Защита персональных данных. ОБЗОР ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ.

Презентация:

Advertisements

Похожие презентации

ВОПРОСЫ ЗАЩИТЫ ИНФОРМАЦИИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ В СВЯЗИ С ИЗДАНИЕМ ПРИКАЗА ФСТЭК РОССИИ.

Advertisements

Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 1 Тема:

Законодательная и нормативная база правового регулирования вопросов защиты персональных данных. Руководящие документы по защите персональных данных Законодательная.

Методология определения класса ИСПДн. КАТЕГОРИЯ ОБРАБАТЫВАЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ДАННЫХ - Х ПД; ОБЪЁМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ (КОЛИЧЕСТВО.

Обеспечение безопасности персональных данных. Проблемы и решения 9 марта 2011 года.

ФЗ 142 ОТ ГОДА « О ПЕРСОНАЛЬНЫХ ДАННЫХ » ВЫПОЛНИЛА СТУДЕНТКА 5 КУРСА ГРУППЫ ТО 14/1 ЯРОВАЯ АЛЁНА.

Защита персональных данных: основные аспекты. Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» Персональные данные (ПДн) Кто? От кого?

НАЧАЛЬНИК ОТДЕЛА ЗАЩИТЫ ИНФОРМАЦИИ ОТ ЕЁ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ ТТИ ЮФУ Коробилов Юрий Борисович.

Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.

Опыт успешного прохождения проверки Роскомнадзора по защите персональных данных. Обзор административных мер и локальных актов, регулирующих обработку и.

Администрация Тамбовской области 05 апреля Тамбов 2013 «Ответственность должностных лиц за нарушения законодательства при обработке персональных данных»

Управление ФСТЭК России по Сибирскому федеральному округу «О требованиях к защите персональных данных при их обработке в информационных системах персональных.

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.

Общий порядок действий оператора по выполнению требований Федерального закона от ФЗ «О персональных данных»

Защита персональных данных от несанкционированного доступа.

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ АСТРАХАНСКОЙ ОБЛАСТИ О соблюдении требований Федерального закона от ФЗ «О персональных данных» при организации.

Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в.

1 Статья 3. Основные понятия, используемые в настоящем Федеральном законе Статья 3. Основные понятия, используемые в настоящем Федеральном законе Персональные.

Бикбулатов Тагир Ахатович Управление Роскомнадзора по Республике Башкортостан Специалист-эксперт отдела по защите прав субъектов персональных данных.

Лавренко Михаил Иванович, главный специалист отдела информатизации и новых технологий министерства образования и науки Хабаровского края Об изменениях.

Транксрипт:

Защита персональных данных

ОБЗОР ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ

ОБЗОР ЗАКОНОДАТЕЛЬСТВА Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Приказ ФСТЭК от 11 февраля 2013 г. N 17 ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ

ОБЗОР ЗАКОНОДАТЕЛЬСТВА Федеральный закон от ФЗ «О персональных данных» Постановление Правительства РФ от «Об утверждении требований к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн» Постановление Правительства РФ от «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации» Постановление Правительства РФ от «Об утверждении требований к защите ПДн при их обработке в ИСПДн» Приказ ФСТЭК от «ОБ УТВЕРЖДЕНИИ СОСТАВА И СОДЕРЖАНИЯ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ» Приказ ФСТЭК от 11 февраля 2013 г. N 17 ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ О ЗАЩИТЕ ИНФОРМАЦИИ, НЕ СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ ТАЙНУ, СОДЕРЖАЩЕЙСЯ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ

ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ 1119 Требования к защите ПДн при их обработке в ИСПДн Определение уровня защищенности ПДн Оценка вреда субъекту ПДн Моделирование угроз безопасности ПДн

Согласно Постановлению Правительства РФ от «Об утверждении требований к защите ПДн при их обработке в ИСПДн» уровни защищенности ПДн установлены, с учетом: ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ 1119 АНАЛИЗ ДОКУМЕНТА

