ПРОБЛЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ Информация предоставлена: Вифлеемский А.Б., директор центра экономики образования, доктор экономических наук Лозицкий И. Г., генеральный директор группы компаний АВЕРС, кандидат технических наук
Вифлеемский А.Б., 2009
ПЕРЕЧЕНЬ ПРАВОВЫХ И НОРМАТИВНО-МЕТОДИЧЕСКИХ ДОКУМЕНТОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и защите информации" Трудовой кодекс Российской Федерации Указ Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера» Постановление Правительства РФ от 17 ноября 2007 г. N 781, которым утверждено Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Постановление Правительства РФ от 15 сентября 2008 г. N 681, которым утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации Приказ Россвязькомнадзора от 17 июля 2008 г. 08 «Об утверждении образца формы Уведомления об обработке персональных данных Вифлеемский А.Б., 2009
ПЕРЕЧЕНЬ ПРАВОВЫХ И НОРМАТИВНО-МЕТОДИЧЕСКИХ ДОКУМЕНТОВ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ Постановление Правительства РФ от 15 августа 2006 г. 504 «О лицензировании деятельности по технической защите конфиденциальной информации» Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных» Документы для служебного пользования ФСТЭК России: «Основные мероприятия по организации и техническому обеспечению персональных данных, обрабатываемых в информационных системах персональных данных» от 15 февраля 2008 г. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 г. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 г. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 г. Вифлеемский А.Б., 2009
ОСНОВНЫЕ ПОНЯТИЯ Конфиденциальная информация - это документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. К персональным данным относятся любые сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Специальные данные, в отношении которых действуют повышенные меры защиты от несанкционированной обработки и распространения. Это информация, касающаяся: - расовой, национальной принадлежности; - политических взглядов, религиозных или философских убеждений; -состояния здоровья, интимной жизни Информационные системы персональных данных (информационные системы) - совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. Вифлеемский А.Б., 2009
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных в пункте Согласия субъекта персональных данных не требуется в следующих случаях: 1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора; 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных; Вифлеемский А.Б., 2009
ПОЛОЖЕНИЕ О ПЕРСОНАЛЬНЫХ ДАННЫХ Примерная структура: Общие положения Условия проведения обработки персональных данных Хранение и использование персональных данных Порядок передачи персональных данных Права работников, обучающихся на обеспечение защиты персональных данных Обязанности субъекта персональных данных по обеспечению достоверности его персональных данных Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных Вифлеемский А.Б., 2009
УВЕДОМЛЕНИЕ УПОЛНОМОЧЕННОГО ОРГАНА 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных пунктом Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения; 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; 4) являющихся общедоступными персональными данными; 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных; Вифлеемский А.Б., 2009
УВЕДОМЛЕНИЕ УПОЛНОМОЧЕННОГО ОРГАНА 6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях; 7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.. Вифлеемский А.Б., 2009
ИНФОРМАЦИОННЫЕ СИСТЕМЫ совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. ст. 3 Федерального закона «О персональных данных» Вифлеемский А.Б., 2009
АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА включает в себя следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение. Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера (ETS 108, Заключена в г. Страсбурге ) Вифлеемский А.Б., 2009
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Постановление Правительства РФ от 15 сентября 2008 г. 687 Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации Вифлеемский А.Б., 2009
ВЫВОД: С точки зрения определений, данных в действующем законодательстве, подавляющее большинство информационных систем, используемых образовательными учреждениями, формально можно рассматривать как осуществляемые без использования средств автоматизации (включая АРМ «Директор», и значительную часть бухгалтерского программного обеспечения). Вифлеемский А.Б., 2009
АЛГОРИТМ ОРГАНИЗАЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 1.Определение состава и категории обрабатываемых персональных данных. 2.Инвентаризация системы обработки персональных данных в учреждении. 3.Формирование перечня персональных данных. 4.Установление сроков обработки персональных данных. 5.Ограничение доступа работников учреждения к персональным данным. 6.Документальная регламентация работы с персональными данными. 7.Согласие субъектов персональных данных на обработку. 8.Пересмотр договоров с субъектами. 9.Составление и направление в уполномоченный орган соответствующего уведомления. Вифлеемский А.Б., 2009
АЛГОРИТМ ОРГАНИЗАЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ Следующие шаги необходимы только при наличии в учреждении информационной системы персональных данных, позволяющих осуществлять обработку персональных данных с использованием средств автоматизации. При этом образовательному учреждению следует оценить правовые основания работы с документами ДСП, качество собственной юридической службы (при ее наличии), перспективы судебных разбирательств и объем потенциальных санкций в случае признания судом методических документов ДСП, изданных ФСТЭК, обязательными для исполнения нормативными правовыми актами. Подавляющему большинству образовательных учреждений нижеперечисленные шаги реализовывать нет необходимости. 10.Получение во ФСТЭК документов ДСП для выполнения требований действующего законодательства. 11.Формирование модели угроз персональным данным. 12.Классифицирование информационных систем персональных данных 13.Приведение системы защиты персональных данных в соответствие с требованиями законодательства 14.Получение лицензии на техническую защиту конфиденциальной информации. 15.Создание подсистемы информационной безопасности ИСПД и ее аттестация (сертификация). 16.Организация эксплуатации ИСПД и контроль за безопасностью. Вифлеемский А.Б., 2009
КОРОТКО О ГЛАВНОМ: 1.Обязательными являются организационные мероприятия - получение согласия родителей учащихся и работников на предоставление персональных данных 2.Наличие положения по работе с персональными данными сотрудников и обучающихся, кто и к каким данным имеет доступ, какие данные и в каком порядке могут предоставляться во внешние организации и т. д.; 3.В зависимости от класса системы обработки - сертификация ПЭВМ и ЛВС; 4.Сертификация операционной системы (Microsoft, Linux) на работу с персональными данными. На сайте ФСТЭК перечислены операционные системы, прошедшие сертификацию. 5.АРМ Директор- это только элемент общей системы обработки информации. Защита персональных данных в них полностью обеспечивается сертифицированными операционными системами: защита от несанкционированного доступа, регистрация (протоколирование) попыток несанкционированного доступа к системе и др. Вифлеемский А.Б., 2009
Заявки на приобретение принимаются по электронной почте По телефону +7 (903) Вифлеемский А.Б., 2009
Спасибо за внимание! Готова ответить на вопросы. Группа Компаний АВЕРС (НПП «ФинПромМаркет-ХХI) Россия, Москва, пер. Денисовский, 4 Телефон/факс : +7 (499) (903)