SlideShare a Scribd company logo

20091012_Personal data_02

S
sbur
Presentations & Public Speaking
1 of 13
Download to read offline
Подходы к организации работы с персональными данными в учреждениях медико-социальной экспертизы. Часть 2. Подготовка внутренней документации Красноярск, 12.10.2009 Сергей Бурылин, ЗАО «АРМАДА СОФТ»
Портал персональных данных (http://pd.rsoc.ru/) – обновлен 2 октября Новый портал Роскомнадзора по персональным данным 2
Портал персональных данных (http://pd.rsoc.ru/) – что содержит? Новый портал Роскомнадзора по персональным данным 3 • Реестр операторов персональных данных • Электронная форма уведомления об обработке персональных данных • Отдельная новостная лента по вопросам регулирования в сфере персональных данных • Раздел «Законодательство» (по состоянию на 10.10.2009 содержит ссылки на 57 НПА) • Форум для посетителей • Электронная форма для обращений граждан • Доклады, публикации и прочее
Напомним основные шаги Организация работы с персональными данными ШАГ №1 – Подача уведомления об обработке персональных данных 4 ШАГ №2 – разработка внутренней нормативной документации (локальные акты Оператора), регламентирующей деятельность сотрудников по работе с персональными данными внутри учреждения (организации). ШАГ №0 – Идентификация всех видов персональных данных, обработка которых ведется в учреждении МСЭ ШАГ №3 – Проведение организационных и технических мероприятий по организации работы с персональными данными Основные виды персональных данных в учреждении МСЭ: Персональные данные освидетельствуемых лиц Персональные данные работников учреждения Персональные данные, получаемые при обработке обращений граждан
Выявление и структурирование всех обрабатываемых в учреждении персональных данных Идентификация всех персональных данных, обрабатываемых в учреждении В соответствии со ст.3 152-ФЗ под обработкой персональных данных понимаются следующие действия: • сбор • систематизация • накопление • хранение • уточнение (обновление, изменение), • использование, • распространение (в том числе передача), • обезличивание, • блокирование, • уничтожение персональных данных. 5
Выявление и структурирование всех обрабатываемых в учреждении персональных данных Идентификация всех персональных данных, обрабатываемых в учреждении Необходимо провести тщательный анализ всех обрабатываемых в учреждении персональных данных (ПДн) и по каждому виду ПДн составить документ, содержащий ответы как минимум на следующие вопросы: • состав персональных данных (Ф.И.О., дата рождения, пол и т.д.) • откуда и как эти данные получаются? • на основании чего обрабатываются? Есть ли регламент? • куда и как передаются? • сколько хранятся (срок, условие)? • как часто актуализируются? • каков порядок уничтожения? • вид обработки: автоматизированная/ручная/смешанная? • персональные данные скольких субъектов обрабатываются? 6
Выявление и структурирование всех обрабатываемых в учреждении персональных данных Идентификация всех персональных данных, обрабатываемых в учреждении Необходимо провести тщательный анализ всех обрабатываемых в учреждении персональных данных (ПДн) и по каждому виду ПДн составить документ, содержащий ответы как минимум на следующие вопросы (продолжение): • кто из сотрудников учреждения имеет доступ к ПДн и в каком объеме, отражен ли этот факт в должностных инструкциях? • каковы технические, организационные меры защиты обрабатываемых данных? • возможные каналы утечки персональных данных • имеется ли согласие субъектов ПДн на обработку? Допустимо ли не получать такое согласие? 7
Порядок проведения классификации информационных систем персональных данных Категоризация персональных данных 8 Утвержден Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. №55/86/20 Ст. 4. Проведение классификации информационных систем включает в себя следующие этапы: • сбор и анализ исходных данных по информационной системе; • присвоение информационной системе соответствующего класса и его документальное оформление. Ст. 18. Результаты классификации информационных систем оформляются соответствующим актом оператора.
Порядок проведения классификации информационных систем персональных данных Категоризация персональных данных 9 Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. №55/86/20 Ст. 6. Определяются следующие категории обрабатываемых в информационной системе персональных данных: • категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; • категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; • категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; • категория 4 - обезличенные и (или) общедоступные персональные данные.
Порядок проведения классификации информационных систем персональных данных Категоризация персональных данных 10 Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. №55/86/20 Объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе): • 1 – одновременно обрабатываются ПДн > 100000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; • 2 – одновременно обрабатываются ПДн от 1000 до 100000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; • 3 – одновременно обрабатываются данные < 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
Порядок проведения классификации информационных систем персональных данных Категоризация персональных данных 11 Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. №55/86/20 Класс типовой информационной системы определяется в соответствии с таблицей: 3 2 1 категория 4 К4 К4 К4 категория 3 КЗ КЗ К2 категория 2 КЗ К2 К1 категория 1 К1 К1 К1
Порядок проведения классификации информационных систем персональных данных Категоризация персональных данных 12 Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. №55/86/20: Ст. 8. По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы […] К специальным информационным системам должны быть отнесены: • информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных […] Таким образом, информационная система, в которой хранятся сведения об освидетельствованных гражданах, является специальной
Примерный перечень внутренних документов, которые необходимы Категоризация персональных данных 13 •Приказ о создании комиссии по защите ПД с наделением ее полномочий по проведению всех мероприятий, касающихся организации защиты; •Положение о персональных данных и их защите; •Инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные; •Приказы о возложении персональной ответственности за защиту ПД; •Договор с субъектом персональных данных, который может содержать отдельное письменное согласие субъекта ПД на их обработку; •Нормативный документ (перечень), аккумулирующий информацию о персональных данных, обрабатываемых оператором (в том числе их категория, объем и сроки хранения); •Перечень информационных систем, обрабатывающих персональные данные; •Регламент допуска сотрудников к обработке персональных данных; •Перечень допущенных сотрудников к обработке персональных данных; •Должностные инструкции сотрудников, имеющих отношение к обработке ПД.

