Обеспечение безопасности персональных данных при их обработке в ИСПДн образовательных учреждений Семенихин Игорь Викторович Заведующий кафедрой Информационной безопасности кандидат военных наук, доцент

Распределение утечек по типу данных

Кол-во скомпрометированных записей персональных данных по отраслям

Кол-во скомпрометированных записей персональных данных по отраслям

Распределение утечек по источнику (виновнику) 2013 г.

Каналы утечек

Основные нарушения требований 152-ФЗ несоответствие сведений, указанных в уведомлении, фактической деятельности Оператора обработка персональных данных без согласия субъектов персональных данных несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям Федерального закона непринятия мер по исключению НСД к обрабатываемым персональным данным при неавтоматизированной обработке

Общедоступная информация Информация ограниченного доступа Свободно распространяемая Предоставляемая по соглашению Подлежит предоставлению Государственная тайна Служебная тайна Персональные данные Коммерческая тайна ФЗ от 27 июля 2006 ФЗ Об информации, информационных технологиях и о защите информации

Перечень сведений конфиденциального характера Указ Президента РФ 188 от 6 марта 1997 Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с ФЗ от 20 августа 2004 г. N 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и другими нормативными правовыми актами Российской Федерации. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

Перечень сведений конфиденциального характера Указ Президента РФ 188 от 6 марта 1997 Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее). Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна). Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Конвенции и иные международные договора Законы Постановления правительства Приказы и иные документы Европейская конвенция 152-ФЗ от (в редакции 261-ФЗ от г.) 1119 от от от РКН 274 от НМД ФСТЭК 2 НМД ФСБ 211 от от Структура законодательства России по персональным данным РКН 996 от РКН 996 от

ФЗ О персональных данных Регулирует отношения, связанные с обработкой персональных данных с использованием средств автоматизации или без использования таких средств. Цель обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. 152-ФЗ от 27 июля 2006

Планируемые изменения Законопроект Совета Федерации по внесению изменений в ФЗ-152 Законопроект по внесению изменений в КоАП Законопроекты РКН по внесению изменений в КоАП, ФЗ-152 и ФЗ-294

Планируемые изменения Вводится понятия «обработчика» Защита ПДн в составе профессиональной тайны В соответствие с требованиями по защите тайны Условия обработки ПДн обработчиком Наличие договора = согласие Новые условия необеспечения конфиденциальности ПДн

Планируемые изменения Электронная, в т.ч. дистанционная форма согласия на обработку ПДн Биометрические ПДн Только при автоматической идентификации субъекта Трансграничная обработка ПДн Также при наличии договора Не распространять требование за пределами РФ

Планируемые изменения Государственные и муниципальные организации заменяются на организации, обрабатывающие ПДн в целях оказания государственных и муниципальных услуг Защита ПДн Гармонизация формулировок Уведомление РКН Гармонизация формулировок

Планируемые изменения Законопроект «О внесении изменения в статью 10 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» ( 294-ФЗ от 26 декабря 2008 г.) Поступление в органы государственного контроля (надзора) обращений и заявлений граждан, в том числе индивидуальных предпринимателей, юридических лиц, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах: г) нарушение прав субъектов персональных данных (в случае обращения граждан, права которых нарушены)

Планируемые изменения новые термины Согласие субъекта персональных данных – волеизъявление субъекта персональных данных, оформленное в письменной форме или подписанное электронной цифровой подписью, а равно действия субъекта персональных данных, выражающие волю и согласие на обработку его персональных данных

Планируемые изменения новые термины Минимальный перечень персональных данных – допустимая совокупность ПДн, обрабатываемая оператором в соответствии с целями деятельности Минимальный перечень ПДн включает в себя: фамилию, имя, отчество год, месяц и дату рождения адрес места жительства (регистрации) или места пребывания реквизиты документа, УЛ субъекта ПДн идентификационный номер налогоплательщика (ИНН) страховой номер индивидуального лицевого счёта (СНИЛС) субъекта персональных данных

