Персональные данные (ПДн). Организация работы по защите ПДн в образовательном учреждении 14 апреля 2010 года
Нормативно-правовая база Федеральный закон «О защите персональных данных» 152-ФЗ от Федеральный закон «О защите персональных данных» 152-ФЗ от Федеральный закон «Об информации, информационных технологиях и защите информации» 149-ФЗ от Федеральный закон «Об информации, информационных технологиях и защите информации» 149-ФЗ от Трудовой кодекс Российской Федерации Трудовой кодекс Российской Федерации Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» 188 от Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» 188 от Постановление Правительства РФ от «Об утверждении Положения об обеспечении безопасности персональных данных при обработке в информационных системах персональных данных» Постановление Правительства РФ от «Об утверждении Положения об обеспечении безопасности персональных данных при обработке в информационных системах персональных данных» Постановление Правительства РФ от «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Постановление Правительства РФ от «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Нормативно-правовая база Министерство связи и массовых коммуникаций совместно с Федеральной службой по надзору в сфере связи и массовых коммуникаций издали Приказ от «Об утверждении образца формы Уведомления об обработке персональных данных», а также Рекомендации по заполнению этой формы совместно с Федеральной службой по надзору в сфере связи и массовых коммуникаций издали Приказ от «Об утверждении образца формы Уведомления об обработке персональных данных», а также Рекомендации по заполнению этой формы Приказ от «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных» Приказ от «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных»
Нормативно-правовая база (непосредственно связана с защитой ПДн при использовании ИТ) Постановление Правительства РФ от «О лицензировании деятельности по технической защите конфиденциальной информации» Постановление Правительства РФ от «О лицензировании деятельности по технической защите конфиденциальной информации» Приказ ФСТЭК, ФСБ, Мининформсвязи от /86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» Приказ ФСТЭК, ФСБ, Мининформсвязи от /86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» Приложение к Приказу ФСТЭК от «Об утверждении положения о методах и способах защиты информации в информационных системах ПДн» Приложение к Приказу ФСТЭК от «Об утверждении положения о методах и способах защиты информации в информационных системах ПДн»
Нормативно-правовая база (непосредственно связана с защитой ПДн при использовании ИТ) Методические документы ФСТЭК России: «Базовая модель угроз безопасности ПДн при их обработке в информационных системах ПДн» от «Базовая модель угроз безопасности ПДн при их обработке в информационных системах ПДн» от «Методика определения актуальных угроз безопасности ПДн при их обработке в информационных системах ПДн» от «Методика определения актуальных угроз безопасности ПДн при их обработке в информационных системах ПДн» от «Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в информационных системах ПДн» от «Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в информационных системах ПДн» от «Рекомендации по обеспечению безопасности ПДн при их обработке в информационных системах ПДн» от «Рекомендации по обеспечению безопасности ПДн при их обработке в информационных системах ПДн» от Приложение к Приказу ФСТЭК от «Положение о методах и способах защиты информации в информационных системах ПДн» Приложение к Приказу ФСТЭК от «Положение о методах и способах защиты информации в информационных системах ПДн»
Нормативно-правовая база (для руководства производителей программного обеспечения для обработки ПДн) Постановление Правительства РФ от «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами Постановление Правительства РФ от «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами
Нормативно-правовая база (для руководства производителей программного обеспечения для обработки ПДн) Документы ФСБ России: Приказ от , которым утверждено Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации Приказ от , которым утверждено Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в информационных системах ПДн с использованием автоматизации (от /54-144) Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в информационных системах ПДн с использованием автоматизации (от /54-144) Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих гостайну, в случае их использования для обеспечения безопасности ПДн при их обработке в информационных системах ПДн (от /6/6-622) Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих гостайну, в случае их использования для обеспечения безопасности ПДн при их обработке в информационных системах ПДн (от /6/6-622)
Комплекс мероприятий инвентаризация/обследование информационных системы ПДн, созданных/ существующих в организации; инвентаризация/обследование информационных системы ПДн, созданных/ существующих в организации; формирование перечня подразделений и сотрудников, участвующих в обработке ПДн в рамках служебной деятельности (определить лиц, имеющих доступ к данным; формирование перечня подразделений и сотрудников, участвующих в обработке ПДн в рамках служебной деятельности (определить лиц, имеющих доступ к данным; проведение категорирования ПДн и классификации ИСПДн; проведение категорирования ПДн и классификации ИСПДн; формирование актуальной модели угроз в отношении каждой ИСПДн и разработке на основе модели угроз системы защиты ПДн; формирование актуальной модели угроз в отношении каждой ИСПДн и разработке на основе модели угроз системы защиты ПДн; анализ возможности по выработке мер, направленных на снижение категорий обрабатываемых ПДн и в необходимых случаях проведение уточнения классов ИСПДн, составление и утверждение акта классификации ИСПДн; анализ возможности по выработке мер, направленных на снижение категорий обрабатываемых ПДн и в необходимых случаях проведение уточнения классов ИСПДн, составление и утверждение акта классификации ИСПДн; подготовка технического задания по созданию требуемой системы защиты с учетом присвоенного класса защиты; подготовка технического задания по созданию требуемой системы защиты с учетом присвоенного класса защиты; проектировка и внедрение системы защиты ПДн, в т.ч. выполнение требований по инженерно-технической защите помещений, пожарной безопасности, охране, электропитанию и заземлению, санитарные и экологические требования; проектировка и внедрение системы защиты ПДн, в т.ч. выполнение требований по инженерно-технической защите помещений, пожарной безопасности, охране, электропитанию и заземлению, санитарные и экологические требования;
Комплекс мероприятий разработка пакета внутренних организационно- распорядительных документов, регламентирующих обработку ПДн, в том числе установление сроков хранения данных, а также условий прекращения обработки ПДн; разработка пакета внутренних организационно- распорядительных документов, регламентирующих обработку ПДн, в том числе установление сроков хранения данных, а также условий прекращения обработки ПДн; аттестация (сертификация) или декларирование соответствия информационной системы персональных данных требованиям безопасности информации; аттестация (сертификация) или декларирование соответствия информационной системы персональных данных требованиям безопасности информации; назначение сотрудников (специальной комиссии), ответственных за защиту ПДн, в том числе для рассмотрения всех вопросов, связанных с исполнением законодательства о защите персональных данных; назначение сотрудников (специальной комиссии), ответственных за защиту ПДн, в том числе для рассмотрения всех вопросов, связанных с исполнением законодательства о защите персональных данных; обучение/повышение квалификации сотрудников в области защиты персональных данных; обучение/повышение квалификации сотрудников в области защиты персональных данных; эксплуатация ИС - мониторинг, выявление и реагирование на инциденты ИБ, техническая поддержка и сопровождение подсистем безопасности, контроль; эксплуатация ИС - мониторинг, выявление и реагирование на инциденты ИБ, техническая поддержка и сопровождение подсистем безопасности, контроль; контроль. контроль.