Recommended

История одного дела_Емельянников
История одного дела_ЕмельянниковИстория одного дела_Емельянников
История одного дела_ЕмельянниковMikhail Emeliyannikov
 
Изменения в законодательстве по ИБ_Емельянников 060912
Изменения в законодательстве по ИБ_Емельянников 060912Изменения в законодательстве по ИБ_Емельянников 060912
Изменения в законодательстве по ИБ_Емельянников 060912Mikhail Emeliyannikov
 
Емельянников почему нельзя не нарушить закон 310512
Емельянников почему нельзя не нарушить закон 310512Емельянников почему нельзя не нарушить закон 310512
Емельянников почему нельзя не нарушить закон 310512Mikhail Emeliyannikov
 
Безопасность платежей 2017
Безопасность платежей 2017Безопасность платежей 2017
Безопасность платежей 2017Ksenia Shudrova
 
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015Mikhail Emeliyannikov
 
О проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗО проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗАнатолий Попов
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхKsenia Shudrova
 
Изменения в фз 152
Изменения в фз 152Изменения в фз 152
Изменения в фз 152ivanishko
 

Recommended

История одного дела_Емельянников
История одного дела_ЕмельянниковИстория одного дела_Емельянников
История одного дела_ЕмельянниковMikhail Emeliyannikov
 
Изменения в законодательстве по ИБ_Емельянников 060912
Изменения в законодательстве по ИБ_Емельянников 060912Изменения в законодательстве по ИБ_Емельянников 060912
Изменения в законодательстве по ИБ_Емельянников 060912Mikhail Emeliyannikov
 
Емельянников почему нельзя не нарушить закон 310512
Емельянников почему нельзя не нарушить закон 310512Емельянников почему нельзя не нарушить закон 310512
Емельянников почему нельзя не нарушить закон 310512Mikhail Emeliyannikov
 
