Защита персональных данных в информационных системахДементьев В.Е., к.т.н. доцент УлГТУ

1

2

3

4

Последние изменения в законодательстве

Дата Нормативный акт Комментарий

01.11.2012 Постановление Правительства РФ № 1119

«Об утверждении требований к защите персональных

данных при их обработке в информационных

системах персональных данных»

— Введен новый порядок классификации ИСПДн

— Предложены

14.12.2012 Разъяснения Роскомнадзора по вопросам,

касающимся обработки персональных данных

работников, соискателей на замещение вакантных

должностей, а также лиц, находящихся в кадровом

резерве

— Уточнены важнейшие положения Федерального закона

«О персональных данных», касающиеся обработки

персональных данных работников, сотрудников по

договорам ГПХ, соискателей вакансий

— Разъяснена необходимость получения согласия

работника на обработку персональных данных

и на передачу третьим лицам

24.12.2012 Проект постановления Правительства РФ

«Об утверждении Положения о государственном

контроле и надзоре за соответствием обработки

персональных данных требованиям Федерального

закона «О персональных данных»

— Расширяет полномочия Роскомнадзора по контролю

выполнения требований Федерального закона

«О персональных данных»

— Увеличивает число оснований для проведения

внеплановой проверки

15.03.2013 Приказ Роскомнадзора № 274 «Об утверждении

перечня иностранных государств, не являющихся

сторонами Конвенции Совета Европы о защите

физических лиц при автоматизированной обработке

персональных данных и обеспечивающих адекватную

защиту прав субъектов персональных данных»

— Уточняет требования Федерального закона

«О персональных данных»

— Облегчает выполнение требований, связанных

с передачей персональных данных работников

и клиентов за границу (в том числе при использовании

облачных сервисов)

5

Последние изменения в законодательстве

Дата Нормативный акт Комментарий

07.05.2013 Федеральный закон № 99-ФЗ «О внесении

изменений в отдельные законодательные акты РФ

в связи с принятием Федерального закона

“О ратификации Конвенции Совета Европы

о защите физических лиц при автоматизированной

обработке персональных данных” и Федерального

закона “О персональных данных”»

— Одновременно изменились 14 федеральных законов

— Внесены изменения в Трудовой кодекс,

регламентирующие обработку персональных данных

работников

— Изменѐн порядок обработки персональных данных

в нескольких отраслях

02.06.2013 Вступил в силу приказ ФСТЭК России

от 18.02.2013 № 21 «Об утверждении состава

и содержания организационных и технических мер

по обеспечению безопасности персональных

данных при их обработке в информационных

системах персональных данных»

— Изменѐн кардинальным образом подход к применению

средств защиты информации для защиты

персональных данных в коммерческих компаниях

— Позволяет уменьшит расходы на внедрение средств

защиты информации, если грамотно интерпретировать

требования

15.07.2013 Информационное сообщение ФСТЭК России

по вопросам защиты информации и обеспечения

безопасности персональных данных

при их обработке в информационных системах.

— Разъяснѐн порядок применения вступившего в силу

приказа ФСТЭК России от 18.02.2013 № 21

30.08.2013 Разъяснения Роскомнадзора по вопросам

отнесения фото- и видео- изображения,

дактилоскопических данных и иной информации

к биометрическим персональным данным

и особенности их обработки

— Уточнены «белые пятна» Федерального закона

«О персональных данных», касающиеся обработки

биометрических данных

— Разъяснѐн порядок хранения ксерокопий паспортов,

медицинских данных

— Разъяснѐн порядок ведения видеонаблюдения

за работниками и клиентами

6

Последние изменения в законодательстве

Дата Нормативный акт Комментарий

01.09.2013 Вступил в силу приказ ФСТЭК России

от 12.02.2013 № 17 «Об утверждении Требований

о защите информации, не составляющей

государственную тайну, содержащейся

в государственных информационных системах»

— Изменѐн кардинальным образом подход к применению

средств защиты информации для защиты

персональных данных в бюджетных, муниципальных

и государственных органах, а также

во взаимодействующих с ними компаниях

05.09.2013 Приказ Роскомнадзора № 996 «Об утверждении

требований и методов по обезличиванию

персональных данных»

— Уточнѐн порядок обезличивания персональных данных

— одного из способов облегчения выполнения

требований Федерального закона «О персональных

данных»

01.10.2013 Разработан проект приказа ФСБ России

«Об утверждении состава и содержания

организационных и технических мер

по обеспечению безопасности персональных

данных при их обработке в информационных

системах персональных данных с использованием

средств криптографической защиты

информации…»

— Проект содержит избыточные и иногда невыполнимые

требования ко всем компаниям, обрабатывающим

персональные данные

25.11.2013 Проект методических рекомендаций

ФСТЭК России по применению Приказа

ФСТЭК России № 17 и Приказа ФСТЭК России

№ 21

— Будет уточнѐн порядок выполнения многозначных

требований соответствующих приказов

7

8

9

10

Подробный порядок работ

Работы выполняются самостоятельно либо с

привлечением лицензиата

11

Классификация ИСПДн

Содержание ПДн 1-й уровень 2-й уровень 3-й уровень 4-й уровень

мен

е 100

000

субъ

ектов

Специальные ПДн Угрозы 1-го типа Угрозы 2-го типа Угрозы 3-го типа

Биометрические ПДн Угрозы 1-го типа Угрозы 2-го типа Угрозы 3-го типа

Общедоступные ПДн Угрозы 1-го типа Угрозы 2-го типа Угрозы 3-го типа

Остальные ПДн Угрозы 1-го типа Угрозы 2-го типа Угрозы 3-го типа

бол

ее 1

00

000

субъ

ектов

Специальные ПДнУгрозы 1-го типа

Угрозы 3-го типаУгрозы 2-го типа

Биометрические ПДн Угрозы 1-го типа Угрозы 2-го типа Угрозы 3-го типа

Общедоступные ПДнУгрозы 1-го типа

Угрозы 3-го типаУгрозы 2-го типа

Остальные ПДн Угрозы 1-го типа Угрозы 2-го типа Угрозы 3-го типа

12

Укрупненные меры защиты

1-й

уровень

2-й

уровень

3-й

уровень

4-й

уровень

Применение орг. и технических мер защиты ПДн

[ст.181.1.(3)]+ + + +

Режим безопасности помещений ИСПДн + + + +

Сохранность носителей ПДн + + + +

Издание перечня лиц, допущенных к ПДн + + + +

Оценку соответствия СЗИ, используемых в ИСПДн + + + +

Должностное лицо, ответственное за безопасность

ПДн + + +

Ограничение доступа к содержанию эл. журнала

сообщений + + +

Автоматизированную регистрацию изменения

полномочий +

Структурное подразделение обеспечения безопасности

ПДн +

13

Спасибо за внимание!!!dve@ulntc.ru