ПЕРСОНАЛЬНЫЕ ДАННЫЕ Докладчик к. т. н., доцент ГЛИЗНУЦИН Владимир Евгеньевич.

Презентация:



Advertisements
Похожие презентации
Законодательная и нормативная база правового регулирования вопросов защиты персональных данных. Руководящие документы по защите персональных данных Законодательная.
Advertisements

Общий порядок действий оператора по выполнению требований Федерального закона от ФЗ «О персональных данных»
1 Статья 3. Основные понятия, используемые в настоящем Федеральном законе Статья 3. Основные понятия, используемые в настоящем Федеральном законе Персональные.
Управление Роскомнадзора по Республике Крым и городу Севастополь Контактный телефон: ( ) Сайт Управления : 1 Тема:
Бикбулатов Тагир Ахатович Управление Роскомнадзора по Республике Башкортостан Специалист-эксперт отдела по защите прав субъектов персональных данных.
ВОПРОСЫ ЗАЩИТЫ ИНФОРМАЦИИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ В СВЯЗИ С ИЗДАНИЕМ ПРИКАЗА ФСТЭК РОССИИ.
Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.
Обеспечение безопасности персональных данных НОРМАТИВНАЯ БАЗА И ПРАКТИКА Серженко Дмитрий Иванович заведующий центром информатизации ИМЦ Петродворцового.
Защита персональных данных работников. Положения о защите персональных данных работников регламентируют Конституция Российской Федерации Конституция Российской.
Салихов Ильдар Амирович Управление Роскомнадзора по Республике Башкортостан Главный специалист-эксперт отдела по защите прав субъектов персональных данных.
Федеральный закон 152-ФЗ «О персональных данных» от 27 июля 2006 года ( с последними изменениями от 25 июля 2011 года) Требования к юридическим лицам.
М.Ю.Емельянников Заместитель коммерческого директора НИП «ИНФОРМЗАЩИТА» Защита персональных данных: алгоритм для законопослушных банков ИНФОРМАЦИОННАЯ.
Обеспечение безопасности персональных данных. Проблемы и решения 9 марта 2011 года.
Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в.
НАЧАЛЬНИК ОТДЕЛА ЗАЩИТЫ ИНФОРМАЦИИ ОТ ЕЁ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ ТТИ ЮФУ Коробилов Юрий Борисович.
В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет: Положение об обеспечении 1.
Управление ФСТЭК России по Сибирскому федеральному округу «О требованиях к защите персональных данных при их обработке в информационных системах персональных.
Защита персональных данных в информационных системах 24 ноября 2010 года.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу ( субъекту персональных.
Компания «Инфо-Оберег» Дорофеев Владимир Игоревич.
Транксрипт:

ПЕРСОНАЛЬНЫЕ ДАННЫЕ Докладчик к. т. н., доцент ГЛИЗНУЦИН Владимир Евгеньевич

Все юридические лица и ИП–работодатели обрабатывают персональные данные как минимум своих работников в целях выполнения трудового законодательства

Меры по организации обработки и обеспечению безопасности ПДн при их обработке Оператор ПДн Обязан принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий Устанавливает требования: - к организации обработки - к обеспечению безопасности ПДн ФСБ России Контроль и надзор за выполнением требований в пределах их полномочий и без права ознакомления с ПДн, обрабатываемыми в ИСПДн Правительство РФ Закон РФ N152-ФЗ «О персональных данных»

Риски: Гражданские иски со стороны клиентов или работников Риски недобросовестной конкуренции Репутационные риски Привлечение компании и (или) ее руководителя к гражданской, административной и уголовной ответственности

Без использования компьютеров С использованием компьютеров Бухгалтер начисляет зарплату вручную и отчитывается в ИФНС и ПФР лично без ТКС Учет зарплаты и кадров автоматизирован (например, 1С) + есть клиенты – физические лица + при оказании услуг ЮЛ и ИП обрабатываются ПДн третьих лиц (например, пропускной режим) + Учет клиентов автоматизирован

1. Основные меры по организации обработки персональных данных

1. Политика оператора в отношении обработки ПДн ( ст ФЗ ) Политика Оператора определяет: - порядок и условия обработки персональных данных с использованием средств автоматизации и без использования таких средств - реализуемые требования к защите персональных данных Политика должна быть опубликована