Планируемые изменения В случае отказа субъекта ПДн в предоставлении согласия на обработку персональных данных, когда данное согласие не предусмотрено федеральными законами для получения соответствующего товара (работы, услуги), оператор не вправе отказать субъекту персональных данных в предоставлении товара (работы, услуги), а равно не должен препятствовать доступу субъекта персональных данных к месту (местам) продажи товара (выполнения работы, оказания услуги)

Требования к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн Применяются при использовании материальных носителей, на которые осуществляется запись биометрических персональных данных, а также при хранении биометрических персональных данных вне информационных систем персональных данных. Постановление Правительства РФ от 06 июля 2008 г. 512 Определяют: понятие «материальный носитель» - (машиночитаемый носитель информации (в том числе магнитный и электронный)); требования к материальным носителям; обязанности оператора; требования к технологиям хранения биометрических персональных данных; и …… т.д.

Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации Общие положения. Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации. Меры по обеспечению безопасности ПДн при их обработке, осуществляемой без использования средств автоматизации: Постановление правительства РФ 687 от 15 сентября 2008 определить места хранения каждой категории персональных данных и установить перечень лиц, осуществляющих их обработку либо имеющих к ним доступ; обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях; при хранении соблюдать условия, обеспечивающие сохранность ПДн и исключающие несанкционированный доступ к ним.

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ П О С Т А Н О В Л Е Н И Е от 1 ноября 2012 г Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации п о с т а н о в л я е т : 1.Утвердить прилагаемые требования к защите персональных данных при их обработке в информационных системах персональных данных. 2.Признать утратившим силу постановление Правительства Российской Федерации от 17 ноября 2007 г. 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2007, 48, ст. 6001). Председатель Правительства Российской ФедерацииД. Медведев

ПРИКАЗ от 18 февраля 2013 г. 21 ОБ УТВЕРЖДЕНИИ СОСТАВА И СОДЕРЖАНИЯ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. 152-ФЗ "О персональных данных" ……………. приказываю:частью 4 статьи 19 1.Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.Состав и содержание 2.Признать утратившим силу приказ ФСТЭК России от 5 февраля 2010 г. 58 "Об утверждении Положения о методах и способах защиты информации в ИСПДн" (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный 16456).приказ Директор Федеральной службы по техническому и экспортному контролю В.СЕЛИН Зарегистрировано в Минюсте России 14 мая 2013 г. N 28375

Приказы и иные документы ФСТЭК России Базовая модель угроз безопасности персональных данных при их обработке в ИСПДн. Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн. Утверждены 14 и 15 февраля 2008 года Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн. Приказ ФСТЭК России от 18 февраля 2013 г. 21

Приказы и иные документы ФСБ России Методические рекомендации по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в ИСПДн с использованием средств автоматизации. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в ИСПДн. Приказ ФСБ России от 21 февраля 2008 г. 149/6/6-622 Приказ ФСБ России от 21 февраля 2008 г. 149/54-144

Планируемые изменения Проект приказа ФСБ по использованию СКЗИ для защиты ПДн Настоящий документ устанавливает состав и содержание необходимых для выполнения установленных Правительством РФ требований к защите ПДн для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн Существенно осложняет жизнь операторам ПДн Требует повсеместного использования только сертифицированной криптографии

Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами назначить ответственного за организацию обработки ПДн разработать и утвердить необходимые документы принять правовые, организационные и технические меры по обеспечению безопасности персональных данных выполнить требования, установленные постановлением Правительства РФ от 687 от 15 сентября 2008 г организовать проведение периодических проверок условий обработки ПДн знакомить служащих, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о персональных данных уведомить Роскомнадзор об обработке (намерении осуществлять обработку) ПДн осуществить обезличивание персональных данных опубликовать документы, определяющие политику в отношении обработки персональных данных Постановление правительства РФ 211 от 21 марта 2012

Об утверждении правил согласования проектов решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с федеральной службой безопасности Российской Федерации и федеральной службой по техническому и экспортному контролю Постановление Правительства РФ 940 от 18 сентября 2012 г. ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ П О С Т А Н О В Л Е Н И Е от 18 сентября 2012 г. 940

Перечень иностранных государств, не являющихся сторонами конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных Австралия - Австралийский союз Аргентинская Республика Государство Израиль Канада Королевство Марокко Малайзия Мексиканские Соединенные Штаты Монголия Новая Зеландия Республика Ангола Республика Бенин Республика Кабо-Верде Республика Корея Республика Перу Республика Сенегал Тунисская Республика Республика Чили Специальный административный район Гонконг Китайской Народной Республики Швейцарская Конфедерация Приказ РКН 274 от 15 марта 2013 г.

