Your SlideShare is downloading. ×
0
P dn docs
P dn docs
P dn docs
P dn docs
P dn docs
P dn docs
P dn docs
P dn docs
P dn docs
P dn docs
P dn docs
P dn docs
P dn docs
P dn docs
P dn docs
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

P dn docs

972

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
972
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Разработка​ эффективны​х организаци​онно- распо​рядительны​х документов по защите персональн​ых данныхКочуров Александр Михайловичкандидат технических наук,Заместитель директора УЦ «Эшелон»Контакты: тел. 8-985-268-02-67E-mail: akochurov@uc-echelon.ru
  • 2. Основные понятияПерсональные данные - любая информация,относящаяся к прямо или косвенно определенному илиопределяемому физическому лицу (субъектуперсональных данных) Гражданский кодекс Российской Федерации Статья 19. Имя гражданина 1. Гражданин приобретает и осуществляет права и обязанностипод своим именем, включающим фамилию и собственно имя, а такжеотчество, если иное не вытекает из закона или национальногообычая. 5. Вред, причиненный гражданину в результате неправомерногоиспользования его имени, подлежит возмещению в соответствии снастоящим Кодексом. При искажении либо использовании имени гражданинаспособами или в форме, которые затрагивают его честь, достоинствоили деловую репутацию, применяются правила, предусмотренныестатьей 152 (Защита чести, достоинства и деловой репутации)настоящего Кодекса.
  • 3. Рассуждения Персональные данные ЧТО это? Кто обладательИВАНОВ Иван Иванович Это ПДн? информации? Согласно ГОСТу Р ИСО/МЭК 19794-5-2006 часть 5Это ПДн? Это БПДн? Это ПДн? Это БПДн?
  • 4. Персональные Изображение данные гражданинаГК РФ. Статья 152.1. Охрана изображения гражданинаОбнародование и дальнейшее использование изображения гражданина (в том числеего фотографии, а также видеозаписи или произведения изобразительного искусства,в которых он изображен) допускаются только с согласия этого гражданина. Послесмерти гражданина его изображение может использоваться только с согласия детей ипережившего супруга, а при их отсутствии - с согласия родителей.Такое согласие не требуется в случаях, когда:1) использование изображения осуществляется в государственных, общественных или иных публичных интересах;2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;3) гражданин позировал за плату. (естественно, нужно подтверждение в получении денег)
  • 5. Основные понятияУничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;Обработка персональных данных – любое действие (операция)или совокупность действий (операций), совершаемых сиспользованием средств автоматизации или без использованиятаких средств с персональными данными, включая сбор, запись,систематизацию, накопление, хранение, уточнение (обновление,изменение), извлечение, использование, передачу(распространение, предоставление, доступ), обезличивание,блокирование, удаление, уничтожение персональных данных.
  • 6. Глава 2. Принципы и условия обработки ПДнУсловия обработки персональных данных (ст. 6.)Основные условия обработки персональных данных:обработка персональных данных осуществляется с согласия субъекта персональныхданных на обработку его персональных данных;обработка ПД необходима для исполнения договора, стороной которого либовыгодоприобретателем или поручителем по которому является субъектперсональных данных, а также для заключения договора по инициативе СПД илидоговора, по которому СПД будет являться выгодоприобретателем или поручителем;обработка персональных данных необходима для защиты жизни, здоровья или иныхжизненно важных интересов субъекта персональных данных, если получениесогласия субъекта персональных данных невозможно;осуществляется обработка персональных данных, доступ неограниченного круга лицк которым предоставлен субъектом персональных данных либо по его просьбе(далее - персональные данные, сделанные общедоступными субъектомперсональных данных).Оператор вправе поручить обработку персональных данных по поручению другому лицу с согласия субъекта персональных данных, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.
