Лавренко Михаил Иванович, главный специалист отдела информатизации и новых технологий министерства образования и науки Хабаровского края Об изменениях законодательства в области защиты персональных данных
Система нормативно - правовых актов в области защиты персональных данных Конституция Российской Федерации ( ст. 23, 24) Федеральные законы Федеральный закон от ФЗ « О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных » Федеральный закон от ФЗ « Об информации, информационных технологиях и о защите информации » Федеральный закон Российской Федерации от ФЗ « О персональных данных » Трудовой кодекс Российской Федерации от ФЗ ( Глава 14 « Защита персональных данных работника »)
Система нормативно - правовых актов в области защиты персональных данных Федеральный закон от ФЗ « О персональных данных » Постановления Правительства РФ : - от « Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных » - от « Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации » - от 21 марта 2012 г. 211 « Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом « О персональных данных » и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами » от г « Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных »
Система нормативно - правовых актов в области защиты персональных данных Постановление Правительства РФ от « Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных » Нормативно - методические документы уполномоченных федеральных органов - Приказ ФСТЭК, ФСБ, Мининформсвязи от г. 55/86/20 « Об утверждении порядка проведения классификации информационных систем персональных данных » - Приказ ФСТЭК от г. 58 « Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных » - Приказы ФСТЭК об утверждении методики определения актуальных угроз безопасности персональных данных и базовой модели угроз
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от /86/20 « Об утверждении Порядка проведения классификации информационных систем персональных данных » категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни ; категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных ; категория 4 - обезличенные и ( или ) общедоступные персональные данные. Категория обрабатываемых персональных данных ( Х ПД )
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от /86/20 « Об утверждении Порядка проведения классификации информационных систем персональных данных » Объем обрабатываемых персональных данных ( Х НПД ) 1 - в информационной системе одновременно обрабатываются персональные данные более чем субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом ; 2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования ; 3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от /86/20 « Об утверждении Порядка проведения классификации информационных систем персональных данных » класс 1 ( К 1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных ; класс 2 ( К 2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных ; класс 3 ( К 3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных ; класс 4 ( К 4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных. Хнпд/Хпд321 категория 4К4 категория 3КЗ К2 категория 2КЗК2К1 категория 1К1
Система нормативно - правовых актов в области защиты персональных данных Постановление Правительства РФ от « Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных » Нормативно - методические документы уполномоченных федеральных органов - Приказ ФСТЭК, ФСБ, Мининформсвязи от г. 55/86/20 « Об утверждении порядка проведения классификации информационных систем персональных данных » - Приказ ФСТЭК от г. 58 « Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных » - Приказы ФСТЭК об утверждении методики определения актуальных угроз безопасности персональных данных и базовой модели угроз
п. 2. Постановления Правительства РФ от г Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона " О персональных данных " ч. 5 ст. 19 Федерального закона от ФЗ « О персональных данных » Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно - правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки Анализ актуальных требований законодательства в области защиты ПД
Виды информационных систем персональных данных - обрабатывающие специальные категории персональных данных - обрабатывающие биометрические персональные данные - обрабатывающие общедоступные персональные данные - обрабатывающие иные категории персональных данных Кроме того : - обрабатывающие персональные данные сотрудников оператора - обрабатывающие персональные данные субъектов персональных данных, не являющихся сотрудниками оператора Постановление Правительства РФ от г « Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных »
Типы актуальных угроз безопасности персональных данных 1 если для информационной системы в том числе актуальны угрозы, связанные с наличием недокументированных ( недекларированных ) возможностей в системном программном обеспечении 2 если для информационной системы в том числе актуальны угрозы, связанные с наличием недокументированных ( недекларированных ) возможностей в прикладном программном обеспечении 3 если для информационной системы актуальны угрозы, не связанные с наличием недокументированных ( недекларированных ) возможностей в системном и прикладном программном обеспечении Постановление Правительства РФ от г « Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных »
ч. 2 ст. 19 Федерального закона от ФЗ « О персональных данных » 2. Обеспечение безопасности персональных данных достигается, в частности : … 2)применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных ч. 3 ст. 19 Федерального закона от ФЗ « О персональных данных » 3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает : 1)уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных « Обещания » про уровни защищенности
1 уровень защищенности персональных данных Необходимо обеспечить при обработке персональных данных в информационной системе при наличии хотя бы одного из следующих условий : а ) для информационной системы актуальны угрозы 1- го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных ; б ) для информационной системы актуальны угрозы 2- го типа и информационная система обрабатывает специальные категории персональных данных более чем субъектов персональных данных, не являющихся сотрудниками оператора. Постановление Правительства РФ от г « Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных »
2 уровень защищенности персональных данных Необходимость обеспечения 2- го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий : а ) для информационной системы актуальны угрозы 1- го типа и информационная система обрабатывает общедоступные персональные данные ; б ) для информационной системы актуальны угрозы 2- го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем субъектов персональных данных, не являющихся сотрудниками оператора ; в ) для информационной системы актуальны угрозы 2- го типа и информационная система обрабатывает биометрические персональные данные ; г ) для информационной системы актуальны угрозы 2- го типа и информационная система обрабатывает общедоступные персональные данные более чем субъектов персональных данных, не являющихся сотрудниками оператора ; д ) для информационной системы актуальны угрозы 2- го типа и информационная система обрабатывает иные категории персональных данных более чем субъектов персональных данных, не являющихся сотрудниками оператора ; е ) для информационной системы актуальны угрозы 3- го типа и информационная система обрабатывает специальные категории персональных данных более чем субъектов персональных данных, не являющихся сотрудниками оператора. Постановление Правительства РФ от г « Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных »
3 уровень защищенности персональных данных Необходимо обеспечить при обработке персональных данных в информационной системе при наличии хотя бы одного из следующих условий : а ) для информационной системы актуальны угрозы 2- го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем субъектов персональных данных, не являющихся сотрудниками оператора ; б ) для информационной системы актуальны угрозы 2- го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем субъектов персональных данных, не являющихся сотрудниками оператора ; в ) для информационной системы актуальны угрозы 3- го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем субъектов персональных данных, не являющихся сотрудниками оператора ; г ) для информационной системы актуальны угрозы 3- го типа и информационная система обрабатывает биометрические персональные данные ; д ) для информационной системы актуальны угрозы 3- го типа и информационная система обрабатывает иные категории персональных данных более чем субъектов персональных данных, не являющихся сотрудниками оператора. Постановление Правительства РФ от г « Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных »
4 уровень защищенности персональных данных Необходимо обеспечить при обработке персональных данных в информационной системе при наличии хотя бы одного из следующих условий : а ) для информационной системы актуальны угрозы 3- го типа и информационная система обрабатывает общедоступные персональные данные ; б ) для информационной системы актуальны угрозы 3- го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем субъектов персональных данных, не являющихся сотрудниками оператора. Постановление Правительства РФ от г « Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных »
Требования по обеспечению 4 уровня защищенности персональных данных а ) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения ; б ) обеспечение сохранности носителей персональных данных ; в ) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных ( трудовых ) обязанностей ; г ) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. Постановление Правительства РФ от г « Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных »
Требования по обеспечению 3 уровня защищенности персональных данных Все, что для 4 уровня + необходимо, чтобы было назначено должностное лицо ( работник ), ответственный за обеспечение безопасности персональных данных в информационной системе Постановление Правительства РФ от г « Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных »
Требования по обеспечению 2 уровня защищенности персональных данных Все, что для 3 уровня + необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц ( работников ) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных ( трудовых ) обязанностей. Постановление Правительства РФ от г « Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных »
Требования по обеспечению 1 уровня защищенности персональных данных Все, что для 2 уровня + необходимо выполнение следующих требований : а ) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе ; б ) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности. Постановление Правительства РФ от г « Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных »
п. 4. Постановления Правительства РФ от г Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона " О персональных данных ". ч. 4 ст. 19 Федерального закона от ФЗ « О персональных данных » Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. Анализ актуальных требований законодательства в области защиты ПД
Информационное сообщение ФСТЭК России от 20 ноября 2012 г. 240/24/4669 ФСТЭК России завершается работа по подготовке проекта нормативного правового акта, устанавливающего состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Проект указанного нормативного правового акта планируется до 7 декабря 2012 г. разместить на официальном сайте ФСТЭК России для рассмотрения заинтересованными лицами.
Информационное сообщение ФСТЭК России от 20 ноября 2012 г. 240/24/4669 В целях обеспечения преемственности методов и способов по защите персональных данных при их обработке в информационных системах персональных данных до издания в установленном порядке нормативного правового акта ФСТЭК России, устанавливающего состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, по поручению руководства ФСТЭК России полагаем целесообразным сообщить следующее : Предполагается, что нормативный правовой акт ФСТЭК России, устанавливающий состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, будет применяться к информационным системам персональных данных, для которых решение о создании системы защиты информации будет принято после вступления в силу указанного нормативного правового акта.
ПРОТОКОЛ заседания Совета по информационной безопасности при Губернаторе Хабаровского края от г РЕШИЛИ : 1.1. В соответствии с п. 2.1 и п. 3.9 Положения о Совете по информационной безопасности при Губернаторе края, руководителям органов исполнительной власти края и структурных подразделений аппарата Губернатора и Правительства края : … Организовать внутренние проверки состояния системы защиты информации в подведомственных учреждениях, согласно « Методике проведения комплексной проверки органов исполнительной власти края » от г., утвержденной министром информационных технологий и связи края. СРОК : ДО
ПРОТОКОЛ заседания Совета по информационной безопасности при Губернаторе Хабаровского края от г РЕШИЛИ : 2.1. В соответствии с п. 2.1 и п Положения о Совете по информационной безопасности при Губернаторе края, рекомендовать главам муниципальных районов заключить Соглашение об информационном взаимодействии Правительства Хабаровского края и органов местного самоуправления края в вопросах обеспечения технической защиты информации, имеющей статус государственной, в том числе обеспечения правового режима персональных данных.
МЕТОДИКА проведения комплексной проверки органов исполнительной власти Хабаровского края I.Проверка защиты персональных данных II.Защита информации, обрабатываемой с использованием средств криптографической защиты III.Защита конфиденциальной информации IV.Защита информации, обрабатываемой в информационных системах общего пользования V.Защита сведений, составляющих государственную тайну
ПИСЬМО министерства образования и науки Хабаровского края от г « О направлении сведений в уполномоченный орган по защите прав субъектов персональных данных » … Краевым образовательным учреждениям, подведомственным министерству образования и науки края, необходимо в срок до 15 декабря 2012 г. направить в отдел информатизации и новых технологий министерства по адресу электронной почты электронную копию уведомления в формате Microsoft Word. Органам местного самоуправления, осуществляющим управление в сфере образования, необходимо заполнить уведомление об обработке персональных данных, а также организовать заполнение новых версий уведомлений муниципальными образовательными учреждениями и предоставить их копии в формате Microsoft Word в виде единого архивного файла по указанному выше адресу электронной почты в срок до 25 декабря 2012 г.