Юридическая консультация онлайн
Главная» Как защитить информацию»Защита персональных данных

Защита персональных данных

Информационное письмо о внесении изменений об операторе в реестре операторов, осуществляющих обработку персональных данных

Защита персональных данных

Шаблон информационного письма о внесении изменений об операторе в реестре    операторов, осуществляющих обработку персональных данных.

Скачать Информационное письмо... в формате .doc

Рекомендации по заполнению уведомления об обработке (о намерении осуществлять обработку) персональных данных

Защита персональных данных

Рекомендации по заполнению уведомления об обработке (о намерении осуществлять обработку) персональных данных.

Изменения, вызванные принятием Постановления Правительства РФ от 1 ноября 2012 г. N 1119 " Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Защита персональных данных

Что нового?

  • Признается утратившим силу постановление правительства от 17 ноября 2007 г. № 781;
  • Дано понятие безопасности персональных данных;
  • Определено, что выбор средств  защиты для систем защиты ПДн осуществляются оператором в соответствии с  НПА, принятыми ФСБ и ФСТЭК.
  • Дана новая классификация (5 типов ИСПДн);
  • Введены 3 типа угроз  безопасности персональных данных;
  • Введены 4 уровня защищенности персональных данных;
  • Установлены требования по обеспечению каждого уровня защищенности.

Последовательность действий при организации защиты ИСПДн

Защита персональных данных

На основании принятых во исполнение положений Федерального закона № 152-ФЗ «О персональных данных», нормативно-правовых актов и методических документов операторы, эксплуатирующие ИСПДн, обязаны выполнить следующую последовательность действий для приведения ИСПДн в соответствие требованиям законодательства Российской Федерации

Правила рассмотрения запросов субъектов персональных данных или их представителей

Защита персональных данных

Настоящими  Правилами  рассмотрения запросов субъектов персональных данных или их представителей определяются порядок учета (регистрации), рассмотрения запросов субъектов персональных данных или их представителей (далее – запросы).

Настоящие Правила разработаны в соответствии Федеральным законом от 27 июля 2006 г. № 152 ФЗ «О персональных данных» (далее – Федеральный закон), Федеральным законом от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» (в редакции от 29.06.2010 N 126-ФЗ, от 27.07.2010 N 227-ФЗ), Федеральным законом от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации», Трудовым кодексом Российской Федерации, Постановлением Правительства Российской Федерации от 15 сентября  2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.

Подготовка перечня обрабатываемых персональных данных

Защита персональных данных

Перечень персональных данных, подлежащих защите - подробный, четко структурированный документ, содержащий информацию обо всех категориях и видах ПДн, обрабатываемых оператором с применением средств автоматизации или без таковых, как являющихся собственностью оператора, так и передаваемые (предоставляемые) в распоряжение (поль­зование) другими операторами.

Классификация информационных систем персональных данных

Защита персональных данных

Классификация ИСПДн осуществляется непосредственно операто­ром на основании следующих руководящих и методических документов, подлежащих исполнению при проведении работ:

Классификация ИСПДн проводится на этапе создания ИСПДн или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) мо­дернизируемых ИСПДн) с целью установления методов и способов защи­ты информации, необходимых для обеспечения безопасности ПДн.

Регистрация в качестве оператора персональных данных

Защита персональных данных

Оператор до начала обработки ПДн обязан направить уведомление в уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн, что является заявкой на получение статуса оператора ПДн. Образец уведомления с разъяснениями.

Операторы, которые осуществляли обработку ПДн до дня вступления в силу Федерального закона № 152-ФЗ «О персональных данных» и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов ПДн уведомление.

Получение согласия субъекта персональных данных

Защита персональных данных

Основной целью Федерального закона № 152-ФЗ является обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн, поэтому в нем четко определены права субъектов ПДн и соответствующие обязанности оператора.

Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях...

Разработка модели угроз безопасности персональных данных

Защита персональных данных

Модель УБПДн при их обработке в ИСПДн определяет перечень актуальных УБПДн, позволяет выявить маловероятные УБПДн, что дает возможность существенно снизить затраты на реализацию механизмов за­щиты ПДн на дальнейших этапах работ и разрабатывается в соответствии с методическими документами ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информацион­ных системах персональных данных» и в случае, когда для обеспечения безопасности ПДн используются СКЗИ, ФСБ России «Методические ре­комендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».

Методы и способы защиты персональных данных в информационных системах персональных данных

Защита персональных данных

Согласно «Положению об обеспечении безопасности персональных данных при их обработке в информационных системах персональных дан­ных», утвержденному постановлением Правительства Российской Федера­ции от 17 ноября 2007 г. № 781, п. 2:

«Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки ин­формации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также ис­пользуемые в информационной системе информационные технологии».

Выбор и реализация методов и способов защиты информации в ИСПДн осуществляются на основе определяемых оператором УБПДн (модели угроз) и в зависимости от класса ИСПДн.

Выбранные и реализованные методы и способы защиты информации в ИСПДн должны обеспечивать нейтрализацию предполагаемых УБПДн при их обработке в ИСПДн в составе создаваемой оператором СЗПДн.

Учет средств защиты информации

Защита персональных данных

Регламент учета СЗИ, эксплуатационной и технической документа­ции к ним, электронных носителей персональных данных устанавливает:

  • порядок учета, ввода в эксплуатацию и изъятия из употребле­ния средств, используемых для обеспечения безопасности ПДн при их об­работке в ИСПДн;
  • порядок учета и хранения электронных носителей информа­ции, содержащих ПДн.
1
2