С чего начать? Определить состав и категории обрабатываемых персональных данных Определить состав и категории обрабатываемых персональных данных Установить категории ПДн, способы и цели их обработки Установить категории ПДн, способы и цели их обработки Определить информационные системы, в которых обрабатываются ПДн (ИСПДн) Определить информационные системы, в которых обрабатываются ПДн (ИСПДн)(ИСПДн) Разработать документы, регламентирующие обработку ПДн в ОУ Разработать документы, регламентирующие обработку ПДн в ОУдокументы Далее – Направить Уведомление в Роскомнадзор
Определение необходимого объема и перечня обрабатываемых персональных данных сотрудников и обучающихся; Определение необходимого объема и перечня обрабатываемых персональных данных сотрудников и обучающихся; Разработка, согласование и утверждение: Разработка, согласование и утверждение: –Положения о персональных данных сотрудников; –Положения о персональных данных обучающихся; –формы Согласия на обработку персональных данных сотрудников; –формы Согласия на обработку персональных данных обучающихся; –формы заявлений о приеме обучающихся; Издание Приказа о назначении лиц, персонально ответственных за работу с персональными данными, с внесением дополнений в их должностные инструкции; Издание Приказа о назначении лиц, персонально ответственных за работу с персональными данными, с внесением дополнений в их должностные инструкции; Ознакомление этих лиц с нормами и требованиями законодательства, локальных актов и документов о защите персональных данных и требованиями к персональной ответственности за их нарушение под роспись; Ознакомление этих лиц с нормами и требованиями законодательства, локальных актов и документов о защите персональных данных и требованиями к персональной ответственности за их нарушение под роспись; Определение порядка обработки, размещения и охраны персональных данных. Регламентация доступа сотрудников образовательного учреждения к конфиденциальным сведениям, документам и базам данных входит в число основных направлений защиты информации и предназначена для разграничения полномочий между всеми работниками образовательного учреждения, допущенными к обработке персональных данных. Определение порядка обработки, размещения и охраны персональных данных. Регламентация доступа сотрудников образовательного учреждения к конфиденциальным сведениям, документам и базам данных входит в число основных направлений защиты информации и предназначена для разграничения полномочий между всеми работниками образовательного учреждения, допущенными к обработке персональных данных.
Выявление информационных систем и баз данных, где хранятся и обрабатываются ПДн (например, анкетирование); Выявление информационных систем и баз данных, где хранятся и обрабатываются ПДн (например, анкетирование); Провести группировку выявленных ИСПДн (Цель – выявление ИСПДн со сходными характеристиками ПДн и угрозами); Провести группировку выявленных ИСПДн (Цель – выявление ИСПДн со сходными характеристиками ПДн и угрозами); Проверка установленного в ОУ программного обеспечения на предмет наличия в нем персональных данных сотрудников и обучающихся. (Например, установить, что указанные персональные данные обрабатываются только в программных продуктах ДОгМ); Проверка установленного в ОУ программного обеспечения на предмет наличия в нем персональных данных сотрудников и обучающихся. (Например, установить, что указанные персональные данные обрабатываются только в программных продуктах ДОгМ); Проведение классификации используемых информационных систем в соответствии с Порядком проведения классификации информационных систем персональных данных. Проведение классификации используемых информационных систем в соответствии с Порядком проведения классификации информационных систем персональных данных.
Реализация мер защиты Разработать и внедрить систему защиты персональных данных Разработать и внедрить систему защиты персональных данных Провести аттестацию или декларирование соответствия ИСПДн по требованиям безопасности информации Провести аттестацию или декларирование соответствия ИСПДн по требованиям безопасности информации
Полезные ссылки - Федеральная служба по надзору в сфере связи, информационных технологий и коммуникаций (РОСКОМНАДЗОР) - Федеральная служба по надзору в сфере связи, информационных технологий и коммуникаций (РОСКОМНАДЗОР) – Портал персональных данных – Портал персональных данных Федеральная служба по техническому и экспортному контролю (ФСТЭК России) - Федеральная служба по техническому и экспортному контролю (ФСТЭК России)