Защита персональных данных в информационных системах
DESCRIPTION
Защита персональных данных в информационных системахTRANSCRIPT
Защита персональных данных в информационных системахДементьев В.Е., к.т.н. доцент УлГТУ
1
2
3
4
Последние изменения в законодательстве
Дата Нормативный акт Комментарий
01.11.2012 Постановление Правительства РФ № 1119
«Об утверждении требований к защите персональных
данных при их обработке в информационных
системах персональных данных»
— Введен новый порядок классификации ИСПДн
— Предложены
14.12.2012 Разъяснения Роскомнадзора по вопросам,
касающимся обработки персональных данных
работников, соискателей на замещение вакантных
должностей, а также лиц, находящихся в кадровом
резерве
— Уточнены важнейшие положения Федерального закона
«О персональных данных», касающиеся обработки
персональных данных работников, сотрудников по
договорам ГПХ, соискателей вакансий
— Разъяснена необходимость получения согласия
работника на обработку персональных данных
и на передачу третьим лицам
24.12.2012 Проект постановления Правительства РФ
«Об утверждении Положения о государственном
контроле и надзоре за соответствием обработки
персональных данных требованиям Федерального
закона «О персональных данных»
— Расширяет полномочия Роскомнадзора по контролю
выполнения требований Федерального закона
«О персональных данных»
— Увеличивает число оснований для проведения
внеплановой проверки
15.03.2013 Приказ Роскомнадзора № 274 «Об утверждении
перечня иностранных государств, не являющихся
сторонами Конвенции Совета Европы о защите
физических лиц при автоматизированной обработке
персональных данных и обеспечивающих адекватную
защиту прав субъектов персональных данных»
— Уточняет требования Федерального закона
«О персональных данных»
— Облегчает выполнение требований, связанных
с передачей персональных данных работников
и клиентов за границу (в том числе при использовании
облачных сервисов)
5
Последние изменения в законодательстве
Дата Нормативный акт Комментарий
07.05.2013 Федеральный закон № 99-ФЗ «О внесении
изменений в отдельные законодательные акты РФ
в связи с принятием Федерального закона
“О ратификации Конвенции Совета Европы
о защите физических лиц при автоматизированной
обработке персональных данных” и Федерального
закона “О персональных данных”»
— Одновременно изменились 14 федеральных законов
— Внесены изменения в Трудовой кодекс,
регламентирующие обработку персональных данных
работников
— Изменѐн порядок обработки персональных данных
в нескольких отраслях
02.06.2013 Вступил в силу приказ ФСТЭК России
от 18.02.2013 № 21 «Об утверждении состава
и содержания организационных и технических мер
по обеспечению безопасности персональных
данных при их обработке в информационных
системах персональных данных»
— Изменѐн кардинальным образом подход к применению
средств защиты информации для защиты
персональных данных в коммерческих компаниях
— Позволяет уменьшит расходы на внедрение средств
защиты информации, если грамотно интерпретировать
требования
15.07.2013 Информационное сообщение ФСТЭК России
по вопросам защиты информации и обеспечения
безопасности персональных данных
при их обработке в информационных системах.
— Разъяснѐн порядок применения вступившего в силу
приказа ФСТЭК России от 18.02.2013 № 21
30.08.2013 Разъяснения Роскомнадзора по вопросам
отнесения фото- и видео- изображения,
дактилоскопических данных и иной информации
к биометрическим персональным данным
и особенности их обработки
— Уточнены «белые пятна» Федерального закона
«О персональных данных», касающиеся обработки
биометрических данных
— Разъяснѐн порядок хранения ксерокопий паспортов,
медицинских данных
— Разъяснѐн порядок ведения видеонаблюдения
за работниками и клиентами
6
Последние изменения в законодательстве
Дата Нормативный акт Комментарий
01.09.2013 Вступил в силу приказ ФСТЭК России
от 12.02.2013 № 17 «Об утверждении Требований
о защите информации, не составляющей
государственную тайну, содержащейся
в государственных информационных системах»
— Изменѐн кардинальным образом подход к применению
средств защиты информации для защиты
персональных данных в бюджетных, муниципальных
и государственных органах, а также
во взаимодействующих с ними компаниях
05.09.2013 Приказ Роскомнадзора № 996 «Об утверждении
требований и методов по обезличиванию
персональных данных»
— Уточнѐн порядок обезличивания персональных данных
— одного из способов облегчения выполнения
требований Федерального закона «О персональных
данных»
01.10.2013 Разработан проект приказа ФСБ России
«Об утверждении состава и содержания
организационных и технических мер
по обеспечению безопасности персональных
данных при их обработке в информационных
системах персональных данных с использованием
средств криптографической защиты
информации…»
— Проект содержит избыточные и иногда невыполнимые
требования ко всем компаниям, обрабатывающим
персональные данные
25.11.2013 Проект методических рекомендаций
ФСТЭК России по применению Приказа
ФСТЭК России № 17 и Приказа ФСТЭК России
№ 21
— Будет уточнѐн порядок выполнения многозначных
требований соответствующих приказов
7
8
9
10
Подробный порядок работ
Работы выполняются самостоятельно либо с
привлечением лицензиата
11
Классификация ИСПДн
Содержание ПДн 1-й уровень 2-й уровень 3-й уровень 4-й уровень
мен
е 100
000
субъ
ектов
Специальные ПДн Угрозы 1-го типа Угрозы 2-го типа Угрозы 3-го типа
Биометрические ПДн Угрозы 1-го типа Угрозы 2-го типа Угрозы 3-го типа
Общедоступные ПДн Угрозы 1-го типа Угрозы 2-го типа Угрозы 3-го типа
Остальные ПДн Угрозы 1-го типа Угрозы 2-го типа Угрозы 3-го типа
бол
ее 1
00
000
субъ
ектов
Специальные ПДнУгрозы 1-го типа
Угрозы 3-го типаУгрозы 2-го типа
Биометрические ПДн Угрозы 1-го типа Угрозы 2-го типа Угрозы 3-го типа
Общедоступные ПДнУгрозы 1-го типа
Угрозы 3-го типаУгрозы 2-го типа
Остальные ПДн Угрозы 1-го типа Угрозы 2-го типа Угрозы 3-го типа
12
Укрупненные меры защиты
1-й
уровень
2-й
уровень
3-й
уровень
4-й
уровень
Применение орг. и технических мер защиты ПДн
[ст.181.1.(3)]+ + + +
Режим безопасности помещений ИСПДн + + + +
Сохранность носителей ПДн + + + +
Издание перечня лиц, допущенных к ПДн + + + +
Оценку соответствия СЗИ, используемых в ИСПДн + + + +
Должностное лицо, ответственное за безопасность
ПДн + + +
Ограничение доступа к содержанию эл. журнала
сообщений + + +
Автоматизированную регистрацию изменения
полномочий +
Структурное подразделение обеспечения безопасности
ПДн +
13
Спасибо за внимание[email protected]