🗊Презентация Защита персональных данных

Типовые ошибки операторов ПДн Не предоставление или несвоевременное предоставление уведомления об обработке ПДн; Предоставление уведомления об обработке ПДн в неполном объеме; Отсутствие согласия на обработку ПДн; Несоответствие содержания согласия требованиям законодательства: Неверно указана цель обработки ПДн; Указаны не все категории ПДн Не указаны или неверно указаны сроки прекращения обработки ПДн 5. Несоответствие типовых форм документов; 6. Незаконная передача третьим лицам (без согласия субъекта ПДн) 7. Несоблюдение требований по информированию сотрудников, осуществляющих обработку ПДн без использования средств автоматизации; 8. Отсутствие в тексте договора с лицом, осуществляющим обработку ПДн по поручению оператора, существенного условия об обеспечении конфиденциальности и безопасности ПДн 9. Отсутствие в тексте трудового договора существенного условия об обеспечении конфиденциальности ПДн 10. Наличие в анкете, предоставляемой при приеме на работу, требований по внесению информации сверх необходимой (сведения о судимости, сведения о персональных данных близких родственников, сведения о специальных категориях персональных данных – расовая, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимной жизни) 11. Сотрудники не ознакомлены с положение об обработке персональных данных (для всех сотрудников организации), инструкциями (только для участвующих в обработке) 12. Не утвержден перечень лиц, имеющих доступ к персональным данным 13. Обработка персональных данных (в том числе хранение) после достижения целей обработки. 14. Отсутствие политики в отношении обработки персональных данных 15. Не назначен ответственный за организацию обработки персональных данных 16. Не корректная передача дел в архив 17. Избыточные персональные данные в личных делах работников, учащихся

Правовая база по ПДн

Материалы для курсов ИСПДн в контакте, группа «консультация»

Существенные изменения в ФЗ-152 Ст.9 п.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором. Ст.9 п.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона. Ст.9 п.3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

Существенные изменения в ФЗ-152 Ст. 18.1 Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом 1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться: 1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных; 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; 3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона; 4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; 5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

Существенные изменения в ФЗ-152 6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников. 2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети. 3. Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами. 4. Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных.

Существенные изменения в ФЗ-152 Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 2. Обеспечение безопасности персональных данных достигается, в частности: 1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных; 2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; 4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; 5) учетом машинных носителей персональных данных; 6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер; 7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; 9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Существенные изменения в ФЗ-152 Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях  1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. 2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему. 3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона. (для подачи уведомления) 4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано: 1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных; 2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных; 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.  

Постановление Правительства № 687 Фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы; Лица, осуществляющие обработку персональных данных без использования средств автоматизации должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации; Типовые формы документов (анкеты, заявления, журналы, личные карточки и т.п.) должны удовлетворять требованиям: Форма должна быть утверждена приказом или использоваться утвержденная на вышестоящем уровне; должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных; типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных; типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных; типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы

Постановление Правительства № 687 Журнал однократного пропуска: необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных; копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается; персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор; Необходимые меры: Учет мест хранения материальных носителей; Определение лиц, осуществляющих обработку ПДн; Отдельное хранение носителей ПДн с разными целями; Защита от несанкционированного доступа носителей Пдн

ПП РФ от 01.11.2012 № 1119 Типы информационных систем ИСПДн, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных (ИСПДн-С). ИСПДн, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных (ИСПДН-Б). ИСПДн, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О  персональных данных» (ИСПДн-О). ИСПДн, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные в абзацах первом - третьем настоящего пункта (ИСПДН-И). ИСПДн, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора (ИСПДН-И).  

ПП РФ от 01.11.2012 № 1119 Типы угроз Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе – если используем нелицензионную ОС, свободное ПО. Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе – если используем нелицензионное ПО, свободное ПО. Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе – для всех.

Классификация ИСПДн по уровням защищенности

Требования к обеспечению уровня защищенности

Контроль за выполнением требований П. 4 части 2 статьи 19 № 152-ФЗ «О персональных данных» - «обеспечение безопасности персональных данных достигается в частности оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных» В соответствии с пунктом 6 приказа ФСТЭК России № 21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе лицензиатов ФСТЭК по ТЗКИ. При этом приказом ФСТЭК России № 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены. Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицензиатом привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных. Ремарка: Оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения». В части государственных информационных систем, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».

