Основные этапы подготовки образовательного учреждения к реализации ФЗ №152 «О персональных данных»

Содержание

Слайд 2

Требования законодательства

С 1 января 2011 года начинается действие закона № 152-ФЗ «О

Требования законодательства С 1 января 2011 года начинается действие закона № 152-ФЗ
персональных данных», который должен соблюдаться в том числе в образовательных учреждениях

Слайд 3

Персональные данные – это:

любая информация, относящаяся к определенному физическому лицу, в том

Персональные данные – это: любая информация, относящаяся к определенному физическому лицу, в
числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация
Т.о., в школах обрабатываются персональные данные как учащихся, так и педагогов

Слайд 4

Основной нормативный документ

ФЗ № 152-ФЗ «О персональных данных», принятый в июле 2006

Основной нормативный документ ФЗ № 152-ФЗ «О персональных данных», принятый в июле
г., обязывает операторов персональных данных «принять необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

Слайд 5

До 1 января 2011 года

Во всех ОУ должен быть выполнен комплекс работ,

До 1 января 2011 года Во всех ОУ должен быть выполнен комплекс
по итогам которого создан портфель документов (25 документов), который будут проверять контролирующие организации
Положение осложняется тем, что в отличие от некоторых других ведомств, в образовании не приняты нормативные акты, утверждающие типовые ведомственные документы по защите ПД

Слайд 6

Перечень документов в организации, проверяемой регуляторами*

Положение о защите персональных данных
Положение о подразделении

Перечень документов в организации, проверяемой регуляторами* Положение о защите персональных данных Положение
по защите информации
Приказ о назначении лиц, ответственных за обработку ПДн
Концепция информационной безопасности
Политика информационной безопасности
Перечень персональных данных, подлежащих защите
Приказ о проведении внутренней проверки
Отчет о результатах проведения внутренней проверки
Акт классификации информационной системы персональных данных
Положение о разграничении прав доступа к обрабатываемым персональным данным

* Регуляторы - ФСБ, ФСТЭК и Роскомнадзор Министерства связи и массовых коммуникаций

Слайд 7

Перечень документов в организации, проверяемой регуляторами*

Модель угроз безопасности персональным данным
План мероприятий по

Перечень документов в организации, проверяемой регуляторами* Модель угроз безопасности персональным данным План
защите ПДн
Порядок резервирования ТС и ПО, баз данных и Сзи
План внутренних проверок
Журнал по учету мероприятий по контролю
Журнал учета обращений субъектов ПДн о выполнении их законных прав
Инструкция администратора ИСПДн
Инструкция пользователя ИСПДн
Инструкция администратора безопасности ИСПДн
Инструкция пользователя по обеспечению безопасности обработки ПД при возникновении внештатных ситуаций

* Регуляторы - ФСБ, ФСТЭК и Роскомнадзор Министерства связи и массовых коммуникаций

Слайд 8

Перечень документов в организации, проверяемой регуляторами*

Перечень по учету применяемых средств защиты информации,

Перечень документов в организации, проверяемой регуляторами* Перечень по учету применяемых средств защиты
эксплуатационной и технической документации к ним
Типовое Техническое задание на разработку системы обеспечения безопасности информации объекта вычислительной техники
Эскизный проект на создание системы обеспечения безопасности информации объекта вычислительной техники
Положение об Электронном журнале обращений пользователей информационных систем персональных данных (проект приказа)
Методические рекомендации для организации защиты информации при обработке персональных данных

* Регуляторы - ФСБ, ФСТЭК и Роскомнадзор Министерства связи и массовых коммуникаций

Слайд 9

Подготовка к выполнению ФЗ № 152-ФЗ

Выделяют 9 основных этапов организации систем защиты

Подготовка к выполнению ФЗ № 152-ФЗ Выделяют 9 основных этапов организации систем защиты персональных данных
персональных данных

Слайд 10

Этапы организации системы защиты ПД

Инвентаризация ресурсов
Ограничение доступа работников к персональным данным
Документальное регламентирование

