Microsoft TechDayshttp://

ФЗ 152. Статья 25 … 3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года 4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года…»

Microsoft TechDayshttp:// Невыполнение требований законодательства по обеспечению защиты ПДн могут повлечь негативные последствия для должностных лиц или предприятия в целом АДМИНИСТРАТИВНАЯ УГОЛОВНАЯ - гражданско-правовые иски со стороны клиентов, работников и уполномоченного органа по защите прав субъектов персональных - принудительное приостановление или прекращение обработки ПДн в компании - привлечение компании и (или) ее руководителя к административной или иным видам ответственности - приостановление действия или аннулирование лицензий (при определенных условиях) - репутационные риски - риски связанные с недобросовестной конкуренцией

Microsoft TechDayshttp:// Кодекс об Административных правонарушениях (КоАП РФ) «…КоАП РФ. Статья Незаконная деятельность в области защиты информации 1. Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), - влечет наложение административного штрафа с конфискацией средств защиты информации или без таковой» (к ответственности могут быть привлечены граждане, должностные лица, юридические лица)...»

Microsoft TechDayshttp:// Уголовный Кодекс РФ (УК РФ) Статья 137. Нарушение неприкосновенности частной жизни 1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации - наказываются штрафом, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев. 2. Те же деяния, совершенные лицом с использованием своего служебного положения, - наказываются штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев...»

Microsoft TechDayshttp:// Уголовный Кодекс РФ (УК РФ). Статья 171. Незаконное предпринимательство 1. Осуществление предпринимательской деятельности без регистрации или с нарушением правил регистрации, а равно представление в орган, осуществляющий государственную регистрацию юридических лиц и индивидуальных предпринимателей, документов, содержащих заведомо ложные сведения, либо осуществление предпринимательской деятельности без специального разрешения (лицензии) в случаях, когда такое разрешение (лицензия) обязательно, или с нарушением лицензионных требований и условий, если это деяние причинило крупный ущерб гражданам, организациям или государству либо сопряжено с извлечением дохода в крупном размере, - наказывается штрафом, либо обязательными работами на срок от ставосьмидесяти до двухсот сорока часов, либо арестом на срок от четырех до шести месяцев...»

Microsoft TechDayshttp:// Уголовный Кодекс РФ (УК РФ). Статья 171. Незаконное предпринимательство 2. То же деяние: а) совершенное организованной группой; б) сопряженное с извлечением дохода в особо крупном размере, - наказывается штрафом в размере от ста тысяч до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет либо лишением свободы на срок до пяти лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев либо без такового.

Microsoft TechDayshttp:// Вступление во Всемирную торговую организацию, потребовало принятия международных Конвенций по автоматизированной обработке персональных данных, напрямую неприменимых к Российскому законодательству, что и повлекло необходимость создания собственных законов в этой области права. Необходимость совершенствования системы государственного управления, ее контрольно-надзорных, а также правоприменительных функций, путем создания Системы персонального учета населения Российской Федерации.

Microsoft TechDayshttp:// 152-ФЗ от г. «О защите персональных данных» 160-ФЗ от г. «О ратификации Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» Федеральные законы Постановления Правительства РФ 781 от 17 ноября 2007 г. 781 от 17 ноября 2007 г. 228 от 16 марта 2009 г. 228 от 16 марта 2009 г. 687 от 15 сентября 2008 г. 687 от 15 сентября 2008 г. Методические документы «регуляторов» 2007 г. 781 ФСБ России 2007 г. 781 ФСТЭК Росси Россвязь- комнадзора «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций». Приказ ФСТЭК, ФСБ и Мининформсвязи от 13 февраля 2008 г. 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. 149/ от г. 149/ от г. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. 149/ от г. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности ПДн при их обработке в ИСПДн 149/6/6-622 от г. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности ПДн при их обработке в ИСПДн 149/6/6-622 от г. Приказ Россвязькомнадзора от г. 08 "Об утверждении образца формы уведомления об обработке персональных данных« Приказ Россвязькомнадзора от "О внесении изменений в приказ Россвязькомнадзора от 17 июля 2008 г. N 8 "Об утверждении образца формы уведомления об обработке персональных данных" Приказ Россвязькомнадзора от г. 08 "Об утверждении образца формы уведомления об обработке персональных данных« Приказ Россвязькомнадзора от "О внесении изменений в приказ Россвязькомнадзора от 17 июля 2008 г. N 8 "Об утверждении образца формы уведомления об обработке персональных данных"

Microsoft TechDayshttp:// Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Все документы от 15 февраля 2008 года. Для получения перечисленных документов для служебного пользования можно обратиться во ФСТЭК России.

