Администрация Тамбовской области 05 апреля Тамбов 2013 «Ответственность должностных лиц за нарушения законодательства при обработке персональных данных» Тема занятия: главный специалист-эксперт отдела инфраструктуры и информационной безопасности управления информационных технологий, связи и документооборота области И.Т.Улаев, тел.:

Соблюдение законодательства о защите персональных данных Проводить проверки соблюдения требований законодательства о защите персональных данных могут три органа: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации (Роскомнадзор) - осуществляет контроль и надзор за соответствием обработки ПДн требованиям законодательства (уполномоченный орган по защите прав субъектов персональных данных); Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК России ) - осуществляет контроль и надзор за методами и способами защиты информации в информационных системах с использованием технических средств; Федеральная служба безопасности Российской Федерации (ФСБ России) - осуществляет контроль и надзор за методами и способами защиты информации в информационных системах с использованием криптографических средств защиты информации. 2

Предложения Роскомнадзора по изменениям в Кодекс Российской Федерации об административных правонарушениях (КоАП) в отношении ПДн Статья Невыполнение оператором обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных: За факт невыполнения обязанностей - штраф до 30 тыс. руб. Статья Обработка персональных данных без согласия субъекта (субъектов) персональных данных: За факт обработки без согласия, когда оно необходимо, или если нарушена форма согласия - до 50 тыс. руб. За факт обработки без согласия, когда оно необходимо, или если нарушена форма согласия, плюс обработка повлекла причинение вреда жизни/здоровью - 1,5% совокупного дохода за год, но не менее 500 тыс. руб. За факт обработки без согласия, когда оно необходимо, или если нарушена форма согласия, плюс обработка происходит с целью извлечения дохода - 2% совокупного дохода за год, но не менее 600 тыс. руб. За факт обработки без согласия, когда оно необходимо, или если нарушена форма согласия, плюс нарушение совершено повторно - 2% совокупного дохода за год, но не менее 700 тыс. руб. 3

Статья Незаконная обработка специальных категорий персональных данных: Обработка в случаях, не предусмотренных законом - 1,5% совокупного дохода за год, но не менее 400 тыс. руб. Обработка в случаях, не предусмотренных законом, плюс обработка повлекла причинение вреда жизни/здоровью - 2% совокупного дохода за год, но не менее 500 тыс. руб. Обработка в случаях, не предусмотренных законом, плюс нарушение совершено повторно - 2% совокупного дохода за год, но не менее 700 тыс. руб. Статья Несоблюдение условий трансграничной передачи персональных данных: За факт несоблюдение условий трансграничной передачи - до 30тыс. руб. За факт несоблюдение условий трансграничной передачи, повлекший неправомерный доступ к ПДн - 1,5% совокупного дохода за год, но не менее 500 тыс. руб. За факт несоблюдение условий трансграничной передачи, плюс нарушение совершено повторно - 2% совокупного дохода за год, но не менее 700 тыс. руб. 4

Министерство связи и массовых коммуникаций Российской Федерации (Минкомсвязи России) подготовило законопроект, наделяющий Роскомнадзор правом привлекать к ответственности за нарушения при работе с персональными данными. В случае выявления подобных фактов ведомство сможет возбуждать административные дела, само же будет рассматривать их и выносить решения. Сегодня этим занимаются, соответственно, прокуратура и суды. Кроме того, предлагается внесение изменений в часть 1 статьи 4.5 КоАП по увеличению сроков давности привлечения к ответственности за совершение административных правонарушениях по статье КоАП до 1 года со дня совершения правонарушения. 5

Некоторые основные документы по обеспечению безопасности персональных данных 1. Федеральный закон от ФЗ «Об информации, информационных технологиях и о защите информации». 2. Федеральный закон от ФЗ «О персональных данных» (далее – ФЗ-152). 3. Постановление Правительства РФ от «Перечень мер направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» 4. Постановление Правительства РФ от «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». 5. Постановлением Правительства РФ от "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". 6

Некоторые основные локальные документы 1. Положение об обработке персональных данных. 2. Правила обработки персональных данных. 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных. 4. Правила рассмотрения запросов субъектов персональных данных или их представителей. 5. Частная модель угроз (Согласуется со ФСТЭК России и ФСБ России, п 5, 7 ст ФЗ). 6. Документы по технической защите информации (по перечню лицензиатов: -технический паспорт на объект информатизации; -разрешительная система доступа; -описание технологического процесса обработки информации; -схема контролируемой зоны; -инструкции ответственным…, администраторам…, пользователям и т.п. ). 7. Организационно-распорядительные документы (приказы, распоряжения о...) 7

Отмененные документы по обеспечению безопасности персональных данных: 1. Постановление Правительства РФ от «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» 2. Приказ Федеральной службы по техническому и экспортному контролю Российской Федерации, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от г. 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» (издан на основе пункта 3 постановления Правительства РФ от ). 3. Приказ ФСТЭК России от «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» (издан на основе пункта 6 постановления Правительства РФ от ). 8

