Обеспечение безопасности персональных данных Качалков Александр Михайлович Начальник отдела обеспечения ИБ ЕФ ФГУП «ЦентрИнформ» - презентация

1

2 Обеспечение безопасности персональных данных Качалков Александр Михайлович Начальник отдела обеспечения ИБ ЕФ ФГУП «Центр Информ»

3 О предприятии Федеральное Государственное унитарное предприятие «Центр Информ» Прежнее название ФГУП «НТЦ «Атлас». История предприятия ведется с 1951 года. За заслуги в создании новой техники в 1981 г. предприятие награждено Орденом Трудового Красного Знамени. На сегодняшний день ФГУП «Центр Информ» это: Головное предприятие в Санкт-Петербурге; 23 филиала по всей России от Калининграда до Владивостока; Наличие всех необходимых лицензий ФСТЭК и ФСБ России; Квалифицированные кадры и самое современное оборудование. Направления деятельности охватывают все области обеспечения безопасности.

4 1. Нормативная база. 1. Федеральный закон от 27 июля 2006 г ФЗ "О персональных данных". 2. Положение об особенностях обработки ПДн, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. 687). 3. Требования к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн (утв. постановлением Правительства РФ от 6 июля 2008 г. 512). 4. Требования к защите ПДн при их обработке в ИСПДн (утв. постановлением Правительства РФ от 1 ноября 2012 г. 1119).

5 1. Нормативная база (ФСБ). 5. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих ГТ в случае их использования для обеспечения безопасности ПДн при их обработке в ИСПДн (утв. ФСБ РФ 21 февраля 2008 г. 149/6/6-622).

6 1. Нормативная база (ФСБ). 6. Состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн с использованием СКЗИ, необходимых для выполнения установленных Правительством РФ требований к защите ПДн для каждого из уровней защищенности (утв. приказом ФСБ России от 10 июля 2014 г. 378).

7 1. Нормативная база (ФСТЭК). 7. Базовая модель угроз безопасности ПДн при их обработке в ИСПДн (утв. ФСТЭК 15 февраля 2008 г.). 8. Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн (утв. ФСТЭК 14 февраля 2008 г.). 9. Состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн (утв. приказом ФСТЭК от 18 февраля 2013 г. 21).

8 Регулирует отношения, связанные с обработкой ПДн: 1. С использованием СВТ. 2. Или без использования СВТ, если такая обработка соответствует по характеру действий обработке с использованием СВТ: 1) есть систематизированное собрание ПДн (например, картотека); 2) разработан алгоритм поиска ПДн или доступа к ПДн, которые зафиксированы на материальном носителе систематизированного собрания ПДн. 1. Сфера применения.

9 Действие 152-ФЗ не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих ПДн архивных документов в соответствии с законодательством об архивном деле в РФ. 1. Сфера применения.

10 1. Сбор сведений об обработке и защите ПДн (категории субъектов ПДн, категории ПДн, цели обработки ПДн, состав ТС, состав документов и т.д.). 2.Подготовка: 2.1. Отчета по результатам обследования Моделей угроз безопасности ПДн Приказа о создании комиссии по защите ПДн Актов определения уровня защищенности ПДн при их обработке в ИСПДн ЧТЗ на создание системы защиты ПДн. 2. Состав работ.

11 2.6. Пояснительной записки к техническому проекту системы защиты ПДн Локальных актов по обработке и защите ПДн Рекомендаций по отправке уведомления в РКН или внесению изменений в отправленное уведомление Рекомендаций по доработке бланков письменных согласий субъектов ПДн Рекомендаций по доработке типовых форм бумажных документов, в которые включаются ПДн Рекомендаций по доработке договоров, если поручается обработка ПДн (банки, ЧОП и т.д.). 2. Состав работ.

12 3.Поставка, установка, настройка СЗИ. 4.Ознакомление, обучение. 5. Аттестация ИСПДн. 6. Сопровождение системы защиты ПДн: 6.1. Ведение журналов учета Поддержание локальных актов по обработке и защите ПДн в актуальном состоянии Периодический контроль выполнения требований Изменение настроек СЗИ, обновление СЗИ, восстановление работоспособности СЗИ. 2. Состав работ.

13 3. Кто проверяет? 1. В соответствии с ч.1 ст.23 ФЗ Роскомнадзор контролирует соответствие обработки ПДн требованиям ФЗ (152-ФЗ, ТК, ПП 687, ПП 512). 2. В соответствии с ч.8 ст.19 ФЗ ФСБ России и ФСТЭК России контролируют выполнение мер защиты ПДн в государственных ИСПДн. 3. В других ИСПДн ФСБ России и ФСТЭК России могут осуществлять контроль на основании решения Правительства РФ.