Зарегистрировано в Минюсте России 10 сентября 2013 г Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ Приказ РКН 996 от 05 сентября 2013

Утверждаю Руководитель Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Жаров Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. 996 «Об утверждении требований и методов по обезличиванию персональных данных" 13 декабря 2013

Подключение информационных систем …, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну, … служебную тайну, к международной компьютерной сети «Интернет» не допускается. При необходимости такое подключение производится только с использованием специально предназначенных для этого средств защиты информации …, прошедших в установленном законодательством РФ порядке сертификацию в ФСБ РФ и (или) получивших подтверждение соответствия в ФСТЭК России. Указ Президента РФ от 17 марта «О мерах по обеспечению ИБ РФ при использовании информационно - телекоммуникационных сетей международного информационного обмена»

АДМИНИСТРАТИВНЫЙ РЕГЛАМЕНТ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных» УТВЕРЖДЕН приказом Министерства связи и массовых коммуникаций Российской Федерации от

АДМИНИСТРАТИВНЫЙ РЕГЛАМЕНТ проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных УТВЕРЖДЕН приказом Министерства связи и массовых коммуникаций Российской Федерации от

ТИПОВОЙ РЕГЛАМЕНТ проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных УТВЕРЖДЕН Руководством 8 Центра ФСБ России 08 августа 2009 года 149/7/2/

Общий порядок организации обработки персональных данных в образовательных учреждениях

Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим ФЗ и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим ФЗ или другими ФЗ 152-ФЗ от 25 июля 2006 Статья Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом

Меры, необходимые и достаточные для обеспечения выполнения обязанностей, при обработке ПДн 1)назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки ПДн 152-ФЗ от 25 июля Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами:законом a)назначают ответственного за организацию обработки персональных данных в государственном или муниципальном органе из числа служащих данного органа Постановление правительства РФ 211 от 21 марта 2012

Делай раз Приказ о назначении ответственного за организацию обработки персональных данных. Разработка Должностной инструкции ответственного за организацию обработки персональных данных в государственном или муниципальном органе.

Обязанности ответственного за ОРГАНИЗАЦИЮ обработки ПДн осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о ПДн, в том числе требований к защите персональных данных доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов 152-ФЗ от 27 июля 2006

Делай два Приказ о назначении комиссии по приведению деятельности Организации в соответствие с требованиями Федерального закона «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

Содержание приказа цели создания комиссии состав комиссии председатель члены комиссии (3-4 сотрудника) конкретные задачи для достижения указанных целей перечень нормативных и методических документов, которыми необходимо руководствоваться сроки выполнения поставленных задач

Делай два Разработка Плана приведения процесса обработки персональных данных, обрабатываемых в ИС организации в соответствие с требованиями 152-ФЗ «О персональных данных».

Делай три Предварительное обследование информационных систем организации для определения: перечня, категории и объёма обрабатываемых ПДн категории субъектов, ПДн которых обрабатываются правового основания обработки персональных данных перечня действий с персональными данными способов обработки персональных данных перечня должностей сотрудников, допущенных к обработке ПДн даты начала обработки персональных данных сроков или условий прекращения обработки сведений о наличии или об отсутствии трансграничной передачи сведений об обеспечении безопасности персональных данных необходимости регистрации в реестре Роскомнадзора предварительного перечня ИСПДн

2)издание оператором, являющимся юридическим лицом, документов, определяющих: политику оператора в отношении обработки персональных данных локальных актов по вопросам обработки ПДн локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства ФЗ, устранение последствий таких нарушений 152-ФЗ от 25 июля 2006 Делай четыре