ИНФОРМАЦИОННАЯ СИСТЕМА, ОБРАБАТЫВАЮЩАЯ СПЕЦИАЛЬНЫЕ КАТЕГОРИИ ПДН ИНФОРМАЦИОННАЯ СИСТЕМА, ОБРАБАТЫВАЮЩАЯ БИОМЕТРИЧЕСКИЕ ПДН ИНФОРМАЦИОННАЯ СИСТЕМА, ОБРАБАТЫВАЮЩАЯ ОБЩЕДОСТУПНЫЕ ПДН ИНФОРМАЦИОННАЯ СИСТЕМА, ОБРАБАТЫВАЮЩАЯ ИНЫЕ КАТЕГОРИИ ПДН обрабатываются ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн (при этом не обрабатываются специальные категории ПДн) обрабатываются ПДн субъектов ПДн, полученные только из общедоступных источников ПДн, созданных в соответствии со статьей 8 Федерального закона «О персональных данных» обрабатываются иные категории ПДн (при этом не обрабатываются специальные категории ПДн, биометрические ПДн, общедоступные ПДн) ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ 1119 АНАЛИЗ ДОКУМЕНТА ПДн, сделанные общедоступными субъектом ПДн, ПДн, прошедшие процедуру обезличивания, в том числе, сведения о судимости

+7 (495) / ИНФОРМАЦИОННАЯ СИСТЕМА, ОБРАБАТЫВАЮЩАЯ СПЕЦИАЛЬНЫЕ КАТЕГОРИИ ПДН ИНФОРМАЦИОННАЯ СИСТЕМА, ОБРАБАТЫВАЮЩАЯ БИОМЕТРИЧЕСКИЕ ПДН ИНФОРМАЦИОННАЯ СИСТЕМА, ОБРАБАТЫВАЮЩАЯ ОБЩЕДОСТУПНЫЕ ПДН ИНФОРМАЦИОННАЯ СИСТЕМА, ОБРАБАТЫВАЮЩАЯ ИНЫЕ КАТЕГОРИИ ПДН обрабатываются ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн (при этом не обрабатываются специальные категории ПДн) обрабатываются ПДн субъектов ПДн, полученные только из общедоступных источников ПДн, созданных в соответствии со статьей 8 Федерального закона «О персональных данных» обрабатываются иные категории ПДн (при этом не обрабатываются специальные категории ПДн, биометрические ПДн, общедоступные ПДн) ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ 1119 АНАЛИЗ ДОКУМЕНТА ПДн, сделанные общедоступными субъектом ПДн, ПДн, прошедшие процедуру обезличивания, в том числе, сведения о судимости Статья 10. Специальные категории персональных данных 1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи. 2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если: … 3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами. 4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.

+7 (495) / ИНФОРМАЦИОННАЯ СИСТЕМА, ОБРАБАТЫВАЮЩАЯ СПЕЦИАЛЬНЫЕ КАТЕГОРИИ ПДН ИНФОРМАЦИОННАЯ СИСТЕМА, ОБРАБАТЫВАЮЩАЯ БИОМЕТРИЧЕСКИЕ ПДН ИНФОРМАЦИОННАЯ СИСТЕМА, ОБРАБАТЫВАЮЩАЯ ОБЩЕДОСТУПНЫЕ ПДН ИНФОРМАЦИОННАЯ СИСТЕМА, ОБРАБАТЫВАЮЩАЯ ИНЫЕ КАТЕГОРИИ ПДН обрабатываются ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн (при этом не обрабатываются специальные категории ПДн) обрабатываются ПДн субъектов ПДн, полученные только из общедоступных источников ПДн, созданных в соответствии со статьей 8 Федерального закона «О персональных данных» обрабатываются иные категории ПДн (при этом не обрабатываются специальные категории ПДн, биометрические ПДн, общедоступные ПДн) Статья 8. Общедоступные источники персональных данных 1.В целях информационного обеспечения могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги). В общедоступные источники ПДн с письменного согласия субъекта ПДн могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн. 2.Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов. ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ 1119 АНАЛИЗ ДОКУМЕНТА ПДн, сделанные общедоступными субъектом ПДн, ПДн, прошедшие процедуру обезличивания, в том числе, сведения о судимости

