Презентация ЦИ "Обеспечение безопасности персональных

Обеспечение безопасности
персональных данных
Качалков Александр Михайлович
Начальник отдела обеспечения ИБ
ЕФ ФГУП «ЦентрИнформ»
О предприятии
Федеральное Государственное унитарное предприятие
«ЦентрИнформ»
Прежнее название ФГУП «НТЦ «Атлас».
История предприятия ведется с 1951 года.
За заслуги в создании новой техники в 1981 г. предприятие
награждено Орденом Трудового Красного Знамени.
На сегодняшний день ФГУП «ЦентрИнформ» это:




Головное предприятие в Санкт-Петербурге;
23 филиала по всей России от Калининграда до Владивостока;
Наличие всех необходимых лицензий ФСТЭК и ФСБ России;
Квалифицированные кадры и самое современное оборудование.
Направления деятельности охватывают все области
обеспечения безопасности.
1.Нормативная база.
1.Федеральный закон от 27 июля 2006г. №152ФЗ "О персональных данных".
2.Положение об особенностях обработки ПДн,
осуществляемой без использования средств
автоматизации (утв. постановлением
Правительства РФ от 15 сентября 2008г.
№687).
3.Требования к материальным носителям
биометрических ПДн и технологиям хранения
таких данных вне ИСПДн (утв. постановлением
Правительства РФ от 6 июля 2008г. №512).
4.Требования к защите ПДн при их обработке в
ИСПДн (утв. постановлением Правительства
РФ от 1 ноября 2012г. №1119).
1.Нормативная база (ФСБ).
5.Типовые требования по организации и
обеспечению функционирования
шифровальных (криптографических)
средств, предназначенных для защиты
информации, не содержащей сведений,
составляющих ГТ в случае их
использования для обеспечения
безопасности ПДн при их обработке в
ИСПДн (утв. ФСБ РФ 21 февраля
2008г. №149/6/6-622).
1.Нормативная база (ФСБ).
6.Состав и содержание
организационных и технических мер по
обеспечению безопасности ПДн при их
обработке в ИСПДн с использованием
СКЗИ, необходимых для выполнения
установленных Правительством РФ
требований к защите ПДн для каждого
из уровней защищенности (утв.
приказом ФСБ России от 10 июля
2014г. №378).
1.Нормативная база (ФСТЭК).
7.Базовая модель угроз безопасности
ПДн при их обработке в ИСПДн (утв.
ФСТЭК 15 февраля 2008г.).
8.Методика определения актуальных
угроз безопасности ПДн при их
обработке в ИСПДн (утв. ФСТЭК 14
февраля 2008г.).
9.Состав и содержание
организационных и технических мер по
обеспечению безопасности ПДн при их
обработке в ИСПДн (утв. приказом
ФСТЭК от 18 февраля 2013г. №21).
1.Сфера применения.
Регулирует отношения, связанные с обработкой
ПДн:
1.С использованием СВТ.
2.Или без использования СВТ, если такая
обработка соответствует по характеру действий
обработке с использованием СВТ: 1) есть
систематизированное собрание ПДн (например,
картотека); 2) разработан алгоритм поиска ПДн или
доступа к ПДн, которые зафиксированы на
материальном носителе систематизированного
собрания ПДн.
1.Сфера применения.
Действие №152-ФЗ не распространяется на
отношения, возникающие при организации
хранения, комплектования, учета и
использования содержащих ПДн архивных
документов в соответствии с законодательством
об архивном деле в РФ.
2.Состав работ.
1.Сбор сведений об обработке и защите ПДн
(категории субъектов ПДн, категории ПДн, цели
обработки ПДн, состав ТС, состав документов и
т.д.).
2.Подготовка:
2.1.Отчета по результатам обследования.
2.2.Моделей угроз безопасности ПДн.
2.3.Приказа о создании комиссии по защите ПДн.
2.4.Актов определения уровня защищенности
ПДн при их обработке в ИСПДн.
2.5.ЧТЗ на создание системы защиты ПДн.
2.Состав работ.
2.6.Пояснительной записки к техническому проекту
системы защиты ПДн.
2.7.Локальных актов по обработке и защите ПДн.
2.8.Рекомендаций по отправке уведомления в РКН
или внесению изменений в отправленное
уведомление.
2.9.Рекомендаций по доработке бланков
письменных согласий субъектов ПДн.
2.10.Рекомендаций по доработке типовых форм
бумажных документов, в которые включаются ПДн.
2.11.Рекомендаций по доработке договоров, если
поручается обработка ПДн (банки, ЧОП и т.д.).
2.Состав работ.
3.Поставка, установка, настройка СЗИ.
4.Ознакомление, обучение.
5.Аттестация ИСПДн.
6.Сопровождение системы защиты ПДн:
6.1.Ведение журналов учета.
6.2.Поддержание локальных актов по обработке и
защите ПДн в актуальном состоянии.
6.3.Периодический контроль выполнения
требований.
6.4.Изменение настроек СЗИ, обновление СЗИ,
восстановление работоспособности СЗИ.
3.Кто проверяет?
1.В соответствии с ч.1 ст.23 ФЗ Роскомнадзор
контролирует соответствие обработки ПДн
требованиям ФЗ (152-ФЗ, ТК, ПП 687, ПП 512).
2.В соответствии с ч.8 ст.19 ФЗ ФСБ России и
ФСТЭК России контролируют выполнение мер
защиты ПДн в государственных ИСПДн.
