Персональные данные (ПДн). Организация работы по защите ПДн в образовательном учреждении 14 апреля 2010 года.

Презентация:



Advertisements
Похожие презентации
Федеральный закон 152-ФЗ «О персональных данных» от 27 июля 2006 года ( с последними изменениями от 25 июля 2011 года) Требования к юридическим лицам.
Advertisements

Защита персональных данных работников. Положения о защите персональных данных работников регламентируют Конституция Российской Федерации Конституция Российской.
Обработка данных по пациентам, контактным с ВИЧ-инфицированными при помощи программного средства Гусев А. Г. начальник отдела компьютерного обеспечения.
Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.
Защита персональных данных 2008 г.. CNews Forum 2008 Информация о компании О компании ReignVox - российская компания, специализирующаяся на разработках.
Защита персональных данных в информационных системах 24 ноября 2010 года.
Общий порядок действий оператора по выполнению требований Федерального закона от ФЗ «О персональных данных»
Федеральный закон РФ от 27 июля 2006 года 152-ФЗ «О персональных данных»
Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 1 Тема:
Законодательная и нормативная база правового регулирования вопросов защиты персональных данных. Руководящие документы по защите персональных данных Законодательная.
Обеспечение безопасности персональных данных НОРМАТИВНАЯ БАЗА И ПРАКТИКА Серженко Дмитрий Иванович заведующий центром информатизации ИМЦ Петродворцового.
Уровни правового регулирования Международные акты Федеральные законы Указы президента, Постановления правительства РФ Акты уполномоченных федеральных органов.
Бикбулатов Тагир Ахатович Управление Роскомнадзора по Республике Башкортостан Специалист-эксперт отдела по защите прав субъектов персональных данных.
Заместитель директора ООО «ИТ Энигма» по информационной безопасности Метальников Александр ОСНОВНЫЕ ВОПРОСЫ РАБОТЫ ИТ- СПЕЦИАЛИСТА ЛПУ ПО ЗАЩИТЕ ПДН.
2009 г. Об обеспечении безопасности персональных данных с использованием шифровальных (криптографических) средств.
Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в.
М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.
2012 г. О ЗАЩИТЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ.
Некоторые вопросы обеспечения информационной безопасности в учреждениях здравоохранения Начальник аналитического отдела ООО «Стандарт безопасности» Дмитрий.
Информационная безопасность в защищенной корпоративной сети передачи данных (ЗКСПД) 2010 г. Начальник отдела по информационной безопасности ФГУ ФЦТ Начальник.
Транксрипт:

Персональные данные (ПДн). Организация работы по защите ПДн в образовательном учреждении 14 апреля 2010 года

Нормативно-правовая база Федеральный закон «О защите персональных данных» 152-ФЗ от Федеральный закон «О защите персональных данных» 152-ФЗ от Федеральный закон «Об информации, информационных технологиях и защите информации» 149-ФЗ от Федеральный закон «Об информации, информационных технологиях и защите информации» 149-ФЗ от Трудовой кодекс Российской Федерации Трудовой кодекс Российской Федерации Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» 188 от Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» 188 от Постановление Правительства РФ от «Об утверждении Положения об обеспечении безопасности персональных данных при обработке в информационных системах персональных данных» Постановление Правительства РФ от «Об утверждении Положения об обеспечении безопасности персональных данных при обработке в информационных системах персональных данных» Постановление Правительства РФ от «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Постановление Правительства РФ от «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Нормативно-правовая база Министерство связи и массовых коммуникаций совместно с Федеральной службой по надзору в сфере связи и массовых коммуникаций издали Приказ от «Об утверждении образца формы Уведомления об обработке персональных данных», а также Рекомендации по заполнению этой формы совместно с Федеральной службой по надзору в сфере связи и массовых коммуникаций издали Приказ от «Об утверждении образца формы Уведомления об обработке персональных данных», а также Рекомендации по заполнению этой формы Приказ от «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных» Приказ от «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных»

Нормативно-правовая база (непосредственно связана с защитой ПДн при использовании ИТ) Постановление Правительства РФ от «О лицензировании деятельности по технической защите конфиденциальной информации» Постановление Правительства РФ от «О лицензировании деятельности по технической защите конфиденциальной информации» Приказ ФСТЭК, ФСБ, Мининформсвязи от /86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» Приказ ФСТЭК, ФСБ, Мининформсвязи от /86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» Приложение к Приказу ФСТЭК от «Об утверждении положения о методах и способах защиты информации в информационных системах ПДн» Приложение к Приказу ФСТЭК от «Об утверждении положения о методах и способах защиты информации в информационных системах ПДн»