9

10

Информация Информация с ограниченным доступом Общедоступная информация Государственная тайна Конфиденциальная информация (сведения конфиденциального характера) Персональные данные Тайна следствия и судопроизводства Служебная тайна Профессиональная тайна: Коммерческая тайна Классификация защищаемой информации врачебная нотариальная адвокатская переписки телефонных разговоров и иных сообщений другая Федеральный закон от ФЗ Федеральный закон от 29 июля 2004 года 98-ФЗ Указ Президента Российской Федерации от 6 марта 1997 г. N 188 Гражданский кодекс Российской Федерации декабря 2006 г. N 230-ФЗ, статья 139. Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, утверждено постановлением Правительства Российской Федерации от Указ Президента Российской Федерации от «Об утверждении перечня сведений конфиденциального характера» (в ред. Указа Президента РФ от )

Типы угроз актуальные для информационной системы Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе. Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе. Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.. 12

ИС является ИС, обрабатывающей специальные категории ПДн, если в ней обрабатываются ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн. ИС, обрабатывающей биометрические ПДн, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн, и не обрабатываются сведения, относящиеся к специальным категориям ПДн. ИС является ИС, обрабатывающей общедоступные ПДн, если в ней обрабатываются ПДн субъектов ПДн, полученные только из общедоступных источников ПДн, созданных в соответствии со статьей 8 Федерального закона «О персональных данных». ИС является ИС, обрабатывающей иные категории ПДн, если в ней не обрабатываются ПДн, указанные в первом - третьем абзацах. ИС является ИС, обрабатывающей ПДн сотрудников оператора, если в ней обрабатываются ПДн только указанных сотрудников. В остальных случаях ИСПДн является ИС, обрабатывающей ПДн субъектов ПДн, не являющихся сотрудниками оператора.

Угрозы 1-го типа Угрозы 2-го типа Угрозы 3-го типа 4-й уровень защищеннос ти ПДн при их обработке в ИС ИС Cобрабатывает общедоступные ПДн Пример определения необходимости обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе ИС обрабатывает иные категории ПДн сотрудников оператора или иные ПДн > чем субъектов ПДн, не являющихся сотрудниками оператора. Для обеспечения 4 уровня защищенности ПДн при их обработке в ИС необходимо выполнение следующих требований: а) организация режима обеспечения безопасности помещений, в которых размещена ИС, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; б) обеспечение сохранности носителей ПДн; в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых ПДн, обрабатываемым в ИС, необходим для выполнения ими служебных (трудовых) обязанностей; г) использование СЗИ, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Угрозы 1-го типа Угрозы 2-го типаУгрозы 3-го типа 3-й уровень защищеннос ти ПДн при их обработке в ИС ИС обрабатывает иные категории ПДн сотрудников оператора или иные категории ПДн < чем субъектов ПДн, не являющихся сотрудниками оператора ИС обрабатывает специальные категории ПДн сотрудников оператора или специальные категории ПДн < чем субъектов ПДн, не являющихся сотрудниками оператора ИС обрабатывает общедоступные ПДн сотрудников оператора или общедоступные ПДн чем субъектов персональных данных, не являющихся сотрудниками оператора. Пример определения необходимости обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе 13 ИС обрабатывает биометрические ПДн Для обеспечения 3 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных предыдущего пункта, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

Угрозы 1-го типа Угрозы 2-го типа Угрозы 3-го типа 2-й уровень защищеннос ти ПДн при их обработке в ИС ИС обрабатывает общедоступные ПДн ИС обрабатывает общедоступные ПДн > чем субъектов ПДн, не являющихся сотрудниками оператора ИС обрабатывает иные категории ПДн > чем субъектов ПДн, не являющихся сотрудниками оператора ИС обрабатывает специальные категории ПДн сотрудников оператора или специальные категории ПДН < чем субъектов ПДн, не являющихся сотрудниками оператора ИС обрабатывает биометрические персональные данные ИС обрабатывает специальные категории ПДн > чем субъектов ПДн, не являющихся сотрудниками оператора Пример определения необходимости обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе Для обеспечения 2 уровня защищенности персональных данных при их обработке в информационных системах дополнительно к требованиям, предыдущих пунктов, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

13 Угрозы 1-го типа Угрозы 2-го типа 1-й уровень защищеннос ти ПДн при их обработке в ИС ИС обрабатывает либо специальные категории ПДн, либо биометрические ПДн, либо иные категории ПДн ИС обрабатывает специальные категории ПДн > чем субъектов ПДн, не являющихся сотрудниками оператора. Пример определения необходимости обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе Угрозы 3-го типа Для обеспечения 1 уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных пунктом 15 настоящего документа, необходимо выполнение следующих требований: а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе; б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.