Марийский региональный центр повышения квалификации и переподготовки кадров Мероприятия по определению персональных данных и подготовке нормативных документов
Марийский региональный центр повышения квалификации и переподготовки кадров План мероприятий Подготовить нормативные документы Провести классификацию информационной системы Занести данные в информационную систему Обеспечить безопасность персональных данных Уведомить Россвязькомнадзор об использовании информационной системы для обработки персональных данных
Марийский региональный центр повышения квалификации и переподготовки кадров В случае необходимости внести изменения в Устав и локальные нормативные акты образовательных учреждений Федеральный закон «О персональных данных» Постановление Правительства "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" Приказ ФСТЭК России, ФСБ России, Мининформсвязи России 55/86/20 от "Об утверждении Порядка проведения классификации информационных систем персональных данных Политика информационной безопасности учреждения Положение о персональных данных сотрудников Положение о персональных данных обучающихся (воспитанников) форма Согласия на обработку персональных данных сотрудников форма Согласия на обработку персональных данных обучающихся (воспитанников) *форма Согласия на размещение персональных данных сотрудников и обучающихся (воспитанников) на Интернет-страницах учреждений образования форма заявлений о приеме обучающихся (воспитанников) с согласием их законных представителей (родителей, опекунов) на предоставление своих персональных данных (контактной и иной информации). Комплект нормативных документов
Марийский региональный центр повышения квалификации и переподготовки кадров К персональным данным Работника относятся: сведения, содержащиеся в паспорте или ином документе, удостоверяющем личность; информация, содержащаяся в трудовой книжке Работника; информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования; сведения, содержащиеся в документах воинского учета (при их наличии); информация об образовании, квалификации или наличии специальных знаний или подготовки; ИНН, ОМС, документы, содержащие сведения, необходимые для предоставления Работнику гарантий и компенсаций, установленных действующим законодательством (документы о составе семьи; документы, подтверждающие дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством (донорстве, нахождения в зоне воздействия радиации в связи с аварией на Чернобыльской АЭС и т.п.); документы о беременности Работницы; документы о возрасте малолетних детей).
Марийский региональный центр повышения квалификации и переподготовки кадров Необходимо организовать работу по ознакомлению лиц, допущенных к работе с персональными данными, с нормами и требованиями федерального законодательства, иных нормативных актов и документов и требованиями к персональной ответственности за их нарушение под роспись. Рекомендуется организовать, при необходимости, внесение изменений/дополнений в должностные инструкции (функциональные обязанности) данных лиц.
Марийский региональный центр повышения квалификации и переподготовки кадров Мероприятия по информированию сотрудников и обучающихся (воспитанников) и получению согласия от них на обработку персональных данных организовать работу по ознакомлению сотрудников ОУ с Положением о персональных данных сотрудников на общих собраниях трудового коллектива; организовать работу по получению персонально заверенных Согласий каждого сотрудника на обработку персональных данных; организовать работу по ознакомлению обучающихся (воспитанников), их родителей (законных представителей) с Положением о персональных данных обучающихся на родительских (классных) собраниях; организовать работу по получению персонально заверенных Согласий каждого обучающегося, законного представителя (родителя, опекуна) обучающегося (воспитанника) на обработку персональных данных.
Марийский региональный центр повышения квалификации и переподготовки кадров Мероприятия по инвентаризации и классификации информационных систем обработки персональных данныхсистем организовать работу по инвентаризации установленного в ОУ программного обеспечения на предмет наличия в нем персональных данных сотрудников и обучающихся. организовать работу по проведению классификации, используемых в образовательном учреждении информационных систем и приложений.
Марийский региональный центр повышения квалификации и переподготовки кадров Мероприятия по организации защиты обрабатываемых в информационных системах персональных данных Организовать работу по идентификации рабочих мест и каналов передачи, в том числе сети Интернет, персональных данных внутри и вне ОУ в соответствии с требованиями к ним на основе нормативно-методических материалов ФСБ и ФСТЭК. Организовать работу по защите конфиденциальности обрабатываемых в образовательном учреждении персональных данных.
Марийский региональный центр повышения квалификации и переподготовки кадров Порядок проведения классификации информационных систем персональных данных
Марийский региональный центр повышения квалификации и переподготовки кадров Этапы проведения классификации информационных систем: сбор и анализ исходных данных по информационной системе: присвоение информационной системе соответствующего класса и его документальное оформление.
Марийский региональный центр повышения квалификации и переподготовки кадров При проведении классификации информационной системы учитываются следующие исходные данные: категория обрабатываемых в информационной системе персональных данных - Хпд; объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) - Хнпд; заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе; структура информационной системы; наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена; режим обработки персональных данных; режим разграничения прав доступа пользователей информационной системы; местонахождение технических средств информационной системы.
Марийский региональный центр повышения квалификации и переподготовки кадров Категории обрабатываемых в информационной системе персональных данных (Хпд): Категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; Категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; Категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; Категория 4 - обезличенные и (или) общедоступные персональные данные.
Марийский региональный центр повышения квалификации и переподготовки кадров Хнпд может принимать следующие значения: 1 - в информационной системе одновременно обрабатываются персональные данные более чем субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; 2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до субъектов персональных.данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; 3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
Марийский региональный центр повышения квалификации и переподготовки кадров Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
Марийский региональный центр повышения квалификации и переподготовки кадров К специальным информационным системам должны быть отнесены: информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
Марийский региональный центр повышения квалификации и переподготовки кадров Информационные системы подразделяются по структуре: на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места); на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы); на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).
Марийский региональный центр повышения квалификации и переподготовки кадров Информационные системы подразделяются По режиму подключения (имеющие подключения к сетям или нет). По режиму обработки персональных данных (однопользовательские и многопользовательские). По разграничению прав доступа пользователей (с разграничением прав доступа или без разграничения прав доступа). По местонахождению технических средств (находятся в пределах Российской Федерации или частично или целиком находятся за пределами Российской Федерации).
Марийский региональный центр повышения квалификации и переподготовки кадров По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов: класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных; класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
Марийский региональный центр повышения квалификации и переподготовки кадров Определение класса типовой информационной системы Х нпд Х пд 321 Категория 4К4 Категория 3К3 К2 Категория 2К3К2К1 Категория 1К1
Марийский региональный центр повышения квалификации и переподготовки кадров Результаты классификации информационных систем оформляются соответствующим актом оператора Класс информационной системы может быть пересмотрен: по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы; по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие цели и содержание обработки данных.