2. Положение об обработке и защите ПДн ( ст ФЗ ) Оператор обязан утвердить правила обработки персональных данных Работники должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников ( ТК ст.86)

3. Положение о рассмотрении запросов субъектов ПДн или их представителей ( ст. 14, ФЗ ) Оператор при получении запроса обязан : - проинформировать субъекта персональных данных о наличии его персональных данных - предоставить возможность ознакомления с этими персональными данными Ответственный за организацию работы с персональными данными организовывает прием и обработку запросов

4. Положение об осуществлении внутреннего контроля ( ст ФЗ ) Оператор обязан осуществлять внутренний контроль за : - соответствием обработки персональных данных Федеральному закону - выполнением требований к защите персональных данных,

5. Перечни ПДн ( ст ФЗ ) Обработке подлежат только персональные данные, которые отвечают целям их обработки. Оператор обязан утвердить : - перечень персональных данных, обрабатываемых в связи с реализацией трудовых отношений - перечень персональных данных, обрабатываемых в связи с реализацией договорных отношений

6. Перечень ИСПДн ( Пост Прав. 211) Оператор обязан : - применять организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ( ИСПДн ) - утвердить перечень информационных систем персональных данных ;

7. Перечни должностей, осуществляющих обработку ПДн или имеющих доступ к ПДн ( Пост Прав 211) Оператор обязан : - организовать разрешительную систему доступа в помещения - утвердить перечень должностей сотрудников, обрабатывающих персональные данные или имеющих к ним доступ

8. Должностная инструкция ответственного за организацию обработки ПДн ( Пост Прав 211) Оператор обязан : - назначить ответственного за организацию обработки персональных данных из числа работников - утвердить должностную инструкцию ответственного за организацию обработки персональных данных

9. Типовые формы - Обязательство сотрудника о неразглашении ( ст ФЗ ); - Согласие на обработку ПДн сотрудника, иных субъектов ( ст ФЗ ); - Разъяснения субъекту ПДн юридических последствий отказа предоставить свои ПДн ( ст ФЗ )

Распределение ответственности Назначение ответственного за организацию обработки ПДн ( ст ФЗ ) Назначение ответственного за обеспечение безопасности обработки ПДн Разрешительная система доступа к ПДн ( ст ФЗ )

Введение в Трудовой договор пункта обязанности по обеспечению безопасности обработки ПДн и ответственности за нарушение Включение в договор с третьими лицами обязанность соблюдать конфиденциальность ПДн и безопасность при их обработке ( ст ФЗ ) Распределение ответственности

Ознакомление работников с нормативными актами положениями законодательства РФ о ПДн, в т. ч. по защите ПДн документами, определяющими политику оператора по ПДн локальными актами оператора по вопросам обработки ПДн и обучение работников

1. Законодательство в области персональных данных 2. Основные требования законодательства Российской Федерации в области персональных данных 3. Организация работы с персональными данными 4. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации 5. Обработка персональных данных в автоматизированных системах 6. Итоговое занятие (зачет) Программа обучения работников

2. Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации ( Утв. Пост Прав. РФ от 15 сентября 2008 г 687)

Приказ об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации Особенности обработки ПДн

Каждой категории ПДн определить места хранения Приказ об утверждении мест хранения материальных носителей ПДн и мест обработки ПДн, осуществляемой без использования средств автоматизации Меры по обеспечению безопасности ПДн

Установить перечень лиц, осуществляющих обработку ПДн либо имеющим к ним доступ Меры по обеспечению безопасности ПДн Приказ об утверждении перечня лиц, осуществляющих обработку ПДн без использования средств автоматизации либо имеющих к ним доступ

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ Меры по обеспечению безопасности ПДн Приказ об утверждении Инструкции о порядке организации учета, хранения и выдачи материальных носителей ПДн

Меры по обеспечению безопасности ПДн Приказ о назначении ответственного за обеспечение безопасности ПДн при их обработке, осуществляемой без использования средств автоматизации Перечень лиц, ответственных за сохранность ПДн устанавливается Оператором

