Консультант отдела мобилизационной подготовки и защиты информации Лысенко Игорь Иванович МИНИСТЕРСТВО ОБРАЗОВАНИЯ МОСКОВСКОЙ ОБЛАСТИ 2012 ГОД Защита персональных.

Презентация:



Advertisements
Похожие презентации
Защита персональных данных Начальник отдела мобилизационной подготовки и защиты информации И.В.Тимохин.
Advertisements

Заведующий отделом мобилизационной подготовки и защиты информации Тимохин И.В. МИНИСТЕРСТВО ОБРАЗОВАНИЯ МОСКОВСКОЙ ОБЛАСТИ 2011 ГОД Защита Персональных.
Законодательная и нормативная база правового регулирования вопросов защиты персональных данных. Руководящие документы по защите персональных данных Законодательная.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.
Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 1 Тема:
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ АСТРАХАНСКОЙ ОБЛАСТИ О соблюдении требований Федерального закона от ФЗ «О персональных данных» при организации.
Обеспечение безопасности персональных данных. Проблемы и решения 9 марта 2011 года.
1 Об Уполномоченном органе по защите прав субъектов персональных данных Заместитель руководителя Управления Роскомнадзора по Ивановской области Семененко.
Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника; СИБИРСКИЙ ИНСТИТУТ УПРАВЛЕНИЯ (Ф) РАНХИГС Выполнили:
НАЧАЛЬНИК ОТДЕЛА ЗАЩИТЫ ИНФОРМАЦИИ ОТ ЕЁ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ ТТИ ЮФУ Коробилов Юрий Борисович.
Обеспечение безопасности персональных данных НОРМАТИВНАЯ БАЗА И ПРАКТИКА Серженко Дмитрий Иванович заведующий центром информатизации ИМЦ Петродворцового.
Защита персональных данных работников. Положения о защите персональных данных работников регламентируют Конституция Российской Федерации Конституция Российской.
Порядок уведомления Уполномоченного органа об обработке персональных данных в соответствии с Федеральным законом от 27 июля 2006 года 152-ФЗ «О персональных.
Компания «Инфо-Оберег» Дорофеев Владимир Игоревич.
Федеральный закон 152-ФЗ «О персональных данных» от 27 июля 2006 года ( с последними изменениями от 25 июля 2011 года) Требования к юридическим лицам.
Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Вологодской области Заместитель руководителя.
Бикбулатов Тагир Ахатович Управление Роскомнадзора по Республике Башкортостан Специалист-эксперт отдела по защите прав субъектов персональных данных.
Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Ивановской области Об опыте правоприменительной.
Опыт успешного прохождения проверки Роскомнадзора по защите персональных данных. Обзор административных мер и локальных актов, регулирующих обработку и.
Обеспечение безопасности персональных данных. Проблемы и решения 23 сентября 2009 года.
Транксрипт:

Консультант отдела мобилизационной подготовки и защиты информации Лысенко Игорь Иванович МИНИСТЕРСТВО ОБРАЗОВАНИЯ МОСКОВСКОЙ ОБЛАСТИ 2012 ГОД Защита персональных данных

2 20 июня 2012 года в Твери состоялось выездное заседание Комиссии при полномочном представителе Президента Российской Федерации в Центральном федеральном округе по информационной безопасности на тему: «О состоянии системы защиты информации в субъектах Российской Федерации, входящих в состав ЦФО»

Федеральный Закон РФ «Об информации, информационных технологиях и о защите информации» от ФЗ Статья 5. Информация как объект правовых отношений 2. Информация в зависимости от категории доступа к ней подразделяется на: общедоступную информацию; информацию ограниченного доступа, т.е. информацию, доступ к которой ограничен федеральными законами. Статья 9. Ограничение доступа к информации 2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами. 3

Персональные данные - Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). 152-ФЗ от 27 июля

Федеральный Закон РФ «О персональных данных» от ФЗ Целью закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (статья 2). Регулирует отношения, связанные с обработкой персональных данных, с использованием средств автоматизации или без использования таких средств. 5