Безопасность платежей 2017
Безопасность платежей 2017Безопасность платежей 2017
Безопасность платежей 2017Ksenia Shudrova
 
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015Mikhail Emeliyannikov
 
О проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗО проекте БЕЗ УГРОЗ
О проекте БЕЗ УГРОЗАнатолий Попов
 
Ксения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхКсения Шудрова - Защита персональных данных
Ксения Шудрова - Защита персональных данныхKsenia Shudrova
 
Изменения в фз 152
Изменения в фз 152Изменения в фз 152
Изменения в фз 152ivanishko
 
роскомнадзор
роскомнадзорроскомнадзор
роскомнадзорExpolink
 
Положение о политике Оператора в отношении обработки персональных данных в МБ...
Положение о политике Оператора в отношении обработки персональных данных в МБ...Положение о политике Оператора в отношении обработки персональных данных в МБ...
Положение о политике Оператора в отношении обработки персональных данных в МБ...himbaza
 
пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Защита персональных данных пациентов
Защита персональных данных пациентовЗащита персональных данных пациентов
Защита персональных данных пациентовMedpoisk.pro
 
Защита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУЗащита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУГБОУ № 509
 
защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данныхСергей Сергеев
 
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМКонстантин Бажин
 
Презентация для персонала компаний "ПДн"
Презентация для персонала компаний "ПДн"Презентация для персонала компаний "ПДн"
Презентация для персонала компаний "ПДн"Дмитрий Красников
 
презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...
презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...
презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...Марина Зимницкая
 
Хостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхХостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхwebdrv
 
НПО как обладатели информации
НПО как обладатели информацииНПО как обладатели информации
НПО как обладатели информацииTRENDERKZ
 
Цифровое судопроизводство. Суд будущего.
Цифровое судопроизводство. Суд будущего.Цифровое судопроизводство. Суд будущего.
Цифровое судопроизводство. Суд будущего.Sarkis Darbinyan
 
Цифровое судопроизводство. Суд будущего.
Цифровое судопроизводство. Суд будущего.Цифровое судопроизводство. Суд будущего.
Цифровое судопроизводство. Суд будущего.Sarkis Darbinyan
 
Михаил Емельянников - Основные тенденции государственного регулирования в сфе...
Михаил Емельянников - Основные тенденции государственного регулирования в сфе...Михаил Емельянников - Основные тенденции государственного регулирования в сфе...
Михаил Емельянников - Основные тенденции государственного регулирования в сфе...Expolink
 
дипломная презентация по лицензированию медицинской деятельности
дипломная презентация по лицензированию медицинской деятельностидипломная презентация по лицензированию медицинской деятельности
дипломная презентация по лицензированию медицинской деятельностиIvan Simanov
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системахDimOK AD
 
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1нн 2013 chugunov_v 1
нн 2013 chugunov_v 1Ekaterina Morozova
 
Shudrova_PDN_27052015
Shudrova_PDN_27052015Shudrova_PDN_27052015
Shudrova_PDN_27052015Ksenia Shudrova
 
НСИ в Минздраве - описание систем классификации и кодирования
НСИ в Минздраве - описание систем классификации и кодированияНСИ в Минздраве - описание систем классификации и кодирования
НСИ в Минздраве - описание систем классификации и кодированияVictor Gridnev
 
нпа обеспечение пдн
нпа обеспечение пдннпа обеспечение пдн
нпа обеспечение пднExpolink
 
ADS-Weidenhausen
ADS-WeidenhausenADS-Weidenhausen
ADS-WeidenhausenSansibear
 
Peer topeer
Peer topeerPeer topeer
Peer topeerHigher Private School of Engineering and Technology
 

More Related Content

What's hot

роскомнадзор
роскомнадзорроскомнадзор
роскомнадзорExpolink
 
Положение о политике Оператора в отношении обработки персональных данных в МБ...
Положение о политике Оператора в отношении обработки персональных данных в МБ...Положение о политике Оператора в отношении обработки персональных данных в МБ...
Положение о политике Оператора в отношении обработки персональных данных в МБ...himbaza
 