14 3. Что такое ГИС? Ст. 13, 14 ФЗ 149: 1. ГИС - ИС, созданные на основании ФЗ, законов субъектов РФ или правовых актов гос. органов. ГИС создаются в целях реализации полномочий гос. органов, обеспечения обмена информацией между гос. органами, в иных установленных ФЗ целях. 2. Реестр федеральных ГИС: / /

15 3. Общий порядок проверки РКН 1. РКН отправляет Оператору уведомление, копию приказа; 2. РКН передает Оператору заверенную копию приказа под подпись, перечень запрашиваемых документов; 3. Оператор передает копии документов; 4. РКН анализирует документы, проводит проверку на месте; 5. РКН готовит акт проверки;

16 3. Общий порядок проверки РКН При наличии признаков нарушений: 6. Выдается предписание; 7.1. Должностные лица РКН составляют протокол и направляют его в суд; 7.2. Или должностные лица РКН направляют материалы в органы прокуратуры;

17 3. Общий порядок проверки РКН При направлении РКН материалов в органы прокуратуры: 8.1. Возбуждается дело об административном правонарушении Или принимается решение об отказе в возбуждении административного производства (например, в связи с истечением срока давности) Или принимаются иные меры прокурорского реагирования (направляются предостережения). При направлении в суд: 9. Материалы рассматриваются в суде.

18 3. Основания для включения в План 1. Начало осуществления Оператором деятельности по обработке ПДн. 2. Истечение 3-х лет со дня государственной регистрации Оператора в качестве ЮЛ, ИП. 3. Истечение 3-х лет со дня окончания проведения последней плановой проверки Оператора.

19 3. Основания для внеплановой проверки 1. Истечение срока исполнения ранее выданного предписания об устранении нарушения. 2. Поступление в РКН заявлений, информации от органов гос. власти и местного самоуправления, из СМИ, в т.ч. о следующих фактах: 2.1. Возникновение угрозы причинения вреда жизни, здоровью граждан Причинение вреда жизни, здоровью граждан.

20 3. Приказ руководителя РКН или руководителя территориального органа РКН, изданный в соответствии с поручениями Президента РФ, Правительства РФ. 4. Требование прокурора о проведении внеплановой проверки в рамках надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям. 3. Основания для внеплановой проверки

21 1. О проведении плановой проверки Оператор уведомляется не позднее чем в течение 3-х рабочих дней до её начала посредством направления копии приказа любым доступным способом. 2. О проведении внеплановой проверки Оператор уведомляется не менее чем за 24-е четыре часа до её начала любым доступным способом. 3. Если в результате деятельности Оператора причинен или причиняется вред жизни, здоровью граждан, предварительное уведомление о начале проведения внеплановой проверки не требуется. 3. Уведомление о проверке

22 4.Ответственность: ст КоАП РФ. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (ПДн). Влечет: -предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; -на должностных лиц - от 500 до рублей; -на юридических лиц - от до рублей.

23 4.Ответственность: ст.19.7 КоАП РФ. Непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление в государственный орган таких сведений в неполном объеме или в искаженном виде. Влечет: -предупреждение или наложение административного штрафа на граждан в размере от 100 до 300 рублей; -на должностных лиц - от 300 до 500 рублей; -на юридических лиц - от до рублей.

24 Проект Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Прошел публичное обсуждение: ht ml?point=view_project&stage=2&stage _id= ht ml?point=view_project&stage=2&stage _id=6890

25 4.Нарушения, за которые предусмотрена ответственность. 1. Несоответствие требованиям содержания письменного согласия субъекта ПДн. 2. Отсутствие основания для обработки ПДн (согласия и т.д.). 3. Отсутствие основания для обработки специальных категорий ПДн (письменного согласия и т.д.). 4. Отсутствие опубликованной политики в отношении обработки ПДн. 5. Непредоставление субъекту ПДн информации, касающейся обработки его ПДн.

26 4.Нарушения, за которые предусмотрена ответственность. 6. Невыполнение требований по защите ПДн, если это повлекло неправомерный или случайный доступ к ПДн: 6.1. При обработке ПДн без использования средств автоматизации При обработке ПДн с использованием средств автоматизации При обработке ПДн с использованием средств автоматизации в ГИС, МИС.

27 Спасибо за внимание ! ФГУП «Центр Информ» Телефон: Сайт: ci66. ru Почта: