Заведующий отделом мобилизационной подготовки и защиты информации Тимохин И.В. МИНИСТЕРСТВО ОБРАЗОВАНИЯ МОСКОВСКОЙ ОБЛАСТИ 2011 ГОД Защита Персональных. - презентация

1 Заведующий отделом мобилизационной подготовки и защиты информации Тимохин И.В. МИНИСТЕРСТВО ОБРАЗОВАНИЯ МОСКОВСКОЙ ОБЛАСТИ 2011 ГОД Защита Персональных данных 1

2 Федеральный Закон РФ «Об информации, информационных технологиях и о защите информации» от ФЗ Статья 5. Информация как объект правовых отношений 2. Информация в зависимости от категории доступа к ней подразделяется на: общедоступную информацию; информацию, доступ к которой ограничен федеральными законами (информацию ограниченного доступа). Статья 9. Ограничение доступа к информации 2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами. 2

3 Персональные данные - Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). 152-ФЗ от 27 июля

4 Федеральный Закон РФ «О персональных данных» от ФЗ Целью закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (статья 2). Регулирует отношения, связанные с обработкой персональных данных, с использованием средств автоматизации или без использования таких средств. 4

5 Трудовой кодекс Российской Федерации Глава 13. Прекращение трудового договора Ст. 81. Расторжение трудового договора по инициативе работодателя. Глава 14. Защита персональных данных работника Ст. 85. Понятие персональных данных работника. Обработка персональных данных работника Ст. 86. Общие требования при обработке персональных данных работника и гарантии их защиты Ст. 87. Хранение и использование персональных данных работников Ст. 88. Передача персональных данных работника Ст. 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника Глава 60. Рассмотрение и разрешение индивидуальных трудовых споров Ст Рассмотрение индивидуальных трудовых споров в судах 5

6 Оператор персональных данных государственный орган муниципальный орган юридическое лицо физическое лицо Организует и (или) осуществляет обработку ПДн, а также определяет цели и содержание обработки ПДн 152-ФЗ от 27 июля

7 обязан 1.До начала обработки ПДн уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять их обработку (п. 1. статьи 22). 2.При обработке ПДн принимать необходимые правовые, организационные и технические меры для их защиты (п. 1. статьи 19). 152-ФЗ от 27 июля Оператор персональных данных

8 наименование, адрес оператора; цель обработки персональных данных (ПДн); правовое основание обработки ПДн; категории ПДн; перечень действий с ПДн, общее описание используемых оператором способов обработки ПДн; описание мер по обеспечению безопасности ПДн при их обработке дата начала обработки ПДн; срок и условия прекращения обработки; Ф.И.О. физического лица или наименование юрлица, ответственных за организацию обработки ПДн; сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными Правительством РФ. Содержание уведомления 8

9 обрабатываемых в соответствии с трудовым законодательством; полученных оператором в связи с заключением договора, стороной которого является субъект ПДн, и используются оператором исключительно для исполнения указанного договора; включающих в себя только фамилии, имена и отчества субъектов ПДн; необходимых в целях однократного пропуска субъекта ПДн на территорию, на которой находится оператор; обрабатываемых без использования средств автоматизации. 9 Оператор вправе осуществлять без уведомления обработку ПДн:

10 Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является федеральным органом исполнительной власти, осуществляющая функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, ……. Постановление Правительства РФ 228 от 16 марта 2009 г. 10

11 Регистрация операторов - Сведения из уведомления, в течение 30 дней с даты поступления, вносятся в реестр операторов - Роскомнадзор вправе требовать от оператора уточнения предоставленных сведений - В случае изменения сведений, оператор обязан уведомить об изменениях Роскомнадзор в течение 10 рабочих дней с даты возникновения таких изменений 152-ФЗ от 27 июля

12 12

13 В 2010 году в Московской области проверило: - Раменский, - Волоколамский, - Ленинский, - Наро- Фоминский, - Сергиево- Пасадский, - Чеховский муниципальные округа. Всего 358 школ и 350 детских садов. Управление Роскомнадзора по Москве и Московской области 13

14 195-ФЗ от Статья КоАП РФ Непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление их в неполном объеме или в искажённом виде. штраф на граждан в размере от 100 до 300 рублей на должностных лиц – от 300 до 500 рублей на юридических лиц – от 3000 до 5000 рублей

15 Постановления Правительства РФ «Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от « Об утверждении положения об обеспечении безопасности персональных данных, осуществляемой без использования средств автоматизации» от г

16 Информационная система персональных данных (ИСПДн) - совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять их обработку ФЗ от 27 июля 2006

17 Требования к ИСПДн: предотвращение НСД к ПДн и передача их лицам, не имеющим права доступа к такой информации; своевременное обнаружение фактов НСД; недопущение воздействия на технические средства ИСПДн; возможность восстановления ПДн; контроль за соблюдением безопасности. 17

18 1. Подбор специалиста по защите информации из числа сотрудников. 2. Определение перечня информационных систем персональных данных (далее - ИСПДн). 3. Проведение классификации этих систем по требованиям безопасности информации. 4. Издание комплекта документов на ИСПДн. 5. Построение системы защиты ИСПДн. 6. Использование сертифицированных средств защиты при построении системы защиты ИСПДн. 7. Ознакомление работников с документами п.4. Защита ИСПДн в школах достигается проведением комплекса организационно-распорядительных мероприятий: 18