Защита персональных данных пациентов
Защита персональных данных пациентовЗащита персональных данных пациентов
Защита персональных данных пациентовMedpoisk.pro
 
Защита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУЗащита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУГБОУ № 509
 
защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данныхСергей Сергеев
 
Презентация для персонала компаний "ПДн"
Презентация для персонала компаний "ПДн"Презентация для персонала компаний "ПДн"
Презентация для персонала компаний "ПДн"Дмитрий Красников
 
презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...
презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...
презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...Марина Зимницкая
 
Хостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхХостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхwebdrv
 
НПО как обладатели информации
НПО как обладатели информацииНПО как обладатели информации
НПО как обладатели информацииTRENDERKZ
 
Цифровое судопроизводство. Суд будущего.
Цифровое судопроизводство. Суд будущего.Цифровое судопроизводство. Суд будущего.
Цифровое судопроизводство. Суд будущего.Sarkis Darbinyan
 
Цифровое судопроизводство. Суд будущего.
Цифровое судопроизводство. Суд будущего.Цифровое судопроизводство. Суд будущего.
Цифровое судопроизводство. Суд будущего.Sarkis Darbinyan
 
Михаил Емельянников - Основные тенденции государственного регулирования в сфе...
Михаил Емельянников - Основные тенденции государственного регулирования в сфе...Михаил Емельянников - Основные тенденции государственного регулирования в сфе...
Михаил Емельянников - Основные тенденции государственного регулирования в сфе...Expolink
 
дипломная презентация по лицензированию медицинской деятельности
дипломная презентация по лицензированию медицинской деятельностидипломная презентация по лицензированию медицинской деятельности
дипломная презентация по лицензированию медицинской деятельностиIvan Simanov
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системахDimOK AD
 
НСИ в Минздраве - описание систем классификации и кодирования
НСИ в Минздраве - описание систем классификации и кодированияНСИ в Минздраве - описание систем классификации и кодирования
НСИ в Минздраве - описание систем классификации и кодированияVictor Gridnev
 
нпа обеспечение пдн
нпа обеспечение пдннпа обеспечение пдн
нпа обеспечение пднExpolink
 

What's hot (20)

роскомнадзор
роскомнадзорроскомнадзор
роскомнадзор
 
Положение о политике Оператора в отношении обработки персональных данных в МБ...
Положение о политике Оператора в отношении обработки персональных данных в МБ...Положение о политике Оператора в отношении обработки персональных данных в МБ...
Положение о политике Оператора в отношении обработки персональных данных в МБ...
 
пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11пр про пдн для рбк 2014 11
пр про пдн для рбк 2014 11
 
Защита персональных данных пациентов
Защита персональных данных пациентовЗащита персональных данных пациентов
Защита персональных данных пациентов
 
Защита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУЗащита ПДн. Шпаргалка для ОУ
Защита ПДн. Шпаргалка для ОУ
 
защита персональных данных
защита персональных данныхзащита персональных данных
защита персональных данных
 
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
ГОРЯЧАЯ ЛИНИЯ С РЕГУЛЯТОРОМ
 
Презентация для персонала компаний "ПДн"
Презентация для персонала компаний "ПДн"Презентация для персонала компаний "ПДн"
Презентация для персонала компаний "ПДн"
 
презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...
презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...
презентация 1 роскомнадзор персональные данные калашникова (для учебных завед...
 
Хостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данныхХостеры и регистраторы - операторы персональных данных
Хостеры и регистраторы - операторы персональных данных
 
НПО как обладатели информации
НПО как обладатели информацииНПО как обладатели информации
НПО как обладатели информации
 
Цифровое судопроизводство. Суд будущего.
Цифровое судопроизводство. Суд будущего.Цифровое судопроизводство. Суд будущего.
Цифровое судопроизводство. Суд будущего.
 