Меры, необходимые и достаточные для обеспечения выполнения обязанностей, при обработке ПДн б) утверждают актом руководителя государственного или муниципального органа следующие документы: Правила обработки персональных данных устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в сфере ПДнзаконодательства определяющие для каждой цели обработки ПДн: содержание обрабатываемых ПДн категории субъектов, ПДн которых обрабатываются сроки их обработки и хранения порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований Постановление правительства РФ 211 от 21 марта 2012

Меры, необходимые и достаточные для обеспечения выполнения обязанностей, при обработке ПДн б) утверждают актом руководителя государственного или муниципального органа следующие документы: Правила рассмотрения запросов субъектов ПДн или их представителей Правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;законом Правила работы с обезличенными данными Постановление правительства РФ 211 от 21 марта 2012

Меры, необходимые и достаточные для обеспечения выполнения обязанностей, при обработке ПДн б) утверждают актом руководителя государственного или муниципального органа следующие документы: Перечень информационных систем ПДн Перечень ПДн, обрабатываемых в организации Перечень должностей организации, ответственных за проведение мероприятий по обезличиванию ПДн Перечень должностей организации, замещение которых предусматривает осуществление обработки ПДн либо осуществление доступа к персональным данным Постановление правительства РФ 211 от 21 марта 2012

Меры, необходимые и достаточные для обеспечения выполнения обязанностей, при обработке ПДн б) утверждают актом руководителя государственного или муниципального органа следующие документы: Должностная инструкция ответственного за организацию обработки персональных данных Типовое обязательство сотрудника, непосредственно осуществляющего обработку ПДн, в случае расторжения с ним трудовых отношений прекратить обработку ПДн, ставших известными ему в связи с исполнением должностных обязанностей Постановление правительства РФ 211 от 21 марта 2012

Меры, необходимые и достаточные для обеспечения выполнения обязанностей, при обработке ПДн б) утверждают актом руководителя государственного или муниципального органа следующие документы: Типовая форма согласия на обработку ПДн сотрудников оператора Типовая форма согласия на обработку ПДн иных субъектов персональных данных Типовая форма разъяснения субъекту ПДн юридических последствий отказа предоставить свои ПДн Порядок доступа сотрудников в помещения, в которых ведется обработка персональных данных Постановление правительства РФ 211 от 21 марта 2012

Приказ о вводе в действие комплекта документов, регламентирующих обработку персональных данных в организации. Делай пять

Меры для обеспечения выполнения обязанностей оператора 152-ФЗ от 25 июля 2006 Оператор обязан обеспечить неограниченный доступ (опубликовать) к документу, определяющему его политику в отношении обработки ПДн к сведениям о реализуемых требованиях к защите персональных данных Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей ИТС документ, определяющий его политику в отношении обработки ПДн сведения о реализуемых требованиях к защите персональных данных обеспечить возможность доступа к указанному документу с использованием средств соответствующей ИТС

3)применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального законастатьей ФЗ от 25 июля 2006 Делай шесть в)принятие правовых, организационных и технических мер по обеспечению безопасности ПДн при их обработке, предусмотренных соответствующими нормативными правовыми актами, для выполнения установленных Правительством РФ требований к защите ПДн при их обработке, исполнение которых обеспечивает установленные уровни защищенности ПДн Постановление правительства РФ 211 от 21 марта 2012

Обеспечение безопасности персональных данных достигается определением угроз безопасности применением организационных и технических мер применением сертифицированных СрЗИ оценкой эффективности принимаемых мер учетом машинных носителей обнаружением фактов НСД и принятием мер восстановлением персональных данных установлением правил доступа обеспечением регистрации и учета всех действий контролем за принимаемыми мерами 152-ФЗ от 25 июля 2006

5)оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом; 152-ФЗ от 25 июля 2006 Делай шесть

Протокол оценки вреда, который может быть причинён субъектам персональных данных. Делай шесть

Разработка частной модели угроз безопасности персональных данных, обрабатываемых в ИСПДн организации. Делай шесть

