВНЫЕ ПОНЯТИЯ:

ФСТЭК России Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных 8 ФСТЭК России Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных

п. 6 Оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора). Объектом обязательной сертификации является продукция. Объектом государственного контроля (надзора) является продукция (работы, услуги) и процессы. ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ Об особенностях оценки соответствия продукции (работ, услуг), используемых в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг) Москва, 15 мая 2010 года 330 9

10 ПРИМЕР ПОДБОРА СЗИ ИЗ ГОСУДАРСТВЕННОГО РЕЕСТРА СЗИ

Правительство Российской Федерации с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн, актуальности угроз безопасности ПДн устанавливает: 11 1) уровни защищенности ПДн при их обработке в информационных системах ПДн в зависимости от угроз безопасности этих данных; 2) требования к защите ПДн при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности ПДн; 3) требования к материальным носителям биометрических ПДн и технологиям хранения таких данных вне информационных систем персональных данных.

12 ФСБ России ФСТЭК России Уровни защищенности ПДн Состав и содержание требований к защите ПДн, а также организационных и технических мер по обеспечению безопасности ПДн ЗАДАЧИ ФЕДЕРАЛЬНЫХ ОРГАНОВ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ, УПОЛНОМОЧЕННЫХ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ И ПРОТИВОДЕЙСТВИЯ ТЕХНИЧЕСКИМ РАЗВЕДКАМ И ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ

Приказ ФСБ России об утверждении состава и содержания необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных, в сфере деятельности ФСБ России 13 ПРОЕКТЫ ПРИКАЗОВ ФЕДЕРАЛЬНЫХ ОРГАНОВ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ Приказ ФСТЭК России об утверждении состава и содержания необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных, в сфере деятельности ФСТЭК России

14 федеральные органы исполнительной власти, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ, ОПРЕДЕЛЯЮЩИЕ УГРОЗЫ БЕЗОПАСНОСТИ ПДН ЗАДАЧИ ГОСУДАРСТВЕННЫХ СТРУКТУР Вид деятельности Содержание ПДн Характер и способы обработки ПДн ФСБ РоссииФСТЭК России согласование

15

осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов 16 ОБЯЗАННОСТИ ЛИЦ, ОТВЕТСТВЕННЫХ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ:

Государственные информационные системы персональных данных ПОЛНОМОЧИЯ ПО КОНТРОЛЮ И НАДЗОРУ ЗА ВЫПОЛНЕНИЕМ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПДн Определенные виды деятельности и информационные системы персональных данных не являющиеся государственными Полномочия ФОИВ Решение Правительства РФ ФСТЭК России 17

ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ПРАВИЛ ЗАЩИТЫ ИНФОРМАЦИИ В СООТВЕТСТВИИ С КОАП Статья Нарушение правил защиты информации: 2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от 500 до 1000 рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от 1000 до 2000 рублей; на юридических лиц - от до рублей с конфискацией несертифицированных средств защиты информации или без таковой. 18

Управление ФСТЭК России по Сибирскому федеральному округу Руководитель Управления – КРУПИН АЛЕКСАНДР АНДРЕЕВИЧ , г. Новосибирск, Красный проспект, дом 41. Тел – приемная руководителя – 2 отдел Официальный сайт: 19