Add to collection(s) Add to saved
  1. No category

О персональных данных - Ассоциация Обучающих Центров

advertisement 
Преподаватель
Медведев
Андрей Владимирович
1. Рассмотрение основных законодательных,
нормативных правовых актов РФ в области
обеспечения
безопасности
информации,
ведомственных документов ФСТЭК России и
ФСБ России, определяющих требования к
обеспечению безопасности информации.
2. Практическое применение регламентирующих
документов.
2
Федеральные законы РФ
Постановления правительства РФ
Нормативно-методические документы ФСТЭК России и ФСБ России
Нормативные правовые акты Федеральных органов исполнительной власти,
осуществляющие функции по выработке государственной политики и нормативноправовому регулированию в установленной сфере деятельности, органов
государственной власти субъектов Российской Федерации, Банка России, органов
государственных внебюджетных фондов, иных государственных органов
3
Ч.1 Статьи 13 ФЗ-149
Информационные системы включают в себя:
1)
государственные
информационные
системы
федеральные информационные системы и региональные
информационные системы, созданные на основании
соответственно федеральных законов, законов субъектов
Российской Федерации, на основании правовых актов
государственных органов;
2) муниципальные информационные системы, созданные
на основании решения органа местного самоуправления;
3) иные информационные системы.
4
1. Защита информации представляет собой принятие правовых, организационных и
технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения,
модифицирования, блокирования, копирования, предоставления, распространения, а
также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
2. Государственное регулирование отношений в сфере защиты информации
осуществляется путем установления требований о защите информации, а также
ответственности за нарушение законодательства Российской Федерации об информации,
информационных технологиях и о защите информации.
3. Требования о защите общедоступной информации могут устанавливаться только для
достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.
4. Обладатель информации, оператор информационной системы в случаях,
установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее
лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка
доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в
результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной
или уничтоженной вследствие несанкционированного доступа к ней;
5
5. Требования о защите информации, содержащейся в
государственных информационных системах, устанавливаются
федеральным органом исполнительной власти в области
обеспечения
безопасности
и
федеральным
органом
исполнительной
власти,
уполномоченным
в
области
противодействия техническим разведкам и технической защиты
информации, в пределах их полномочий. При создании и
эксплуатации
государственных
информационных
систем
используемые в целях защиты информации методы и способы ее
защиты должны соответствовать указанным требованиям.
6. Федеральными законами могут быть установлены ограничения
использования определенных средств защиты информации и
осуществления отдельных видов деятельности в области защиты
информации.
6
Статья 17. Ответственность за правонарушения в сфере информации, информационных
технологий и защиты информации
1. Нарушение требований настоящего Федерального закона влечет за собой
дисциплинарную,
гражданско-правовую,
административную
или
уголовную
ответственность в соответствии с законодательством Российской Федерации.
7
П. 1 ФЗ-152.
Настоящим Федеральным законом регулируются отношения,
связанные с обработкой персональных данных, осуществляемой
федеральными
органами
государственной
власти,
органами
государственной власти субъектов Российской Федерации, иными
государственными органами (далее - государственные органы), органами
местного самоуправления, иными муниципальными органами (далее муниципальные органы), юридическими лицами и физическими лицами с
использованием средств автоматизации, в том числе в информационнотелекоммуникационных сетях, или без использования таких средств, если
обработка персональных данных без использования таких средств
соответствует характеру действий (операций), совершаемых с
персональными данными с использованием средств автоматизации, то
есть позволяет осуществлять в соответствии с заданным алгоритмом
поиск персональных данных, зафиксированных на материальном носителе
и содержащихся в картотеках или иных систематизированных собраниях
персональных данных, и (или) доступ к таким персональным данным.
8
оператор
государственный
орган,
муниципальный орган, юридическое или физическое
лицо, самостоятельно или совместно с другими
лицами организующие и (или) осуществляющие
обработку
персональных
данных,
а
также
определяющие цели обработки персональных
данных, состав персональных данных, подлежащих
обработке, действия (операции), совершаемые с
персональными данными.