Соответствие 21 и 58 приказов ФСТЭК Приказ ФСТЭК № 21 идентификация и аутентификация субъектов доступа и объектов доступа; управление доступом субъектов доступа к объектам доступа; ограничение программной среды; защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных); регистрация событий безопасности; антивирусная защита; обнаружение (предотвращение) вторжений; контроль (анализ) защищенности персональных данных; обеспечение целостности информационной системы и персональных данных; обеспечение доступности персональных данных; защита среды виртуализации; защита технических средств; защита информационной системы, ее средств, систем связи и передачи данных; выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них; управление конфигурацией информационной системы и системы защиты персональных данных.

Идентификация и аутентификация субъектов доступа и объектов доступа Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности)

Управление доступом субъектов доступа к объектам доступа Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.

Управление доступом субъектов доступа к объектам доступа

Ограничение программной среды Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения

Защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.

Регистрация событий безопасности Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.

Антивирусная защита, обнаружение (предотвращение) вторжений Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации. Меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия.

Контроль (анализ) защищенности персональных данных Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.

Обеспечение целостности информационной системы и персональных данных Меры по обеспечению целостности информационной системы и персональных данных должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных.

Обеспечение доступности персональных данных Меры по обеспечению доступности персональных данных должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы.

Защита среды виртуализации Меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.

Защита технических средств Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей.

Защита информационной системы, ее средств, систем связи и передачи данных Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.

Защита информационной системы, ее средств, систем связи и передачи данных

Защита информационной системы, ее средств, систем связи и передачи данных

Защита выявление инцидентов, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных и реагирование на них Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.

Управление конфигурацией информационной системы и системы защиты персональных данных Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.

Что подлежит лицензированию ФСТЭК и ФСБ Федеральный закон Российской Федерации от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности" Глава 2. Статья 12. п. 1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности: разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (крипто графических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя); деятельность по технической защите конфиденциальной информации; Положение о лицензировании деятельности по технической защите конфиденциальной информации, утв. Постановлением Правительства РФ от 03 февраля 2012г № 79.

Положение о лицензировании деятельности по технической защите конфиденциальной информации, утв. Постановлением Правительства РФ от 03 февраля 2012г № 79. 4. При осуществлении деятельности по технической защите конфиденциальной информации лицензированию подлежат следующие виды работ и услуг: а) контроль защищенности конфиденциальной информации от утечки по техническим каналам в: … б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации; в) сертификационные испытания на соответствие требованиям по безопасности информации продукции…; г) аттестационные испытания и аттестация на соответствие требованиям по защите информации: средств и систем информатизации; помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещений; д) проектирование в защищенном исполнении: средств и систем информатизации; `разработка технического задания на создание системы защиты ПДн, проект, описание` помещений со средствами (системами) информатизации, подлежащими защите; защищаемых помещений; е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищенных технических средств обработки информации, технических средств контроля эффективности мер защиты информации, программных (программно-технических) средств защиты информации, защищенных программных (программно-технических) средств обработки информации, программных (программно-технических) средств контроля защищенности информации).

11 шагов по выполнению требования закона «О персональных данных» Предпроектное обследование Шаг 1. Определить должностное лицо, ответственное за организацию обработки ПДн Шаг 2. Определить состав обрабатываемых ПДн, цели и условия обработки. Определить срок хранения ПДн Шаг 3. Получить согласие субъекта на обработку его ПДн, в том числе в письменной форме Шаг 4. Определить порядок реагирования на запросы со стороны субъектов ПДн Шаг 5. Оптимизировать процесс обработки ПДн Шаг 6. Разработать модель угроз ПДн при обработке в ИСПДн. Классифицировать ИСПДн Шаг 7. Определить необходимость уведомления уполномоченного органа по защите ПДн о начале обработки ПДн. Если необходимость есть, то составить и отправить уведомление Шаг 8. Определить перечень мер по защите ПДн, обрабатываемых без использования средств автоматизации Проектирование и внедрение системы защиты персональных данных Шаг 9. Спроектировать и реализовать систему защиты ПДн Оценка соответствия системы защиты ПДн заявленным требованиям Шаг 10. Провести оценку эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн Эксплуатация системы защиты ПДн Шаг 11. Обеспечить постоянный контроль защищенности ПДн

