Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в. - презентация

1 Проведение ведомственных выездных проверок организации защиты персональных данных при их обработке в учреждениях здравоохранения Челябинской области в 2015 году Инженер по защите информации отдела информационной безопасности ГБУЗ «ЧОМИАЦ» Ярослав Александрович Сапожников

2 Проверка организации защиты персональных данных

3 Документы, регламентирующие защиту персональных данных Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных данных» «Требования к защите персональных данных при их обработке в информационных системах персональных данных», утвержденные Постановлением Правительства Российской Федерации от 01 ноября 2012 г «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденные приказом ФСТЭК России от 11 февраля 2013 г. 17

4 Документы, регламентирующие защиту персональных данных «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», утвержденные Приказом ФСБ России от 10 июля 2014 г. 378

5 Документы, регламентирующие защиту персональных данных «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 г. 149/6/6-622 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденное Постановлением Правительства Российской Федерации от 15 сентября 2008 г. 687

6 Статистика выявленных нарушений в 2015 году

7 Федеральный закон от 27 июля 2006 года 152-ФЗ «О персональных данных» Статья 22 Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных В случае изменения сведений, оператор обязан уведомить об этом в течение десяти рабочих дней с даты возникновения таких изменений Нарушения: Неактуальная информация Отсутствие правовых оснований Некорректно определена цель обработки персональных данных

8 Федеральный закон от 27 июля 2006 года 152-ФЗ «О персональных данных» Статья 18.1 Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных Нарушения: Отсутствие политики Не обеспечен неограниченный доступ

9 Федеральный закон от 27 июля 2006 года 152-ФЗ «О персональных данных» Статья 18.1 Ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных и обучение указанных работников Нарушения Не ознакомлены Не выполняются требования

10 Федеральный закон от 27 июля 2006 года 152-ФЗ «О персональных данных» В соответствии с: ст. 7 Федерального закона от 27 июля 2006 г. «О персональных данных», ч. 2 ст. 13 Федерального закона от 21 ноября 2011 г ФЗ «Об основах охраны здоровья граждан в Российской Федерации», п. 7 ст. 86 Трудового кодекса Российской Федерации подписать с сотрудниками обязательство о неразглашении персональных данных и внести соответствующие изменения в должностные инструкции сотрудников

11 Федеральный закон от 27 июля 2006 года 152-ФЗ «О персональных данных» Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом Статья 18.1 Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Статья 19

12 Угрозы безопасности персональным данным Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности (ФСБ России, 149/7/2/6-432, 31 марта 2015 г.) Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (ФСБ России, 149/5-144, 2008)

13 Угрозы безопасности персональным данным Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (утверждена 14 февраля 2008 г. заместителем директора ФСТЭК России) Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (утверждена 15 февраля 2008 г. заместителем директора ФСТЭК России) Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости (утверждены 23 декабря 2009 г. Директором Департамента информатизации Министерства здравоохранения и социального развития Российской Федерации)

14 Не определены уровни защищенности персональных данных и классы защищенности Постановление Правительства РФ от «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Приказ ФСТЭК России от «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

15 Приказ ФСБ России от 10 июля 2014 г. 378 организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения обеспечение сохранности носителей персональных данных утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей

16 «Типовые требования…» ФСБ России 21 февраля 2008 г. 149/6/6-622 Нарушения: Пользователи средств криптографической защиты информации зачастую не имеют должного уровня подготовки, не осведомлены о порядке хранения ключевых носителей и документации к средствам криптографической защиты информации. Не назначается ответственный пользователь средств криптографической защиты информации Эксплуатация средств криптографической защиты информации, которая регламентируется нормативными документами ФСБ России, осуществляется с нарушениями, не выполняются предписанные формулярами требования

17 «Типовые требования…» ФСБ России 21 февраля 2008 г. 149/6/6-622 Нарушения: Не ведется учет средств криптографической защиты информации и документации к ним, ключевых носителей, посредством журнала учета Места хранения средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов, не утверждаются Замочные скважины хранилищ (шкафов, сейфов) не опечатываются. Также не опечатываются: системные блоки в составе автоматизированных рабочих мест, на которых установлены средства криптографической защиты информации и (или) режимные помещения

18 Постановлением Правительства Российской Федерации от 15 сентября 2008 г. 687 Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором

19 Федеральный закон от ФЗ «Об информации, информационных технологиях и о защите информации» Статья 14 Не допускается эксплуатация государственной информационной системы без надлежащего оформления прав на использование ее компонентов, являющихся объектами интеллектуальной собственности

20 Услуги ГБУЗ «ЧОМИАЦ» по защите информации Разработка и внедрение комплекта документов для обеспечения безопасности персональных данных с использованием средств криптографической защиты информации Сопровождение комплекта документов Представление интересов при проведение проверок по защите информации в отношении Вашего учреждения

21 Вопросы?