Защита персональных данных

Услуги по защите персональных данных, оказываемые Уфимским филиалом ФГУП "ЦентрИнформ":


скачать анкету участника

заполнить ON-LINE

Федеральный закон

от 27 июля 2006 г. N 152-ФЗ
"О персональных данных"

  • определение требований нормативных правовых актов Российской Федерации для информационной системы в зависимости от состава обрабатываемой информации и принципов обработки;
  • проведение классификации информационной системы персональных данных;
  • проведение комплексного обследования информационной системы (категорирование информационных ресурсов, определение принципов функционирования информационной системы и технологий обработки информации);
  • определение перечня актуальных угроз безопасности информации, анализ угроз безопасности информации, разработка модели угроз безопасности информации;
  • выработка рекомендаций по обеспечению безопасности информации;
  • разработка организационно-распорядительных документов (инструкций, регламентов), определяющих порядок обработки и обеспечения безопасности персональных данных в организации;
  • разработка технического задания на систему защиты персональных данных;
  • разработка проекта системы защиты персональных данных;
  • поставка, установка и настройка средств защиты информации, ввод в эксплуатацию системы защиты персональных данных;
  • техническое обслуживание системы защиты персональных данных ;
  • подготовка необходимой документации и проведение оценки соответствия информационной системы персональных данных требованиям безопасности информации (аттестация информационной системы персональных данных).


  • • Что такое персональные данные (основные понятия).
    • Требования к операторам.
    • Регуляторы.
    • Кто подпадает под действие законодательства.
    • Категории персональных данных.
    • Нормативно-правовая база.

    Что такое персональные данные (основные понятия).

     

    Персональные данные. — В соответствии с формулировкой, представленной в Законе, персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, адрес, год, месяц, дата и место рождения, социальное, семейное, имущественное положение, профессия, образование, доходы, другая информация.

    Оператор персональных данных. — Операторами персональных данных являются: государственный орган или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных (ПДн), а также определяющие цели и содержание обработки персональных данных»

    Обработка персональных данных. — Под обработкой персональных данных понимаются действия (операции) с персональными данными, включая сбор, накопление, систематизацию, уточнение (обновление, изменение), хранение, использование, распространение (в том числе передачу), блокирование, обезличивание, уничтожение персональных данных.


    Требования к операторам

    Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
    (Статья 19, п.1 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»)

    Регуляторы

    ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ

    www.rsoc.ru

    Роскомнадзор является полномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи и массовых коммуникаций (Роскомнадзор).

    ФЕДЕРАЛЬНАЯ СЛУЖБА БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ

    www.fsb.ru

    ФСБ курирует вопросы,связанные с спользованием шифровальных(криптографических) средств защиты конфиденциальной информации

    ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК России)

    www.fstec.ru

    ФСТЭК организует и проводит лицензирование деятельности по осуществлению мероприятий по созданию средств защиты информации, содержащей сведения, составляющие государственную тайну, по технической защите конфиденциальной информации, по разработке и (или) производству средств защиты конфиденциальной информации, а также лицензирование иных видов деятельности в соответствии с законодательством Российской Федерации


    Кто подпадает под действие законодательства.

    Статья 1 Закона № 152-ФЗ «О персональных данных» определяет сферу действия Закона: «Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации».

    Таким образом, требования Закона «О персональных данных» распространяются на все государственные и коммерческие организации, обрабатывающие в своих информационных системах персональные данные физических лиц (сотрудников, клиентов, партнеров и т.п.), независимо от размера и формы собственности.

    В первую очередь требования Закона «О персональных данных» актуальны для тех компаний, деятельность которых напрямую связана с обработкой больших объемов персональных данных физических лиц первой и второй категорий.

    Эти обстоятельства предъявляют повышенные требования к системе защиты персональных данных и являются приоритетными для проведения проверок контролирующими органами.


    Категории персональных данных.

    категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

    категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

    категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;

    категория 4 — обезличенные и (или) общедоступные персональные данные.


    Компании, попадающие под эти категории:

    Медицина (государственные и частные лечебные учреждения),

    Кредитно – финансовые учреждения

    Сфера страхования

    Операторы сотовой связи

    Компании туриндустрии

    Агентства по подбору персонала

    Риэлторские компании

    Авиационные пассажирские перевозки


    Нормативно-правовая база.

  • Конституция Российской Федерации
  • Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»
  • Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
  • Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Правительства Российской Федерации от 06 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
  • Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
  • Методика определения актуальных угроз безопасности персональных данных при их обработке и информационных системах персональных данных (утвержден заместителем директора ФСТЭК России 14 февраля 2008 г.);
  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утвержден заместителем директора ФСТЭК России 15 февраля 2008 г.);
  • Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) (утверждены Приказом Гостехкомиссии России от 30.08.2002 № 282)
  • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622);
  • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/5-144); и другие нормативные правовые акты.

  •