Интернет-магазин как информационная система обработки персональных данных
20091012_Personal data_02
1. Подходы к организации работы
с персональными данными
в учреждениях медико-социальной экспертизы.
Часть 2. Подготовка внутренней документации
Красноярск, 12.10.2009
Сергей Бурылин, ЗАО «АРМАДА СОФТ»
2. Портал персональных данных (http://pd.rsoc.ru/) – обновлен 2 октября
Новый портал Роскомнадзора
по персональным данным 2
3. Портал персональных данных (http://pd.rsoc.ru/) – что содержит?
Новый портал Роскомнадзора
по персональным данным 3
• Реестр операторов персональных данных
• Электронная форма уведомления об обработке
персональных данных
• Отдельная новостная лента по вопросам
регулирования в сфере персональных данных
• Раздел «Законодательство» (по состоянию на
10.10.2009 содержит ссылки на 57 НПА)
• Форум для посетителей
• Электронная форма для обращений граждан
• Доклады, публикации и прочее
4. Напомним основные шаги
Организация работы с персональными данными
ШАГ №1 – Подача уведомления об обработке персональных данных
4
ШАГ №2 – разработка внутренней нормативной документации (локальные
акты Оператора), регламентирующей деятельность сотрудников по работе с
персональными данными внутри учреждения (организации).
ШАГ №0 – Идентификация всех видов персональных данных, обработка которых
ведется в учреждении МСЭ
ШАГ №3 – Проведение организационных и технических мероприятий по организации
работы с персональными данными
Основные виды персональных данных в учреждении МСЭ:
Персональные данные
освидетельствуемых
лиц
Персональные данные
работников учреждения
Персональные данные,
получаемые при
обработке обращений
граждан
5. Выявление и структурирование всех обрабатываемых в учреждении
персональных данных
Идентификация всех персональных данных,
обрабатываемых в учреждении
В соответствии со ст.3 152-ФЗ под обработкой персональных
данных понимаются следующие действия:
• сбор
• систематизация
• накопление
• хранение
• уточнение (обновление, изменение),
• использование,
• распространение (в том числе передача),
• обезличивание,
• блокирование,
• уничтожение персональных данных.
5
6. Выявление и структурирование всех обрабатываемых в учреждении
персональных данных
Идентификация всех персональных данных,
обрабатываемых в учреждении
Необходимо провести тщательный анализ всех
обрабатываемых в учреждении персональных данных (ПДн) и
по каждому виду ПДн составить документ, содержащий ответы
как минимум на следующие вопросы:
• состав персональных данных (Ф.И.О., дата рождения, пол и т.д.)
• откуда и как эти данные получаются?
• на основании чего обрабатываются? Есть ли регламент?
• куда и как передаются?
• сколько хранятся (срок, условие)?
• как часто актуализируются?
• каков порядок уничтожения?
• вид обработки: автоматизированная/ручная/смешанная?
• персональные данные скольких субъектов обрабатываются?
6
7. Выявление и структурирование всех обрабатываемых в учреждении
персональных данных
Идентификация всех персональных данных,
обрабатываемых в учреждении
Необходимо провести тщательный анализ всех
обрабатываемых в учреждении персональных данных (ПДн) и
по каждому виду ПДн составить документ, содержащий ответы
как минимум на следующие вопросы (продолжение):
• кто из сотрудников учреждения имеет доступ к ПДн и в каком
объеме, отражен ли этот факт в должностных инструкциях?
• каковы технические, организационные меры защиты
обрабатываемых данных?
• возможные каналы утечки персональных данных
• имеется ли согласие субъектов ПДн на обработку? Допустимо ли
не получать такое согласие?
7
8. Порядок проведения классификации информационных систем
персональных данных
Категоризация персональных данных
8
Утвержден Приказом ФСТЭК России, ФСБ России,
Мининформсвязи России от 13.02.2008 г. №55/86/20
Ст. 4. Проведение классификации информационных систем включает
в себя следующие этапы:
• сбор и анализ исходных данных по информационной системе;
• присвоение информационной системе соответствующего класса и
его документальное оформление.
