Защита персональных данных на предприятии. Правовые
advertisement
Защита персональных данных на предприятии. Правовые аспекты и особенности реализации. Тимур Кашаев к.т.н., консультант УТЦ «Баштехинформ» MCSE, MCSE:Security, MCT, MCITP, IEEE member Содержание • Что такое «персональные данные» (ПД)? • Федеральный закон о ПД • С чего начать защиту ПД? • Снижение затрат на защиту ПД Что такое «персональные данные»? Персональные данные (ПД) - любая информация, относящаяся к определенному физическому лицу, в т.ч. (ФЗ №152 О ПД): • ФИО; • дата рождения; • место рождения; • адрес проживания; • семейное положение; • социальное положение; • имущественное положение; • образование; • профессия; • информация о доходах; • другая информация. Федеральный закон о персональных данных ФЗ №152 О персональных данных от 27.07.2006 определяет: • основные понятия, относящиеся к ПД; • принципы и условия обработки ПД; • права субъектов ПД; • обязанности операторов ПД; • права и обязанности уполномоченных органов; • срок вступления в силу требований ФЗ №152 (с 01.01.2010). На кого распространяется действие ФЗ №152? Действие ФЗ №152 распространяется на все организации и физические лица обрабатывающие персональные данные пользователей в автоматизированном или автоматическом режиме. Исключения: • обработка персональных данных для личных и семейных нужд; • обработка персональных данных в документах Архивного фонда РФ; • обработка персональных данных для включения их в Единый государственный реестр индивидуальных предпринимателей (ЕГРИП); • обработка персональных данных, отнесенных к государственной тайне. Кто такой «оператор ПД»? Оператор ПД - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Кто такой «оператор ПД»? Оператор ПД до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Россвязькомнадзор) о своем намерении осуществлять обработку персональных данных. Исключения: • при наличии трудовых отношений; • при заключении договора, стороной которого является субъект персональных данных; • если персональные данные относятся к членам (участникам) общественного объединения или религиозной организации и обрабатываются соответствующими общественным объединением или религиозной организацией; • если персональные данные являются общедоступными; • если персональные данные включают в себя только фамилии, имена и отчества субъектов; • при оформлении пропусков; • если персональные данные включены в информационные системы, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; • если персональные данные обрабатываются без использования средств автоматизации. С чего начать защиту ПД? 1. 2. 3. 4. 5. 6. 7. Установить перечень ПД, обрабатываемых на предприятии. Произвести классификацию автоматизированных систем, обрабатывающих ПД. Уведомить Россвязькомнадзор о намерении осуществлять обработку ПД. Получить комплект руководящих документов ФСТЭК в области защиты ПД. Получить необходимые лицензии ФСТЭК И ФСБ. Разработать и внедрить необходимые организационные и технические меры по защите ПД в соответствии с требованиями ФСТЭК И ФСБ. Провести аттестацию внедренных системы защиты ПД. Классификация ИСПД категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; категория 4 - обезличенные и (или) общедоступные персональные данные. Классификация ИСПД 1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; 2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных.данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; 3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации. Классификация ИСПД класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных; класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных. Комплект руководящих документов ФСТЭК 1.«Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 14 февраля 2008г. заместителем директора ФСТЭК России); 2. «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 15 февраля 2008г. заместителем директора ФСТЭК России); 3. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены 15 февраля 2008г. заместителем директора ФСТЭК России); 4. «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждены 15 февраля 2008 г. заместителем директора ФСТЭК России). Получение лицензий ФСТЭК и ФСБ Операторы ПД при проведении мероприятий по обеспечению безопасности при их обработке в ИСПДн 1 и 2 классов и распределенных ИС 3 класса должны получить лицензию ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации Аттестация системы защиты ПД К1 К2 Требуется обязательная сертификация (аттестация) по требованиям безопасности информации К3 К4 Сертификация не требуется Как снизить затраты на защиту ПД? 1. Не выполнять требования ФЗ №152. 2. Перейти на бумажный документооборот, отказаться от компьютеров. 3. Снизить класс информационной системы ПД. 4. Провести аудит безопасности информационной системы ПД сторонними специалистами. Дополнительные материалы 1. Официальный сайт ФСТЭК РФ: http://www.fstec.ru 2. Официальный сайт Россвязькомнадзора: http://www.rsoc.ru 3. Форум журнала Information Security: http://www.itsec.ru/forum.php 4. Блог http://www.tsarev.biz Спасибо!