Microsoft TechDayshttp:// Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (Ст.3 ФЗ-152) «Персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице (субъект данных) (ФЗ-160)

Microsoft TechDayshttp:// КАТЕГОРИЯ 4 - обезличенные и (или) общедоступные ПДн КАТЕГОРИЯ 3 - ПДн, позволяющие идентифицировать субъекта персональных данных КАТЕГОРИЯ 2 - ПДн, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 КАТЕГОРИЯ 1 - ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни

Microsoft TechDayshttp:// от 1000 до категория 4К4 категория 3К3 К2 категория 2К3К2К1 категория 1К1 Примечание: в ИСПДН 1 и 2 классов должны быть реализованы мероприятия по защите персональных данных от утечки за счёт ПЭМИН Показатель объёма обрабатываемых ПДн Категории обрабатывае мых ПДн До 1000 более

Microsoft TechDayshttp:// Во всех ИСПДн вне зависимости от класса: Носители на бумажной, магнитной, оптической и иной основе Информационные массивы в зависимости от формы представления (объекты файловой системы, баз данных) и т.п. Дополнительно в ИСПДн 1 и 2 класса Информация, обрабатываемая техническими средствами Дополнительно в ИСПДн 1 класса Информация в виде информативных электрических сигналов Информация в виде физических полей Акустическая (речевая) информация (в случае если предусмотрены функции голосового ввода ПДн)

Microsoft TechDayshttp:// 1. Оформить правовые основания обработки персональных данных 2. Определить класс своей ИСПДн 3. Создать систему защиты информационной системы персональных данных (далее по тексту ИСПДн) 4. Разработать документы, регламентирующие обработку персональных данных в организации 5. Уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных 6. Провести аттестацию (декларирование соответствия) по требованиям безопасности информации 7. Организовать повышение квалификации сотрудников в области защиты персональных данных 8. Получить необходимые лицензии (для ИСПДН 1,2 и распределённых 3 класса)

Microsoft TechDayshttp:// Материалы проектирования СЗИ от НСД ИСПДн 1. Материалы предпроектного исследования 2. Результаты технического проектирования (материалы разработки и обоснования мероприятий по защите ПДн) 3. Результаты опытной эксплуатации и итоговых (аттестационных) испытаний Эксплуатационные документы 1. Приказы 2. Акты 3. Технические журналы 4. Инструкции по эксплуатации и правила пользования 5. Форма и соглашения 6. Перечни 7. Матрица доступа и т.п. Организационно- распорядительные документы 1. Положение о персональных данных 2. Руководство специалиста (ответственного) по защите ПДн (администратора безопасности ПДн) 3.Технологический регламент обработки персональных данных (на всех этапах жизненного цикла ИСПДн) 4.Положение о системе делопроизводства (документооборота на бумажных носителях) Примечание: указанная документация создаёт необходимую основу для осуществления контроля и надзора за обработкой персональных данных со стороны уполномоченных органов (ФСБ, ФСТЭК, Россвязькомнадзора).

Microsoft TechDayshttp://

Дата внесения в реестр Срок действия сертификата Наименование средства (шифр) Предназначение средства (область применения), краткая характеристика параметров / (оценка возможности использования в информационных системах персональных данных (ИСПДн)) Схема сертификации Microsoft Office SharePoint Server 2007 ПО Microsoft Office SharePoint Server 2007 – на соответствие ТУ и 5 класс СВТ (может использоваться для защиты информации в ИСПДн до 2 класса включительно) Серия Microsoft Exchange Server 2007 ПО Microsoft Exchange Server 2007 – на соответствие 5 классу РД СВТ и ТУ (может использоваться для защиты информации в ИСПДн до 2 класса включительно) Серия Microsoft BizTalk Server 2006 R2 ПО Microsoft BizTalk Server 2006 R2 – на соответствие 5 классу РД СВТ и ТУ (может использоваться для защиты информации в ИСПДн до 2 класса включительно) Серия Microsoft Forefront Security Антивирусный программный продукт Microsoft Forefront Security – на соответствие ТУ серия

Microsoft TechDayshttp:// © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.