НОРМАТИВНЫЕ И РЕГЛАМЕНТИРУЮЩИЕ ДОКУМЕНТЫ ДЛЯ ОРГАНИЗАЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

17 % публикация ПДн в СМИ без разрешения 15 % публикация ПДн в Интернете без разрешения 27 % мошенничество с электронными деньгами 23 % рассылка рекламных СМС сообщений 61 % незаконное использование паспортных данных для оформления кредита, ипотеки и т.д. 60 % мошенничество с кредитными картами

51 % воспринимает проблему как актуальную

КАК У НИХ?... требованиям по защите персональных данных в Европейских странах

Н ЕОБХОДИМОСТЬ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ (ПД Н ) В Е ВРОСОЮЗЕ РЕГЛАМЕНТИРУЕТСЯ СЛЕДУЮЩИМИ ДИРЕКТИВАМИ : Н ЕОБХОДИМОСТЬ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ (ПД Н ) В Е ВРОСОЮЗЕ РЕГЛАМЕНТИРУЕТСЯ СЛЕДУЮЩИМИ ДИРЕКТИВАМИ : 95/46/EC – ДИРЕКТИВА О ЗАЩИТЕ ДАННЫХ 2002/58/EC – ДИРЕКТИВА О ПРИВАТНОСТИ И ЭЛЕКТРОННЫХ КОММУНИКАЦИЯХ 2006/24/EC – О СОХРАНЕНИИ ДАННЫХ, СОЗДАВАЕМЫХ ИЛИ ОБРАБАТЫВАЕМЫХ ПРИ ОКАЗАНИИ УСЛУГ СВЯЗИ Э ТИ ДОКУМЕНТЫ УСТАНАВЛИВАЮТ ТРЕБОВАНИЯ К СБОРУ, ХРАНЕНИЮ И ОБРАБОТКЕ ПД Н РАЗНЫХ ТИПОВ. В ЫДЕЛЯЮТСЯ « СПЕЦИАЛЬНЫЕ » ПД Н – СВЕДЕНИЯ О СОСТОЯНИИ ЗДОРОВЬЯ И Т. Д. У СТАНАВЛИВАЕТСЯ ОБЩИЙ ПРИНЦИП ЗАПРЕТА СБОРА И ОБРАБОТКИ ПД Н, ЕСЛИ НЕ УКАЗАНА ЯВНО ЦЕЛЬ ЭТИХ ДЕЙСТВИЙ

В О ВСЕХ СЛУЧАЯХ РЕГУЛЯТОРЫ ПРЕДЛАГАЮТ ОПЕРАТОРАМ САМИМ ОПРЕДЕЛЯТЬ ТРЕБУЕМЫЕ МЕРЫ ЗАЩИТЫ ДАННЫХ С УЧЁТОМ ПРИРОДЫ И ОБЪЕМА ОБРАБАТЫВАЕМЫХ ДАННЫХ, СТОИМОСТИ ПРИМЕНЕНИЯ МЕР ЗАЩИТЫ, ХАРАКТЕРИСТИК ИНФОРМАЦИОННЫХ СИСТЕМ ОПЕРАТОРА В О ВСЕХ СЛУЧАЯХ ОТ ОПЕРАТОРОВ НЕ ТРЕБУЕТСЯ ПРИМЕНЕНИЯ КАКИХ - ЛИБО СПЕЦИАЛЬНЫХ МЕР ЗАЩИТЫ, КРОМЕ ОБЩЕПРИНЯТЫХ. В О МНОГИХ СЛУЧАЯХ ПОДЧЕРКИВАЕТСЯ НЕОБХОДИМОСТЬ В ПЕРВУЮ ОЧЕРЕДЬ ОБРАЩАТЬ ВНИМАНИЕ НА УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ И ОБУЧЕНИЕ ПЕРСОНАЛА. В ЫБОР КОНКРЕТНЫХ МЕР ЗАЩИТЫ, ТЕХНИЧЕСКИХ РЕШЕНИЙ, СТАНДАРТОВ, КОТОРЫМИ НЕОБХОДИМО РУКОВОДСТВОВАТЬСЯ, АРХИТЕКТУР ИНФОРМАЦИОННЫХ СИСТЕМ ОСТАЁТСЯ В КОМПЕТЕНЦИИ ОПЕРАТОРА, В ТОМ ЧИСЛЕ И НЕПОСРЕДСТВЕННАЯ ОЦЕНКА РИСКА НАРУШЕНИЯ БЕЗОПАСНОСТИ ДАННЫХ.