  • 7. Глава 2. Принципы и условия обработки ПДн Продолжение. Согласие субъекта персональных данных на обработку его персональных данных (ст. 9.)4. В случаях, предусмотренных федеральным законом, обработка персональныхданных осуществляется только с согласия в письменной форме субъектаперсональных данных. Равнозначным содержащему собственноручную подписьсубъекта персональных данных согласию в письменной форме на бумажномносителе признается согласие в форме электронного документа, подписанного всоответствии с федеральным законом электронной подписью. Согласие вписьменной форме субъекта персональных данных на обработку его персональныхданных должно включать в себя, в частности: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); 3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; 4) цель обработки персональных данных;
  • 8. Глава 2. Принципы и условия обработки ПДн Продолжение. Согласие субъекта персональных данных на обработку его персональных данных (ст. 9)5) перечень персональных данных, на обработку которых дается согласиесубъекта персональных данных;6) наименование или фамилию, имя, отчество и адрес лица,осуществляющего обработку персональных данных по поручениюоператора, если обработка будет поручена такому лицу;7) перечень действий с персональными данными, на совершениекоторых дается согласие, общее описание используемых операторомспособов обработки персональных данных;8) срок, в течение которого действует согласие субъекта персональныхданных, а также способ его отзыва, если иное не установленофедеральным законом;9) подпись субъекта персональных данных. Согласно определению Обработка персональных данных
  • 9. Категории информации ИНФОРМАЦИЯ (ст. 1 ФЗ 27.08.2006 N 149-ФЗ) сведения (сообщения, данные) независимо от формы их представления ОБЩЕДОСТУПНАЯ ОГРАНИЧЕННОГО ДОСТУПА (ст. 7 ФЗ 27.08.2006 N 149-ФЗ) (ст. 5 ФЗ 27.08.2006 N 149-ФЗ)общеизвестные сведения и иная доступ к информации ограничен федеральными законамиинформация, доступ к которой неограничен; КОНФИДЕНЦИАЛЬНАЯ ГОСУДАРСТВЕННАЯ ТАЙНАобладатель информации установил ИНФОРМАЦИЯ (ст. 1 Закона РФ от 21.07.1993 N 54-85-1)общедоступный режим доступа. защищаемые государством сведения в области его военной, внешнеполитической, Перечень сведений отнесенных к экономической, разведывательной, контрразведывательной и оперативно- (ст. 8 ФЗ 27.08.2006 N 149-ФЗ) конфиденциальной информации содержится в розыскной деятельности, распространение которых может нанести ущербнормативные правовые акты, Указе Президента РФ N 188 6.03.1997 безопасности Российской Федерации;затрагивающие права, свободы иобязанности человека и гражданина, а ПЕРСОНАЛЬНЫЕ ДАННЫЕтакже устанавливающие правовое (ФЗ 27.07.2006 N 152-ФЗ)положение организаций и полномочия Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицугосударственных органов, органов (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;местного самоуправления;информация о состоянии окружающей ТАЙНА СЛЕДСТВИЯ И СУДОПРОИЗВОДСТВАсреды; (Указ Президента РФ N 188 6.03.1997)информация о деятельности Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерахгосударственных органов и органов государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ "Оместного самоуправления (за государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства" и другими нормативными правовыми актами Российской Федерации.исключением сведений, составляющихгосударственную или служебную СЛУЖЕБНАЯ ТАЙНАтайну); (Указ Президента РФ N 188 6.03.1997)информация, накапливаемой в Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексомоткрытых фондах библиотек, музеев и Российской Федерации и федеральными законами.архивов, а также в государственных,муниципальных и иных ПРОФЕССИОНАЛЬНАЯ ТАЙНА (Указ Президента РФ N 188 6.03.1997)информационных системах, созданных Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российскойили предназначенных для обеспечения Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров,граждан и организаций такой почтовых отправлений, телеграфных или иных сообщений и так далее).информацией; КОМЕРЧЕСКАЯ ТАЙНАиной информации, недопустимость (ФЗ 29.07.2004 N 98-ФЗ )ограничения доступа к которой Сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе оустановлена федеральными законами. результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны. НОУ-ХАУ (Указ Президента РФ N 188 6.03.1997) Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
  • 10. “Об информации, информационных технологиях и озащите информации” от 27 июля 2006 года № 149-ФЗ Обладатель информацииПрава:разрешать или ограничивать доступ к информации, определять порядок иусловия такого доступа;использовать информацию, в том числе распространять ее, по своемуусмотрению;передавать информацию другим лицам по договору или на иномустановленном законом основании;защищать установленными законом способами свои права в случаенезаконного получения информации или ее незаконного использованияиными лицами;осуществлять иные действия с информацией или разрешатьосуществление таких действий.Обязанности:соблюдать права и законные интересы иных лиц;принимать меры по защите информации;ограничивать доступ к информации, если такая обязанность установленафедеральными законами.