Этапы организации системы защиты ПД Инвентаризация ресурсов Ограничение доступа работников к персональным
работы с персональными данными (ПД)
Формирование модели угроз персональным данным
Классификация Информационных систем ПД ОУ
Составление и отправка в уполномоченный орган уведомления об обработке ПД
Приведение системы защиты ПД в соответствии с требованиями регуляторов
Создание системы ИБ ИСПД и ее аттестация (сертификация) – для ИСПД классов К1, К2
Организация эксплуатации ИСПДн и контроля за безопасностью

Слайд 11

Шаг 1. Инвентаризация ресурсов

Проанализировать все эксплуатируемые информационные системы и традиционные хранилища данных,

Шаг 1. Инвентаризация ресурсов Проанализировать все эксплуатируемые информационные системы и традиционные хранилища
выявить все, где присутствуют и обрабатываются персональные данные.

Слайд 12

ИС ОУ, относящиеся к ИСПДН

Автоматизированная информационная библиотечная система
«1С-Бюджет», «1С-Зарплата-Кадры»
Электронный журнал

АРМ

ИС ОУ, относящиеся к ИСПДН Автоматизированная информационная библиотечная система «1С-Бюджет», «1С-Зарплата-Кадры» Электронный
СЭД УФК – ОУ
ИС «Налогоплательщик»
ПД СПУ Пенсионного фонда

Слайд 13

Участки обработки ПД

Библиотека
Бухгалтерия
Учительская
Медпункт

Участки обработки ПД Библиотека Бухгалтерия Учительская Медпункт …

Слайд 14

Шаг 2. Ограничение доступа работников к персональным данным

Принятие в организации Положения об

Шаг 2. Ограничение доступа работников к персональным данным Принятие в организации Положения
обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн)
Положение об обеспечении безопасности персональных данных при их обработке в ИСПДн должно включать:
12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя … учет лиц, допущенных к работе с персональными данными в информационной системе
14. Лица, доступ которых к ПД, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным сданным на основании списка, утвержденного оператором или уполномоченным лицом.

Слайд 15

ШАГ 3: Документальное регламентирование работы с персональными данными

Статья 86 (Трудовой кодекс РФ).

ШАГ 3: Документальное регламентирование работы с персональными данными Статья 86 (Трудовой кодекс
Общие требования при обработке персональных данных работника и гарантии их защиты
8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области

Слайд 16

ШАГ 3: Документальное регламентирование работы с персональными данными

Субъект ПД самостоятельно решает вопрос

ШАГ 3: Документальное регламентирование работы с персональными данными Субъект ПД самостоятельно решает
передачи кому-либо своих ПД, документально оформляя свое намерение. В соответствии со статьей 9 ФЗ-№152 обработка персональных данных осуществляется только при условии согласия в письменной форме с указанием следующих данных:
фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
цель обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
срок, в течение которого действует согласие, а также порядок его отзыва.

Слайд 17

ШАГ 4: Формирование модели угроз персональным данным

15.02.2008 г. Заместителем директора ФСТЭК России

ШАГ 4: Формирование модели угроз персональным данным 15.02.2008 г. Заместителем директора ФСТЭК
утверждены:
Базовая модель угроз безопасности ПД при их обработке в ИСПД
Методика определения актуальных угроз безопасности ПД при их обработке в ИСПД

Слайд 18

ШАГ 5: Классификация ИСПДн ОУ (см. также комментарий к слайду – в режиме

ШАГ 5: Классификация ИСПДн ОУ (см. также комментарий к слайду – в режиме редактирования)
редактирования)

Слайд 19

ОУ регион МО РФ

(см. также комментарий к слайду – в режиме редактирования)

ОУ регион МО РФ (см. также комментарий к слайду – в режиме редактирования)

Слайд 20

Организации, ИС которых отнесены к классам К1, К2 должны:

получить лицензию ФСТЭК России

Организации, ИС которых отнесены к классам К1, К2 должны: получить лицензию ФСТЭК
на деятельность по технической защите конфиденциальной информации (для классов ИСПДн К1 и К2);
т.е.направить туда по определенной форме запрос и получить лицензию, подтверждающую их соответствие