3.В других ИСПДн ФСБ России и ФСТЭК России
могут осуществлять контроль на основании
решения Правительства РФ.
3.Что такое ГИС? Ст. 13, 14 ФЗ
№149:
1. ГИС - ИС, созданные на основании ФЗ, законов
субъектов РФ или правовых актов гос. органов.
ГИС создаются в целях реализации полномочий
гос. органов, обеспечения обмена информацией
между гос. органами, в иных установленных ФЗ
целях.
2.Реестр федеральных
ГИС:http://www.rsoc.ru/it/register/
3.Общий порядок проверки РКН
1.РКН отправляет Оператору уведомление, копию
приказа;
2.РКН передает Оператору заверенную копию
приказа под подпись, перечень запрашиваемых
документов;
3.Оператор передает копии документов;
4.РКН анализирует документы, проводит
проверку на месте;
5.РКН готовит акт проверки;
3.Общий порядок проверки РКН
При наличии признаков нарушений:
6.Выдается предписание;
7.1.Должностные лица РКН составляют
протокол и направляют его в суд;
7.2.Или должностные лица РКН
направляют материалы в органы
прокуратуры;
3.Общий порядок проверки РКН
При направлении РКН материалов в органы
прокуратуры:
8.1.Возбуждается дело об административном
правонарушении.
8.2.Или принимается решение об отказе в
возбуждении административного производства
(например, в связи с истечением срока давности).
8.3.Или принимаются иные меры прокурорского
реагирования (направляются предостережения).
При направлении в суд:
9.Материалы рассматриваются в суде.
3.Основания для включения в План
1.Начало осуществления Оператором
деятельности по обработке ПДн.
2.Истечение 3-х лет со дня государственной
регистрации Оператора в качестве ЮЛ, ИП.
3.Истечение 3-х лет со дня окончания
проведения последней плановой проверки
Оператора.
3.Основания для внеплановой
проверки
1.Истечение срока исполнения ранее выданного
предписания об устранении нарушения.
2.Поступление в РКН заявлений, информации
от органов гос. власти и местного
самоуправления, из СМИ, в т.ч. о следующих
фактах:
2.1.Возникновение угрозы причинения вреда
жизни, здоровью граждан.
2.2.Причинение вреда жизни, здоровью граждан.
3.Основания для
внеплановой проверки
3.Приказ руководителя РКН или руководителя
территориального органа РКН, изданный в
соответствии с поручениями Президента РФ,
Правительства РФ.
4.Требование прокурора о проведении
внеплановой проверки в рамках надзора за
исполнением законов по поступившим в органы
прокуратуры материалам и обращениям.
3.Уведомление о проверке
1.О проведении плановой проверки Оператор
уведомляется не позднее чем в течение 3-х рабочих
дней до её начала посредством направления копии
приказа любым доступным способом.
2.О проведении внеплановой проверки Оператор
уведомляется не менее чем за 24-е четыре часа до её
начала любым доступным способом.
3.Если в результате деятельности Оператора причинен
или причиняется вред жизни, здоровью граждан,
предварительное уведомление о начале проведения
внеплановой проверки не требуется.
4.Ответственность: ст.13.11
КоАП РФ.
Нарушение установленного законом порядка сбора,
хранения, использования или распространения
информации о гражданах (ПДн).
Влечет:
-предупреждение или наложение
административного штрафа на граждан в размере
от 300 до 500 рублей;
-на должностных лиц - от 500 до 1 000 рублей;
-на юридических лиц - от 5 000 до 10 000 рублей.
4.Ответственность: ст.19.7
КоАП РФ.
Непредставление или несвоевременное
представление в государственный орган сведений,
представление которых предусмотрено законом и
необходимо для осуществления этим органом его
законной деятельности, а равно представление в
государственный орган таких сведений в неполном
объеме или в искаженном виде.
Влечет:
-предупреждение или наложение административного
штрафа на граждан в размере от 100 до 300 рублей;
-на должностных лиц - от 300 до 500 рублей;
-на юридических лиц - от 3 000 до 5 000 рублей.
Проект Федерального закона «О
внесении изменений в Кодекс
Российской Федерации об
административных
правонарушениях».
Прошел публичное обсуждение:
http://regulation.gov.ru/project/10560.ht
ml?point=view_project&stage=2&stage
_id=6890
4.Нарушения, за которые
предусмотрена ответственность.
1.Несоответствие требованиям содержания
письменного согласия субъекта ПДн.
2.Отсутствие основания для обработки ПДн
(согласия и т.д.).
3.Отсутствие основания для обработки
специальных категорий ПДн (письменного
согласия и т.д.).
4.Отсутствие опубликованной политики в
отношении обработки ПДн.
5.Непредоставление субъекту ПДн
информации, касающейся обработки его ПДн.
4.Нарушения, за которые
предусмотрена ответственность.
6.Невыполнение требований по защите
ПДн, если это повлекло неправомерный
или случайный доступ к ПДн:
6.1. При обработке ПДн без использования
средств автоматизации.
6.2. При обработке ПДн с использованием
средств автоматизации.
6.3. При обработке ПДн с использованием
средств автоматизации в ГИС, МИС.
Спасибо за внимание !
ФГУП «ЦентрИнформ»
Телефон:
295-18-95
Сайт:
Почта:
ci66.ru
[email protected]