Персональные данные

создание системы защиты?
Как завершить работы в установленный срок (не позднее 01.01.2011г.)? Ответственность за нарушение закона.

Актуальные вопросы

Волгоградская обл., г. Камышин, 6 мкр., д.2, тел.: (844 57) 2 98 04; 2 98 05

2

каждой компанией самостоятельно. С принятием федерального закона № 152-ФЗ от 27.07.2006г. «О персональных данных» ситуация кардинально изменилась – теперь обработка персональных данных физических лиц и меры по их защите строго регламентированы и охраняются государством.

Юридический аспект

Волгоградская обл., г. Камышин, 6 мкр., д.2, тел.: (844 57) 2 98 04; 2 98 05

3

такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Персональные данные (ПДн) есть в любой компании: это кадровый учет, базы данных клиентов, контрагентов, партнеров, контактные списки электронной почты и т.п.

Персональные данные

Волгоградская обл., г. Камышин, 6 мкр., д.2, тел.: (844 57) 2 98 04; 2 98 05

4

операторов персональных данных, а это практически все предприятия Российской Федерации. Срок завершения работ по созданию системы защиты персональных данных – не позднее 01.01.2011 года, т.е. в течении текущего 2010 года.

Обязанность операторов

Волгоградская обл., г. Камышин, 6 мкр., д.2, тел.: (844 57) 2 98 04; 2 98 05

5

ответственности. Санкции применяются как к руководителям индивидуально, так и к предприятию в целом, вплоть до прекращения обработки персональных данных или аннулирования лицензии на основной вид деятельности компании.

Ответственность

Волгоградская обл., г. Камышин, 6 мкр., д.2, тел.: (844 57) 2 98 04; 2 98 05

6

или же вы создали новую информационную систему в которой содержатся персональные данные, но не представили уведомления в РОСКОМНАДЗОР РФ.
В случае проверки или возникновения конфликтной ситуации, исходя из требований ст. 13.23 КоАП РФ:
Должностные лица – штраф до 2.000 руб;
Юридическое лицо – штраф до 20.000 руб.

Нарушение конфиденциальности
ПДн или правил работы с ними

Волгоградская обл., г. Камышин, 6 мкр., д.2, тел.: (844 57) 2 98 04; 2 98 05

7

не соответствует требованиям п.7 постановления правительства РФ №687 от 15.09.2008.
В случае проверки или возникновения конфликтной ситуации, исходя из требований ст. 13.11 КоАП РФ:
Должностные лица – штраф до 1.000 руб;
Юридическое лицо – штраф до 10.000 руб.
(за каждый факт нарушения)

Нарушение конфиденциальности
ПДн или правил работы с ними

Волгоградская обл., г. Камышин, 6 мкр., д.2, тел.: (844 57) 2 98 04; 2 98 05

8

мкр., д.2, тел.: (844 57) 2 98 04; 2 98 05

9

Нарушение: пример 3
Ваша торговая система или интернет магазин не были приведены в соответствие требованиям методических рекомендаций ФСБ ФСТЭК по защите персональных данных или при классификации ИС были допущены ошибки. В системе был зафиксирован заказ клиента, но сотрудник компании смог преднамеренно или случайно изменить дату заказа, детали или операции с заказом. Это повлекло последствия для клиента.
В случае проверки или возникновения конфликтной ситуации, исходя из требований ст. 274 УК РФ:
лишение права занимать определённые должности до 5 лет;
обязательные работы до 240 часов;
ограничение свободы до 2х лет;

организационных и технических мер защиты информации. Отдельные виды работ выполняются при наличии соответствующих лицензий, а их качество зависит от квалификации и подготовки специалистов по информационной безопасности.

Организация защиты ПДн

Волгоградская обл., г. Камышин, 6 мкр., д.2, тел.: (844 57) 2 98 04; 2 98 05

10

ходе ведения проектов.
Разработка комплексных систем защиты информации с максимальным использованием существующих возможностей ИТ – инфраструктуры.
Строгое соответствие требованиям законодательства и стандартам по ИБ.