Цифровое судопроизводство. Суд будущего.
Цифровое судопроизводство. Суд будущего.Цифровое судопроизводство. Суд будущего.
Цифровое судопроизводство. Суд будущего.
 
Михаил Емельянников - Основные тенденции государственного регулирования в сфе...
Михаил Емельянников - Основные тенденции государственного регулирования в сфе...Михаил Емельянников - Основные тенденции государственного регулирования в сфе...
Михаил Емельянников - Основные тенденции государственного регулирования в сфе...
 
дипломная презентация по лицензированию медицинской деятельности
дипломная презентация по лицензированию медицинской деятельностидипломная презентация по лицензированию медицинской деятельности
дипломная презентация по лицензированию медицинской деятельности
 
Защита персональных данных в информационных системах
Защита персональных данных в информационных системахЗащита персональных данных в информационных системах
Защита персональных данных в информационных системах
 
нн 2013 chugunov_v 1
нн 2013 chugunov_v 1нн 2013 chugunov_v 1
нн 2013 chugunov_v 1
 
Shudrova_PDN_27052015
Shudrova_PDN_27052015Shudrova_PDN_27052015
Shudrova_PDN_27052015
 
НСИ в Минздраве - описание систем классификации и кодирования
НСИ в Минздраве - описание систем классификации и кодированияНСИ в Минздраве - описание систем классификации и кодирования
НСИ в Минздраве - описание систем классификации и кодирования
 
нпа обеспечение пдн
нпа обеспечение пдннпа обеспечение пдн
нпа обеспечение пдн
 

Viewers also liked

ADS-Weidenhausen
ADS-WeidenhausenADS-Weidenhausen
ADS-WeidenhausenSansibear
 
Personality R I M S B A N G A L O R E
Personality R I M S B A N G A L O R EPersonality R I M S B A N G A L O R E
Personality R I M S B A N G A L O R EAshutosh Pareek
 
Election Process(Vikas)
Election Process(Vikas)Election Process(Vikas)
Election Process(Vikas)guest9fd335
 
De 10 bouwstenen voor een ideaal CRM Project
De 10 bouwstenen voor een ideaal CRM ProjectDe 10 bouwstenen voor een ideaal CRM Project
De 10 bouwstenen voor een ideaal CRM ProjectCRM excellence
 
Switcher Catalouge
Switcher CatalougeSwitcher Catalouge
Switcher Catalougesparshamit
 
7. microsoft excel 1
7. microsoft excel 17. microsoft excel 1
7. microsoft excel 1UDES - USTA
 
PEARL: Providing Education and Resources for Leadership
PEARL: Providing Education and Resources for Leadership PEARL: Providing Education and Resources for Leadership
PEARL: Providing Education and Resources for Leadership briandmiller
 
Masa Depanku Fathul 6a
Masa Depanku Fathul 6aMasa Depanku Fathul 6a
Masa Depanku Fathul 6aiwan hendrawan
 
Mumbrella - Programmatic For Marketers
Mumbrella - Programmatic For MarketersMumbrella - Programmatic For Marketers
Mumbrella - Programmatic For MarketersLouder
 

Viewers also liked (20)

ADS-Weidenhausen
ADS-WeidenhausenADS-Weidenhausen
ADS-Weidenhausen
 
Peer topeer
Peer topeerPeer topeer
Peer topeer
 
Personality R I M S B A N G A L O R E
Personality R I M S B A N G A L O R EPersonality R I M S B A N G A L O R E
Personality R I M S B A N G A L O R E
 
pitch detail page
pitch detail pagepitch detail page
pitch detail page
 
Election Process(Vikas)
Election Process(Vikas)Election Process(Vikas)
Election Process(Vikas)
 
asdf
asdfasdf
asdf
 
21stclass
21stclass21stclass
21stclass
 
before upload
before uploadbefore upload
before upload
 
Mantra3
Mantra3Mantra3
Mantra3
 
De 10 bouwstenen voor een ideaal CRM Project
De 10 bouwstenen voor een ideaal CRM ProjectDe 10 bouwstenen voor een ideaal CRM Project
De 10 bouwstenen voor een ideaal CRM Project
 