Д А Н И Я Д А Н И Я А КТ ОБ ОБРАБОТКЕ ПД Н РЕГЛАМЕНТИРУЕТ СЛЕДУЮЩИЕ ТЕХНИЧЕСКИЕ МЕРЫ : В ИДЕОНАБЛЮДЕНИЕ – ЗАПИСИ ДОЛЖНЫ БЫТЬ УДАЛЕНЫ НЕ ПОЗДНЕЕ ЧЕМ ЧЕРЕЗ 30 ДНЕЙ, ЕСЛИ НЕТ ТРЕБОВАНИЯ ПЕРЕДАЧИ ИХ ОРГАНАМ ПОЛИЦИИ О ПЕРАТОР ИЛИ УПОЛНОМОЧЕННОЕ ЛИЦО, ВЕДУЩЕЕ ОБРАБОТКУ, ДОЛЖНО ПРИНИМАТЬ АДЕКВАТНЫЕ ОРГАНИЗАЦИОННЫЕ И ТЕХНИЧЕСКИЕ МЕРЫ ПО ЗАЩИТЕ ПД Н ОТ СЛУЧАЙНОГО ИЛИ НЕЗАКОННОГО УНИЧТОЖЕНИЯ, ИЗМЕНЕНИЯ, НЕЗАКОННОГО РАСКРЫТИЯ И ИНОЙ ОБРАБОТКИ, ПРОТИВОРЕЧАЩЕЙ ТРЕБОВАНИЯМ А КТА П РИ ОБРАБОТКЕ ДАННЫХ, ПРЕДСТАВЛЯЮЩИХ ОСОБЫЙ ИНТЕРЕС ДЛЯ ИНЫХ СТРАН, ДОЛЖНЫ БЫТЬ ПРИНЯТЫ МЕРЫ, ОБЕСПЕЧИВАЮЩИЕ УНИЧТОЖЕНИЕ ЭТИХ ДАННЫХ В СЛУЧАЕ ВОЙНЫ ИЛИ АНАЛОГИЧНЫХ СОБЫТИЙ У РОВЕНЬ ЗАЩИТЫ ДОЛЖЕН СООТВЕТСТВОВАТЬ РИСКУ НАРУШЕНИЯ БЕЗОПАСНОСТИ П РИНИМАЕМЫЕ МЕРЫ ЗАЩИТЫ ДОЛЖНЫ БЫТЬ РЕАЛИСТИЧНЫМИ И СООТВЕТСТВОВАТЬ ПРИРОДЕ ОБРАБАТЫВАЕМЫХ ДАННЫХ И МАСШТАБАМ ОБРАБОТКИ

О ПРЕДЕЛЕНЫ 14 КАТЕГОРИЙ ТРЕБОВАНИЙ ПО ЗАЩИТЕ ПД Н. П РИНИМАЕМЫЕ ПО КАЖДОЙ КАТЕГОРИИ МЕРЫ ДОЛЖНЫ ВЫБИРАТЬСЯ В ЗАВИСИМОСТИ ОТ КЛАССА РИСКА ОБРАБОТКИ : О ПРЕДЕЛЕНЫ 14 КАТЕГОРИЙ ТРЕБОВАНИЙ ПО ЗАЩИТЕ ПД Н. П РИНИМАЕМЫЕ ПО КАЖДОЙ КАТЕГОРИИ МЕРЫ ДОЛЖНЫ ВЫБИРАТЬСЯ В ЗАВИСИМОСТИ ОТ КЛАССА РИСКА ОБРАБОТКИ : 1. П ОЛИТИКА БЕЗОПАСНОСТИ, ПЛАН И ВВОД В ДЕЙСТВИЕ СИСТЕМЫ ПРОЦЕДУР И МЕТРИК 2. А ДМИНИСТРАТИВНАЯ ОРГАНИЗАЦИЯ 3. И НФОРМИРОВАННОСТЬ ПЕРСОНАЛА 4. Т РЕБОВАНИЯ К ПЕРСОНАЛУ 5. О РГАНИЗАЦИЯ РАБОЧИХ МЕСТ 6. У ПРАВЛЕНИЕ IT- ИНФРАСТРУКТУРОЙ И ЕЁ КЛАССИФИКАЦИЯ 7. У ПРАВЛЕНИЕ ДОСТУПОМ В ПОМЕЩЕНИЕ 8. С ЕТИ И ВНЕШНИЕ ИНТЕРФЕЙСЫ 9. И СПОЛЬЗОВАНИЕ СТОРОННЕГО ПО 10. П АКЕТНАЯ ОБРАБОТКА 11. Х РАНЕНИЕ ПД Н 12. У НИЧТОЖЕНИЕ ПД Н 13. П ЛАН НЕПРЕРЫВНОСТИ 14. П ЕРЕДАЧА ОБРАБОТКИ ПД Н