Схема осуществления защиты ПДн

Шаг 1. Определить должностное лицо, ответственное за организацию обработки ПДн Назначить приказом должностное лицо, ответственное за организацию обработки ПДн. Им может быть: Руководитель организации; Заместитель руководителя; Начальник структурного подразделения, осуществляющего обработку ПДн или ответственного за обеспечение безопасности Пдн Шаг 2. Определить состав обрабатываемых ПДн, цели и условия обработки. Определить срок хранения ПДн 1. Приказом утвердить комиссию по проведению работ по организации системы защиты персональных данных и возложить на нее обязанности по проведению внутренней проверки. 2. Провести внутреннюю проверку или обследования сторонней организацией (лицензиатом) с подготовкой: акта обследования информационной системы; перечня ИСПДн; перечня ПДн; матрицы доступа сотрудников к ПДн; Приказа об установлении границ контролируемой зоны; Приказа об утверждении мест хранения материальных носителей ПДн; План по приведению ИСПДн в соответствие с требованиями ФЗ «О персональных данных»; Предварительный список лиц (категорий лиц), допущенных к работе с ПДн; Разработать и получить с сотрудников обязательство о неразглашении конфиденциальной информации

Шаг 3. Получить согласие субъекта на обработку его ПДн, в том числе в письменной форме Определить необходимость получения согласия на обработку ПДн субъекта на основании действующих законов и подзаконных актах; Разработать типовую форму согласия на обработку ПДн или проект внесения изменений в договора и(или) положения учреждения (если необходимо); Получить согласие субъектов на обработку ПДн (утвердить и ознакомить субъектов ПДн с изменениями в договорах и положении учреждения); Когда не нужно брать отдельное согласие на обработку ПДн: Участие в ЕГЭ (ПП-36); Прием граждан в ВУЗ (Приказ Минобрнауки № 2895) 3. Обработка ПДн: для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем; о персональном составе работников с указанием уровня образования и квалификации. Шаг 4. Определить порядок реагирования на запросы со стороны субъектов ПДн Определить лиц, ответственных за соблюдение требований ФЗ «О персональных данных» в части реагирования на запросы субъектов ПДн (кто и в каких случаях будет отвечать на запросы субъектов); Определить регламент реагирования на запросы субъектов ПДн (может осуществляться согласно действующих регламентных процедур); Разработать журнал учета обращений субъектов ПДн о выполнении их законных прав

Шаг 5. Оптимизировать процесс обработки ПДн Отдельный слайд Шаг 6. Разработать модель угроз ПДн при обработке в ИСПДн. Классифицировать ИСПДн Согласно полученных при обследовании данных разработать модель угроз безопасности ПДн при их обработке в ИСПДн согласно нормативных документов ФСТЭК и ФСБ или поручить такую разработку лицензиату ФСТЭК. Утвердить модель угроз ПДн Комиссией из 3-х человек, назначенных приказом провести классификацию ИСПДн Шаг 7. Определить необходимость уведомления уполномоченного органа по защите ПДн о начале обработки ПДн. Если необходимость есть, то составить и отправить уведомление Зайти на сайт РОСКОМНАДЗОРА и ознакомится с рекомендациями по заполнению образца уведомления http://www.pd.rsoc.ru/operators-registry/operators-registry-documents/ Подготовить уведомление по шаблону или через электронную форму http://www.pd.rsoc.ru/operators-registry/notification/ Распечатать уведомление, подписать, заверить печатью и отправить почтой или нарочным в Управление РОСКОМНАДЗОРа по РБ (450005, Республика Башкортостан, г. Уфа, ул. 50 лет Октября, 20/1) Если уведомление уже подано, то у Вас есть срок до 1 января 2013 года отправить изменения к уведомлению В случае, если Вы проводите изменения в обработке ПДн, изменения в системе защите ПДн Вы также обязаны в течение 14 дней с момента изменений внести изменения в уведомление и отправить в РОСКОМНАДЗОР.

Шаг 8. Определить перечень мер по защите ПДн, обрабатываемых без использования средств автоматизации Список лиц, допущенных к обработке ПДн; Перечень материальных носителей ПДн; Перечень мест хранения материальных носителей ПДн; Инструкция по обработке ПДн в неавтоматизированном виде (доступ, хранение, внесение уточнений, защита от утечек по видовым каналам); Шаг 9. Спроектировать и реализовать систему защиты ПДн Формирование требований к системе защиты ПДн; Разработка технического задания на создание системы защиты ПДн; Разработка комплекта организационно-распорядительной документации по защите ПДн; Оптимизация процесса обработки ПДн; Проектирование системы защиты ПДн; Приобретение компонентов системы защиты; Внедрение компонентов защиты; Обучение персонала; Тестирование системы защиты;

Шаг 10. Провести оценку эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн 1. Для государственных информационных систем (ЕГЭ) - аттестация (требования СТР-К); 2. Для муниципальных информационных систем (кадры УО, данные в РИС, МИС) – рекомендовано проводить оценку также как и для государственных информационных систем. Шаг 11. Обеспечить постоянный контроль защищенности ПДн 1. Осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных ФЗ-152 «О персональных данных» и принятыми в соответствие с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора (п.п. 4 п. 1 ст 18.1 Фз-152); 2. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных; 3. Доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