Switcher Catalouge
Switcher CatalougeSwitcher Catalouge
Switcher Catalouge
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
7. microsoft excel 1
7. microsoft excel 17. microsoft excel 1
7. microsoft excel 1
 
Mifos
MifosMifos
Mifos
 
ttt
tttttt
ttt
 
PEARL: Providing Education and Resources for Leadership
PEARL: Providing Education and Resources for Leadership PEARL: Providing Education and Resources for Leadership
PEARL: Providing Education and Resources for Leadership
 
Masa Depanku Fathul 6a
Masa Depanku Fathul 6aMasa Depanku Fathul 6a
Masa Depanku Fathul 6a
 
sdfsdf
sdfsdfsdfsdf
sdfsdf
 
Mumbrella - Programmatic For Marketers
Mumbrella - Programmatic For MarketersMumbrella - Programmatic For Marketers
Mumbrella - Programmatic For Marketers
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 

Similar to 20091012_Personal data_02

Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Александр Лысяк
 
Защита персональных данных в области рекрутмента
Защита персональных данных в области рекрутментаЗащита персональных данных в области рекрутмента
Защита персональных данных в области рекрутментаSPIBA
 
Russian Personal Data Legislation: Localization Requirement
Russian Personal Data Legislation: Localization RequirementRussian Personal Data Legislation: Localization Requirement
Russian Personal Data Legislation: Localization RequirementVladislav Arkhipov
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиAleksey Lukatskiy
 
лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...elenae00
 
20090929_Personal data
20090929_Personal data20090929_Personal data
20090929_Personal datasbur
 
Защита ИСПДН
Защита ИСПДНЗащита ИСПДН
Защита ИСПДНMNUCIB
 
Информационная безопасность бизнеса
Информационная безопасность бизнесаИнформационная безопасность бизнеса
Информационная безопасность бизнесаDmitri Budaev
 
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Cisco Russia
 
законодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данныхзаконодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данныхDimOK AD
 
Нормативное регулирование использования ИКТ в здравоохранении: первоочередные...
Нормативное регулирование использования ИКТ в здравоохранении: первоочередные...Нормативное регулирование использования ИКТ в здравоохранении: первоочередные...
Нормативное регулирование использования ИКТ в здравоохранении: первоочередные...mir4sveta
 
доктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерациидоктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерацииАркадий Захаров
 
Комплексная защита персональных данных
Комплексная защита персональных данныхКомплексная защита персональных данных
Комплексная защита персональных данныхspiritussancti
 
Основные проблемы информатизации и что могло бы их решить: взгляд разработчик...
Основные проблемы информатизации и что могло бы их решить: взгляд разработчик...Основные проблемы информатизации и что могло бы их решить: взгляд разработчик...
Основные проблемы информатизации и что могло бы их решить: взгляд разработчик...mir4sveta
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
 

Similar to 20091012_Personal data_02 (20)

Сертификация и персональные данные
Сертификация и персональные данныеСертификация и персональные данные
Сертификация и персональные данные
 
Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.
 
Fomchenkov
FomchenkovFomchenkov
Fomchenkov
 
Защита персональных данных в области рекрутмента
Защита персональных данных в области рекрутментаЗащита персональных данных в области рекрутмента
Защита персональных данных в области рекрутмента
 
Russian Personal Data Legislation: Localization Requirement
Russian Personal Data Legislation: Localization RequirementRussian Personal Data Legislation: Localization Requirement
Russian Personal Data Legislation: Localization Requirement
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасности
 
лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...лукацкий алексей. обзор последних законодательных инициатив в области информа...
лукацкий алексей. обзор последних законодательных инициатив в области информа...
 