Нормативно-правовая база (непосредственно связана с защитой ПДн при использовании ИТ) Методические документы ФСТЭК России: «Базовая модель угроз безопасности ПДн при их обработке в информационных системах ПДн» от «Базовая модель угроз безопасности ПДн при их обработке в информационных системах ПДн» от «Методика определения актуальных угроз безопасности ПДн при их обработке в информационных системах ПДн» от «Методика определения актуальных угроз безопасности ПДн при их обработке в информационных системах ПДн» от «Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в информационных системах ПДн» от «Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в информационных системах ПДн» от «Рекомендации по обеспечению безопасности ПДн при их обработке в информационных системах ПДн» от «Рекомендации по обеспечению безопасности ПДн при их обработке в информационных системах ПДн» от Приложение к Приказу ФСТЭК от «Положение о методах и способах защиты информации в информационных системах ПДн» Приложение к Приказу ФСТЭК от «Положение о методах и способах защиты информации в информационных системах ПДн»

Нормативно-правовая база (для руководства производителей программного обеспечения для обработки ПДн) Постановление Правительства РФ от «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами Постановление Правительства РФ от «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами

Нормативно-правовая база (для руководства производителей программного обеспечения для обработки ПДн) Документы ФСБ России: Приказ от , которым утверждено Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации Приказ от , которым утверждено Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в информационных системах ПДн с использованием автоматизации (от /54-144) Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в информационных системах ПДн с использованием автоматизации (от /54-144) Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих гостайну, в случае их использования для обеспечения безопасности ПДн при их обработке в информационных системах ПДн (от /6/6-622) Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих гостайну, в случае их использования для обеспечения безопасности ПДн при их обработке в информационных системах ПДн (от /6/6-622)

Комплекс мероприятий инвентаризация/обследование информационных системы ПДн, созданных/ существующих в организации; инвентаризация/обследование информационных системы ПДн, созданных/ существующих в организации; формирование перечня подразделений и сотрудников, участвующих в обработке ПДн в рамках служебной деятельности (определить лиц, имеющих доступ к данным; формирование перечня подразделений и сотрудников, участвующих в обработке ПДн в рамках служебной деятельности (определить лиц, имеющих доступ к данным; проведение категорирования ПДн и классификации ИСПДн; проведение категорирования ПДн и классификации ИСПДн; формирование актуальной модели угроз в отношении каждой ИСПДн и разработке на основе модели угроз системы защиты ПДн; формирование актуальной модели угроз в отношении каждой ИСПДн и разработке на основе модели угроз системы защиты ПДн; анализ возможности по выработке мер, направленных на снижение категорий обрабатываемых ПДн и в необходимых случаях проведение уточнения классов ИСПДн, составление и утверждение акта классификации ИСПДн; анализ возможности по выработке мер, направленных на снижение категорий обрабатываемых ПДн и в необходимых случаях проведение уточнения классов ИСПДн, составление и утверждение акта классификации ИСПДн; подготовка технического задания по созданию требуемой системы защиты с учетом присвоенного класса защиты; подготовка технического задания по созданию требуемой системы защиты с учетом присвоенного класса защиты; проектировка и внедрение системы защиты ПДн, в т.ч. выполнение требований по инженерно-технической защите помещений, пожарной безопасности, охране, электропитанию и заземлению, санитарные и экологические требования; проектировка и внедрение системы защиты ПДн, в т.ч. выполнение требований по инженерно-технической защите помещений, пожарной безопасности, охране, электропитанию и заземлению, санитарные и экологические требования;

Комплекс мероприятий разработка пакета внутренних организационно- распорядительных документов, регламентирующих обработку ПДн, в том числе установление сроков хранения данных, а также условий прекращения обработки ПДн; разработка пакета внутренних организационно- распорядительных документов, регламентирующих обработку ПДн, в том числе установление сроков хранения данных, а также условий прекращения обработки ПДн; аттестация (сертификация) или декларирование соответствия информационной системы персональных данных требованиям безопасности информации; аттестация (сертификация) или декларирование соответствия информационной системы персональных данных требованиям безопасности информации; назначение сотрудников (специальной комиссии), ответственных за защиту ПДн, в том числе для рассмотрения всех вопросов, связанных с исполнением законодательства о защите персональных данных; назначение сотрудников (специальной комиссии), ответственных за защиту ПДн, в том числе для рассмотрения всех вопросов, связанных с исполнением законодательства о защите персональных данных; обучение/повышение квалификации сотрудников в области защиты персональных данных; обучение/повышение квалификации сотрудников в области защиты персональных данных; эксплуатация ИС - мониторинг, выявление и реагирование на инциденты ИБ, техническая поддержка и сопровождение подсистем безопасности, контроль; эксплуатация ИС - мониторинг, выявление и реагирование на инциденты ИБ, техническая поддержка и сопровождение подсистем безопасности, контроль; контроль. контроль.