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Приказ ФСТЭК России от 18 февраля 2013 г. 21 В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. 152-ФЗ "О персональных данных" и Положением о ФСТЭК, утвержденным Указом Президента Российской Федерации от 16 августа 2004 г частью 4 статьи 19 П Р И К А З Ы В А Ю: 1.Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.Состав и содержание 2.Признать утратившим силу приказ ФСТЭК России от 5 февраля 2010 г. 58 "Об утверждении Положения о методах и способах защиты информации в ИСПДн" (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный 16456).приказ

Состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке ИСПДн Приказ ФСТЭК России от 18 февраля 2013 г. 21 Безопасность ПДн при их обработке в ИС обеспечивает оператор или лицо, осуществляющее обработку ПДн по поручению оператора. Для выполнения работ по обеспечению безопасности ПДн при их обработке в информационной системе могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по ТЗКИ.

Состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке ИСПДн Приказ ФСТЭК России от 18 февраля 2013 г. 21 Оценка эффективности реализованных в рамках СЗПДн мер по обеспечению безопасности ПДн проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по ТЗКИ. Указанная оценка проводится не реже 1 раза в 3 года.

е)осуществляют ознакомление служащих государственного или муниципального органа, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных служащихзаконодательства Делай семь Постановление правительства РФ 211 от 21 марта )ознакомление работников оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников. 152-ФЗ от 27 июля 2006

Статья 22. Уведомление об обработке персональных данных. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. уведомитьстатьи. 152-ФЗ от 25 июля 2006 Делай восемь ж) уведомляют уполномоченный орган по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных, за исключением случаев, установленных Федеральным законом «О персональных данных».законом Постановление правительства РФ 211 от 21 марта 2012

4)осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора 152-ФЗ от 25 июля 2006 Делай девять Д)в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организуют проведение периодических проверок условий обработки персональных данных в государственном или муниципальном органе Постановление правительства РФ 211 от 21 марта 2012

Проверки осуществляются: ответственным за организацию обработки ПДн комиссией, образуемой руководителем организации О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю докладывает ответственный за организацию обработки ПДн либо председатель комиссии. Постановление правительства РФ 211 от 21 марта 2012 Делай девять

Кодекс Российской Федерации об административных правонарушениях предупреждение штраф на граждан в размере от 300 до 500 рублей; штраф на должностных лиц от 500 до рублей; штраф на юридических лиц от до рублей. 195-ФЗ от Статья Нарушение порядка сбора, хранения, использования или распространения информации о гражданах (ПДн).

Планируемые изменения В новом законопроекте меняется текст статьи 13.11, которая устанавливает два состава правонарушений Нарушение требований к письменному согласию субъекта Обработка ПДн без согласия или иных законных оснований Вводится еще 3 новых статьи: незаконная обработка спецкатегорий ПДн (

штраф на граждан в размере от 500 до рублей; штраф на должностное лицо - от до рублей. 195-ФЗ от Статья Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей. Кодекс Российской Федерации об административных правонарушениях

Статья Непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление их в неполном объеме или в искаженном виде. 195-ФЗ от штраф на граждан в размере от 100 до 300 рублей на должностных лиц - от 300 до 500 рублей на юридических лиц - от 3000 до 5000 рублей Кодекс Российской Федерации об административных правонарушениях

Планируемые изменения Новый пункт в статье 19.7 «Непредставление или несвоевременное представление в уполномоченный государственный орган сведений (информации) о допущенном незаконном распространении сведений о частной и личной жизни (персональные данные) лица (неопределенного круга лиц), а равно представление в уполномоченный государственный орган таких сведений (информации) в неполном объеме или в искаженном виде» Штраф до рублей

Уголовный кодекс Российской Федерации 1.Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации: штраф в размере до рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев либо обязательные работы на срок до 360 часов либо исправительные работы на срок до 1 года либо арест на срок до 4 месяцев либо лишение свободы на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет 63-ФЗ от Статья 137. Нарушение неприкосновенности частной жизни.