20090929_Personal data
20090929_Personal data20090929_Personal data
20090929_Personal data
 
Защита ИСПДН
Защита ИСПДНЗащита ИСПДН
Защита ИСПДН
 
пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04пр мастер класс по пдн 2014-04
пр мастер класс по пдн 2014-04
 
пр про ПДн
пр про ПДнпр про ПДн
пр про ПДн
 
Информационная безопасность бизнеса
Информационная безопасность бизнесаИнформационная безопасность бизнеса
Информационная безопасность бизнеса
 
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
Что ждет Россию с точки зрения законодательства по ИБ в ближайшие полгода?
 
О проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУО проекте БЕЗ УГРОЗ РУ
О проекте БЕЗ УГРОЗ РУ
 
законодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данныхзаконодательство в области защиты прав субъектов персональных данных
законодательство в области защиты прав субъектов персональных данных
 
Нормативное регулирование использования ИКТ в здравоохранении: первоочередные...
Нормативное регулирование использования ИКТ в здравоохранении: первоочередные...Нормативное регулирование использования ИКТ в здравоохранении: первоочередные...
Нормативное регулирование использования ИКТ в здравоохранении: первоочередные...
 
доктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерациидоктрина информационной безопасности российской федерации
доктрина информационной безопасности российской федерации
 
Комплексная защита персональных данных
Комплексная защита персональных данныхКомплексная защита персональных данных
Комплексная защита персональных данных
 
Основные проблемы информатизации и что могло бы их решить: взгляд разработчик...
Основные проблемы информатизации и что могло бы их решить: взгляд разработчик...Основные проблемы информатизации и что могло бы их решить: взгляд разработчик...
Основные проблемы информатизации и что могло бы их решить: взгляд разработчик...
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данных
 

