Профессиональное сообщество в сфере информационных технологий «ИТ-Ассоциация Республики Коми» Модератор – В.В.Миронов
Круглый стол по проблеме защиты персональных данных • Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Оператор персональных данных - это, как правило, организация, а точнее государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Субъект персональных данных - это физическое лицо. Оператор несет ответственность за защиту персональных данных субъекта в соответствии с действующим законодательством РФ.
Законодательство • •
• • • •
Федеральный закон Российской Федерации от 27 июля 2006 г. 152-ФЗ «О персональных данных»; Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 17 ноября 2007 г. N 781); Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года; Приказ ФСТЭК, ФСБ, Мининформсвязи 13.02.08 г. N 55/86/20; Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года; Приказ ФСТЭК от 5 февраля 2010 г. N 58 Об утверждении положения о методах и способах защиты информации в информационных системах защиты персональных данных.
Обязательные этапы работ по защите ПДн 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16.
Определить все ситуации, когда требуется проводить обработку ПДн. Выделить бизнес-процессы, в которых обрабатываются ПДн. Выбрать ограниченное число бизнес-процессов для проведения аналитики. На этом этапе формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности. Определить круг информационных систем и совокупность обрабатываемых ПДн. Провести категорирование ПДн и предварительную классификацию информационных систем (ИС). Выработать меры по снижению категорий обрабатываемых ПДн. Сформировать актуальную модель угроз для каждой информационной системы обработки персональных данных (ИСПДн). Подготовить техническое задание (ТЗ) по созданию требуемой системы защиты. Провести уточнение классов ИС, с последующей подготовкой рекомендаций по использованию технических средств защиты ПДн. Подать уведомление о начале обработки персональных данных в Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) для регистрации в качестве оператора ПДн. Отправить заявку на получение экземпляров руководящих документов ФСТЭК России по организации системы защиты. Разработать требования для конкретной ИСПДн, с учетом присвоенного класса защиты. Подготовить технический проект по защите ИСПДн и помещений. Разработать пакет организационно-распорядительных документов для СЗПДн (положения, приказы, инструкции). Спроектировать и внедрить систему защиты персональных данных (СЗПДн). Аттестовать СЗПДн на соответствие требованиям по защите ПДн.
Ответственность за нарушения по обработке персональных данных Лица, виновные в нарушении требований Федерального закона 152-ФЗ "О персональных данных", несут: - гражданскую, - уголовную (см. Уголовный кодекс Российской Федерации, ст.137, 140, 155, 183, 272, 273, 274, 292, 293), - административную (см. Кодекс Российской Федерации об административных правонарушениях, ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2), - дисциплинарную (см. Трудовой кодекс Российской Федерации, ст.81; ст.90; ст.195; ст.237; ст.391) и иную предусмотренную законодательством РФ ответственность (см. подзаконные акты по работе с персональными данными, которые издаются в субъектах РФ, ведомствах и организациях).
Круглый стол по проблемам защиты персональных данных