Н И Д Е Р Л А Н Д Ы П РИ ВЫБОРЕ СРЕДСТВ И МЕТОДОВ ЗАЩИТЫ ДАННЫХ ДОЛЖНЫ УЧИТЫВАТЬСЯ : Н И Д Е Р Л А Н Д Ы «А КТ О ЗАЩИТЕ ПД Н » ОБЯЗЫВАЕТ ПРОВОДИТЬ ОБРАБОТКУ ДАННЫХ БЕЗОПАСНЫМ ОБРАЗОМ. Д ОЛЖНЫ БЫТЬ ВНЕДРЕНЫ СООТВЕТСТВУЮЩИЕ ТЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ, НАПРАВЛЕННЫЕ НА ПРЕДОТВРАЩЕНИЕ ПОТЕРИ ДАННЫХ ИЛИ НЕЗАКОННУЮ ОБРАБОТКУ. О РГАНИЗАЦИОННЫЕ МЕРЫ, К ПРИМЕРУ, МОГУТ ПРЕДУСМАТРИВАТЬ ОГРАНИЧЕНИЕ ДОСТУПА К КОМПЬЮТЕРНОЙ СИСТЕМЕ. Т ЕХНИЧЕСКИЕ И ОРГАНИЗАЦИОННЫЕ МЕРЫ ДОЛЖНЫ ОБЕСПЕЧИВАТЬ СООТВЕТСТВУЮЩИЙ УРОВЕНЬ БЕЗОПАСНОСТИ. П РИ ВЫБОРЕ СРЕДСТВ И МЕТОДОВ ЗАЩИТЫ ДАННЫХ ДОЛЖНЫ УЧИТЫВАТЬСЯ : Р ИСКИ, СВЯЗАННЫЕ С ОБРАБОТКОЙ ДАННЫХ И ПРИРОДОЙ ОБРАБАТЫВАЕМЫХ ДАННЫХ. Р АЗВИТИЕ ТЕХНОЛОГИЙ И СТОИМОСТЬ ПРИМЕНЕНИЯ МЕР ЗАЩИТЫ.

ВЕЛИКОБРИТАНИЯ А КТ О ЗАЩИТЕ ДАННЫХ (D ATA P ROTECTION A CT, 1988) ТРЕБУЕТ ОТ ВСЕХ ОРГАНИЗАЦИЙ, ОСУЩЕСТВЛЯЮЩИХ ОБРАБОТКУ ПД Н, ПРИМЕНЕНИЯ АДЕКВАТНЫХ МЕР ПО ЗАЩИТЕ ИНФОРМАЦИИ. DPA ПУБЛИКУЕТ РЯД «Х ОРОШИХ ПРАКТИК », В ТОМ ЧИСЛЕ «Х ОРОШАЯ ПРАКТИКА ЗАЩИТЫ ПД Н ». В ЭТОМ ДОКУМЕНТЕ РЕКОМЕНДУЕТСЯ РАССМАТРИВАТЬ СТАНДАРТЫ, ВЫПУЩЕННЫЕ Б РИТАНСКИМ И НСТИТУТОМ С ТАНДАРТОВ.