9
Также следует отметить, что частями с 3 по 5 статьи 6 закона определено:
Оператор вправе поручить обработку персональных данных другому лицу с
согласия субъекта персональных данных, если иное не предусмотрено
федеральным законом, на основании заключаемого с этим лицом договора, в том
числе государственного или муниципального контракта, либо путем принятия
государственным или муниципальным органом соответствующего акта (далее поручение оператора). Лицо, осуществляющее обработку персональных данных по
поручению оператора, обязано соблюдать принципы и правила обработки
персональных данных, предусмотренные настоящим Федеральным законом. В
поручении оператора должны быть определены перечень действий (операций) с
персональными данными, которые будут совершаться лицом, осуществляющим
обработку персональных данных, и цели обработки, должна быть установлена
обязанность такого лица соблюдать конфиденциальность персональных данных и
обеспечивать безопасность персональных данных при их обработке, а также
должны быть указаны требования к защите обрабатываемых персональных
данных в соответствии со статьей 19 настоящего Федерального закона.
4. Лицо, осуществляющее обработку персональных данных по поручению
оператора, не обязано получать согласие субъекта персональных данных на
обработку его персональных данных.
5. В случае, если оператор поручает обработку персональных данных другому
лицу, ответственность перед субъектом персональных данных за действия
указанного лица несет оператор. Лицо, осуществляющее обработку персональных
данных по поручению оператора, несет ответственность перед оператором.
10
Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей,
предусмотренных настоящим Федеральным законом
(введена Федеральным законом от 25.07.2011 N 261-ФЗ)
1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения
обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним
нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер,
необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим
Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не
предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам
могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию
обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику
оператора в отношении обработки персональных данных, локальных актов по вопросам обработки
персональных данных, а также локальных актов, устанавливающих процедуры, направленные на
предотвращение и выявление нарушений законодательства Российской Федерации, устранение
последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности
персональных данных в соответствии со статьей 19 настоящего Федерального закона;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных
данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым
актам, требованиям к защите персональных данных, политике оператора в отношении обработки
персональных данных, локальным актам оператора;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения
настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер,
направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным
законом;
6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных
данных, с положениями законодательства Российской Федерации о персональных данных, в том числе
требованиями к защите персональных данных, документами, определяющими политику оператора в
отношении обработки персональных данных, локальными актами по вопросам обработки персональных
данных, и (или) обучение указанных работников.
11
2. Оператор обязан опубликовать или иным образом обеспечить
неограниченный доступ к документу, определяющему его политику в
отношении обработки персональных данных, к сведениям о реализуемых
требованиях к защите персональных данных. Оператор, осуществляющий
сбор
персональных
данных
с
использованием
информационнотелекоммуникационных сетей, обязан опубликовать в соответствующей
информационно-телекоммуникационной сети документ, определяющий его
политику в отношении обработки персональных данных, и сведения о
реализуемых требованиях к защите персональных данных, а также
обеспечить возможность доступа к указанному документу с использованием
средств соответствующей информационно-телекоммуникационной сети.
3. Правительство Российской Федерации устанавливает перечень мер,
направленных на обеспечение выполнения обязанностей, предусмотренных
настоящим Федеральным законом и принятыми в соответствии с ним
нормативными
правовыми
актами,
операторами,
являющимися
государственными или муниципальными органами.
4. Оператор обязан представить документы и локальные акты,
указанные в части 1 настоящей статьи, и (или) иным образом подтвердить
принятие мер, указанных в части 1 настоящей статьи, по запросу
уполномоченного органа по защите прав субъектов персональных данных.
Т.е. определено, что должен сделать оператор.
12
В статье 19 определены меры по обеспечению безопасности персональных данных при
их обработке.
1. Оператор при обработке персональных данных обязан принимать необходимые
правовые, организационные и технические меры или обеспечивать их принятие для
защиты персональных данных от неправомерного или случайного доступа к ним,
уничтожения, изменения, блокирования, копирования, предоставления,
распространения персональных данных, а также от иных неправомерных действий в
отношении персональных данных.
2. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в
информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных
данных, необходимых для выполнения требований к защите персональных данных,
исполнение которых обеспечивает установленные Правительством Российской
Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия
средств защиты информации;
13
4) оценкой эффективности принимаемых мер по обеспечению
безопасности
персональных
данных
до
ввода
в
эксплуатацию
информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6)
обнаружением
фактов
несанкционированного
доступа
к
персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или
уничтоженных вследствие несанкционированного доступа к ним;
8)
установлением
правил
доступа
к
персональным
данным,
обрабатываемым в информационной системе персональных данных, а также
обеспечением регистрации и учета всех действий, совершаемых с
персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности
персональных данных и уровня защищенности информационных систем
персональных данных.
3. Правительство Российской Федерации с учетом возможного вреда
субъекту персональных данных, объема и содержания обрабатываемых
персональных данных, вида деятельности, при осуществлении которого
обрабатываются персональные данные, актуальности угроз безопасности
персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в
информационных системах персональных данных в зависимости от угроз
безопасности этих данных;
2) требования к защите персональных данных при их обработке в
информационных системах персональных данных, исполнение которых
обеспечивает установленные уровни защищенности персональных данных;
3)
требования
к
материальным
носителям
биометрических
персональных данных и технологиям хранения таких данных вне
информационных систем персональных данных.
14
4. Состав и содержание необходимых для выполнения установленных
Правительством Российской Федерации в соответствии с частью 3 настоящей статьи
требований к защите персональных данных для каждого из уровней защищенности,
организационных и технических мер по обеспечению безопасности персональных
данных при их обработке в информационных системах персональных данных
устанавливаются федеральным органом исполнительной власти, уполномоченным в
области обеспечения безопасности, и федеральным органом исполнительной власти,
уполномоченным в области противодействия техническим разведкам и технической
защиты информации, в пределах их полномочий.
5. Федеральные органы исполнительной власти, осуществляющие функции по
выработке государственной политики и нормативно-правовому регулированию в
установленной сфере деятельности, органы государственной власти субъектов
Российской Федерации, Банк России, органы государственных внебюджетных фондов,
иные государственные органы в пределах своих полномочий принимают нормативные
правовые акты, в которых определяют угрозы безопасности персональных данных,
актуальные при обработке персональных данных в информационных системах
персональных данных, эксплуатируемых при осуществлении соответствующих видов
деятельности, с учетом содержания персональных данных, характера и способов их
обработки.
15
6. Наряду с угрозами безопасности персональных данных, определенных в
нормативных правовых актах, принятых в соответствии с частью 5 настоящей
статьи, ассоциации, союзы и иные объединения операторов своими решениями
вправе определить дополнительные угрозы безопасности персональных данных,
актуальные при обработке персональных данных в информационных системах
персональных данных, эксплуатируемых при осуществлении определенных видов
деятельности членами таких ассоциаций, союзов и иных объединений операторов, с
учетом содержания персональных данных, характера и способов их обработки.
7. Проекты нормативных правовых актов, указанных в части 5 настоящей
статьи, подлежат согласованию с федеральным органом исполнительной власти,
уполномоченным в области обеспечения безопасности, и федеральным органом
исполнительной власти, уполномоченным в области противодействия техническим
разведкам и технической защиты информации. Проекты решений, указанных в
части 6 настоящей статьи, подлежат согласованию с федеральным органом
исполнительной власти, уполномоченным в области обеспечения безопасности, и
федеральным органом исполнительной власти, уполномоченным в области
противодействия техническим разведкам и технической защиты информации, в
порядке, установленном Правительством Российской Федерации. Решение
федерального органа исполнительной власти, уполномоченного в области
обеспечения безопасности, и федерального органа исполнительной власти,
уполномоченного в области противодействия техническим разведкам и технической
защиты информации, об отказе в согласовании проектов решений, указанных в
части 6 настоящей статьи, должно быть мотивированным.
16
8. Контроль и надзор за выполнением организационных и технических мер по
обеспечению безопасности персональных данных, установленных в соответствии с
настоящей статьей, при обработке персональных данных в государственных
информационных системах персональных данных осуществляются федеральным
органом исполнительной власти, уполномоченным в области обеспечения
безопасности, и федеральным органом исполнительной власти, уполномоченным в
области противодействия техническим разведкам и технической защиты информации,
в пределах их полномочий и без права ознакомления с персональными данными,
обрабатываемыми в информационных системах персональных данных.