3. Требования к защите персональных данных при их обработке в информационных системах персональных данных ( Утв. Постановлением Правительства РФ от )

Новая классификация информационных систем По категориям ПДн: Специальные Биометрические Общедоступные Прочие

Новая классификация информационных систем По субъектам ПДн: Только сотрудников Не сотрудников

Новая классификация информационных систем По количеству субъектов ПДн Менее чем субъектов Более чем субъектов

Классификация актуальных угроз По типу : 3 тип актуальны прочие угрозы НСД 2 тип + актуальны угрозы НДВ прикладного ПО 1 тип + актуальны угрозы НДВ операционной системы

Актуальность угрозы Категория ПДнСубъект ПДнКоличество субъектов 1 типа СпециальнаяСотрудник < > Не сотрудник < > БиометрияСотрудник < > Не сотрудник < > ОбщедоступныеСотрудник < > Не сотрудник < > Иные, кромеСотрудник < > Не сотрудник < > уровень защищенности 2 уровень защищенности 3 уровень защищенности 4 уровень защищенности Актуальность угрозы Категория ПДнСубъект ПДнКоличество субъектов 2 типа СпециальнаяСотрудник < > Не сотрудник < > БиометрияСотрудник < > Не сотрудник < > ОбщедоступныеСотрудник < > Не сотрудник < > Иные, кромеСотрудник < > Не сотрудник < > Актуальность угрозы Категория ПДнСубъект ПДнКоличество субъектов 3 типа СпециальнаяСотрудник < > Не сотрудник < > БиометрияСотрудник < > Не сотрудник < > ОбщедоступныеСотрудник < > Не сотрудник < > Иные, кромеСотрудник < > Не сотрудник < >

МЕРЫ ПО ЗАЩИТЕ 4 уровень защищенности организация режима обеспечения безопасности помещений обеспечение сохранности носителей ПДн перечень лиц, имеющих доступ к ПДн применение СЗИ, прошедших оценку соответствия

МЕРЫ ПО ЗАЩИТЕ 3 уровень защищенности + назначение ответственного за безопасность ПДн

МЕРЫ ПО ЗАЩИТЕ 2 уровень защищенности + доступ к содержанию электронного журнала сообщений возможен исключительно для должностных лиц

МЕРЫ ПО ЗАЩИТЕ 1 уровень защищенности + автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора создание структурного подразделения, ответственного за обеспечение безопасности персональных данных

Контроль Контроль за выполнением настоящих требований организуется и проводится оператором самостоятельно или с привлечением лиц, имеющих лицензию на осуществление деятельности по ТЗКИ Контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором

Приказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

Выбор мер по обеспечению безопасности персональных данных определение базового набора мер (от 27 до 69) адаптация базового набора мер уточнение адаптированного базового набора мер дополнение уточненного адаптированного базового набора мер При невозможности технической реализации... а также с учетом экономической целесообразности могут разрабатываться иные (компенсирующие) меры (всего 40)

Приказ Роскомнадзора от г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных"

Под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обезличивание Деобезличивание

Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки.

Свойства обезличенных данных полнота структурированность релевантность семантическая целостность применимость анонимность

Требования к свойствам получаемых обезличенных данных сохранение полноты сохранение структурированности сохранение семантической целостности анонимность отдельных данных

Требования к свойствам метода обезличивания обратимость возможность обеспечения заданного уровня анонимности увеличение стойкости при увеличении объема обезличиваемых персональных данных.

Методы обезличивания метод введения идентификаторов метод изменения состава или семантики метод декомпозиции метод перемешивания

Провести обследование процессов обработки ПДн Назначить ответственных сотрудников Разработать полный пакет внутренних нормативных актов и организационно- распорядительных документов ИТОГО : НЕОБХОДИМО СДЕЛАТЬ

Разработать и внедрить систему защиты ПДн, которые обрабатываются на компьютере Обучить сотрудников, имеющих доступ к ПДн

ИТОГО : НЕОБХОДИМО СДЕЛАТЬ Подать Уведомление об обработке ПДн в Управление Роскомнадзора по Липецкой области Осуществлять регулярный контроль за соблюдением правил обработки ПДн Поддерживать правила обработки ПДн в актуальном состоянии