Слайд 21

ШАГ 6: Составление и отправка в уполномоченный орган уведомления

ШАГ 6: Составление и отправка в уполномоченный орган уведомления

Слайд 22

ШАГ 7: Приведение системы защиты персональных данных в соответствии с требованиями регуляторов*

ФЗ

ШАГ 7: Приведение системы защиты персональных данных в соответствии с требованиями регуляторов*
«О персональных данных»: Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий

* Регуляторы - ФСБ, ФСТЭК и Роскомнадзор Министерства связи и массовых коммуникаций

Слайд 23

ШАГ 8. Создание подсистемы информационной безопасности ИСПДн и ее аттестация (сертификация)

Включает

ШАГ 8. Создание подсистемы информационной безопасности ИСПДн и ее аттестация (сертификация) Включает
в себя:
Основные мероприятия по организации и техническому обеспечению безопасности ПД, обрабатываемых в ИСПД
Оценка соответствия ИСПДн по требованиям безопасности ПДн производится: Для ИСПДн 1 и 2 классов – обязательная сертификация (аттестация) по требованиям безопасности информации

Слайд 24

Перечень объектов информатизации, подлежащих аттестации в Системе сертификации средств защиты информации по

Перечень объектов информатизации, подлежащих аттестации в Системе сертификации средств защиты информации по
требованиям безопасности информации

1. Автоматизированные системы различного уровня и назначения.
2. Системы связи, приема, обработки и передачи данных.
3. Системы отображения и размножения.
4. Помещения, предназначенные для ведения конфиденциальных переговоров.

Слайд 25

ШАГ 9: Организация эксплуатации ИСПДн и контроля за безопасностью

Положение об обеспечении

ШАГ 9: Организация эксплуатации ИСПДн и контроля за безопасностью Положение об обеспечении
безопасности персональных данных при их обработке в ИСПДн:
12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
з) контроль за соблюдением условий использования СЗИ, предусмотренных эксплуатационной и технической документацией;
и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования СЗИ, которые могут привести к нарушению конфиденциальности ПДн…

Слайд 26

Перечень документов в организации, проверяемой регуляторами

Положение о защите персональных данных
Положение о подразделении

Перечень документов в организации, проверяемой регуляторами Положение о защите персональных данных Положение
по защите информации
Приказ о назначении лиц, ответственных за обработку ПДн
Концепция информационной безопасности
Политика информационной безопасности
Перечень персональных данных, подлежащих защите
Приказ о проведении внутренней проверки
Отчет о результатах проведения внутренней проверки
Акт классификации информационной системы персональных данных
Положение о разграничении прав доступа к обрабатываемым персональным данным

Слайд 27

Перечень документов в организации, проверяемой регуляторами

Модель угроз безопасности персональным данным
План мероприятий по

Перечень документов в организации, проверяемой регуляторами Модель угроз безопасности персональным данным План
защите ПДн
Порядок резервирования ТС и ПО, баз данных и Сзи
План внутренних проверок
Журнал по учету мероприятий по контролю
Журнал учета обращений субъектов ПДн о выполнении их законных прав
Инструкция администратора ИСПДн
Инструкция пользователя ИСПДн
Инструкция администратора безопасности ИСПДн
Инструкция пользователя по обеспечению безопасности обработки ПД при возникновении внештатных ситуаций

Слайд 28

Перечень документов в организации, проверяемой регуляторами

Перечень по учету применяемых средств защиты информации,

Перечень документов в организации, проверяемой регуляторами Перечень по учету применяемых средств защиты
эксплуатационной и технической документации к ним
Типовое Техническое задание на разработку системы обеспечения безопасности информации объекта вычислительной техники
Эскизный проект на создание системы обеспечения безопасности информации объекта вычислительной техники
Положение об Электронном журнале обращений пользователей информационных систем персональных данных (проект приказа)
Методические рекомендации для организации защиты информации при обработке персональных данных