Трудовой кодекс Российской Федерации Глава 13. Прекращение трудового договора Ст. 81. Расторжение трудового договора по инициативе работодателя. Глава 14. Защита персональных данных работника Ст. 85. Понятие персональных данных работника. Обработка персональных данных работника Ст. 86. Общие требования при обработке персональных данных работника и гарантии их защиты Ст. 87. Хранение и использование персональных данных работников Ст. 88. Передача персональных данных работника Ст. 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника Глава 60. Рассмотрение и разрешение индивидуальных трудовых споров Ст Рассмотрение индивидуальных трудовых споров в судах 6

Оператор персональных данных государственный орган муниципальный орган юридическое лицо физическое лицо Организует и (или) осуществляет обработку ПДн, а также определяет цели и содержание обработки ПДн 152-ФЗ от 27 июля

Постановления Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от « Об утверждении положения об обеспечении безопасности персональных данных, осуществляемой без использования средств автоматизации» от г

Информационная система персональных данных (ИСПДн) - совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять их обработку ФЗ от 27 июля 2006

Типы ИСПДн: специальные – обрабатываются ПДн, касающиеся расовой, национальной принадлежности, полити- ческих взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; биометрические – обрабатываются ПД, характери- зующие физиологические и биологические особенности человека; общедоступные - обрабатываются ПД, полученные только из общедоступных источников персональ- ных данных; иные - обрабатываются ПДн, не относящиеся к вышеуказанным ПДн. 10

Уровни защищённости ПДн

Требования к ИСПДн для обеспечения 4-го уровня защищённости: организация режима обеспечения безопасности помещения, в котором расположена ИСПДн; обеспечение сохранности носителей ПДн ; наличие перечня сотрудников допущенных в соответствии с их должностными обязанностями к ПДн, обрабатываемых в ИСПДн; использование с ертифицированных по требованиям безопасности средств защиты информации. 12

1. Подбор специалиста по организации обработки персональных данных из числа сотрудников. 2. Определение перечня и типа информационных систем персональных данных (далее - ИСПДн). 3. Определение актуальных угроз безопасности для ИСПДн. 4. Издание комплекта документов на ИСПДн. 5. Построение системы защиты ИСПДн. 6. Использование сертифицированных средств защиты при построении системы защиты ИСПДн. 7. Ознакомление работников с документами п.4. Защита ИСПДн достигается проведением комплекса организационно-распорядительных мероприятий: 13

« Windows XP / 7 версии Прoфессиональная является программным средством со встроенными средствами защиты о т НСД» 14

Закрытое акционерное общество "ЦБИ - сервис" Московская обл., г. Юбилейный, ул. Ленинская, д.4, п/п 10 тел. (495) ,

Комплект документов на ИСПДн 1. ПРИКАЗ «Об организации работ по защите ПДн в учреждении» 2. ПОЛОЖЕНИЕ по обработке и защите ПДн 3. ПЕРЕЧЕНЬ ПДн, обрабатываемых в школе 4. ПЕРЕЧЕНЬ и ТИП ИСПДн в учреждении 5. ПЕРЕЧЕНЬ сотрудников, имеющих право доступа к ПДн 6. МОДЕЛЬ угроз безопасности ПДн, обрабатываемых в ИСПДн 8. ИНСТРУКЦИЯ по работе пользователей ИСПДн 9. ИНСТРУКЦИЯ ответственного 10. ЖУРНАЛ учёта паролей 11. ЖУРНАЛ учёта машинных носителей информации 16

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является федеральным органом исполнительной власти, осуществляющая функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, ……. Постановление Правительства РФ 228 от 16 марта 2009 г. 17

Динамика количественных показателей государственного контроля Роскомнадзора

1. Организовывает защиту прав субъектов ПДн. 2. Рассматривает жалобы и обращения. 3. Принимает решения по результатам рассмотрения жалоб. 4. Ведёт реестр операторов. 5. Осуществляет меры, направленные на совершенствование защиты прав субъектов ПДн. 6. Информирует государственные органы, а также субъектов ПДн о положении дел в области защиты прав субъектов ПДн. Управление Роскомнадзора по Москве и Московской области (г. Москва, Старокаширское ш., д. 2, корп. 10) 18

