Transcript Обеспечение защиты персональных данных Доклад Боровлёвой Зинаиды Александровны ФЗ «Об информации, информационных технологиях и о защите информации» Информация закрытого доступа: Секретная информация (ФЗ «О государственной тайне») Конфиденциальная информация (Перечень сведений конфиденциального.

Обеспечение защиты
персональных данных
Доклад
Боровлёвой
Зинаиды Александровны
1
ФЗ «Об информации, информационных
технологиях и о защите информации»
Информация закрытого доступа:
Секретная информация
(ФЗ «О государственной тайне»)
Конфиденциальная информация
(Перечень сведений конфиденциального характера, утв.
Указом Президента РФ от 23.09.2005 № 1111:
«1. Сведения о фактах, событиях и обстоятельствах
частной жизни гражданина, позволяющие
идентифицировать его личность (персональные
данные)...и др.»)
2
Что такое конфиденциальность?
Конфиденциальность информации – обязательное для
выполнения лицом, получившим доступ к определённой
информации, требование не передавать такую информацию
третьим лицам без согласия её обладателя (ФЗ «Об
информации, информационных технологиях и о защите
информации»)
Конфиденциальность
персональных
данных
обязательное для соблюдения оператором или иным
получившим доступ к персональным данным лицом
требование не допускать их распространения без согласия
субъекта персональных данных или наличия иного законного
основания (ФЗ «О персональных данных)
3
Из истории защиты персональных данных
Франция запретила публикацию фактов о частной жизни и
установила штрафы для нарушителей в 1858 г.
Норвежский уголовный кодекс запретил публикацию
информации, касающейся «персональных и частных дел», в
1889 г.
Россия присоединилась к Европейской Конвенции 1981 г. «О
защите личности в связи с автоматической обработкой
персональных данных»
Согласно Директиве 95/46/ЕС Евросоюза (1995 г.)
персональные данные могут передаваться только в страны,
обеспечивающие такой же уровень защиты, как и в Европе
4
Сфера действия ФЗ «О персональных
данных» от 27.07.2006 № 152-ФЗ
Ст.1. ФЗ о ПД
Положение об обеспечении
безопасности ПД при их обработке в
ИСПД от 17.11.2007
ФЗ регулируются отношения,
связанные с обработкой ПД
…с использованием средств
автоматизации или без
использования таких средств,
если обработка ПД без
использования таких средств
соответствует характеру
действий (операций),
совершаемых с ПД с
использованием средств
автоматизации
5
Положение устанавливает
требования к обеспечению
безопасности ПД при их
обработке в ИСПД,
представляющих собой
совокупность ПД,
содержащихся в базах
данных, а также ИТ и ТС,
позволяющих осуществить
обработку таких ПД с
использованием средств
автоматизации (далее –
информационные системы)
Основные определения
ФЗ «О персональных данных»
от 27.07.2006 № 152-ФЗ
Персональные данные – любая информация,
относящаяся к определённому или определяемому на
основании такой информации физическому лицу
(субъекту ПД),в т.ч. его фамилия, имя, отчество, год,
месяц, дата и место рождения, адрес, семейное,
имущественное положение, образование, профессия,
доходы, другая информация.
Оператор – государственный орган, муниципальный
орган, юрид. лицо или физическое лицо, организующие
и (или) осуществляющие обработку ПД, а также
определяющие цели и содержание обработки ПД
ФЗ о ПД не распространяется
При обработке ПД для личных и семейных нужд
При обработке ПД в документах Архивного фонда РФ
При обработке ПД для включения их в Единый
государственный реестр индивидуальных
предпринимателей (ЕГРИП)
При обработке ПД, отнесённых к государственной
тайне
7
Способы обработки ПД:
Сбор, систематизация, накопление,
хранение, уточнение (обновление,
изменение), использование,
распространение (в том числе передача),
обезличивание, блокирование,
уничтожение
Принципы и условия обработки ПД
«ПД должны храниться в форме,
позволяющей определить субъекта,
не дольше, чем этого требуют цели их
обработки, и подлежат уничтожению
по достижении целей обработки
ПД, или утраты необходимости в их
достижении (п. 2. ст. 5 ФЗ о ПД)»
9
Не требуется получение согласия
субъекта ПД:
На основании федерального законодательства
В целях исполнения договора с субъектом ПД
В статистических и научных целях при условии
обезличивания
Для защиты жизни, здоровья субъекта ПД
Для доставки почтовых отправлений организациями
почтовой связи
В ходе профессиональной деятельности журналиста,
учёного и др. творческой деятельности
Данных, подлежащих опубликованию в соответствии с
федеральными законами, в т.ч. ПД кандидатов на
выборные должности
10
Права субъекта ПД
на получение информации
О факте обработки ПД оператором, а также целях
такой обработки
О способах обработки ПД оператором
О лицах, которые имеют доступ к ПД или которым
может быть предоставлен такой доступ
Перечень обрабатываемых данных и их источник
Сроки обработки ПД, в т.ч. Сроки их хранения
Сведения о том, какие юридические последствия
для субъекта ПД может повлечь за собой
обработка его ПД
11
Обязанности оператора
Предоставление ПД субъекту ПД или его
представителю в течение десяти рабочих дней с даты
получения запроса
Мотивированный отказ – в течение семи рабочих дней
При устранении нарушений законодательства
блокировка ПД с момента получения запроса, а полное
устранение нарушения – в течение трёх рабочих дней.
