Документ охватывает актуальность защиты персональных данных (ПДн) в соответствии с федеральным законом 152-ФЗ. Он описывает классификацию ПДн, риски их обработки, а также требования к безопасности и защиты ПДн в информационных системах. Также упоминаются меры административной ответственности за нарушения, связанные с обращением с личной информацией.

1. Актуальность проблемы защиты
информационных систем
персональных данных
Зырянов Александр
МНУЦИБ ВНИИПВТИ

2. Персональные данные (ПДн) – ФЗ-152 «О
персональных данных»
Персональными данными является
любая информация, с помощью
которой можно однозначно
идентифицировать физическое лицо
(субъекта ПДн):
• фамилия, имя, отчество;
• год, месяц, дата и место рождения;
• адрес проживания;
• семейное, социальное,
имущественное положение;
• образование, профессия, доходы и
пр.
2

3. Обработка персональных данных
Обработка персональных данных - действия
(операции) с персональными данными, включая
• сбор,
• систематизацию,
• накопление,
• хранение,
• уточнение (обновление, изменение),
• использование,
• распространение (в том числе передачу),
• обезличивание,
• блокирование,
• уничтожение персональных данных
3

4. Защита ПДн
• Защита ПДн – требование законодательства
• Трудовой кодекс, глава 14 «Защита персональных
данных работника»
• Федеральный закон РФ от 27 июля 2006 г. N 152-ФЗ «О
персональных данных»
• Подзаконные акты Правительства РФ и Министерства
связи и массовых коммуникаций
• Постановление Правительства Российской
Федерации от 17 ноября 2007 года № 781 «Об
утверждении Положения об обеспечении
безопасности персональных данных при их
обработке в информационных системах
персональных данных»;
• нормативно-методические документы ФСТЭК, ФСБ,
Роскомнадзора;
• Защита ПДн – требование бизнеса (риски для бизнес-
процессов)
4

5. Риски обработки ПДн
• Трудоемкость обеспечения безопасности
персональных данных (Приказ ФСТЭК России № 58
от 5.02.2010);
• Высокая стоимость реализации мер защиты
(необходимость использования
сертифицированных СЗИ – Постановление
Правительства РФ № 330 от 15 мая 2010г.);
• Увеличение количества контролирующих органов,
расширение тематики возможных (плановых и
внеплановых) проверок;
• Административная и уголовная ответственность за
утечку ПДн.
5

6. Информационные ресурсы с точки
зрения ПДн
• Системы кадрового и
бухгалтерского учета
• Базы данных клиентов
• Базы данных контактов
юридических лиц-
контрагентов (CRM и пр.)
• Контактные данные
почтовой системы и
почтовых клиентов
сотрудников
6

7. Конфиденциальность ПДн (ФЗ № 152)
Конфиденциальность  заключение договоров с
контрагентами;
персональных данных - добровольное медицинское и
обязательное для пенсионное страхование
соблюдения оператором … работников;
 передача ПДн в
требование не допускать правоохранительные органы (ФЗ
их распространение без «О противодействии
согласия субъекта легализации(отмыванию) доходов,
полученных преступным путем,
персональных данных
и финансированию терроризма»);
или наличия иного  приобретение билетов для
законного основания командировок и бронирование
гостиниц для сотрудников;
 и пр…
7

8. О категориях персональных данных
• Общедоступные ПДн
• Специальные категории ПДн
• Биометрические персональные данные
• Категории персональных данных, обрабатываемых
в ИСПДн:
• Категория 1 – персональные данные, касающиеся
расовой, национальной принадлежности, политических
взглядов, религиозных и философских убеждений,
состояния здоровья, интимной жизни.
• Категория 2 – персональные данные, позволяющие
идентифицировать субъекта ПДн и получить о нем
дополнительную информацию, за исключением
персональных данных, относящихся к категории 1.
• Категория 3 – персональные данные, позволяющие
идентифицировать субъекта ПДн.
• Категория 4 – обезличенные и (или) общедоступные
персональные данные.
8

9. Классы ИСПДн (Приказ ФСТЭК России,
ФСБ РФ, Миникомсвязь России от
13.02.08 г. № 55/86/20 )
1000 -
<1000 > 100 000
100000
Категория 4 K4 K4 K4
Категория 3 K3 K3 K2
Категория 2 K3 K2 K1
Категория 1 K1 K1 K1
9