20091012_Personal data_02

  • 1. Подходы к организации работы с персональными данными в учреждениях медико-социальной экспертизы. Часть 2. Подготовка внутренней документации Красноярск, 12.10.2009 Сергей Бурылин, ЗАО «АРМАДА СОФТ»
  • 2. Портал персональных данных (http://pd.rsoc.ru/) – обновлен 2 октября Новый портал Роскомнадзора по персональным данным 2
  • 3. Портал персональных данных (http://pd.rsoc.ru/) – что содержит? Новый портал Роскомнадзора по персональным данным 3 • Реестр операторов персональных данных • Электронная форма уведомления об обработке персональных данных • Отдельная новостная лента по вопросам регулирования в сфере персональных данных • Раздел «Законодательство» (по состоянию на 10.10.2009 содержит ссылки на 57 НПА) • Форум для посетителей • Электронная форма для обращений граждан • Доклады, публикации и прочее
  • 4. Напомним основные шаги Организация работы с персональными данными ШАГ №1 – Подача уведомления об обработке персональных данных 4 ШАГ №2 – разработка внутренней нормативной документации (локальные акты Оператора), регламентирующей деятельность сотрудников по работе с персональными данными внутри учреждения (организации). ШАГ №0 – Идентификация всех видов персональных данных, обработка которых ведется в учреждении МСЭ ШАГ №3 – Проведение организационных и технических мероприятий по организации работы с персональными данными Основные виды персональных данных в учреждении МСЭ: Персональные данные освидетельствуемых лиц Персональные данные работников учреждения Персональные данные, получаемые при обработке обращений граждан
  • 5. Выявление и структурирование всех обрабатываемых в учреждении персональных данных Идентификация всех персональных данных, обрабатываемых в учреждении В соответствии со ст.3 152-ФЗ под обработкой персональных данных понимаются следующие действия: • сбор • систематизация • накопление • хранение • уточнение (обновление, изменение), • использование, • распространение (в том числе передача), • обезличивание, • блокирование, • уничтожение персональных данных. 5
  • 6. Выявление и структурирование всех обрабатываемых в учреждении персональных данных Идентификация всех персональных данных, обрабатываемых в учреждении Необходимо провести тщательный анализ всех обрабатываемых в учреждении персональных данных (ПДн) и по каждому виду ПДн составить документ, содержащий ответы как минимум на следующие вопросы: • состав персональных данных (Ф.И.О., дата рождения, пол и т.д.) • откуда и как эти данные получаются? • на основании чего обрабатываются? Есть ли регламент? • куда и как передаются? • сколько хранятся (срок, условие)? • как часто актуализируются? • каков порядок уничтожения? • вид обработки: автоматизированная/ручная/смешанная? • персональные данные скольких субъектов обрабатываются? 6
  • 7. Выявление и структурирование всех обрабатываемых в учреждении персональных данных Идентификация всех персональных данных, обрабатываемых в учреждении Необходимо провести тщательный анализ всех обрабатываемых в учреждении персональных данных (ПДн) и по каждому виду ПДн составить документ, содержащий ответы как минимум на следующие вопросы (продолжение): • кто из сотрудников учреждения имеет доступ к ПДн и в каком объеме, отражен ли этот факт в должностных инструкциях? • каковы технические, организационные меры защиты обрабатываемых данных? • возможные каналы утечки персональных данных • имеется ли согласие субъектов ПДн на обработку? Допустимо ли не получать такое согласие? 7
  • 8. Порядок проведения классификации информационных систем персональных данных Категоризация персональных данных 8 Утвержден Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. №55/86/20 Ст. 4. Проведение классификации информационных систем включает в себя следующие этапы: • сбор и анализ исходных данных по информационной системе; • присвоение информационной системе соответствующего класса и его документальное оформление. Ст. 18. Результаты классификации информационных систем оформляются соответствующим актом оператора.
  • 9. Порядок проведения классификации информационных систем персональных данных Категоризация персональных данных 9 Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. №55/86/20 Ст. 6. Определяются следующие категории обрабатываемых в информационной системе персональных данных: • категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; • категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; • категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; • категория 4 - обезличенные и (или) общедоступные персональные данные.
  • 10. Порядок проведения классификации информационных систем персональных данных Категоризация персональных данных 10 Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. №55/86/20 Объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе): • 1 – одновременно обрабатываются ПДн > 100000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; • 2 – одновременно обрабатываются ПДн от 1000 до 100000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; • 3 – одновременно обрабатываются данные < 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
  • 11. Порядок проведения классификации информационных систем персональных данных Категоризация персональных данных 11 Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. №55/86/20 Класс типовой информационной системы определяется в соответствии с таблицей: 3 2 1 категория 4 К4 К4 К4 категория 3 КЗ КЗ К2 категория 2 КЗ К2 К1 категория 1 К1 К1 К1
  • 12. Порядок проведения классификации информационных систем персональных данных Категоризация персональных данных 12 Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. №55/86/20: Ст. 8. По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы […] К специальным информационным системам должны быть отнесены: • информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных […] Таким образом, информационная система, в которой хранятся сведения об освидетельствованных гражданах, является специальной
  • 13. Примерный перечень внутренних документов, которые необходимы Категоризация персональных данных 13 •Приказ о создании комиссии по защите ПД с наделением ее полномочий по проведению всех мероприятий, касающихся организации защиты; •Положение о персональных данных и их защите; •Инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные; •Приказы о возложении персональной ответственности за защиту ПД; •Договор с субъектом персональных данных, который может содержать отдельное письменное согласие субъекта ПД на их обработку; •Нормативный документ (перечень), аккумулирующий информацию о персональных данных, обрабатываемых оператором (в том числе их категория, объем и сроки хранения); •Перечень информационных систем, обрабатывающих персональные данные; •Регламент допуска сотрудников к обработке персональных данных; •Перечень допущенных сотрудников к обработке персональных данных; •Должностные инструкции сотрудников, имеющих отношение к обработке ПД.