И Р Л А Н Д И Я Д ОПОЛНЕНИЯ В А КТ 2003 ГОДА ВКЛЮЧИЛИ НОВЫЙ РАЗДЕЛ, УСТАНАВЛИВАЮЩИЙ РЕКОМЕНДАЦИИ ПО ВЫБОРУ МЕР ЗАЩИТЫ. П РИ ВЫБОРЕ ИХ ДОЛЖНЫ УЧИТЫВАТЬСЯ : У РОВЕНЬ РАЗВИТИЯ ТЕХНОЛОГИИ ; С ТОИМОСТЬ ПРИМЕНЕНИЯ МЕР ЗАЩИТЫ ; В РЕД, КОТОРЫЙ МОЖЕТ ВОЗНИКНУТЬ В РЕЗУЛЬТАТЕ НЕСАНКЦИОНИРОВАННОЙ ИЛИ НЕЗАКОННОЙ ОБРАБОТКИ ; П РИРОДУ ОБРАБАТЫВАЕМЫХ ДАННЫХ Т АКЖЕ В 2003 ГОДУ ВВЕДЕНО ОБЯЗАТЕЛЬНОЕ ТРЕБОВАНИЕ К ОПЕРАТОРАМ И УПОЛНОМОЧЕННЫМ ЛИЦАМ ОБЕСПЕЧИТЬ ОЗНАКОМЛЕНИЕ ПЕРСОНАЛА С МЕРАМИ ПО ЗАЩИТЕ ДАННЫХ И ИХ СОБЛЮДЕНИЕ.

DPA ПУБЛИКУЕТ ( С УТОЧНЕНИЕМ О РЕКОМЕНДАТЕЛЬНОМ ХАРАКТЕРЕ ) ОСНОВНЫЕ ВИДЫ УГРОЗ И СООТВЕТСТВУЮЩИЕ МЕРЫ ЗАЩИТЫ : У ПРАВЛЕНИЕ ДОСТУПОМ Ш ИФРОВАНИЕ А НТИВИРУСНОЕ ПО МСЭ А ВТОМАТИЧЕСКАЯ БЛОКИРОВКА ЭКРАНА С ИСТЕМЫ РЕГИСТРАЦИИ СОБЫТИЙ Ч ЕЛОВЕЧЕСКИЙ ФАКТОР С ЕРТИФИКАЦИЯ У ДАЛЁННЫЙ ДОСТУП И БЕСПРОВОДНЫЕ СЕТИ П ОРТАТИВНЫЕ УСТРОЙСТВА С ИСТЕМЫ РЕЗЕРВНОГО КОПИРОВАНИЯ Ф ИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ

КАК У НАС ?...

ПОЛОЖЕНИЯ ФЗ ГОДА ВСТУПАЛИ В СИЛУ ПОЭТАПНО С 26 января 2007 года: обрабатывать ПДн в соответствии с нормами ФЗ 152; получать и обрабатывать ПДн разрешено только с согласия субъекта ПДн; начать разрабатывать организационно-распорядительную документацию; С 1 января 2008 года: направить уведомление в Роскомнадзор о том, что обрабатывают ПДн; определить категории ПДн; С 27 июля 2011 года: принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерных действий в отношении ПДн; обеспечить неограниченный доступ к документу, определяющему политику оператора в отношении обработки ПДн; До 1 января 2013 года представить в Роскомнадзор следующие сведения: правовое основание обработки ПДн; данные физического или юридического лица, ответственных за организацию обработки ПДн; сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе их обработки; сведения об обеспечении безопасности ПДн (п.2.1, ст.25, 152-ФЗ).

ОСНОВНЫЕ РЕГЛАМЕНТИРУЮЩИЕ ДОКУМЕНТЫ Федеральный закон от N 152-ФЗ «О персональных данных» (посл. ред г.) Федеральный закон от N 149-ФЗ «Об информации, информационных технологиях и о защите информации» Постановление Правительства РФ 687 от г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Постановление Правительства РФ 512 от г. «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» Приказ ФСТЭК, ФСБ, Мининформсвязи 55/86/20 от г. «Об утверждении порядка проведения классификации информационных систем персональных данных» Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия 154 от г. «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»

ОСНОВНЫЕ РЕГЛАМЕНТИРУЮЩИЕ ДОКУМЕНТЫ Приказ Федеральной службы по надзору в сфере связи и массовых коммуникаций (РОССВЯЗЬКОМНАДЗОР) 8 от г. «Об утверждении образца формы уведомления об обработке персональных данных» Постановление Правительства РФ от г. 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» Постановление Правительства РФ от г «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Указ Президента Российской Федерации от г. 351 (в ред. Указа Президента РФ от ) «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» Приказ Министерства экономического развития РФ от г. 141 «О реализации положений Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» Приказ 99-ФЗ от г. "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных» Письмо Федерального агентства по образованию от г. N «Об обеспечении защиты персональных данных»

МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ РЕГУЛЯТОРОВ Приказ ФСТЭК России от 5 февраля 2010 N 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» ФСТЭК России – «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г. ФСБ РФ – «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации». Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. 149/5-144 ФСБ РФ – «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных». Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. 149/6/ Приказ ФСТЭК России от 18 февраля 2013 г. 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (зарегистрирован в Минюсте 14 мая 2013 г.).

МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ РЕГУЛЯТОРОВ С ГРИФОМ «ДЛЯ СЛУЖЕБНОГО ПОЛЬЗОВАНИЯ» «Специальные требования и рекомендации по технической защите конфиденциальной информации» (утверждены Гостехкомиссией России г.) ФСТЭК России – «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России г.

ОСНОВНЫЕ МЕРОПРИЯТИЯ МЕРОПРИЯТИЯОСНОВНЫЕ

1. П РЕДПРОЕКТНАЯ СТАДИЯ 2. С ТАДИЯ ПРОЕКТИРОВАНИЯ И РЕАЛИЗАЦИИ 3. С ТАДИЯ ВВОДА В ДЕЙСТВИЕ 1. П РЕДПРОЕКТНАЯ СТАДИЯО БСЛЕДОВАНИЕ ИНФОРМАЦИОННЫХ СИСТЕМ ПД Н (С ОСТАВЛЕНИЕ А НАЛИТИЧЕСКОГО ОБОСНОВАНИЯ НЕОБХОДИМОСТИ СОЗДАНИЯ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ) Р АЗРАБОТКА П ЛАНА МЕРОПРИЯТИЙ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПД Н Р АЗРАБОТКА Т ЕХНИЧЕСКОГО ЗАДАНИЯ 2. С ТАДИЯ ПРОЕКТИРОВАНИЯ И РЕАЛИЗАЦИИР АЗРАБОТКА Т ЕХНИЧЕСКОГО ПРОЕКТА В НЕДРЕНИЕ ТЕХНИЧЕСКИХ СРЕДСТВ ЗАЩИТЫ ПД Н Р АЗРАБОТКА НОРМАТИВНОЙ И РЕГЛАМЕНТИРУЮЩЕЙ ДОКУМЕНТАЦИИ 3. С ТАДИЯ ВВОДА В ДЕЙСТВИЕО ПЫТНАЯ ЭКСПЛУАТАЦИЯ СИСТЕМЫ ЗАЩИТЫ ПД Н П РИЕМО - СДАТОЧНЫЕ ИСПЫТАНИЯ О ЦЕНКА СООТВЕТСТВИЯ ТРЕБОВАНИЯМ ПО БЕЗОПАСНОСТИ ИНФОРМАЦИИ О БУЧЕНИЕ ПЕРСОНАЛА В НЕДРЕНИЕ НОРМАТИВНОЙ И РЕГЛАМЕНТИРУЮЩЕЙ ДОКУМЕНТАЦИИ П ОДАЧА УВЕДОМЛЕНИЯ О НАЧАЛЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

С ЧЕГО НАЧАТЬ?.....