9. Федеральный орган исполнительной власти, уполномоченный в области
обеспечения безопасности, и федеральный орган исполнительной власти,
уполномоченный в области противодействия техническим разведкам и технической
защиты информации, решением Правительства Российской Федерации с учетом
значимости и содержания обрабатываемых персональных данных могут быть
наделены полномочиями по контролю за выполнением организационных и
технических мер по обеспечению безопасности персональных данных,
установленных в соответствии с настоящей статьей, при их обработке в
информационных системах персональных данных, эксплуатируемых при
осуществлении определенных видов деятельности и не являющихся
государственными информационными системами персональных данных, без права
ознакомления с персональными данными, обрабатываемыми в информационных
системах персональных данных.
17
10. Использование и хранение биометрических персональных данных вне
информационных систем персональных данных могут осуществляться только на
таких материальных носителях информации и с применением такой технологии ее
хранения, которые обеспечивают защиту этих данных от неправомерного или
случайного доступа к ним, их уничтожения, изменения, блокирования,
копирования, предоставления, распространения.
11. Для целей настоящей статьи под угрозами безопасности персональных данных
понимается совокупность условий и факторов, создающих опасность
несанкционированного, в том числе случайного, доступа к персональным данным,
результатом которого могут стать уничтожение, изменение, блокирование,
копирование, предоставление, распространение персональных данных, а также
иные неправомерные действия при их обработке в информационной системе
персональных данных.
Под уровнем защищенности персональных данных понимается комплексный
показатель, характеризующий требования, исполнение которых обеспечивает
нейтрализацию определенных угроз безопасности персональных данных при их
обработке в информационных системах персональных данных.
18
П.2 Требований определено «Безопасность персональных данных при их обработке в
информационной системе обеспечивается с помощью системы защиты
персональных данных, нейтрализующей актуальные угрозы, определенные в
соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».
«Система защиты персональных данных включает в себя организационные и (или)
технические меры, определенные с учетом актуальных угроз безопасности
персональных данных и информационных технологий, используемых в
информационных системах».
П.3 Требований «3. Безопасность персональных данных при их обработке в
информационной системе обеспечивает оператор этой системы, который
обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее
обработку персональных данных по поручению оператора на основании
заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между
оператором и уполномоченным лицом должен предусматривать обязанность
уполномоченного лица обеспечить безопасность персональных данных при их
обработке в информационной системе».
П.4. Выбор средств защиты информации для системы защиты персональных данных
осуществляется оператором в соответствии с нормативными правовыми актами,
принятыми Федеральной службой безопасности Российской Федерации и
Федеральной службой по техническому и экспортному контролю во исполнение части
4 статьи 19 Федерального закона "О персональных данных".
19
«П. 5. Информационная система является информационной системой, обрабатывающей
специальные категории персональных данных, если в ней обрабатываются персональные
данные, касающиеся расовой, национальной принадлежности, политических взглядов,
религиозных или философских убеждений, состояния здоровья, интимной жизни
субъектов персональных данных.
Информационная система является информационной системой, обрабатывающей
биометрические персональные данные, если в ней обрабатываются сведения, которые
характеризуют физиологические и биологические особенности человека, на основании
которых можно установить его личность и которые используются оператором для
установления личности субъекта персональных данных, и не обрабатываются сведения,
относящиеся к специальным категориям персональных данных.
Информационная система является информационной системой, обрабатывающей
общедоступные персональные данные, если в ней обрабатываются персональные
данные субъектов персональных данных, полученные только из общедоступных
источников персональных данных, созданных в соответствии со статьей 8 Федерального
закона "О персональных данных".
Информационная система является информационной системой, обрабатывающей иные
категории персональных данных, если в ней не обрабатываются персональные данные,
указанные в абзацах первом - третьем настоящего пункта.
Информационная система является информационной системой, обрабатывающей
персональные данные сотрудников оператора, если в ней обрабатываются персональные
данные только указанных сотрудников. В остальных случаях информационная система
персональных данных является информационной системой, обрабатывающей
персональные данные субъектов персональных данных, не являющихся сотрудниками
20
оператора.