Обеспечение безопасности ПД при их
обработке
12
Основные мероприятия по
организации обеспечения
безопасности ПД
http://er-duma.ru/news/39083
Депутаты Госдумы Владислав Резник и Константин
Шипунов отмечают, что выполнение органами
государственной власти, органами местного
самоуправления, бюджетными организациями
требований к информационным системам персональных
данных потребует резкого увеличения расходов из
бюджетов всех уровней, которые не планировались и
сложно осуществимы в условиях кризиса.
Кроме того, предлагается исключить из закона норму,
обязывающую оператора при обработке персональных
данных использовать шифровальные
(криптографические) средства для защиты данных.
14
Рекомендации по подготовке документов,
регламентирующих обработку ПД
Приказ о создании комиссии по защите ПД с
наделением её полномочиями по проведению
мероприятий, касающихся защиты ПД
План мероприятий по обеспечению защиты ПД
Акты классификации ИС ПД
Перечень ПД
Приказ об утверждении Положения об обработке и
защите ПД
Положение об обработке и защите ПД
15
Положение об обработке и защите ПД
Общие положения: цель и задачи, понятие и состав
ПД и др.
Порядок получения и обработки
ПД: как
происходит получение ПД, как обрабатываются и
используются ПД, в каких структурных
подразделениях и на каких носителях
обрабатываются и хранятся и др.
Права, обязанности и ответственность субъекта
ПД и оператора при обработке ПД
и др.
16
Рекомендации по подготовке документов,
регламентирующих обработку ПД
Письменное согласие субъектов ПД на их обработку
Приказ о возложение персональной ответственности за
защиту ПД
Разрешительные документы об уровнях допуска
сотрудников к обработке ПД
Уведомление об обработке ПД в территориальное
подразделение Роскомнадзора
Должностные инструкции сотрудников, имеющие отношение
к обработке ПД
Журнал обращений по ознакомлению с ПД
Инструкция о порядке обеспечения конфиденциальности
при обращении с информацией, содержащей ПД
17
Инструкция о порядке обеспечения
конфиденциальности при обращении с
информацией, содержащей ПД
Общие положения: предмет, определения
конфиденциальности, необходимость согласия ПД на
обработку ПД, порядок ведения перечней ПД,
нормативная база, общие правила хранения и
передачи ПД и др.
Порядок обеспечения безопасности при обработке и
хранении ПД, осуществляемых без использования
средств автоматизации
Порядок обеспечения безопасности при обработке и
хранении ПД, осуществляемых с использованием
средств автоматизации
Порядок учёта, хранения и обращения со съёмными
носителями ПД и др.
18
Инструкция по проведению мониторинга
информационной безопасности и антивирусного
контроля при обработке ПД
Общие положения
Мониторинг аппаратного обеспечения
Мониторинг парольной защиты: установление сроков
действия паролей (не более 3 месяцев и не менее 6
символов)
Мониторинг попыток несанкционированного доступа
Системный аудит
Антивирусный контроль
Анализ инциндентов
И др.
19
Классификация ИС ПД
Категория 1. Расовая, национальная принадлежность,
политические взгляды, религиозные и философские
убеждения. состояние здоровья, интимная жизнь
Категория 2. Позволяющие идентифицировать субъекта
ПД и получить о нём дополнительную информацию, за
исключением ПД, относящихся к категории 1.
