Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в 2015 году Инженер по защите информации отдела информационной безопасности ГБУЗ «ЧОМИАЦ» Ярослав Александрович Сапожников
Проверка организации защиты персональных данных
Документы, регламентирующие защиту персональных данных Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» «Требования к защите персональных данных при их обработке в информационных системах персональных данных», утвержденные Постановлением Правительства Российской Федерации от 01 ноября 2012 г «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденные приказом ФСТЭК России от 11 февраля 2013 г. 17
Документы, регламентирующие защиту персональных данных «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», утвержденные Приказом ФСБ России от 10 июля 2014 г. 378
Документы, регламентирующие защиту персональных данных «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 г. 149/6/6-622 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденное Постановлением Правительства Российской Федерации от 15 сентября 2008 г. 687
Статистика выявленных нарушений в 2015 году
Федеральный закон от 27 июля 2006 года 152-ФЗ «О персональных данных» Статья 22 Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных В случае изменения сведений, оператор обязан уведомить об этом в течение десяти рабочих дней с даты возникновения таких изменений Нарушения: Неактуальная информация Отсутствие правовых оснований Некорректно определена цель обработки персональных данных
Федеральный закон от 27 июля 2006 года 152-ФЗ «О персональных данных» Статья 18.1 Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных Нарушения: Отсутствие политики Не обеспечен неограниченный доступ
Федеральный закон от 27 июля 2006 года 152-ФЗ «О персональных данных» Статья 18.1 Ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных и обучение указанных работников Нарушения Не ознакомлены Не выполняются требования
Федеральный закон от 27 июля 2006 года 152-ФЗ «О персональных данных» В соответствии с: ст. 7 Федерального закона от 27 июля 2006 г. «О персональных данных», ч. 2 ст. 13 Федерального закона от 21 ноября 2011 г ФЗ «Об основах охраны здоровья граждан в Российской Федерации», п. 7 ст. 86 Трудового кодекса Российской Федерации подписать с сотрудниками обязательство о неразглашении персональных данных и внести соответствующие изменения в должностные инструкции сотрудников
Федеральный закон от 27 июля 2006 года 152-ФЗ «О персональных данных» Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом Статья 18.1 Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Статья 19
Угрозы безопасности персональным данным Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности (ФСБ России, 149/7/2/6-432, 31 марта 2015 г.) Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (ФСБ России, 149/5-144, 2008)
Угрозы безопасности персональным данным Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (утверждена 14 февраля 2008 г. заместителем директора ФСТЭК России) Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (утверждена 15 февраля 2008 г. заместителем директора ФСТЭК России) Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости (утверждены 23 декабря 2009 г. Директором Департамента информатизации Министерства здравоохранения и социального развития Российской Федерации)
Не определены уровни защищенности персональных данных и классы защищенности Постановление Правительства РФ от «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Приказ ФСТЭК России от «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Приказ ФСБ России от 10 июля 2014 г. 378 организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения обеспечение сохранности носителей персональных данных утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей
«Типовые требования…» ФСБ России 21 февраля 2008 г. 149/6/6-622 Нарушения: Пользователи средств криптографической защиты информации зачастую не имеют должного уровня подготовки, не осведомлены о порядке хранения ключевых носителей и документации к средствам криптографической защиты информации. Не назначается ответственный пользователь средств криптографической защиты информации Эксплуатация средств криптографической защиты информации, которая регламентируется нормативными документами ФСБ России, осуществляется с нарушениями, не выполняются предписанные формулярами требования
«Типовые требования…» ФСБ России 21 февраля 2008 г. 149/6/6-622 Нарушения: Не ведется учет средств криптографической защиты информации и документации к ним, ключевых носителей, посредством журнала учета Места хранения средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов, не утверждаются Замочные скважины хранилищ (шкафов, сейфов) не опечатываются. Также не опечатываются: системные блоки в составе автоматизированных рабочих мест, на которых установлены средства криптографической защиты информации и (или) режимные помещения
Постановлением Правительства Российской Федерации от 15 сентября 2008 г. 687 Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором
Федеральный закон от ФЗ «Об информации, информационных технологиях и о защите информации» Статья 14 Не допускается эксплуатация государственной информационной системы без надлежащего оформления прав на использование ее компонентов, являющихся объектами интеллектуальной собственности
Услуги ГБУЗ «ЧОМИАЦ» по защите информации Разработка и внедрение комплекта документов для обеспечения безопасности персональных данных с использованием средств криптографической защиты информации Сопровождение комплекта документов Представление интересов при проведение проверок по защите информации в отношении Вашего учреждения
Вопросы?