1. СФОРМИРОВАТЬ ИЗ СОТРУДНИКОВ РАБОЧУЮ ГРУППУ, ОТВЕТСТВЕННУЮ ЗА ПРИВЕДЕНИЕ ЗАЩИТЫ ПДН В ОРГАНИЗАЦИИ В СООТВЕТСТВИИ С ЗАКОНОДАТЕЛЬСТВОМ. 2. С ОСТАВИТЬ СПИСОК ПД Н, КОТОРЫЕ ОБРАБАТЫВАЕТ ОРГАНИЗАЦИЯ, А ТАК ЖЕ ВЫЯСНИТЬ : ЦЕЛИ ОБРАБОТКИ ПД Н, СОСТАВ И ОБЪЁМ ПД Н ; СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПД Н ; ИМЕЕТСЯ ЛИ СОГЛАСИЕ СУБЪЕКТОВ ПД Н НА ОБРАБОТКУ ИХ ДАННЫХ. 3. О ПРЕДЕЛИТЬ СПОСОБЫ ОБРАБОТКИ ПД Н : АВТОМАТИЗИРОВАННЫЙ ( НЕАВТОМАТИЗИРОВАННЫЙ ИЛИ СМЕШАННЫЙ ); КАКИЕ СРЕДСТВА ЗАЩИТЫ ИСПОЛЬЗУЮТСЯ ; КОНФИГУРАЦИЯ И ВЗАИМОДЕЙСТВИЕ ВНУТРИ И С ВНЕШНИМИ СЕТЯМИ. 4. П РОВЕСТИ КЛАССИФИКАЦИЮ ИСПД Н. 5. О ПРЕДЕЛИТЬ ПЕРЕЧЕНЬ УГРОЗ ПД Н, РАЗРАБОТАТЬ ЧАСТНУЮ МОДЕЛЬ УГРОЗ. 6. Н АПРАВИТЬ УВЕДОМЛЕНИЕ В Р ОСКОМНАДЗОР О ВКЛЮЧЕНИИ В РЕЕСТР ОПЕРАТОРОВ ПД Н.

7. Р АЗРАБОТАТЬ РЕГЛАМЕНТЫ РАБОТЫ С ПД Н : ОПРЕДЕЛИТЬ КРУГ ЛИЦ, ДОПУЩЕННЫХ К ОБРАБОТКЕ ПД Н ; ОРГАНИЗОВАТЬ ДОСТУП В ПОМЕЩЕНИЕ, В КОТОРОМ ОСУЩЕСТВЛЯЕТСЯ ОБРАБОТКА ПД Н ; РАЗРАБОТАТЬ ДОЛЖНОСТНЫЕ ИНСТРУКЦИИ ПО РАБОТЕ С ПД Н ; УСТАНОВИТЬ ПЕРСОНАЛЬНУЮ ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЯ ПРАВИЛ ОБРАБОТКИ ПД Н ; ОПРЕДЕЛИТЬ СРОКИ ХРАНЕНИЯ ПД Н И Т. Д. 8. У СТАНОВИТЬ ТЕХНИЧЕСКИЕ И ПРОГРАММНЫЕ СРЕДСТВА ЗАЩИТЫ ПД Н, КОТОРЫЕ УБЕРЕГУТ ДАННЫЕ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА И УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ. 9. П ОДГОТОВИТЬ И УТВЕРДИТЬ КОМПЛЕКТ ОРГАНИЗАЦИОННО - РАСПОРЯДИТЕЛЬНОЙ ДОКУМЕНТАЦИИ. 10. О БЕСПЕЧИТЬ НЕОГРАНИЧЕННЫЙ ДОСТУП К ДОКУМЕНТУ, ОПРЕДЕЛЯЮЩЕМУ П ОЛИТИКУ ОПЕРАТОРА В ОТНОШЕНИИ ОБРАБОТКИ ПД Н, К СВЕДЕНИЯМ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПД Н. 11. А ТТЕСТОВАТЬ СИСТЕМУ ЗАЩИТЫ ПД Н НА ПРЕДМЕТ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ ПО ЗАЩИТЕ ПД Н. А ТТЕСТАЦИЮ МОЖЕТ ПРОВЕСТИ ТОЛЬКО СПЕЦИАЛИЗИРОВАННАЯ ОРГАНИЗАЦИЯ, У КОТОРОЙ ЕСТЬ СООТВЕТСТВУЮЩАЯ ЛИЦЕНЗИЯ ФСТЭК. 12. С ПЛАНИРОВАТЬ И РЕГУЛЯРНО ПРОВОДИТЬ КОНТРОЛЬНЫЕ МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ПД Н, ПРОВОДИТЬ ПЕРЕАТТЕСТАЦИЮ СИСТЕМЫ ЗАЩИТЫ ПД Н.