Статья 137. Нарушение неприкосновенности частной жизни. 2.Те же деяния, совершенные лицом с использованием своего служебного положения: штраф в размере от до рублей или в размере заработной платы или иного дохода осужденного за период от 1 года до 2 лет либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет либо принудительные работы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового либо арест на срок до 6 месяцев либо лишение свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет 63-ФЗ от

1.Мошенничество в сфере компьютерной информации, то есть хищение чужого имущества или приобретение права на чужое имущество путем ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно- телекоммуникационных сетей штраф в размере до рублей или в размере заработной платы или иного дохода осужденного за период до 1 года обязательные работы на срок до 360 часов исправительные работы на срок до 1 года ограничение свободы на срок до 2 лет принудительные работы на срок до 2 лет арест на срок до 4 месяцев в редакции от ФЗ Статья Мошенничество в сфере компьютерной информации Уголовный кодекс Российской Федерации

2. То же деяние, совершенное группой лиц по предварительному сговору, а равно с причинением значительного ущерба гражданину штраф в размере до рублей или в размере заработной платы или иного дохода осужденного за период до 2 лет обязательные работы на срок до 480 часов исправительные работы на срок до 2 лет принудительные работы на срок до 5 лет с ограничением свободы на срок до 1 года или без такового лишение свободы на срок до 4 лет с ограничением свободы на срок до 1 года или без такового Статья Мошенничество в сфере компьютерной информации в редакции от ФЗ

3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные лицом с использованием своего служебного положения, а равно в крупном размере штраф в размере от до рублей или в размере заработной платы или иного дохода осужденного за период от 1 года до 3 лет принудительные работы на срок до 5 лет с ограничением свободы на срок до 2 лет или без такового лишение свободы на срок до 5 лет со штрафом в размере до рублей или в размере заработной платы или иного дохода осужденного за период до 6 месяцев либо без такового и с ограничением свободы на срок до 1,5 лет либо без такового от ФЗ Статья Мошенничество в сфере компьютерной информации

4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, совершенные организованной группой либо в особо крупном размере лишение свободы на срок до 10 лет со штрафом в размере до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период до 3 лет либо без такового и с ограничением свободы на срок до 2 лет либо без такового от ФЗ Статья Мошенничество в сфере компьютерной информации

1.Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации: штраф до рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо исправительные работы на срок до 1 года либо ограничение свободы на срок до 2 лет либо принудительные работы на срок до 2 лет либо лишение свободы на срок до 2 лет 63-ФЗ от Статья 272. Неправомерный доступ к компьютерной информации. Уголовный кодекс Российской Федерации

Статья 272. Неправомерный доступ к компьютерной информации. 2.То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности штраф от до рублей или в размере заработной платы или иного дохода осужденного за период от 1 года до 2 лет либо исправительные работы на срок от 1 года до 2 лет либо ограничение свободы на срок до 4 лет либо принудительные работы на срок до 4 лет либо арест на срок до 6 месяцев, либо лишение свободы на срок до 6 месяцев. 63-ФЗ от

Статья 272. Неправомерный доступ к компьютерной информации. 3.Деяния, предусмотренные частями первой или второй настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения штраф до рублей или в размере заработной платы или иного дохода осужденного за период до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет либо ограничение свободы на срок до 4 лет либо принудительные работы на срок до 5 лет либо лишение свободы на срок до 5 лет 63-ФЗ от

Статья 272. Неправомерный доступ к компьютерной информации. 4.Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления лишение свободы на срок до 7 лет 63-ФЗ от Примечания: 1.Под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи. 2.Крупным ущербом в статьях настоящей главы (Глава 28. Преступления в сфере компьютерной информации) признается ущерб, сумма которого превышает один миллион рублей

в редакции 90-ФЗ от Статья 81. Расторжение трудового договора по инициативе работодателя Трудовой договор может быть расторгнут работодателем в случаях: ) однократного грубого нарушения работником трудовых обязанностей: в) разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника ФЗ Трудовой кодекс РФ

Спасибо за внимание! Контакты: