Защита персональных данных
Информационное письмо о внесении изменений об операторе в реестре операторов, осуществляющих обработку персональных данных
Шаблон информационного письма о внесении изменений об операторе в реестре операторов, осуществляющих обработку персональных данных.
Образец заполнения уведомления об обработке (о намерении осуществлять обработку) персональных данных
Образец заполнения уведомления об обработке (о намерении осуществлять обработку) персональных данных
Скачать Образец заполнения уведомления об обработке персональных данных.doc
Рекомендации по заполнению уведомления об обработке (о намерении осуществлять обработку) персональных данных
Рекомендации по заполнению уведомления об обработке (о намерении осуществлять обработку) персональных данных.
Изменения, вызванные принятием Постановления Правительства РФ от 1 ноября 2012 г. N 1119 " Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
Что нового?
- Признается утратившим силу постановление правительства от 17 ноября 2007 г. № 781;
- Дано понятие безопасности персональных данных;
- Определено, что выбор средств защиты для систем защиты ПДн осуществляются оператором в соответствии с НПА, принятыми ФСБ и ФСТЭК.
- Дана новая классификация (5 типов ИСПДн);
- Введены 3 типа угроз безопасности персональных данных;
- Введены 4 уровня защищенности персональных данных;
- Установлены требования по обеспечению каждого уровня защищенности.
Последовательность действий при организации защиты ИСПДн
На основании принятых во исполнение положений Федерального закона № 152-ФЗ «О персональных данных», нормативно-правовых актов и методических документов операторы, эксплуатирующие ИСПДн, обязаны выполнить следующую последовательность действий для приведения ИСПДн в соответствие требованиям законодательства Российской Федерации
Правила рассмотрения запросов субъектов персональных данных или их представителей
Настоящими Правилами рассмотрения запросов субъектов персональных данных или их представителей определяются порядок учета (регистрации), рассмотрения запросов субъектов персональных данных или их представителей (далее – запросы).
Настоящие Правила разработаны в соответствии Федеральным законом от 27 июля 2006 г. № 152 ФЗ «О персональных данных» (далее – Федеральный закон), Федеральным законом от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» (в редакции от 29.06.2010 N 126-ФЗ, от 27.07.2010 N 227-ФЗ), Федеральным законом от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации», Трудовым кодексом Российской Федерации, Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
Подготовка перечня обрабатываемых персональных данных
Перечень персональных данных, подлежащих защите - подробный, четко структурированный документ, содержащий информацию обо всех категориях и видах ПДн, обрабатываемых оператором с применением средств автоматизации или без таковых, как являющихся собственностью оператора, так и передаваемые (предоставляемые) в распоряжение (пользование) другими операторами.
Классификация информационных систем персональных данных
Классификация ИСПДн осуществляется непосредственно оператором на основании следующих руководящих и методических документов, подлежащих исполнению при проведении работ:
- приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных";
- методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ России, 21 февраля 2008 г., № 149/5-144.
Классификация ИСПДн проводится на этапе создания ИСПДн или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых ИСПДн) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности ПДн.
Регистрация в качестве оператора персональных данных
Оператор до начала обработки ПДн обязан направить уведомление в уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн, что является заявкой на получение статуса оператора ПДн. Образец уведомления с разъяснениями.
Операторы, которые осуществляли обработку ПДн до дня вступления в силу Федерального закона № 152-ФЗ «О персональных данных» и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов ПДн уведомление.
Получение согласия субъекта персональных данных
Основной целью Федерального закона № 152-ФЗ является обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн, поэтому в нем четко определены права субъектов ПДн и соответствующие обязанности оператора.
Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях...
Разработка модели угроз безопасности персональных данных
Модель УБПДн при их обработке в ИСПДн определяет перечень актуальных УБПДн, позволяет выявить маловероятные УБПДн, что дает возможность существенно снизить затраты на реализацию механизмов защиты ПДн на дальнейших этапах работ и разрабатывается в соответствии с методическими документами ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» и в случае, когда для обеспечения безопасности ПДн используются СКЗИ, ФСБ России «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».
Методы и способы защиты персональных данных в информационных системах персональных данных
Согласно «Положению об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденному постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781, п. 2:
«Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии».
Выбор и реализация методов и способов защиты информации в ИСПДн осуществляются на основе определяемых оператором УБПДн (модели угроз) и в зависимости от класса ИСПДн.
Выбранные и реализованные методы и способы защиты информации в ИСПДн должны обеспечивать нейтрализацию предполагаемых УБПДн при их обработке в ИСПДн в составе создаваемой оператором СЗПДн.
Учет средств защиты информации
Регламент учета СЗИ, эксплуатационной и технической документации к ним, электронных носителей персональных данных устанавливает:
- порядок учета, ввода в эксплуатацию и изъятия из употребления средств, используемых для обеспечения безопасности ПДн при их обработке в ИСПДн;
- порядок учета и хранения электронных носителей информации, содержащих ПДн.