Ст. 18. Результаты классификации информационных систем
оформляются соответствующим актом оператора.
9. Порядок проведения классификации информационных систем
персональных данных
Категоризация персональных данных
9
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от
13.02.2008 г. №55/86/20
Ст. 6. Определяются следующие категории обрабатываемых в
информационной системе персональных данных:
• категория 1 - персональные данные, касающиеся расовой,
национальной принадлежности, политических взглядов, религиозных
и философских убеждений, состояния здоровья, интимной жизни;
• категория 2 - персональные данные, позволяющие
идентифицировать субъекта персональных данных и получить о нем
дополнительную информацию, за исключением персональных
данных, относящихся к категории 1;
• категория 3 - персональные данные, позволяющие
идентифицировать субъекта персональных данных;
• категория 4 - обезличенные и (или) общедоступные персональные
данные.
10. Порядок проведения классификации информационных систем
персональных данных
Категоризация персональных данных
10
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от
13.02.2008 г. №55/86/20
Объем обрабатываемых персональных данных (количество
субъектов персональных данных, персональные данные которых
обрабатываются в информационной системе):
• 1 – одновременно обрабатываются ПДн > 100000 субъектов
персональных данных или персональные данные субъектов
персональных данных в пределах субъекта Российской Федерации
или Российской Федерации в целом;
• 2 – одновременно обрабатываются ПДн от 1000 до 100000 субъектов
персональных данных или персональные данные субъектов
персональных данных, работающих в отрасли экономики Российской
Федерации, в органе государственной власти, проживающих в
пределах муниципального образования;
• 3 – одновременно обрабатываются данные < 1000 субъектов
персональных данных или персональные данные субъектов
персональных данных в пределах конкретной организации.
11. Порядок проведения классификации информационных систем
персональных данных
Категоризация персональных данных
11
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от
13.02.2008 г. №55/86/20
Класс типовой информационной системы определяется в
соответствии с таблицей:
3 2 1
категория 4 К4 К4 К4
категория 3 КЗ КЗ К2
категория 2 КЗ К2 К1
категория 1 К1 К1 К1
12. Порядок проведения классификации информационных систем
персональных данных
Категоризация персональных данных
12
Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от
13.02.2008 г. №55/86/20:
Ст. 8. По заданным оператором характеристикам безопасности
персональных данных, обрабатываемых в информационной системе,
информационные системы подразделяются на типовые и
специальные информационные системы […]
К специальным информационным системам должны быть отнесены:
• информационные системы, в которых обрабатываются
персональные данные, касающиеся состояния здоровья
субъектов персональных данных
[…]
Таким образом, информационная система, в которой хранятся
сведения об освидетельствованных гражданах, является
специальной
13. Примерный перечень внутренних документов, которые необходимы
Категоризация персональных данных
13
•Приказ о создании комиссии по защите ПД с наделением ее полномочий по
проведению всех мероприятий, касающихся организации защиты;
•Положение о персональных данных и их защите;
•Инструкция о порядке обеспечения конфиденциальности при обращении с
информацией, содержащей персональные данные;
•Приказы о возложении персональной ответственности за защиту ПД;
•Договор с субъектом персональных данных, который может содержать
отдельное письменное согласие субъекта ПД на их обработку;
•Нормативный документ (перечень), аккумулирующий информацию о
персональных данных, обрабатываемых оператором (в том числе их категория,
объем и сроки хранения);
•Перечень информационных систем, обрабатывающих персональные данные;
•Регламент допуска сотрудников к обработке персональных данных;
•Перечень допущенных сотрудников к обработке персональных данных;
•Должностные инструкции сотрудников, имеющих отношение к обработке ПД.