Федеральный закон о персональных данных. Необходимо: 1.Получать разрешение на обработку и передачу персональных данных. 2.Уведомлять РОСКОМНАДЗОР о том, - презентация

1 Федеральный закон о персональных данных

2 Необходимо: 1.Получать разрешение на обработку и передачу персональных данных. 2.Уведомлять РОСКОМНАДЗОР о том, что организация ведет обработку ПД. 3.Защищать персональные данные. Что требует закон?

3 1.Что такое персональные данные? 2.Что такое обработка персональных данных? 3.В каких случаях нужно получать разрешение? 4.В каких случаях нужно уведомлять РОСКОМНАДЗОР? У всех возникают вопросы

4 5.В каких случаях нужно защищать персональные данные? 6.Как их нужно защищать? 7.В каких документах содержатся ответы на эти вопросы? 8.Ответственность за нарушения? У всех возникают вопросы

5 Законодательная база

6 6

7 Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация; Что такое персональные данные?

8 Действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение(!), уточнение (обновление, изменение), использование, распространение (в том числе), обезличивание, блокирование, уничтожение персональных данных; Что такое обработка персональных данных?

9 Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: 1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения; 2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; 3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных; 4) являющихся общедоступными персональными данными; 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных; 6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях; 7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. В каких случаях нужно уведомлять РОСКОМНАДЗОР?

10 Обеспечение конфиденциальности персональных данных не требуется: 1) в случае обезличивания персональных данных; 2) в отношении общедоступных персональных данных. В каких случаях нужно защищать персональные данные?

11 Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных; Общедоступные и обезличенные.

12 То есть практически во всех случаях В каких случаях нужно защищать персональные данные?

13 Штрафы – минимальные Угроза - 90 дней остановка Отзыв лицензии на основной вид деятельности Группы риска – страховые, медицинские, туристические, финансовые, учебные, гостиницы Чего боятся?

14 Плановые проверки – список на сайте Роскомнадзор Внеплановые проверки - утечка нет уведомления (а бизнес подразумевает сбор) частное лицо инициирует проверку Чего боятся?

15 Изучаем: Нормативную базу по защите ПД Н Обязанности операторов ПД Н по их защите Документы уполномоченных органов Порядок проведения классификации ИСПД Н Классифицируем ИСПД Н как: типовую специальную Защищаем с учетом: Требований ФСТЭК России к ИСПД Н соответствующего класса Рекомендаций по обеспечению безопасности ПД Н с помощью криптосредств Других регулирующих документов Как защищать персональные данные?

16 В соответствие с документами ФСТЭК : 1. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, ФСТЭК России, 2008 г.; 2. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, ФСТЭК России, 2008 г.; 3. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, ФСТЭК России, 2008 г.; 4. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ФСТЭК России, 2008 г. Документами ФСБ 1.«Типовые требования..» 2.«Методические рекомендации..» Как защищать персональные данные?

17 17

18 Классы ИСПД Н X ПД X НПД 3 (100 т.с) Категория 4К4 Категория 3K3K3K3K2 Категория 2K3K2K1 Категория 1K1

19 Основные мероприятия по защите ПД должны быть реализованы в рамках следующих подсистем: –управления доступом –регистрации и учёта –обеспечения целостности –криптографической защиты (Только для K1) –антивирусной защиты –обеспечение безопасного межсетевого взаимодействия ИСПДн –анализ защищенности –обнаружение вторжений –ПЭМИН (Для К1 и К2) –Акустическая защита (Только К1) Основные мероприятия по обеспечению безопасности ПД Н

20 1.Выбор ответственных лиц; 2.Обучение должностных лиц, ответственных за обеспечение безопасности; 3.Инвентаризация персональных данных; 4.Учет носителей информации содержащих ПД; 5.Разработка положение о хранении и уничтожении носителей информации содержащих ПД; 6.Проведение и оформление процедуры определения категории персональных данных; 7.Проведение и оформление процедуры классификации ИСПДн; 8.Определение подкласса ИСПДн; 9.Формирование модели угроз, определение актуальных угроз; 10.Определение требований к ИСПДн к a)подсистеме управления доступом, b)к межсетевому экранированию, c)к средствам защиты от программно математических воздействий (ПМВ), d)к подсистеме регистрации и учета, e)к подсистеме обеспечения целостности, f)к подсистеме антивирусной защиты, g)к наличию не декларированных возможностей в средствах защиты информации h)к защите ИСПДн от ПЭМИН i)К оценке соответствия ИСПДн требованиям безопасности ПДн(аттестат или декларирование соответствия)

21 11. Выбор средств защиты; 12. Внедрение средств защиты 13. Проведение технологических испытаний. 14. Разработка положения по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн; 15. Обучить внедрению и эксплуатации средств защиты; 16. Выработка регламента по контролю за соблюдением условий использования средств защиты информации; 17. Выработка регламента порядка доступа в помещения со средствами обработки ПДн; 18. Создание журнала регистрации обращений пользователей ИСПДн на получение ПДн. 19. Формирование регламента разграничения прав доступа для пользователей ИСПДн. 20. Формирование регламента администратора и пользователей ИСПДн. 21. Разработка регламента проведения разбирательств по фактам НСД; 22. Доработка должностных инструкций для персонала, учитывающих обязанности по обеспечению безопасности ПДн при их обработке в ИСПДн; 23. Формирование технического паспорта системы защиты ИСПДн и заключение о готовности к эксплуатации. 24. Аттестация или декларация соответствия