АКТУАЛЬНЫЕ ТИПЫ УГРОЗ Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия. Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе. Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе. Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Содержание ПДн категория обрабатываемых ПДн Содержание ПДн категория субъектов обрабатываемых ПДн Объем ПДн количество субъектов ПДн Тип актуальных угроз 1 тип2 тип3 тип специальные категории ПДн субъекты ПДн, не являющиеся сотрудниками оператора более УЗ – 1 УЗ – 2 менее УЗ – 1УЗ – 2УЗ – 3 сотрудники оператора более УЗ – 1УЗ – 2УЗ – 3 менее УЗ – 1УЗ – 2УЗ – 3 биометрические ПДн субъекты ПДн, не являющиеся сотрудниками оператора более УЗ – 1УЗ – 2УЗ – 3 менее УЗ – 1УЗ – 2УЗ – 3 сотрудники оператора более УЗ – 1УЗ – 2УЗ – 3 менее УЗ – 1УЗ – 2УЗ – 3 иные ПДн субъекты ПДн, не являющиеся сотрудниками оператора более УЗ – 1УЗ – 2УЗ – 3 менее УЗ – 1УЗ – 3УЗ – 4 сотрудники оператора более УЗ – 1УЗ – 3УЗ – 4 менее УЗ – 1УЗ – 3УЗ – 4 общедоступные ПДн субъекты ПДн, не являющиеся сотрудниками оператора более УЗ – 2 УЗ – 4 менее УЗ – 2УЗ – 3УЗ – 4 сотрудники оператора более УЗ – 2УЗ – 3УЗ – 4 менее УЗ – 2УЗ – 3УЗ – 4 ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ 1119 АНАЛИЗ ДОКУМЕНТА

Требования, выполнение которых необходимо для обеспечения соответствующего уровня защищенности ПДн при их обработке в ИСПДн Уровни защищенности УЗ – 1УЗ – 2УЗ – 3УЗ – 4 организация режима обеспечения безопасности помещений, в которых размещена ИСПДн ++++ обеспечение сохранности носителей ПДн++++ утверждение документа, определяющего перечень лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей ++++ использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз ++++ назначение должностного лица (работника), ответственного за обеспечение безопасности ПДн в ИСПДн +++ ограничение доступа к содержанию электронного журнала сообщений только для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей ++ автоматическая регистрация в электронном журнале безопасности изменений полномочий сотрудников оператора по доступу к ПДн, содержащимся в ИСПДн + создание структурного подразделения, ответственного за обеспечение безопасности ПДн в ИСПДн, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности + ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ 1119 АНАЛИЗ ДОКУМЕНТА

ЧТО ТРЕБУЕТСЯ Выполнение закона 152-ФЗ «О персональных данных» Проведение орг.мероприятийУстановка средств защиты

ПРИКАЗ ФСТЭК ОТ Часть II 9. Для обеспечения защиты информации, содержащейся в информационной системе, оператором назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации.

ОПЫТ ПРОВЕДЕНИЯ ПРОВЕРОК РОСКОМНАДЗОРА ОСНОВНЫЕ РЕКОМЕНДАЦИИ ОПЕРАТОРАМ

+7 (495) / ФОРМАТ ПРОВЕДЕНИЯ ПРОВЕРКИ ПЛАНОВЫЕ И ВНЕПЛАНОВЫЕДОКУМЕНТАРНЫЕ И ВЫЕЗДНЫЕ Ежегодный план проведения плановых проверок (размещается на официальном сайте) Срок проведения как плановой, так и внеплановой проверки не может превышать двадцать рабочих дней. В случае возникновения необходимости срок проведения проверки может быть продлен, но на срок не более двадцати рабочих дней ПРОВЕРКИ РОСКОМНАДЗОРА

+7 (495) / С ЧЕГО ВСЁ НАЧИНАЕТСЯ ПРИКАЗ О ПРОВЕДЕНИИ ПРОВЕРКИ УВЕДОМЛЕНИЕ О ПРОВЕДЕНИИ ПРОВЕРКИ ПРОГРАММА ПРОВЕДЕНИЯ ПЛАНОВОЙ ПРОВЕРКИ (+ ПЕРЕЧЕНЬ ПРОВЕРЯЕМЫХ ТРЕБОВАНИЙ)

+7 (495) / РЕКОМЕНДАЦИЯ 1 Соберите всю имеющуюся документацию; Проведите самоаудит, основываясь на перечне проверяемых требований, указанных в программе проведения проверки. ВАЖНО! Все ли пункты требований перекрываются вашей организационно- распорядительной документацией? Все ли требования реально реализованы? РЕКОМЕНДАЦИИ ОПЕРАТОРАМ