С чего начать? Определить состав и категории обрабатываемых персональных данных Определить состав и категории обрабатываемых персональных данных Установить категории ПДн, способы и цели их обработки Установить категории ПДн, способы и цели их обработки Определить информационные системы, в которых обрабатываются ПДн (ИСПДн) Определить информационные системы, в которых обрабатываются ПДн (ИСПДн)(ИСПДн) Разработать документы, регламентирующие обработку ПДн в ОУ Разработать документы, регламентирующие обработку ПДн в ОУдокументы Далее – Направить Уведомление в Роскомнадзор

Определение необходимого объема и перечня обрабатываемых персональных данных сотрудников и обучающихся; Определение необходимого объема и перечня обрабатываемых персональных данных сотрудников и обучающихся; Разработка, согласование и утверждение: Разработка, согласование и утверждение: –Положения о персональных данных сотрудников; –Положения о персональных данных обучающихся; –формы Согласия на обработку персональных данных сотрудников; –формы Согласия на обработку персональных данных обучающихся; –формы заявлений о приеме обучающихся; Издание Приказа о назначении лиц, персонально ответственных за работу с персональными данными, с внесением дополнений в их должностные инструкции; Издание Приказа о назначении лиц, персонально ответственных за работу с персональными данными, с внесением дополнений в их должностные инструкции; Ознакомление этих лиц с нормами и требованиями законодательства, локальных актов и документов о защите персональных данных и требованиями к персональной ответственности за их нарушение под роспись; Ознакомление этих лиц с нормами и требованиями законодательства, локальных актов и документов о защите персональных данных и требованиями к персональной ответственности за их нарушение под роспись; Определение порядка обработки, размещения и охраны персональных данных. Регламентация доступа сотрудников образовательного учреждения к конфиденциальным сведениям, документам и базам данных входит в число основных направлений защиты информации и предназначена для разграничения полномочий между всеми работниками образовательного учреждения, допущенными к обработке персональных данных. Определение порядка обработки, размещения и охраны персональных данных. Регламентация доступа сотрудников образовательного учреждения к конфиденциальным сведениям, документам и базам данных входит в число основных направлений защиты информации и предназначена для разграничения полномочий между всеми работниками образовательного учреждения, допущенными к обработке персональных данных.

Выявление информационных систем и баз данных, где хранятся и обрабатываются ПДн (например, анкетирование); Выявление информационных систем и баз данных, где хранятся и обрабатываются ПДн (например, анкетирование); Провести группировку выявленных ИСПДн (Цель – выявление ИСПДн со сходными характеристиками ПДн и угрозами); Провести группировку выявленных ИСПДн (Цель – выявление ИСПДн со сходными характеристиками ПДн и угрозами); Проверка установленного в ОУ программного обеспечения на предмет наличия в нем персональных данных сотрудников и обучающихся. (Например, установить, что указанные персональные данные обрабатываются только в программных продуктах ДОгМ); Проверка установленного в ОУ программного обеспечения на предмет наличия в нем персональных данных сотрудников и обучающихся. (Например, установить, что указанные персональные данные обрабатываются только в программных продуктах ДОгМ); Проведение классификации используемых информационных систем в соответствии с Порядком проведения классификации информационных систем персональных данных. Проведение классификации используемых информационных систем в соответствии с Порядком проведения классификации информационных систем персональных данных.

Реализация мер защиты Разработать и внедрить систему защиты персональных данных Разработать и внедрить систему защиты персональных данных Провести аттестацию или декларирование соответствия ИСПДн по требованиям безопасности информации Провести аттестацию или декларирование соответствия ИСПДн по требованиям безопасности информации

Полезные ссылки - Федеральная служба по надзору в сфере связи, информационных технологий и коммуникаций (РОСКОМНАДЗОР) - Федеральная служба по надзору в сфере связи, информационных технологий и коммуникаций (РОСКОМНАДЗОР) – Портал персональных данных – Портал персональных данных Федеральная служба по техническому и экспортному контролю (ФСТЭК России) - Федеральная служба по техническому и экспортному контролю (ФСТЭК России)