Федеральный Закон РФ «Об информации, информационных технологиях и о защите информации» от ФЗ Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. 20

обязан До начала обработки ПДн уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять их обработку (п. 1. статьи 22). 152-ФЗ от 27 июля Оператор персональных данных

наименование, адрес оператора; цель обработки персональных данных (ПДн); правовое основание обработки ПДн; категории ПДн; перечень действий с ПДн, общее описание используемых оператором способов обработки ПДн; дата начала обработки ПДн; срок и условия прекращения обработки; Ф.И.О. физического лица или наименование юрлица, ответственных за организацию обработки ПДн; сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными Правительством РФ. Содержание уведомления 23

Регистрация операторов - Сведения из уведомления, в течение 30 дней с даты поступления, вносятся в реестр операторов - Роскомнадзор вправе требовать от оператора уточнения предоставленных сведений - В случае изменения сведений, оператор обязан уведомить об изменениях Роскомнадзор в течение 10 рабочих дней с даты возникновения таких изменений 152-ФЗ от 27 июля

25

195-ФЗ от Статья КоАП РФ Непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление их в неполном объеме или в искажённом виде. штраф на граждан в размере от 100 до 300 рублей на должностных лиц – от 300 до 500 рублей на юридических лиц – от 3000 до 5000 рублей

обрабатываемых в соответствии с трудовым законодательством; полученных оператором в связи с заключением договора, стороной которого является субъект ПДн, и используются оператором исключительно для исполнения указанного договора; включающих в себя только фамилии, имена и отчества субъектов ПДн; необходимых в целях однократного пропуска субъекта ПДн на территорию, на которой находится оператор; обрабатываемых без использования средств автоматизации. 27 Оператор вправе осуществлять без уведомления обработку ПДн:

Трудовой кодекс Российской Федерации Глава 14. Защита персональных данных работника Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту ПДн работника Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами 28

195-ФЗ от Статья КоАП РФ Нарушение порядка сбора, хранения, использования или распространения информации о гражданах (ПДн). штраф на граждан в размере от 300 до 500 рублей на должностных лиц – от 500 до рублей на юридических лиц – от до рублей Статья КоАП РФ Нарушение правил защиты информации

Уголовный кодекс РФ Статья 272. Неправомерный доступ к компьютерной информации п. 1. Неправомерный доступ к охраняемой законом компьютерной информации, ……., если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ или их сети штраф до рублей; либо исправительными работами на срок от 6 месяцев до 1 года; либо лишение свободы на срок до 2 лет 63-ФЗ от 13 июня

195-ФЗ от Инициативы Роскомнадзора ( ): об увеличении срока давности при привлечении к ответственности по статье КоАП РФ с 3 месяцев до года; передаче Роскомнадзору полномочий по возбуждению административных дел по статье КоАП РФ (в настоящее время правом возбуждения дел по этой статье обладают органы прокуратуры); о повышении штрафных санкций за нарушения законодательства о персональных данных от 200 тыс. руб. до 500 тыс. руб. на юридических лиц

После 27 января 2012 года обработка персональных данных, включенных в ИСПДн, должна осуществляется в соответствие с требованиями настоящего Федерального закона. 152 ФЗ от 27 июля

Спасибо за внимание !

Федеральные законы РФ «О защите детей от информации, причи- няющей вред их здоровью и развитию» ФЗ « О внесении изменений в ФЗ "О защите детей от информации, причиняющей вред их здоровью и развитию" и отдельные законодательные акты РФ» от ФЗ 34

Постановление Правительства РФ « О единой автоматизированной информационной системе Единый реестр доменных имен, указателей страниц сайтов в информационно- телекоммуникационной сети Интернет, содержащие информацию, распространение которой в РФ запрещено» от г ( 34