+7 (495) / РЕКОМЕНДАЦИЯ 2 Оповещение работников о проведении проверки на территории офиса; Напоминание всем о существовании организационно-распорядительной документации и необходимости ознакомится с ней при необходимости ВАЖНО! Все реально ознакомлены с документами, и это зафиксировано? Реально ли исполняются ли требования ? РЕКОМЕНДАЦИИ ОПЕРАТОРАМ

+7 (495) / РЕКОМЕНДАЦИЯ 3 «Свежесть» предоставляемых документов; Создаём хорошее впечатление (чистота и порядок). ВАЖНО! Донести до проверяющих мысль о том, что мы добросовестные операторы и стремимся выполнить закон! В случае привлечения внешних консультантов, оповестите об этом ответственное лицо со стороны проверяющих! РЕКОМЕНДАЦИИ ОПЕРАТОРАМ

+7 (495) / БОЛЬШИЙ ИНТЕРЕС СО СТОРОНЫ ПРОВЕРЯЮЩИХ Организация пропускного режима; Бухгалтерия; Отдел кадров; Сервисы, предоставляемые через сайт. РЕКОМЕНДАЦИИ ОПЕРАТОРАМ

+7 (495) / РЕКОМЕНДАЦИЯ 4 Протокол/акт проверки (внимание к деталям). ВАЖНО! Каждое замечание/недостаток должно иметь под собой законное основание. Всегда письменно излагайте свои возражения. РЕКОМЕНДАЦИИ ОПЕРАТОРАМ

+7 (495) / РЕКОМЕНДАЦИЯ 5 Оперативное реагирование на замечания; Документальное подтверждение того, что недостаток устранён. ВАЖНО! Проверяющие лояльно относятся к возможности устранения выявленных недостатком. Реагировать необходимо не только на недостатки, указанные в протоколе, но и на устные замечания. РЕКОМЕНДАЦИИ ОПЕРАТОРАМ

+7 (495) / РЕКОМЕНДАЦИЯ 6 С пониманием отнеситесь к запросам информации со стороны проверяющих… им же тоже отчет надо писать. ВАЖНО! По каждому пункту запроса проверяющий должен получить документально подтвержденный ответ. Не игнорируйте запросы, даже если они касаются предоставления информации о процессах, которых нет в Вашей организации. Все документы, на которые вы ссылаетесь в справках и информационных письмах должны быть так же предоставлены. РЕКОМЕНДАЦИИ ОПЕРАТОРАМ

+7 (495) / ЗНАКОМСТВО С СЕРВИСОМ

Количество выявленных в ходе проверок нарушений в 2011 году (2250) в 4 раза превысило показатели 2009 года (557), общая сумма наложенных штрафов за трехлетний период возросла в 100 раз и составила более 12 млн. рублей. Если, по состоянию на конец 2009 года Роскомнадзором было рассмотрено 465 обращений, то в 2011 году эта цифра составила 3920, что демонстрирует 8-кратный рост количества рассмотренных обращений граждан Из отчета Роскомнадзора за 2011 г.

Обработка персональных данных без согласия субъекта (субъектов) персональных данных в случаях, когда такое согласие обязательно, а равно обработка персональных данных с нарушением установленной законом формы согласия субъекта (субъектов) персональных данных, с целью извлечения дохода - влечет наложение административного штрафа на граждан – от четырех тысяч до пяти тысяч рублей; на должностных лиц – от десяти тысяч до пятнадцати тысяч рублей; на индивидуальных предпринимателей – в величине, равной сумме выручки от реализации товаров (услуг) с использованием персональных данных, обработка которых осуществлялась без согласия субъекта (субъектов) персональных данных …. за календарный год…., но не менее 300 тысяч рублей, на юридических лиц – ….не менее 500 тысяч рублей. Проект Федерального Закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»

РЕШЕНИЕ ЛЕТА Выход : создание онлайн-системы (консультанта), который поможет выполнить требования законодательства: разъяснение норм законодательства подготовка пакета необходимых документов подбор средств защиты информации индивидуальные онлайн консультации

РЕШЕНИЕ ЛЕТА