Защита персональных данных

«О персональных данных»

Постановление Правительства РФ от 17.11.2007 №781 «Об утверждении Положения об обеспечении безопасности ПДн при их обработке в ИСПДн»

Постановление Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн»

Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации»

«О персональных данных»

Постановление Правительства РФ от 17.11.2007 №781 «Об утверждении Положения об обеспечении безопасности ПДн при их обработке в ИСПДн»

Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн

Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 №55/86/20 «Об утверждении Порядка проведения классификации ИСПДн»

Базовая модель угроз безопасности ПДн при их обработке в ИСПДн

Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн

Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн

Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации

Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для ЗИ, не содержащей сведений, составляющих гос. тайну в случае их использования для обеспечения безопасности ПДн при их обработке в ИСПДн

ФСТЭК РОССИИ:

ФСБ РОССИИ:

«О персональных данных»

Постановление Правительства РФ от 17.11.2007 №781 «Об утверждении Положения об обеспечении безопасности ПДн при их обработке в ИСПДн»

Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн

Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 №55/86/20 «Об утверждении Порядка проведения классификации ИСПДн»

Базовая модель угроз безопасности ПДн при их обработке в ИСПДн

Методические рекомендации по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации

Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для ЗИ, не содержащей сведений, составляющих гос. тайну в случае их использования для обеспечения безопасности ПДн при их обработке в ИСПДн

ФСТЭК РОССИИ:

ФСБ РОССИИ:

Приказ ФСТЭК России от 05.02.2010 №58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»

сведения (п. 5, 7.1, 10 и 11 ч. 3 статьи 22 ФЗ-152) в Роскомнадзор не позднее 1 января 2013

ОБЗОР ИЗМЕНЕНИЙ ЗАКОНОДАТЕЛЬСТВА

+7 (495) 921 1410 / www.leta.ru

Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»

Постановление Правительства РФ от 17.11.2007 №781 «Об утверждении Положения об обеспечении безопасности ПДн при их обработке в ИСПДн»

Постановление Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн»

Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации»

Правительство РФ должно установить уровни защищенности ПДн при их обработке в ИСПДн

«О персональных данных»

Постановление Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн»

Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации»

Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите ПДн
при их обработке в ИСПДн»

Нормативно- правовые акты ФСТЭК России

Нормативно- правовые акты ФСБ России

проекты документов – до 7 декабря 2012

утвержденные документы – январь 2013

ст. 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» Правительство РФ должно было установить уровни защищенности ПДн, с учетом:

«Об утверждении требований к защите ПДн при их обработке в ИСПДн» уровни защищенности ПДн установлены, с учетом:

ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ №1119 АНАЛИЗ ДОКУМЕНТА

ОБРАБАТЫВАЮЩАЯ БИОМЕТРИЧЕСКИЕ ПДН

ИНФОРМАЦИОННАЯ СИСТЕМА, ОБРАБАТЫВАЮЩАЯ ОБЩЕДОСТУПНЫЕ ПДН

ИНФОРМАЦИОННАЯ СИСТЕМА, ОБРАБАТЫВАЮЩАЯ ИНЫЕ КАТЕГОРИИ ПДН

обрабатываются ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн

обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн (при этом не обрабатываются специальные категории ПДн)

обрабатываются ПДн субъектов ПДн, полученные только из общедоступных источников ПДн, созданных в соответствии со статьей 8 Федерального закона «О  персональных данных»

обрабатываются иные категории ПДн (при этом не обрабатываются специальные категории ПДн, биометрические ПДн, общедоступные ПДн)

ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ №1119 АНАЛИЗ ДОКУМЕНТА

ПДн, сделанные общедоступными субъектом ПДн

, ПДн, прошедшие процедуру обезличивания,

в том числе, сведения о судимости

ОБРАБАТЫВАЮЩАЯ БИОМЕТРИЧЕСКИЕ ПДН

ИНФОРМАЦИОННАЯ СИСТЕМА, ОБРАБАТЫВАЮЩАЯ ОБЩЕДОСТУПНЫЕ ПДН

ИНФОРМАЦИОННАЯ СИСТЕМА, ОБРАБАТЫВАЮЩАЯ ИНЫЕ КАТЕГОРИИ ПДН

обрабатываются ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн

обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн (при этом не обрабатываются специальные категории ПДн)

обрабатываются ПДн субъектов ПДн, полученные только из общедоступных источников ПДн, созданных в соответствии со статьей 8 Федерального закона «О  персональных данных»

обрабатываются иные категории ПДн (при этом не обрабатываются специальные категории ПДн, биометрические ПДн, общедоступные ПДн)

ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ №1119 АНАЛИЗ ДОКУМЕНТА

ПДн, сделанные общедоступными субъектом ПДн

, ПДн, прошедшие процедуру обезличивания,

в том числе, сведения о судимости

Сттья 10. Специальные категории персональных данных 
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.
 2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
…
3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
 4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.

