Консультант отдела мобилизационной подготовки и защиты информации Лысенко Игорь Иванович МИНИСТЕРСТВО ОБРАЗОВАНИЯ МОСКОВСКОЙ ОБЛАСТИ 2012 ГОД Защита персональных. - презентация

1 Консультант отдела мобилизационной подготовки и защиты информации Лысенко Игорь Иванович МИНИСТЕРСТВО ОБРАЗОВАНИЯ МОСКОВСКОЙ ОБЛАСТИ 2012 ГОД Защита персональных данных

2 2 20 июня 2012 года в Твери состоялось выездное заседание Комиссии при полномочном представителе Президента Российской Федерации в Центральном федеральном округе по информационной безопасности на тему: «О состоянии системы защиты информации в субъектах Российской Федерации, входящих в состав ЦФО»

3 Федеральный Закон РФ «Об информации, информационных технологиях и о защите информации» от ФЗ Статья 5. Информация как объект правовых отношений 2. Информация в зависимости от категории доступа к ней подразделяется на: общедоступную информацию; информацию ограниченного доступа, т.е. информацию, доступ к которой ограничен федеральными законами. Статья 9. Ограничение доступа к информации 2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами. 3

4 Персональные данные - Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). 152-ФЗ от 27 июля

5 Федеральный Закон РФ «О персональных данных» от ФЗ Целью закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (статья 2). Регулирует отношения, связанные с обработкой персональных данных, с использованием средств автоматизации или без использования таких средств. 5

6 Трудовой кодекс Российской Федерации Глава 13. Прекращение трудового договора Ст. 81. Расторжение трудового договора по инициативе работодателя. Глава 14. Защита персональных данных работника Ст. 85. Понятие персональных данных работника. Обработка персональных данных работника Ст. 86. Общие требования при обработке персональных данных работника и гарантии их защиты Ст. 87. Хранение и использование персональных данных работников Ст. 88. Передача персональных данных работника Ст. 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника Глава 60. Рассмотрение и разрешение индивидуальных трудовых споров Ст Рассмотрение индивидуальных трудовых споров в судах 6

7 Оператор персональных данных государственный орган муниципальный орган юридическое лицо физическое лицо Организует и (или) осуществляет обработку ПДн, а также определяет цели и содержание обработки ПДн 152-ФЗ от 27 июля

8 Постановления Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от « Об утверждении положения об обеспечении безопасности персональных данных, осуществляемой без использования средств автоматизации» от г

9 Информационная система персональных данных (ИСПДн) - совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять их обработку ФЗ от 27 июля 2006

10 Типы ИСПДн: специальные – обрабатываются ПДн, касающиеся расовой, национальной принадлежности, полити- ческих взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; биометрические – обрабатываются ПД, характери- зующие физиологические и биологические особенности человека; общедоступные - обрабатываются ПД, полученные только из общедоступных источников персональ- ных данных; иные - обрабатываются ПДн, не относящиеся к вышеуказанным ПДн. 10

11 Уровни защищённости ПДн

12 Требования к ИСПДн для обеспечения 4-го уровня защищённости: организация режима обеспечения безопасности помещения, в котором расположена ИСПДн; обеспечение сохранности носителей ПДн ; наличие перечня сотрудников допущенных в соответствии с их должностными обязанностями к ПДн, обрабатываемых в ИСПДн; использование с ертифицированных по требованиям безопасности средств защиты информации. 12

13 1. Подбор специалиста по организации обработки персональных данных из числа сотрудников. 2. Определение перечня и типа информационных систем персональных данных (далее - ИСПДн). 3. Определение актуальных угроз безопасности для ИСПДн. 4. Издание комплекта документов на ИСПДн. 5. Построение системы защиты ИСПДн. 6. Использование сертифицированных средств защиты при построении системы защиты ИСПДн. 7. Ознакомление работников с документами п.4. Защита ИСПДн достигается проведением комплекса организационно-распорядительных мероприятий: 13

14 « Windows XP / 7 версии Прoфессиональная является программным средством со встроенными средствами защиты о т НСД» 14

15 Закрытое акционерное общество "ЦБИ - сервис" Московская обл., г. Юбилейный, ул. Ленинская, д.4, п/п 10 тел. (495) ,

16 Комплект документов на ИСПДн 1. ПРИКАЗ «Об организации работ по защите ПДн в учреждении» 2. ПОЛОЖЕНИЕ по обработке и защите ПДн 3. ПЕРЕЧЕНЬ ПДн, обрабатываемых в школе 4. ПЕРЕЧЕНЬ и ТИП ИСПДн в учреждении 5. ПЕРЕЧЕНЬ сотрудников, имеющих право доступа к ПДн 6. МОДЕЛЬ угроз безопасности ПДн, обрабатываемых в ИСПДн 8. ИНСТРУКЦИЯ по работе пользователей ИСПДн 9. ИНСТРУКЦИЯ ответственного 10. ЖУРНАЛ учёта паролей 11. ЖУРНАЛ учёта машинных носителей информации 16