Под актуальными угрозами безопасности персональных данных понимается
совокупность условий и факторов, создающих актуальную опасность
несанкционированного, в том числе случайного, доступа к персональным данным при
их обработке в информационной системе, результатом, которого могут стать
уничтожение, изменение, блокирование, копирование, предоставление,
распространение персональных данных, а также иные неправомерные действия.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе
актуальны угрозы, связанные с наличием недокументированных (недекларированных)
возможностей в системном программном обеспечении, используемом в
информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе
актуальны угрозы, связанные с наличием недокументированных (недекларированных)
возможностей в прикладном программном обеспечении, используемом в
информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны
угрозы, не связанные с наличием недокументированных (недекларированных)
возможностей в системном и прикладном программном обеспечении, используемом в
информационной системе.
21
Определение типа угроз безопасности персональных данных, актуальных для
информационной системы, производится оператором с учетом оценки возможного
вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона
"О персональных данных", и в соответствии с нормативными правовыми актами,
принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных
данных".
22
8. При обработке персональных данных в информационных системах
устанавливаются 4 уровня защищенности персональных данных.
9. Необходимость обеспечения 1-го уровня защищенности персональных данных
при их обработке в информационной системе устанавливается при наличии хотя бы
одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и информационная
система обрабатывает либо специальные категории персональных данных, либо
биометрические персональные данные, либо иные категории персональных данных;
б) для информационной системы актуальны угрозы 2-го типа и информационная
система обрабатывает специальные категории персональных данных более чем
100000 субъектов персональных данных, не являющихся сотрудниками оператора.
23
10. Необходимость обеспечения 2-го уровня защищенности персональных данных при
их обработке в информационной системе устанавливается при наличии хотя бы одного
из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и информационная
система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 2-го типа и информационная
система обрабатывает специальные категории персональных данных сотрудников
оператора или специальные категории персональных данных менее чем 100000
субъектов персональных данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 2-го типа и информационная
система обрабатывает биометрические персональные данные;
г) для информационной системы актуальны угрозы 2-го типа и информационная
система обрабатывает общедоступные персональные данные более чем 100000
субъектов персональных данных, не являющихся сотрудниками оператора;
д) для информационной системы актуальны угрозы 2-го типа и информационная
система обрабатывает иные категории персональных данных более чем 100000
субъектов персональных данных, не являющихся сотрудниками оператора;
е) для информационной системы актуальны угрозы 3-го типа и информационная
система обрабатывает специальные категории персональных данных более чем 100000
субъектов персональных данных, не являющихся сотрудниками оператора.
24
11. Необходимость обеспечения 3-го уровня защищенности персональных данных при
их обработке в информационной системе устанавливается при наличии хотя бы одного
из следующих условий:
а) для информационной системы актуальны угрозы 2-го типа и информационная
система обрабатывает общедоступные персональные данные сотрудников оператора
или общедоступные персональные данные менее чем 100000 субъектов персональных
данных, не являющихся сотрудниками оператора;
б) для информационной системы актуальны угрозы 2-го типа и информационная
система обрабатывает иные категории персональных данных сотрудников оператора
или иные категории персональных данных менее чем 100000 субъектов персональных
данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 3-го типа и информационная
система обрабатывает специальные категории персональных данных сотрудников
оператора или специальные категории персональных данных менее чем 100000
субъектов персональных данных, не являющихся сотрудниками оператора;
г) для информационной системы актуальны угрозы 3-го типа и информационная
система обрабатывает биометрические персональные данные;
д) для информационной системы актуальны угрозы 3-го типа и информационная
система обрабатывает иные категории персональных данных более чем 100000
субъектов персональных данных, не являющихся сотрудниками оператора.
25
12. Необходимость обеспечения 4-го уровня защищенности персональных
данных при их обработке в информационной системе устанавливается при
наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 3-го типа и информационная
система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 3-го типа и информационная
система обрабатывает иные категории персональных данных сотрудников
оператора или иные категории персональных данных менее чем 100000 субъектов
персональных данных, не являющихся сотрудниками оператора.