  • 11. Обязательность защиты или рекомендательный характер ИНФОРМАЦИЯ сведения (сообщения, данные) независимо от формы их представления (ст. 1 ФЗ 27.08.2006 N 149-ФЗ) ОГРАНИЧЕННОГО ДОСТУПА (ст. 5 ФЗ 27.08.2006 N 149-ФЗ) доступ к информации ограничен федеральными законами ОБЩЕДОСТУПНАЯ ИНФОРМАЦИЯ КОНФИДЕНЦИАЛЬНАЯ ГОСУДАРСТВЕННАЯ ТАЙНА ИНФОРМАЦИЯ (ст. 1 Закона РФ от 21.07.1993 N 54-85-1) защищаемые государством сведения в области его военной, внешнеполитической, Перечень сведений отнесенных к экономической, разведывательной, контрразведывательной и оперативно- конфиденциальной информации содержится в розыскной деятельности, распространение которых может нанести ущерб Указе Президента РФ N 188 6.03.1997 безопасности Российской Федерации; 149-ФЗ ст. 6; ТК РФ ст. 86 (ПДн); 152-ФЗ ст. 19 (ПДн) ОБЛАДАТЕЛЬ ИНФОРМАЦИИ ОБЯЗАН ЗАЩИЩАТЬ ИНФОРМАЦИЮ Государство регламентирует как защищать информацию ограниченного доступа. Руководящие документы ФСТЭК России и ФСБ России.Государство не регламентирует как защищать информацию – это отдано на откуп Регламентация государства носит обладателю информации. обязательный (служебная тайна, Регламентация государства носит обязательный характер. КСИИ) и рекомендательный характер (коммерческая тайна). Защищать обязан. Два пути. 1 путь – аттестация. Входишь в государственную систему защиты Например, защита сайта информации. Ответственность компании от вирусов и несѐт лицензиат ФСТЭК России и Обязательная аттестация объектов информатизации. модификации общедоступной обладатель информации. информации. 2 путь – отказ от аттестации. Самостоятельно защищаешь информацию. Ответственность несѐшь сам.
  • 12. Пример из ФЗ-152. Процедуры:1. Определить доступ (получение) субъекта персональных данных к его персональным данным (ст. 14).2. Оценить вред, который может быть причинен субъектам персональных данных.3. Публикация, например, на сайте оператора документа, определяющего его политику в отношении обработки персональных данных.4. Описать процедуры обнаружения фактов НСД к ПД и принятием мер.5. Процедура восстановления (система резервирования) ПД, модифицированных или уничтоженных вследствие НСД к ним.6. Система контроля за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности ИСПДн.7. Обязанности оператора при обращении к нему СПД либо при получении запроса СПД или его представителя, а также уполномоченного органа по защите прав СПД.8. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке ПД, по уточнению, блокированию и уничтожению ПД.Пример из ПП РФ № 687 от 15.09.20081. Правила обработки персональных данных, осуществляемой без использования средств автоматизации.2. Лица, осуществляющие обработку персональных данных, должны быть проинформированы об особенностях и правилах осуществления такой обработки.3. Актом оператора вводится журнал для однократных пропусков на объект.4. Журнал для однократных пропусков на объект.5. Акт или приказ по определению мест хранения материальных носителей.6. Акт или приказ по установлению перечня лиц, осуществляющих обработку либо имеющим к ним доступ.
  • 13. Несколько примеров по количеству документов, разрабатываемых операторами в области ПД№ Название документа Количествопп1 Рекомендации по выполнению законодательных требований 32 по ТЗИ и плюс 11 при обработке ПД в организациях БС РФ. по КЗИ2. Методические рекомендации для организации защиты информации при обработке ПД в государственных 30 образовательных учреждениях города Москвы.3. Методические рекомендации органам исполнительной Приказы – 9 власти города Москвы по организации защиты Инструкции – 2 конфиденциальной информации и ПД. Положения – 4 Разработано 48 приложений в виде типовых форм. Руководства – 4 Без учета требований ПП № 211 ( в стадии разработки по Журналы – 6 выполнению требований). Перечни –5 Списки –4 Акты –3 Модели –3 Планы –5 Разное – 14 всего 59.

×