10. Автоматизированная обработка?
• Неавтоматизированная обработка ПДн
• Обработка персональных данных, содержащихся в
информационной системе персональных данных либо
извлеченных из такой системы, считается осуществленной без
использования средств автоматизации
(неавтоматизированной), если действия с персональными
данными, осуществляются при непосредственном участии
человека. (Постановление Правительства Российской
Федерации от 15 сентября 2008 г. N 687 г.)
• Автоматизированная обработка персональных данных
• Операции с ПДн, осуществляемые полностью или частично с
помощью средств автоматизации (Постановление
Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении
Положения об обеспечении безопасности персональных
данных при их обработке в информационных системах
персональных данных»)
10

11. Положение об обеспечении
безопасности ПДн при их обработке в
ИСПДн
Статья 11. При обработке персональных данных
в информационной системе должно быть обеспечено:
a) проведение мероприятий, направленных на предотвращение
несанкционированного доступа к персональным данным и (или)
передачи их лицам, не имеющим права доступа к такой
информации;
б) своевременное обнаружение фактов несанкционированного
доступа к персональным данным;
в) недопущение воздействия на технические средства
автоматизированной обработки персональных данных,
в результате которого может быть нарушено
их функционирование;
г) возможность незамедлительного восстановления персональных
данных, модифицированных или уничтоженных вследствие
несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности
персональных данных.
11

12. Положение об обеспечении
безопасности ПДн при их обработке в
ИСПДн
Статья 12. Мероприятия по обеспечению безопасности
персональных данных включают в себя:
а) определение угроз безопасности персональных данных
…, формирование на их основе модели угроз;
б) разработку на основе модели угроз системы защиты
персональных данных …;
в) проверку готовности средств защиты информации …;
г) установку и ввод в эксплуатацию средств защиты
информации …;
д) обучение лиц, использующих средства защиты
информации;
е) учет применяемых средств защиты информации …;
ж) учет лиц, допущенных к работе с персональными
данными в информационной системе;
з) контроль за соблюдением условий использования средств
защиты информации …;
12

13. Подготовка к обеспечению
безопасности персональных данных
Оценка соответствия средств ЗИ
подготовка рекомендаций по построению ИСПДн
Акт классификации (типовые и специальные ИСПДн)
 Типовая модель угроз безопасности ПДн
 Модель нарушителя
 Определение исходной защищенности и
вероятности реализации угрозы
 Актуализированная модель угроз безопасности
ПДн
 Разработка организационно – технических
мероприятий по защите ПДн
 Техническое задание на разработку СЗИ
13

14. Требования по защите ИСПДн
• Мероприятия по защите ПДн при их обработке в ИСПДн
от НСД, включают:
Управление доступом
Регистрацию и учет
Обеспечение целостности
Контроль отсутствия недекларированных
возможностей (НДВ)
Антивирусную защиту
Обеспечение безопасного межсетевого
взаимодействия ИСПДн
Анализ защищенности
Обнаружение вторжений
14

15. Требования по защите ИСПДн
Подсистемы
Класс ИСПДн
Управления доступом Регистрации и учета Обеспечения целостности
Однопользовательская 3Б 3А 3Б
Многопользовательская с равными
2Б 2А 2Б
K1 правами
Многопользовательская с разными
1Г 1Г 1Г
правами
Однопользовательская 3Б 3Б 3Б
Многопользовательская с равными
K2 2Б 2Б 2Б
правами
Многопользовательская с разными
1Д 1Д 1Д
правами
Однопользовательская 3Б 3Б 3Б
Многопользовательская с равными
K3 2Б 2Б 2Б
правами
Многопользовательская с разными
1Д 1Д 1Д
правами
15