14. Для обеспечения 3-го уровня защищенности персональных данных при их
обработке в информационных системах помимо выполнения требований,
предусмотренных пунктом 13 настоящего документа, необходимо, чтобы было
назначено должностное лицо (работник), ответственный за обеспечение
безопасности персональных данных в информационной системе.
15. Для обеспечения 2-го уровня защищенности персональных данных при их
обработке в информационных системах помимо выполнения требований,
предусмотренных пунктом 14 настоящего документа, необходимо, чтобы доступ
к содержанию электронного журнала сообщений был возможен исключительно
для должностных лиц (работников) оператора или уполномоченного лица,
которым сведения, содержащиеся в указанном журнале, необходимы для
выполнения служебных (трудовых) обязанностей.
26
Необходимость
обеспечения
уровня
защищенности
1
Пункт
ППРФ
1119
Тип актуальных
угроз
1
9а
10 а
+
4
Спец-е
Биомет
р.
Иные
+
+
+
ПДн
сотрудников
<100
000
Общедоступны
е
ПДн
не сотрудников
>100
000
<100000
>10000
0
+
+
+
+
10б
+
10в
+
10г
+
10д
+
10е
3
3
+
9б
2
2
Вид ПДн
+
+
11б
+
или
+
+
+
+
+
+
11а
+
+
+
+
+
+
11в
+
11г
+
11д
+
12а
+
12б
+
+
+
или
+
+
или
+
+
или
+
+
+
+
+
+
+
или
+
27
13. Для обеспечения 4-го уровня защищенности персональных данных при их
обработке в информационных системах необходимо выполнение следующих
требований:
а) организация режима обеспечения безопасности помещений, в которых размещена
информационная система, препятствующего возможности неконтролируемого
проникновения или пребывания в этих помещениях лиц, не имеющих права доступа
в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц,
доступ которых к персональным данным, обрабатываемым в информационной
системе, необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки
соответствия требованиям законодательства Российской Федерации в области
обеспечения безопасности информации, в случае, когда применение таких средств
необходимо для нейтрализации актуальных угроз.
28
14. Для обеспечения 3-го уровня защищенности персональных данных при их
обработке в информационных системах помимо выполнения требований,
предусмотренных пунктом 13 настоящего документа, необходимо, чтобы было
назначено должностное лицо (работник), ответственный за обеспечение
безопасности персональных данных в информационной системе.
15. Для обеспечения 2-го уровня защищенности персональных данных при их
обработке в информационных системах помимо выполнения требований,
предусмотренных пунктом 14 настоящего документа, необходимо, чтобы доступ к
содержанию электронного журнала сообщений был возможен исключительно для
должностных лиц (работников) оператора или уполномоченного лица, которым
сведения, содержащиеся в указанном журнале, необходимы для выполнения
служебных (трудовых) обязанностей.
29
16. Для обеспечения 1-го уровня защищенности персональных данных при их
обработке в информационных системах помимо требований, предусмотренных
пунктом 15 настоящего документа, необходимо выполнение следующих требований:
а) автоматическая регистрация в электронном журнале безопасности изменения
полномочий сотрудника оператора по доступу к персональным данным,
содержащимся в информационной системе;
б) создание структурного подразделения, ответственного за обеспечение безопасности
персональных данных в информационной системе, либо возложение на одно из
структурных подразделений функций по обеспечению такой безопасности.
17. Контроль за выполнением настоящих требований организуется и проводится
оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на
договорной основе юридических лиц и индивидуальных предпринимателей, имеющих
лицензию на осуществление деятельности по технической защите конфиденциальной
информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки,
определяемые оператором (уполномоченным лицом).