ОБРАБАТЫВАЮЩАЯ БИОМЕТРИЧЕСКИЕ ПДН

ИНФОРМАЦИОННАЯ СИСТЕМА, ОБРАБАТЫВАЮЩАЯ ОБЩЕДОСТУПНЫЕ ПДН

ИНФОРМАЦИОННАЯ СИСТЕМА, ОБРАБАТЫВАЮЩАЯ ИНЫЕ КАТЕГОРИИ ПДН

обрабатываются ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн

обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн (при этом не обрабатываются специальные категории ПДн)

обрабатываются ПДн субъектов ПДн, полученные только из общедоступных источников ПДн, созданных в соответствии со статьей 8 Федерального закона «О  персональных данных»

обрабатываются иные категории ПДн (при этом не обрабатываются специальные категории ПДн, биометрические ПДн, общедоступные ПДн)

Статья 8. Общедоступные источники персональных данных 
В целях информационного обеспечения могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги). В общедоступные источники ПДн с письменного согласия субъекта ПДн могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн.
Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.

ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ №1119 АНАЛИЗ ДОКУМЕНТА

ПДн, сделанные общедоступными субъектом ПДн

, ПДн, прошедшие процедуру обезличивания,

в том числе, сведения о судимости

ОБРАБАТЫВАЮЩАЯ ПДН СУБЪЕКТОВ, НЕ ЯВЛЯЮЩИХСЯ СОТРУДНИКАМИ ОПЕРАТОРА

ИСПДн, в которой обрабатываются ПДн только указанных сотрудников

все остальные случаи, не попадающие под определение ИСПДн, обрабатывающей ПДн сотрудников оператора

ПОД ТЕРМИНОМ «СОТРУДНИК» ПОНИМАЕТСЯ РАБОТНИК В ТЕРМИНОЛОГИИ ТРУДОВОГО КОДЕКСА РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ №1119 АНАЛИЗ ДОКУМЕНТА

соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз

использование средств защиты информации, не прошедших процедуру оценки соответствия, не может считаться фактором, снижающим вероятности каких-либо угроз
при этом требование использования средств защиты информации, прошедших процедуру оценки соответствия, содержится в пункте 3 части 2 статьи 19 ФЗ-152
на настоящее время под упомянутой в ПП РФ №1119 процедурой оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации понимается именно сертификация
текущие сертификаты соответствия средств защиты информации переоформлению не подлежат

ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ №1119 АНАЛИЗ ДОКУМЕНТА

только для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей

автоматическая регистрация в электронном журнале безопасности изменений полномочий сотрудников оператора по доступу к ПДн, содержащимся в ИСПДн

под электронным журналом сообщений понимается электронный журнал, в котором автоматизированными средствами информационной системы регистрируются запросы пользователей информационной системы на получение ПДн, а также факты предоставления ПДн по этим запросам

под электронным журналом безопасности понимается электронный журнал, в котором отражены полномочия сотрудника оператора по доступу к ПДн, содержащимся в информационной системе

ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ №1119 АНАЛИЗ ДОКУМЕНТА

www.leta.ru

Как действовать операторам, которые только что закончили работы по защите ПДн (приведение процессов обработки ПДн и ИСПДн в соответствие с требованиями законодательства РФ, построение СЗПДн), которые выполнялись на основании требований утратившего силу Постановления №781 и нормативных правовых актов, разработанных во исполнение Постановления №781?

Позиция ФСТЭК России

Позиция ФСБ России

В настоящее время ПП РФ №1119 уже является действующим нормативным документом и каких-либо отсрочек в части выполнения установленных им требований не предусматривает. В то же время, в ходе проводимых ФСБ России контрольных мероприятий необходимость наличия определенного времени на доработку системы защиты персональных данных (в случае, если такая необходимость возникла в связи с принятием ПП РФ №1119) будет учитываться.

Нормативный правовой акт ФСТЭК России, устанавливающий состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, будет применяться к информационным системам персональных данных, для которых решение о создании системы защиты информации будет принято после вступления в силу указанного нормативного правового акта.