16. Внутренние нормативные документы по
защите ИСПДн
Приказ «Об организации работы по защите конфиденциальной информации и персональных данных»
•Перечень сведений конфиденциального характера
•Перечень защищаемых информационных ресурсов
• Инструкция по организации работы с материальными носителями персональных данных
•Положение о порядке обработки персональных данных работников
•Инструкция о порядке удаления (изменения) персонифицированных записей из (в) информационных систем персональных данных
•Инструкция по организации работы с электронными носителями персональных данных
Приказ «Об организации работы с персональными данными»
•Положение о персональных данных
•Перечень помещений, в которых осуществляется обработка персональных данных с указанием лиц, имеющих допуск в данные помещения
•Список лиц, ответственных за организацию защиты конфиденциальной информации и за разработку, проведение мероприятий, направленных на
выполнение требований
• Список лиц, имеющих доступ к персональным данным
•Состав комиссии по классификации информационных систем персональных данных и автоматизированных систем
Должностные инструкции сотрудников
Модель угроз безопасности персональных данных
Акт о классификации ИСПДн
Положение об обеспечении безопасности персональных данных при их обработке
Описание системы защиты, обеспечивающей нейтрализацию угроз для соответствующего класса ИСПДн
Журналы учета средств и методов защиты информации
Журнал проверки исправности и технического обслуживания
16

17. КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ
ПЕРСОНАЛЬНЫХ ДАННЫХ
• Уполномоченный орган по защите прав субъектов
персональных данных – Роскомнадзор
• Федеральный орган исполнительной власти,
уполномоченный в области обеспечения безопасности
– ФСБ РФ
• Федеральный орган исполнительной власти,
уполномоченный в области противодействия
техническим разведкам и технической защиты
информации – ФСТЭК России
17

18. ОТВЕТСТВЕННОСТЬ ЗА НЕПРАВОМЕРНОЕ
ОБРАЩЕНИЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
• Статья 13.11. Нарушение установленного законом порядка
сбора, хранения, использования или распространения
информации о гражданах
• влечет предупреждение или наложение административного
штрафа на граждан в размере от трехсот до пятисот
рублей; на должностных лиц - от пятисот до одной
тысячи рублей; на юридических лиц - от пяти тысяч до
десяти тысяч рублей.
• Статья 13.13.1 Незаконная деятельность в области защиты
информации
• влечет наложение административного штрафа … на
должностных лиц - от двух тысяч до трех тысяч рублей с
конфискацией средств защиты информации или без
таковой; на юридических лиц - от десяти тысяч до
двадцати тысяч рублей с конфискацией средств
защиты информации или без таковой.
• Статья 19.5.2
• влечет наложение административного штрафа на
должностных лиц в размере от пяти тысяч до десяти
тысяч рублей или дисквалификацию на срок до трех лет;
на юридических лиц - от двухсот тысяч до пятисот тысяч
рублей
18

19. ОТВЕТСТВЕННОСТЬ ЗА НЕПРАВОМЕРНОЕ
ОБРАЩЕНИЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
• Глава 5 статья 23.3.
Уполномоченный орган по защите прав субъектов
персональных данных имеет право:
• 2) принятие в установленном законодательством РФ
порядке мер по приостановлению или прекращению
обработки персональных данных, осуществляемой с
нарушением требований настоящего Федерального закона;
• 4) направлять заявление в орган, осуществляющий
лицензирование деятельности оператора, для
рассмотрения вопроса о принятии мер по
приостановлению действия или аннулированию
соответствующей лицензии в установленном
законодательством Российской Федерации порядке, если
условием лицензии на осуществление такой деятельности
является запрет на передачу персональных данных
третьим лицам без согласия в письменной форме субъекта
персональных данных;
направлять в органы прокуратуры, другие
правоохранительные органы материалы для решения
вопроса о возбуждении уголовных дел по признакам
преступлений, связанных с нарушением прав субъектов
персональных данных, в соответствии с
подведомственностью;
19

20. ОТВЕТСТВЕННОСТЬ ЗА НЕПРАВОМЕРНОЕ
ОБРАЩЕНИЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
• Статья 137. Незаконное собирание или
распространение сведений о частной жизни лица,
составляющих его личную или семейную тайну, без его
согласия либо распространение этих сведений в
публичном выступлении, публично демонстрирующемся
произведении или средствах массовой информации
• Статья 171. Незаконное предпринимательство
• 1. Осуществление предпринимательской
деятельности … без специального разрешения
(лицензии) в случаях, когда такое разрешение
(лицензия) обязательно, или с нарушением
лицензионных требований и условий, если это
деяние … сопряжено с извлечением дохода в
крупном размере
• 2. То же деяние:
а) совершенное организованной группой;
б) сопряженное с извлечением дохода в особо
крупном размере
20

21. Спасибо за внимание!
Вопросы?
info@mnucib.ru
alexander.zyryanov@mnucib.ru