19 Осуществляется в соответствии с требованиями совместного приказа ФСТЭК, ФСБ и Министерства информационных технологий и связи Российской Федерации «Об утверждении Порядка проведения классификации информационных систем персональных данных» от /86/20 Классификация информационных систем персональных данных 19

20 Процесс классификации состоит из следующих этапов: 1. Сбор и анализ исходных данных по информационной системе персональных данных (ИСПДн). 2. Присвоение ИСПДн соответствующего класса и его документальное оформление. 20

21 При проведении классификации ИСПДн учитываются следующие исходные данные: - категория обрабатываемых в системе ПДн; - - объем обрабатываемых ПДн; - - заданные оператором характеристики безопасности ПДн, обрабатываемых в системе; - структура системы; - наличие подключений системы к сетям связи общего пользования и (или) сети Интернет; - режим обработки ПДн; - режим разграничения прав доступа пользователей системы; - местонахождение технических средств системы. 21

22 Категории персональных данных: - категория 1 - ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; - категория 2 - ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем допол. информацию, за исключением ПДн, относящихся к категории 1; категория 3 - ПДн, позволяющие идентифицировать субъекта персональных данных; категория 4 - обезличенные и (или) общедоступные ПДн. 22

23 Объем одновременно обрабатываемых ПДн в информационной системе может принимать следующие значения: 1 - более чем субъектов ПДн или ПДн субъектов ПДн в пределах субъекта РФ или РФ в целом; 2 - от 1000 до субъектов ПДн или ПДн субъектов ПД, работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования; 3 - менее чем 1000 субъектов ПДн или ПДн субъектов ПДн в пределах конкретной организации. 23

24 Класс ИСПДн определяется в соответствии с таблицей: Объём 321 категория 4К4 категория 3К3 К2 категория 2К3К2К1 категория 1К1 24

25 Классы информационных систем персональных данных: - класс 1 (К1) - системы, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов ПД; класс 2 (К2) класс 2 (К2) - системы, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, может привести к негативным последствиям для субъектов ПД; класс 3 (К3) - класс 3 (К3) - системы, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПД; класс 4 (К4) - класс 4 (К4) - системы, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПД. 25

26 Выбор и реализация мер защиты информации в ИС осуществляются на основе определяемых Вами угроз безопасности персональным данным (модели угроз) и в зависимости от класса информационной системы в соответствии с Положением о методах и способах защиты информации в ИСПДн, утверждённым приказом ФСТЭК России от 5 февраля 2010 г. N 58 26

27 1. Управления доступом: идентификация и проверка подлинности пользователя при входе в ИСПДн по паролю длиной не менее шести символов 2. Регистрации и учета: регистрация и учёт входа (выхода) пользователя в систему; учёт машинных носителей информации 3. Обеспечения целостности: обеспечение целостности программных средств СЗ ПДн; физическая охрана ИСПДн и носителей информации; периодическое тестирование СЗ ПДн; наличие средств восстановления СЗ ПДн Антивирусная защита

28 « Windows XP Pro является программным средством со встроенными средствами защиты о т НСД» 28

29 Комплект документов на ИСПДн 1. ПРИКАЗ «Об организации работ по защите ПДн в учреждении» 2. ПОЛОЖЕНИЕ по обработке и защите ПДн 3. ПЕРЕЧЕНЬ ПДн, обрабатываемых в школе 4. ПЕРЕЧЕНЬ ИСПДн в учреждении 5. ПЕРЕЧЕНЬ сотрудников, имеющих право доступа к ИСПДн 6. АКТЫ классификации ИСПДн 7. МОДЕЛЬ угроз безопасности ПДн, обрабатываемых в ИСПДн 8. ИНСТРУКЦИЯ по работе пользователей ИСПДн 9. ИНСТРУКЦИЯ ответственного 10. ЖУРНАЛ учёта паролей 11. ЖУРНАЛ учёта машинных носителей информации 29

30 Федеральный Закон РФ «Об информации, информационных технологиях и о защите информации» от ФЗ Статья 90. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. 30

31 Трудовой кодекс Российской Федерации Глава 14. Защита персональных данных работника Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту ПДн работника Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами 31

32 195-ФЗ от Статья КоАП РФ Нарушение порядка сбора, хранения, использования или распространения информации о гражданах (ПДн). штраф на граждан в размере от 300 до 500 рублей на должностных лиц – от 500 до рублей на юридических лиц – от до рублей Статья КоАП РФ Нарушение правил защиты информации

33 Уголовный кодекс РФ Статья 272. Неправомерный доступ к компьютерной информации п. 1. Неправомерный доступ к охраняемой законом компьютерной информации, ……., если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ или их сети штраф до рублей; либо исправительными работами на срок от 6 месяцев до 1 года; либо лишение свободы на срок до 2 лет 63-ФЗ от 13 июня

34 После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в ИСПДн до дня его вступления в силу, осуществляется в соответствие с требованиями настоящего Федерального закона (статья 25). 152 ФЗ от 27 июля

35 Спасибо за внимание !