КОМПЛЕКС НЕОБХОДИМЫХ МЕРОПРИЯТИЙ

ОСНОВНЫЕ ДОКУМЕНТЫ

Приказ о введении режима обработки персональных данных Приказ о введении в действие Политики информационной безопасности информационной системы персональных данных ( сделать общедоступным документом) Приказ об организационных мероприятиях по защите информации, содержащей ПДн (в приказе определить ответственного за организацию защиты ПДн, перечень помещений, где обрабатываются ПДн) Приказ об определении перечня ПДн, которые обрабатываются в организации (сотрудники, клиенты и т.д.) Приказ о создании комиссии по приведению обработки ПДн в соответствии с законодательством Положение о комиссии по защите ПДн (комиссию необходимо привлекать для проведения проверок внутри организации) Приказ о назначении сотрудников, допущенных к ПДн (с разграничением доступа к ПДн) Обязательство сотрудников, допущенных к обработке ПДн о соблюдении конфиденциальности при работе с персональными данными ст. 22 ФЗ-152 п. 2 ст ФЗ-152 ст. 2 ПП-212 пп. 1 п.1 ст ФЗ-152 ст ФЗ-152 п. б ст. 1 ПП-212 пп. 4 п.1 ст ФЗ-152 п. б ст. 1 ПП-212 пп. 8 п.2 ст. 19 ФЗ-152 ст.7 ФЗ-152

Аналитическое обоснование необходимости создания системы защиты информации в АИС Частное техническое задание на создание системы защиты информации Акт классификации Информационной системы персональных данных (ИСПДн) Модель угроз и модель нарушителя безопасности информации Приказ об утверждении форм согласия на обработку персональных данных (сотрудники, клиенты, финансовые и другие организации, законные представители) Согласие (сотрудников, клиентов и т.д.) на обработку персональных данных Приказ о введении в действие Положения по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в ИСПДн пп.5 п.1 ст ФЗ-152 пп.4 п.2 ст. 19 ФЗ-152 п. 2 Приказа 55/86/20 пп. 1 п. 2 ст. 19 ФЗ-152 п. 4 ст. 9 ФЗ-152 ст. 9 ФЗ-152 п. б ст. 1 ПП-212

Перечень сведений конфиденциального характера ( включить персональные данные) Приказ об утверждении мест хранения материальных носителей персональных данных Приказ о введении в действие Положения о порядке хранения и уничтожения носителей персональных данных Приказ об утверждении перечня автоматизированных информационных систем предназначенных для обработки персональных данных Список работников (пользователей) имеющих право доступа к ресурсам автоматизированной информационной системы Описание технологии обработки ПДн в автоматизированной информационной системе Технический паспорт автоматизированной информационной системы (технический паспорт на защищаемое помещение) и план контролируемой зоны Указ Президента РФ 188 от г. ст. 7 ФЗ-152 пп. 5 п.2 ст.19 ФЗ-152 п. б ст. 1 ПП-212 п.п. 8 п.2 ст. 19 ФЗ-152 СТР-К 2002 г.

Акт об установке и готовности средств защиты информации к использованию в автоматизированной информационной системе Копии сертификатов соответствия требованиям по безопасности информации на используемые средства защиты информации Акты внутренних проверок состояния защиты персональных данных Ведомости ознакомления работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных Журналы: регистрации письменных запросов граждан для получения персональных данных; учета нештатных ситуаций; учета идентификаторов пользователей автоматизированной системы; учёта машинных носителей информации; учета выполнения профилактических работ; учёта копировально-множительных работ План мероприятий по приведению защиты ПДн в организации в соответствии с законодательством пп.3 п.2 ст.19 ФЗ-152 пп.4 п.1 ст.18.1 ФЗ-152 пп.6 п.1 ст.18.1 ФЗ-152 пп.2 п.2 ст.19 ФЗ-152