мероприятия по контролю

должностных лиц при осуществлении государственного контроля (надзора)

НОРМАТИВНАЯ БАЗА

АДМИНИСТРАТИВНЫЙ РЕГЛАМЕНТ
исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных

Федеральный закон от 26.12.2008г. №294-ФЗ
«О защите прав юридических лиц и индивидуальных
предпринимателей при осуществлении государственного контроля
(надзора) и муниципального контроля»

план проведения плановых проверок (размещается на официальном сайте)
Срок проведения как плановой, так и внеплановой проверки не может превышать двадцать рабочих дней.
В случае возникновения необходимости срок проведения проверки может быть продлен, но на срок не более двадцати рабочих дней

ПРОВЕРКИ РОСКОМНАДЗОРА

О ПРОВЕДЕНИИ ПРОВЕРКИ

ПРОГРАММА ПРОВЕДЕНИЯ ПЛАНОВОЙ ПРОВЕРКИ (+ ПЕРЕЧЕНЬ ПРОВЕРЯЕМЫХ ТРЕБОВАНИЙ)

на перечне проверяемых требований, указанных в программе проведения проверки.

ВАЖНО!
Все ли пункты требований перекрываются вашей организационно-распорядительной документацией?
Все ли требования реально реализованы?

РЕКОМЕНДАЦИИ ОПЕРАТОРАМ

территории офиса;
Напоминание всем о существовании организационно-распорядительной документации и необходимости ознакомится с ней при необходимости

ВАЖНО!
Все реально ознакомлены с документами, и это зафиксировано?
Реально ли исполняются ли требования ?

РЕКОМЕНДАЦИИ ОПЕРАТОРАМ

и порядок).

ВАЖНО!
Донести до проверяющих мысль о том, что мы добросовестные операторы и стремимся выполнить закон!
В случае привлечения внешних консультантов, оповестите об этом ответственное лицо со стороны проверяющих!

РЕКОМЕНДАЦИИ ОПЕРАТОРАМ

кадров;
Сервисы, предоставляемые через сайт.

РЕКОМЕНДАЦИИ ОПЕРАТОРАМ

должно иметь под собой законное основание.
Всегда письменно излагайте свои возражения.

РЕКОМЕНДАЦИИ ОПЕРАТОРАМ

что недостаток устранён.

ВАЖНО!
Проверяющие лояльно относятся к возможности устранения выявленных недостатком.
Реагировать необходимо не только на недостатки, указанные в протоколе, но и на устные замечания.

РЕКОМЕНДАЦИИ ОПЕРАТОРАМ

со стороны проверяющих… им же тоже отчет надо писать.

ВАЖНО!
По каждому пункту запроса проверяющий должен получить документально подтвержденный ответ.
Не игнорируйте запросы, даже если они касаются предоставления информации о процессах, которых нет в Вашей организации.
Все документы, на которые вы ссылаетесь в справках и информационных письмах должны быть так же предоставлены.

РЕКОМЕНДАЦИИ ОПЕРАТОРАМ

данных»

Закон обязывает Операторов персональных данных привести свои информационные системы персональных данных (ИСПДн) в соответствие требованиям Закона и регулирующих органов.
Регулирующими органами, ответственными за контроль соблюдения требований Закона, а также за формирование отдельных требований в рамках своих полномочий, определены :

Роскомнадзор

ФСТЭК России

ФСБ России

раза превысило показатели 2009 года (557), общая сумма наложенных штрафов за трехлетний период возросла в 100 раз и составила более 12 млн. рублей.

Если, по состоянию на конец 2009 года Роскомнадзором было рассмотрено 465 обращений, то в 2011 году эта цифра составила 3920, что демонстрирует 8-кратный рост количества рассмотренных обращений граждан

Из отчета Роскомнадзора за 2011 г.

такое согласие обязательно, а равно обработка персональных данных с нарушением установленной законом формы согласия субъекта (субъектов) персональных данных, с целью извлечения дохода -
влечет наложение административного штрафа на граждан – от четырех тысяч до пяти тысяч рублей; на должностных лиц – от десяти тысяч до пятнадцати тысяч рублей; на индивидуальных предпринимателей – в величине, равной сумме выручки от реализации товаров (услуг) с использованием персональных данных, обработка которых осуществлялась без согласия субъекта (субъектов) персональных данных …. за календарный год…., но не менее 300 тысяч рублей, на юридических лиц – ….не менее 500 тысяч рублей.

Проект Федерального Закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»

законодательства

Ко мне не придут !

Слабая осведомленность о существовании закона «О персональных данных»

законодательства

Ко мне не придут !

Слабая осведомленность о существовании закона «О персональных данных»

г.

законодательства
подготовка пакета необходимых документов
подбор средств защиты информации
индивидуальные онлайн консультации