Категория 3. Позволяющие идентифицировать субъекта
ПД
Категория 4. Обезличенные или (и) общедоступные ПД
21
Согласно приказу ФСТЭК. ФСБ,
Мининформсвязи от 13.02.2008
Колво
суб.
ПД
Более В объёме
100
тыс.
ПД
Катего
рия
ПД
РФ
От 1
В объёме
тыс.
до 100
тыс.
Субъе ПД
Отрас Орг.
МО
кта РФ
ли
власти
До 1
тыс.
ПД
Организа
ции
1
1 класс (К 1)
1 класс ( К 1)
1 класс (К1)
2
1 класс (К 1)
2 класс (К 2)
3 класс (К 3)
3
2 класс (К 2)
3 класс (К 3)
3 класс (К 3)
4
4 класс (К 4)
4 класс (К 4)
4 класс (К 4)
22
Изменение класса ИС ПД
Путём обезличивания
Сегментирование
Изолирование от Интернета
И др.
23
Отвественность за
нарушения порядка работы
с ПД
Административная ответственность
Наступает
-за неправомерный отказ в предоставлении гражданину
собранных в установленном порядке документов….(ст. 5.39
КоАП РФ),
-нарушение установленного законом порядка сбора, хранения,
использования или распространения информации о
гражданах (персональных данных) (ст. 13.11 КоАП РФ),
-разглашение информации, доступ к которой ограничен ФЗ (ст.
13.14 КоАП),
-непредставление или несвоевременное представление в гос.
Орган (должностному лицу) сведений (информации),
представление которых предусмотрено законом и необходимо
для осуществления его закон. деят- ти (ст. 19.7)
25
Уголовная ответственность
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то
есть информации на машинном носителе, в электронно-вычислительной
машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло
уничтожение, блокирование, модификацию либо копирование информации,
нарушение работы ЭВМ, системы ЭВМ или их сети, -наказывается штрафом в
размере до двухсот тысяч рублей или в размере заработной платы или иного
дохода осужденного за период до восемнадцати месяцев, либо
исправительными работами на срок от шести месяцев до одного года, либо
лишением свободы на срок до двух лет.
2. То же деяние, совершенное группой лиц по предварительному сговору или
организованной группой либо лицом с использованием своего служебного
положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в
размере заработной платы или иного дохода осужденного за период от одного
года до двух лет, либо исправительными работами на срок от одного года до
двух лет, либо арестом на срок от трех до шести месяцев, либо лишением
свободы на срок до пяти лет.
26
Уголовная отвественность
Статья 140. Отказ в предоставлении гражданину
информации
Неправомерный отказ должностного лица в предоставлении
собранных в установленном порядке документов и
материалов, непосредственно затрагивающих права и
свободы гражданина, либо предоставление гражданину
неполной или заведомо ложной информации, если эти
деяния причинили вред правам и законным интересам
граждан, - наказываются штрафом в размере до двухсот
тысяч рублей или в размере заработной платы или иного
дохода осужденного за период до восемнадцати месяцев
либо лишением права занимать определенные должности
или заниматься определенной деятельностью на срок от
двух до пяти лет.
27
Уголовная ответственность
Статья 137. Нарушение неприкосновенности частной жизни
1. Незаконное собирание или распространение сведений о
частной жизни лица, составляющих его личную или
семейную тайну, без его согласия либо распространение
этих сведений в публичном выступлении, публично
демонстрирующемся произведении или средствах
массовой информации -наказываются штрафом в размере
до двухсот тысяч рублей или в размере заработной платы
или иного дохода осужденного за период до восемнадцати
месяцев, либо обязательными работами на срок от ста
двадцати до ста восьмидесяти часов, либо
исправительными работами на срок до одного года, либо
арестом на срок до четырех месяцев
28
Статья 137. Нарушение неприкосновенности
частной жизни
2. Те же деяния, совершенные лицом с
использованием
своего
служебного
положения, - наказываются штрафом в
размере от ста тысяч до трехсот тысяч рублей
или в размере заработной платы или иного
дохода осужденного за период от одного года
до двух лет, либо лишением права занимать
определенные должности или заниматься
определенной деятельностью на срок от двух
до пяти лет, либо арестом на срок от четырех
до шести месяцев.
29
СПАСИБО ЗА ВНИМАНИЕ!
http://pd.rsoc.ru/
http://www.fstec.ru/
http://www.zki.infosec.ru/law/personal/