30
31
32
33




Федеральным законом Российской Федерации от 27.07.2006 № 149-ФЗ
«Об информации, информационных технологиях и о защите информации»;
Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ
«О персональных данных»;
Постановление Правительства Российской Федерации от 01.11.2012 № 1119
«Об утверждении требований к защите персональных данных при их
обработке в информационных системах персональных данных»;
постановлением Правительства Российской Федерации от 21.03.2012 № 211
«Об утверждении перечня мер, направленных на обеспечение выполнения
обязанностей, предусмотренных федеральным законом «О персональных
данных« и принятыми в соответствии с ним нормативными правовыми
актами, операторами, являющимися государственными или муниципальными
органами» (государственные или муниципальные органы);
Нормативными правовыми актами принятыми государственными органами в
соответствии с частью 5 статьи 19 Федеральным законом РФ от 27.07.2006
№ 152-ФЗ «О персональных данных»
34
Документами ФСТЭК России:
1. Нормативно-методический документ «Базовая модель угроз безопасности персональных данных при их
обработке в информационных системах персональных данных», утвержденный заместителем директора ФСТЭК
России 15.02.2008;
2. Нормативно-методический документ «Методика определения актуальных угроз безопасности персональных
данных при их обработке в информационных системах персональных данных», утвержденная заместителем
директора ФСТЭК России 14 февраля 2008 г.;
3. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и
технических мер по обеспечению безопасности персональных данных при их обработке в информационных
системах персональных данных» (зарегистрирован в Минюсте России 14.05.2013, регистрационный № 28375).
Документами ФСБ России:
1.«Типовые требования по организации и обеспечению функционирования шифровальных (криптографических)
средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную
тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в
информационных системах персональных данных», утвержденные руководством 8 Центра ФСБ России 21
февраля 2008 года № 149/6/6-622;
2. «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных
при их обработке в информационных системах персональных данных с использованием средств автоматизации»,
утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/54-144;
3. «Состав и содержание организационных и технических мер по обеспечению безопасности персональных
данных при их обработке в информационных системах персональных данных с использованием средств
криптографической защиты информации, необходимых для выполнения установленных Правительством
Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»,
утвержденные приказом ФСБ России от 10 июля 2014 г. N 378
35
подготовка исходных данных по ИСПДн (топология построения, технология обработки
информации, используемое программное обеспечение, объемы и категории обрабатываемой
информации, наличие подключения к Интернет и др.);
наличие отраслевых НПА и НПА государственных органов субъектов РФ, определяющих
актуальные угрозы ПДн (ч.5 ст 19 ФЗ-152);
определение актуальных угроз безопасности ПДн для ИСПДн с учетом вышеуказанных НПА (при
их наличии) с использованием методических документов ФСТЭК России и ФСБ России (слайд №
12);
в зависимости от осуществляемых им видов деятельности производить определение типа угроз
безопасности персональных данных, актуальных для конкретной информационной системы, с
учетом оценки возможного вреда, проведенной во исполнение п.5 части 1 ст.18.1 ФЗ -152, и в
соответствии с нормативными правовыми актами государственных органов, указанных в части 5
статьи 19 Федерального закона № 152-ФЗ;
установление необходимого уровня защищенности ПДн для ИСПДн в соответствии с п. 8-12
«Требований к защите персональных данных при их обработке в информационных системах
персональных данных» утвержденных постановлением Правительства Российской Федерации от
01.11.2012 № 1119;
организация работ по выполнению требований п.13-17 «Требований к защите персональных
данных…» в соответствии с установленным уровнем защищенности ПДн для ИСПДн;
использование средств защиты информации для нейтрализации актуальных угроз в соответствии с
методическими документами ФСТЭК России и ФСБ России.
36
Related documents
АНКЕТА Участника конкурса эссе «Молодежь – в политику!» Ф.И
АНКЕТА Участника конкурса эссе «Молодежь – в политику!» Ф.И
Заявление о согласии на обработку персональных данных
Заявление о согласии на обработку персональных данных
Безопасность это процесс, а не результат.
Безопасность это процесс, а не результат.
Заявление потребителя по взысканию неустойки по договору
Заявление потребителя по взысканию неустойки по договору
Защита персональных данных в органах государственной
Защита персональных данных в органах государственной
Приложение 3 к объявлению о проведении конкурса Заявление
Приложение 3 к объявлению о проведении конкурса Заявление
анкету - Курсы веб-дизайна, Херсон. Курсы Photoshop
анкету - Курсы веб-дизайна, Херсон. Курсы Photoshop
Ф.И.О., должность, наименование организации
Ф.И.О., должность, наименование организации
Download
advertisement