Инструкция ответственному за организацию обработки и защиты информации на объектах информатизации Инструкция администратору безопасности объектов информатизации (системному администратору и т.д.) Инструкция по резервному копированию информации Инструкция пользователей по обработке персональных данных без использования средств автоматизации Инструкция по организации парольной защиты в автоматизированной системе Инструкция по организации антивирусной защиты в автоматизированных системах Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств в автоматизированной системе Инструкция по действиям персонала при нештатных ситуациях на объектах информатизации Инструкция по работе с обезличенными персональными данными пп.1 п. 1 ст.18.1 ФЗ-152 п.1 ПП-211 пп.1 п. 1 ст.18.1 ФЗ-152 п.1 ПП-211 пп.7 п.2 ст.19 ФЗ-152 п. 3 ПП пп.6 п.2 ст. 19 ФЗ-152 пп.3 п.2 ст.19 ФЗ-152 п. 3 ПП пп.3 п.1 ст.18.1 ФЗ-152 пп. б ст.1 ПП - 211

ВЫВОДЫ

1. З АЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ КАК СОТРУДНИКОВ СВОЕЙ ОРГАНИЗАЦИИ, ТАК И КЛИЕНТОВ – ЯВЛЯЕТСЯ ОБЪЕКТИВНОЙ РЕАЛЬНОСТЬЮ. 2. З АКОНОДАТЕЛЬСТВО В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ И ТРЕБОВАНИЯ РЕГУЛЯТОРОВ С КАЖДЫМ ГОДОМ СТАНОВЯТСЯ ВСЁ БОЛЕЕ ЖЁСТКИМИ. 3. И ЗУЧЕНИЕ НОРМАТИВНО - ПРАВОВОЙ БАЗЫ – ЗАЛОГ УСПЕХА В ПОСТРОЕНИИ ЧЁТКОЙ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ. 4. П РИНЯТИЕ ТОЛЬКО ОРГАНИЗАЦИОННЫХ МЕР - НЕ ДОСТАТОЧНО ДЛЯ ПОЛНОЙ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ. 5. О ДНА ИЗ ОСНОВНЫХ ПРИЧИН УТЕЧКИ ПЕРСОНАЛЬНЫХ ДАННЫХ - НЕОБУЧЕННЫЙ ПЕРСОНАЛ.

БОНУС

В вашей организации обрабатываются ПДн субъектов (работники, учредители, контрагенты-физлица) Нет. Организация – не Оператор ПДн Да, обрабатываются. Ваша организация признаётся оператором ПДн. Необходимо: получить согласие субъектов на обработку ПДн (за исключением п.2 ст. 6 ФЗ-152). Ваша организация обрабатывает только информацию о своих работниках и контрагентах - физических лицах? Да. Включение в реестр не требуется. Нет, в информационной базе содержатся и иные данные (сведения об учредителях, бывших сотрудниках…) Необходимо: подать подать уведомление о включении в реестр операторов ПДн. Содержит ли ИСПДн Вашей организации сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных убеждений, состояния здоровья, интимной жизни? Да, содержит. Вашей организации должен быть присвоен К1. Соответственно необходима организация защиты ПДн с привлечением организаций, имеющих лицензию ФСТЭК РФ на деятельность по защите КИ. Нет, не содержит. Может быть присвоен К2, К3 Содержит ли ИСПДн сведения о субъектах ПДн, относящихся к нескольким организациям? Нет, не содержит. Вашей организации может быть присвоен К3. Соответственно, необходимо декларировать соответствие, а также подготовить ОРД. Да. Вашей организации может быть присвоен К2 или К3. Содержит ли ИСПДн информацию более чем о 1000 субъектов ПДн? Нет, не содержит. Вашей организации может быть присвоен К3. Соответственно, необходимо декларировать соответствие, а также подготовить ОРД. Да, содержит. Должен быть присвоен К2. Привлечение лицензиатов ФСТЭК РФ для ТЗ КИ.

менее 1000 чел. от 1000 до более Обезличенные ПДн к4 ФИО, адрес, дата рождения к3 к2 Образование, финансы к3к2к1 Здоровье, национальность, вероисповедание к1

- Федеральная служба по надзору в сфере связи, информационных технологий и коммуникаций (РОСКОМНАДЗОР) – Портал персональных данных - Федеральная служба по техническому и экспортному контролю (ФСТЭК России)

СПАСИБО ЗА ВНИМАНИЕ