Примерный перечень документов в по обработке ПДн Техническая документация: Акт обследования информационной системы Модель угроз безопасности ПДн Акт определения уровня защищенности ПДн Техническое задание на создание системы защиты ПДн Описание системы защиты ПДн Технический паспорт Организационно-распорядительные документы: Приказ о назначении ответственного за обработку персональных данных План по приведению в соответствие ИСПДн требованиям ФЗ «О персональных данных» Приказ о создании комиссии по определению уровня защищенности персональных данных Список лиц (категорий лиц), допущенных к работе с ПДн Матрица доступа сотрудников Приказ об установлении границ контролируемой зоны План внутренних проверок состояния системы защиты персональных данных Приказ об установлении мест хранения материальных носителей Перечень ИСПДн Перечень персональных данных, обрабатываемых в ИСПДн Политика обработки персональных данных Положение о порядке обработки персональных данных Форма акта об уничтожении персональных данных Обязательство о конфиденциальности Типовая форма согласия субъекта на обработку персональных данных Уведомление об обработке персональных данных

Примерный перечень документов по обработке ПДн Инструкция ответственного за обеспечение безопасности персональных данных Инструкция пользователя информационной системы персональных данных Инструкция по организации парольной защиты Инструкция по антивирусной защите Регламент резервного копирования Инструкция по неавтоматизированной обработке персональных данных Правила рассмотрения обращений граждан с типовыми формами запросов и ответов Формы дополнительных соглашений с третьими лицами Журналы: Перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним. Журнал учета машинных носителей персональных данных Журнал учёта обращений субъектов ПДн о выполнении их законных прав Журнал учета ремонтно-восстановительных работ на основных технических средствах Журнал регистрации попыток к несанкционированного доступа к информации Журнал поэкземплярного учета СКЗИ Технический (аппаратный) журнал Документы по установки средств защиты информации и средств криптографической защиты информации: Заключение о возможности эксплуатации Журнал учета используемых криптосредств, эксплуатационной и технической документации к ним Инструкция по обеспечению безопасности с использованием СКЗИ Лицевой счет пользователя СКЗИ Приказ о допуске сотрудников к работе с СКЗИ Приказ о назначении ответственного пользователя СКЗИ Программа обучения Инструкция ответственного пользователя СКЗИ

Факторы, влияющие на построение системы защиты персональных данных Отсутствие технологических карт процессов обработки персональных данных; Отсутствие единого подхода к построению ИС учреждения; Подключение к сетям общего пользования; Доступ обучающихся к сегментам ИСПДн; Трудности отслеживания хранения ПДн у учителей.

Оптимизация затрат на техническую защиту ПДн. Что необходимо? Когда Вы уже сделали акт обследования, модель угроз, техническое задание и расчет стоимости внедрения системы защиты можно осуществлять оптимизацию. Что для этого необходимо: Составить технологические карты процессов обработки персональных данных; Выявить узкие места в обработке персональных данных (самые затратные); Определить пути оптимизации процессов обработки; Провести тестирование новых процессов на отдельных участках ИСПДн; Утвердить полученные результаты, разработать документы регламентирующие новые процессы обработки ПДн; Разработать технический проект на АС в защищенном исполнении.

Оптимизация затрат на техническую защиту ПДн. 8 законных способов снижения стоимости технической защиты персональных данных Переход на неавтоматизированную обработку ПДн Объединение / разделение ИСПДн Снижение категории ПДн Снижение объема обрабатываемых ПДн на ПК Снижение числа ПК, обрабатывающих ПДн Снижение числа точек подключения к СОП Обезличивание ПДн Выделение ИСПДн из общей локальной сети в отдельную подсеть Снижение класса ИСПДн путем сегментирования (Сервера класс К1/К2, АРМ – К3)

Рекомендации по внедрению новых программных комплексов Необходимо учитывать: Какие ПДн будут обрабатываться; Кто будет иметь доступ к программному комплексу; Есть ли встроенные СЕРТИФИЦИРОВАННЫЕ ФСТЭК или ФСБ механизмы защиты; Правильнее всего при выборе программных комплексов проводить экспертизу сторонней компанией, специализирующей на защите информации, чтобы определить возможность безопасной эксплуатации данной ИСПДн, стоимость защиты, и возможные варианты снижения стоимости. Почему сторонней компанией – не заинтересована в продаже конкретного программного комплекса.