Слайд 29

Этапы построения системы защиты ПДн

После того, как в организации сформирована рабочая или

Этапы построения системы защиты ПДн После того, как в организации сформирована рабочая
проектная группа и выбрана сторонняя ИТ-компания, предстоит последовательно реализовать следующие этапы работы.
Прежде всего, нужно определить все ситуации, когда требуется проводить сбор, хранение, передачу или обработку ПДн.
Затем - выделить процессы, связанные с такими ситуациями.
Разумно выбрать ограниченное число процессов и проанализировать их. В рамках такого исследования формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности.
Потом нужно определить круг информационных систем и совокупность обрабатываемых ПДн.
Следующий шаг - категорирование ПДн и предварительная классификация ИС.
Затем проводится выработка предложений по снижению класса обрабатываемых ПДн.
После этого формируется актуальная модель угроз для каждой ИСПДн, подготавливается задание по созданию требуемой системы защиты.
Потом проводится уточнение классов ИС и подготовка рекомендаций по использованию технических средств защиты ПДн.
Затем в Роскомнадзор подается уведомление о деятельности в качестве оператора ПДн, а в ФСТЭК - заявка на получение экземпляров руководящих документов по организации системы защиты.

Слайд 30

Этапы построения системы защиты ПДн

Эти работы предстоит выполнить на первом, начальном этапе.

Этапы построения системы защиты ПДн Эти работы предстоит выполнить на первом, начальном

Именно в это время закладывается фундамент успеха всего проекта и делаются основные расходы на консалтинг.
Но основанная работа происходит на последующих стадиях, которые включают
развертывание полноценной системы обработки ПДн,
полномасштабное внедрение средств защиты,
аттестацию ИС,
приведение всех процессов обработки ПДн в соответствие с требованиями закона,
реагирование на регулярные проверки и т.д.

Слайд 31

781-е Постановление Правительства определяет 11 основных типов мероприятий:

Назначение ответственного лица/подразделения
Определение угроз безопасности

781-е Постановление Правительства определяет 11 основных типов мероприятий: Назначение ответственного лица/подразделения Определение
ПДн и формирование модели угроз
Разработка на основе модели угроз системы защиты с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем
Проверка готовности систем защиты информации (СЗИ) к использованию
Установка и ввод в эксплуатацию СЗИ
Обучение персонала правилам работы с СЗИ
Учет применяемых СЗИ и носителей ПДн
Учет лиц, допущенных к работе с ПДн
Контроль за соблюдением условий использования СЗИ
Реагирование на нарушение режима защиты ПД
Описание системы защиты
Имя файла: Основные-этапы-подготовки-образовательного-учреждения-к-реализации-ФЗ-№152-«О-персональных-данных».pptx
Количество просмотров: 193
Количество скачиваний: 1
- Предыдущая
Межведомственный совет при Правительстве края по устранению барьеров в развитии предпринимательства
Следующая -
Почему воскресение мёртвых так важно?

Похожие презентации

Вечерняя школа при физическом факулыете МГУ Факториал
Искусство Византии
Jets
РЕФЕРЕНДУМ МК
Геостратегическое положение и внешняя политика России 1990 г
Child nutrition act
Организация государственной (итоговой) аттестации обучающихся, освоивших основные общеобразовательные программы среднего (полно
Уфимский колледж индустрии питания и сервиса г. Салават. Профессии и специальности
Подвиги героев помним! Имени героев будем достойны.
Семь чудес света. Древнего Мира
Наш проект позволит снять загруженность дороги
Жадыра срс 1
Уважаемые Руководители предприятий! Главные инженеры! Главные энергетики! Уделив несколько минут этой презентации, Вы сможете у
Шкалы и координаты
Усадьба И. С. Тургенева в Буживале
Художественная культура мусульманского Востока: логика абстрактной красоты
Создание бренда
Николай Николаевич Еремин - врач, поэт, писатель
Теория вероятностей и жизнь
Презентация на тему Размножение и оплодотворение у растений
Период партнерства и соперничества между СССР и США
Брови, глаза, губы
Русская эпическая опера. Опера «Князь Игорь» А.Бородин
Что такое дисциплина?
А
«Поэты земли Саратовской »
Кривые второго порядка
Сказка и книга в жизни ребенка
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть