Семинар «Организационные меры информационной безопасности в образовательной организации» Часть

Право на частную жизнь Статья Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. 2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

Право на доступ к информации Статья Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. 2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Право на распространение информации Статья Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом.

Понятие персональных данных Персональные данные – любая информация, относящаяся прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных) ФЗ-152 «О персональных данных» Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Трудовой Кодекс РФ

Обработка персональных данных Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными.

Виды обработки персональных данных Сбор Запись Систематизация Накопление Хранение Уточнение (обновление, изменение) Извлечение Использование Передача (распространение, предоставление, доступ) Обезличивание Блокирование Удаление Уничтожение

Принципы обработки ПДн Обработка персональных данных должна осуществляться на законной и справедливой основе. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Обработке подлежат только персональные данные, которые отвечают целям их обработки Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

Принципы обработки ПДн При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персона- льных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Допустимые случаи обработки ПДн обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг.

Допустимые случаи обработки ПДн обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Общедоступные источники ПДн В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Согласие субъекта на обработку ПДн Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным информированным сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Письменное согласие на обработку ПДн В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

Содержание согласия в письменной форме Ф.И.О., адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе Ф.И.О., адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных) наименование или Ф.И.О. и адрес оператора, получающего согласие субъекта персональных данных цель обработки персональных данных перечень персональных данных, на обработку которых дается согласие субъекта персональных данных наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом подпись субъекта персональных данных

Права субъекта получать сведения об операторе и обработке им ПДн субъекта требовать от оператора: уточнения его персональных данных их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки принимать предусмотренные законом меры по защите своих прав. Сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Что имеет право получить субъект подтверждение факта обработки персональных данных оператором правовые основания и цели обработки персональных данных цели и применяемые оператором способы обработки персональных данных наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом сроки обработки персональных данных, в том числе сроки их хранения порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом информацию об осуществленной или о предполагаемой трансграничной передаче данных наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами

Обязанности оператора Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами.

Рекомендуемые меры назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений применение правовых, организационных и технических мер по обеспечению безопасности персональных данных осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных ФЗ-152 и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ-152, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ-152

Обязанности оператора Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных Оператор обязан представить документы и локальные акты, указанные в части 1 статьи 18 ФЗ-152, и (или) иным образом подтвердить принятие мер, указанных в ней, по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор, осуществляющий сбор персональных данных с использованием информационно- телекоммуникационных сетей, обязан опубликовать в соответствующей информационно- телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно- телекоммуникационной сети

Правительство устанавливает: уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с ФЗ-152 требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий

Контроль и надзор Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ), и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК), в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных

Уведомление Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 ФЗ-152 Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом РОСКОМНАДЗОР

Реестр операторов, осуществляющих обработку ПДн РОСКОМНАДЗОР data/register/ data/register/

Содержание уведомления наименование (фамилия, имя, отчество), адрес оператора цель обработки персональных данных категории персональных данных категории субъектов, персональные данные которых обрабатываются правовое основание обработки персональных данных перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных описание мер, предусмотренных статьями 18.1 и 19 ФЗ-152, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты дата начала обработки персональных данных срок или условие прекращения обработки персональных данных сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации

Ответственность оператора Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных ФЗ-152, а также требований к защите персональных данных, установленных в соответствии с ФЗ-152, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков

Наказание КоАПМаксимальное наказание Нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных руб Нарушение правил защиты информации руб. + конфискация + приостановление деятельности на срок до 90 суток Невыполнение в срок законного предписания органа (должностного лица), осуществляющего государственный надзор (контроль) руб. + дисквалификация должностного лица до 3 лет УК РФНаказание 137. Нарушение неприкосновенности частной жизни руб. или исправительные работы до 240 час. или арест до 6-ти мес., лишение права занимать определенные должности до 5 лет., лишение свободы до 4 лет Отказ в предоставлении гражданину информации руб. или лишение права занимать определенные должности до 5-ти лет Неправомерный доступ к компьютерной информации – руб. или заработная плата за период от 1 года до 2 лет, либо исправительные работы, либо арест, либо лишение свободы до 5 лет.

Закон об образовании Статья 98. Информационные системы в системе образования 1. В целях информационного обеспечения управления в системе образования и государственной регламентации образовательной деятельности уполномоченными органами государственной власти Российской Федерации и органами государственной власти субъектов Российской Федерации создаются, формируются и ведутся государственные информационные системы, в том числе государственные информационные системы, предусмотренные настоящей статьей.

Закон об образовании Ведение государственных информационных систем осуществляется в соответствии с едиными организационными, методологическими и программно-техническими принципами, обеспечивающими совместимость и взаимодействие этих информационных систем с иными государственными информационными системами и информационно-телекоммуникационными сетями, включая информационно-технологическую и коммуникационную инфраструктуры, используемые для предоставления государственных и муниципальных услуг, с обеспечением конфиденциальности и безопасности содержащихся в них персональных данных и с соблюдением требований законодательства Российской Федерации о государственной или иной охраняемой законом тайне.

Требования к защите «Требования к защите персональных данных при их обработке в информационных системах персональных данных», утверждены Постановлением Правительства Российской Федерации от 1 ноября 2012 г. 1119

Состав мер по защите Для государственных ИС: «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утверждены приказом ФСТЭК России от 11 февраля 2013 г. 17 Для ИСПДн: «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены приказом ФСТЭК России от 18 февраля 2013 г. 21

Состав мер по обеспечению безопасности ПДн Методический документ ФСТЭК «Меры защиты информации в государственных информационных системах» Утвержден г.

Методический документ содержит состав, содержание, правила выбора и реализации организационных и технических мер защиты информации (далее – меры защиты информации), принимаемых в государственных информационных системах (далее – информационные системы) в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК РФ от 11 февраля 2013 г. 17. По решению оператора персональных данных настоящий методический документ применяется для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК РФ от 18 февраля 2013 г. 21. Состав мер по обеспечению безопасности ПДн

Неавтоматизированная обработка ПДн Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

Спасибо за внимание! Желаем безопасной работы с информацией!

Павлов Александр Владиславович Заместитель директора по информационным технологиям и безопасности +7 (3412)