Факторы успеха проектов
по защите ПДн

Волгоградская обл., г. Камышин, 6 мкр., д.2, тел.: (844 57) 2 98 04; 2 98 05

11

тел.: (844 57) 2 98 04; 2 98 05

12

98 04; 2 98 05

13

Принятие решения о подаче уведомления как оператора персональных данных.
Определение ответственного подразделения.
Подготовка плана мероприятий.

98 04; 2 98 05

14

1. Проведение нормативно-методических мероприятий.
2. Проведение анализа эксплуатируемых и создаваемых систем с целью определения их принадлежности к ИСПДн.
3. Обследование и классификация ИСПДн.
4. Разработка Плана организационных и технических мероприятий по приведению ИСПДн в соответствие с документами.
5. Доработка эксплуатируемых и разработки новых систем в соответствии с документами.

98 04; 2 98 05

15

Цели обработки ПДн;
Перечень персональных данных, обрабатываемых в ИС;
Требования по объему, содержанию, срокам обработки ПДн;
Условия получения согласия на обработку ПДн и форму такого согласия;
Порядок доступа работников к обработке ПДн;
Требования к порядку хранения носителей ПДн;
Условия прекращения обработки ПДн и порядок их уничтожения;
Порядок обработки обращений субъектов (или их законных представителей) по вопросам обработки их ПДН, также порядок действий в случае запросов Уполномоченного органа по защите прав субъектов ПДн.

57) 2 98 04; 2 98 05

16

1. Определить тип ИСПДн.
2. Определение угроз безопасности персональных данных
при их обработке, формирование на их основе модели угроз.
3. Определение категории персональных данных,
обрабатываемых в информационной системе.
4. Определение объёма обрабатываемых персональных
данных.
5. Определение структуры информационной системы.
6. Определение режима обработки персональных данных
в информационной системе.

тел.: (844 57) 2 98 04; 2 98 05

17

мкр., д.2, тел.: (844 57) 2 98 04; 2 98 05

18

Иметь в штате высокопрофессиональных ИТ специалистов.
Иметь необходимые лицензии для осуществления деятельности по защите персональных данных.
Наладить контакты с поставщиками аппаратно/ программных средств.
Провести анализ рынка.
Провести маркетинг.

2 98 04; 2 98 05

19

Руководитель проекта.
2. Аналитик по информационной безопасности.
3. Архитектор по информационной безопасности.
4. Инженер по информационной безопасности.

2 98 04; 2 98 05

20

Руководитель проекта:
Общий контроль за ходом работ.
Ведение проектной документации.
Решение организационных вопросов.
Взаимодействие с представителями Заказчика.
Планирование графиков работ.
Решение вопросов выделения ресурсов.
Планирование регулярных работ и процедур.
Предоставление отчетности.

2 98 04; 2 98 05

21

2. Аналитик по информационной безопасности:
Выявление и анализ системных требований.
Разработка архитектуры решения.
Написание и согласование проектной документации.
Предоставление отчетности Руководителю проекта.

2 98 04; 2 98 05

22

3. Архитектор по информационной безопасности:
Выполнение проектного плана.
Постановка локальных задач для Инженера.
Разработка архитектуры решения.
Написание и согласование проектной документации.
Предоставление отчетности Руководителю проекта.

2 98 04; 2 98 05

23

4. Инженер по информационной безопасности:
Выполнение проектного плана.
Решение организационных и технических проблем, связанных с выполнением проекта.
Разработка архитектуры решения.
Написание и согласование проектной документации.
Предоставление отчетности Руководителю проекта.

2 98 04; 2 98 05

24

Согласно «Положения о лицензировании деятельности по технической защите конфиденциальной информации» утвержденное ПП РФ от 15 августа 2006г. за номером № 504, для получения лицензии необходимо:
1. Провести аттестацию помещения и АС (200 тыс.руб).
2. Для осуществления лицензируемой деятельности купить программы для электронно-вычислительных машин (программа поиска и гарантированного уничтожения информации на дисках «TERRIER» версия 3.0; программа фиксации и контроля исходного состояния программного комплекса «ФИКС» версия 2.0.1; программа контроля полномочий доступа к информационным ресурсам «Ревизор 2 ХР»; средство создания модели системы разграничения доступа «Ревизор 1 ХР») (20 тыс. руб.).