17 Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является федеральным органом исполнительной власти, осуществляющая функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, ……. Постановление Правительства РФ 228 от 16 марта 2009 г. 17

18 Динамика количественных показателей государственного контроля Роскомнадзора

19 1. Организовывает защиту прав субъектов ПДн. 2. Рассматривает жалобы и обращения. 3. Принимает решения по результатам рассмотрения жалоб. 4. Ведёт реестр операторов. 5. Осуществляет меры, направленные на совершенствование защиты прав субъектов ПДн. 6. Информирует государственные органы, а также субъектов ПДн о положении дел в области защиты прав субъектов ПДн. Управление Роскомнадзора по Москве и Московской области (г. Москва, Старокаширское ш., д. 2, корп. 10) 18

20 Федеральный Закон РФ «Об информации, информационных технологиях и о защите информации» от ФЗ Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. 20

21

22 обязан До начала обработки ПДн уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять их обработку (п. 1. статьи 22). 152-ФЗ от 27 июля Оператор персональных данных

23 наименование, адрес оператора; цель обработки персональных данных (ПДн); правовое основание обработки ПДн; категории ПДн; перечень действий с ПДн, общее описание используемых оператором способов обработки ПДн; дата начала обработки ПДн; срок и условия прекращения обработки; Ф.И.О. физического лица или наименование юрлица, ответственных за организацию обработки ПДн; сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными Правительством РФ. Содержание уведомления 23

24 Регистрация операторов - Сведения из уведомления, в течение 30 дней с даты поступления, вносятся в реестр операторов - Роскомнадзор вправе требовать от оператора уточнения предоставленных сведений - В случае изменения сведений, оператор обязан уведомить об изменениях Роскомнадзор в течение 10 рабочих дней с даты возникновения таких изменений 152-ФЗ от 27 июля

25 25

26 195-ФЗ от Статья КоАП РФ Непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление их в неполном объеме или в искажённом виде. штраф на граждан в размере от 100 до 300 рублей на должностных лиц – от 300 до 500 рублей на юридических лиц – от 3000 до 5000 рублей

27 обрабатываемых в соответствии с трудовым законодательством; полученных оператором в связи с заключением договора, стороной которого является субъект ПДн, и используются оператором исключительно для исполнения указанного договора; включающих в себя только фамилии, имена и отчества субъектов ПДн; необходимых в целях однократного пропуска субъекта ПДн на территорию, на которой находится оператор; обрабатываемых без использования средств автоматизации. 27 Оператор вправе осуществлять без уведомления обработку ПДн:

28 Трудовой кодекс Российской Федерации Глава 14. Защита персональных данных работника Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту ПДн работника Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами 28

29 195-ФЗ от Статья КоАП РФ Нарушение порядка сбора, хранения, использования или распространения информации о гражданах (ПДн). штраф на граждан в размере от 300 до 500 рублей на должностных лиц – от 500 до рублей на юридических лиц – от до рублей Статья КоАП РФ Нарушение правил защиты информации

30 Уголовный кодекс РФ Статья 272. Неправомерный доступ к компьютерной информации п. 1. Неправомерный доступ к охраняемой законом компьютерной информации, ……., если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ или их сети штраф до рублей; либо исправительными работами на срок от 6 месяцев до 1 года; либо лишение свободы на срок до 2 лет 63-ФЗ от 13 июня

31 195-ФЗ от Инициативы Роскомнадзора ( ): об увеличении срока давности при привлечении к ответственности по статье КоАП РФ с 3 месяцев до года; передаче Роскомнадзору полномочий по возбуждению административных дел по статье КоАП РФ (в настоящее время правом возбуждения дел по этой статье обладают органы прокуратуры); о повышении штрафных санкций за нарушения законодательства о персональных данных от 200 тыс. руб. до 500 тыс. руб. на юридических лиц

32 После 27 января 2012 года обработка персональных данных, включенных в ИСПДн, должна осуществляется в соответствие с требованиями настоящего Федерального закона. 152 ФЗ от 27 июля

33 Спасибо за внимание !

34 Федеральные законы РФ «О защите детей от информации, причи- няющей вред их здоровью и развитию» ФЗ « О внесении изменений в ФЗ "О защите детей от информации, причиняющей вред их здоровью и развитию" и отдельные законодательные акты РФ» от ФЗ 34

35 Постановление Правительства РФ « О единой автоматизированной информационной системе Единый реестр доменных имен, указателей страниц сайтов в информационно- телекоммуникационной сети Интернет, содержащие информацию, распространение которой в РФ запрещено» от г ( 34