Федеральный закон о персональных данных
Необходимо: 1.Получать разрешение на обработку и передачу персональных данных. 2.Уведомлять РОСКОМНАДЗОР о том, что организация ведет обработку ПД. 3.Защищать персональные данные. Что требует закон?
1.Что такое персональные данные? 2.Что такое обработка персональных данных? 3.В каких случаях нужно получать разрешение? 4.В каких случаях нужно уведомлять РОСКОМНАДЗОР? У всех возникают вопросы
5.В каких случаях нужно защищать персональные данные? 6.Как их нужно защищать? 7.В каких документах содержатся ответы на эти вопросы? 8.Ответственность за нарушения? У всех возникают вопросы
Законодательная база
6
Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация; Что такое персональные данные?
Действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение(!), уточнение (обновление, изменение), использование, распространение (в том числе), обезличивание, блокирование, уничтожение персональных данных; Что такое обработка персональных данных?
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения; 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; 3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных; 4) являющихся общедоступными персональными данными; 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных; 6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях; 7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. В каких случаях нужно уведомлять РОСКОМНАДЗОР?
Обеспечение конфиденциальности персональных данных не требуется: 1) в случае обезличивания персональных данных; 2) в отношении общедоступных персональных данных. В каких случаях нужно защищать персональные данные?
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных; Общедоступные и обезличенные.
То есть практически во всех случаях В каких случаях нужно защищать персональные данные?
Штрафы – минимальные Угроза - 90 дней остановка Отзыв лицензии на основной вид деятельности Группы риска – страховые, медицинские, туристические, финансовые, учебные, гостиницы Чего боятся?
Плановые проверки – список на сайте Роскомнадзор Внеплановые проверки - утечка нет уведомления (а бизнес подразумевает сбор) частное лицо инициирует проверку Чего боятся?
Изучаем: Нормативную базу по защите ПД Н Обязанности операторов ПД Н по их защите Документы уполномоченных органов Порядок проведения классификации ИСПД Н Классифицируем ИСПД Н как: типовую специальную Защищаем с учетом: Требований ФСТЭК России к ИСПД Н соответствующего класса Рекомендаций по обеспечению безопасности ПД Н с помощью криптосредств Других регулирующих документов Как защищать персональные данные?
В соответствие с документами ФСТЭК : 1. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, ФСТЭК России, 2008 г.; 2. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, ФСТЭК России, 2008 г.; 3. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, ФСТЭК России, 2008 г.; 4. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ФСТЭК России, 2008 г. Документами ФСБ 1.«Типовые требования..» 2.«Методические рекомендации..» Как защищать персональные данные?
17
Классы ИСПД Н X ПД X НПД 3 (100 т.с) Категория 4К4 Категория 3K3K3K3K2 Категория 2K3K2K1 Категория 1K1
Основные мероприятия по защите ПД должны быть реализованы в рамках следующих подсистем: –управления доступом –регистрации и учёта –обеспечения целостности –криптографической защиты (Только для K1) –антивирусной защиты –обеспечение безопасного межсетевого взаимодействия ИСПДн –анализ защищенности –обнаружение вторжений –ПЭМИН (Для К1 и К2) –Акустическая защита (Только К1) Основные мероприятия по обеспечению безопасности ПД Н
1.Выбор ответственных лиц; 2.Обучение должностных лиц, ответственных за обеспечение безопасности; 3.Инвентаризация персональных данных; 4.Учет носителей информации содержащих ПД; 5.Разработка положение о хранении и уничтожении носителей информации содержащих ПД; 6.Проведение и оформление процедуры определения категории персональных данных; 7.Проведение и оформление процедуры классификации ИСПДн; 8.Определение подкласса ИСПДн; 9.Формирование модели угроз, определение актуальных угроз; 10.Определение требований к ИСПДн к a)подсистеме управления доступом, b)к межсетевому экранированию, c)к средствам защиты от программно математических воздействий (ПМВ), d)к подсистеме регистрации и учета, e)к подсистеме обеспечения целостности, f)к подсистеме антивирусной защиты, g)к наличию не декларированных возможностей в средствах защиты информации h)к защите ИСПДн от ПЭМИН i)К оценке соответствия ИСПДн требованиям безопасности ПДн(аттестат или декларирование соответствия)
11. Выбор средств защиты; 12. Внедрение средств защиты 13. Проведение технологических испытаний. 14. Разработка положения по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн; 15. Обучить внедрению и эксплуатации средств защиты; 16. Выработка регламента по контролю за соблюдением условий использования средств защиты информации; 17. Выработка регламента порядка доступа в помещения со средствами обработки ПДн; 18. Создание журнала регистрации обращений пользователей ИСПДн на получение ПДн. 19. Формирование регламента разграничения прав доступа для пользователей ИСПДн. 20. Формирование регламента администратора и пользователей ИСПДн. 21. Разработка регламента проведения разбирательств по фактам НСД; 22. Доработка должностных инструкций для персонала, учитывающих обязанности по обеспечению безопасности ПДн при их обработке в ИСПДн; 23. Формирование технического паспорта системы защиты ИСПДн и заключение о готовности к эксплуатации. 24. Аттестация или декларация соответствия