Embed Size (px)
DESCRIPTION
Обеспечение защиты персональных данных в условиях изменения действующего законодательства. Баймакова Ирина Александровна, эксперт. История вопроса. 1981 год - Конвенция «О защите физических лиц при автоматизированной обработке персональных данных»; - PowerPoint PPT Presentation
Citation preview
НОВЫЕ ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В ОБРАЗОВАНИИ
Двенадцатая международная научно-практическая конференция
31 января - 1 февраля 2012 г.
Формирование новой информационной среды
образовательного учреждения с использованием технологий
"1С"
Баймакова Ирина Александровна, эксперт
Обеспечение защиты персональных данных в условиях изменения
действующего законодательства
2
История вопроса
1981 год - Конвенция «О защите физических лиц при автоматизированной обработке персональных данных»;
2006 год – Федеральный закон «О персональных данных» № 152-ФЗ;
2007 год – создание Управления по защите прав субъектов персональных данных;
2008 год – издание подзаконных и нормативных правовых актов
2011 год – существенное изменение Федерального закона «О персональных данных»
3
Изменения законодательства
Федеральным законом от 25.07.2011 № 261-ФЗ были внесены изменения в Федеральный закон«О персональных данных»
Изменения затронули:
Применяемую терминологию;
Порядок получения согласия субъектов ПДн и случаи обработки ПДн без согласия;
Требования к уведомлению;
Требования к оператору персональных данных при передаче информации для обработки третьим лицам;
Введение уровней защищенностей.
4
Терминология (ст. 3 Федерального закона 152-ФЗ)
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);
автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники;
распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц;
предоставление ПДн - действия, направленные на раскрытие Пдн определенному лицу или определенному кругу лиц;
обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;
5
Принципы и условия обработки ПДн(ст. 5 и 6 Фед. закона № 152-ФЗ)
Основополагающие принципах и условиях обработки ПДн, в том числе:
обработка ПДн должна осуществляться на законной и справедливой основе;
обработка ПДн должна быть ограничена достижением конкретных целей;
обрабатываемые ПДн не должны быть избыточными по отношению к целям их обработки;
оператор должен принимать меры, либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
6
Нормативно-правовое регулирование
Федеральный закон № 152-ФЗ
до 261-ФЗ
Пунктом 2 статьи 19 закона предусмотрено, что Правительство РФ устанавливает требования к обеспечению безопасности Пдн при их обработке в ИСПДн, требования к материальным носителям биометрических Пдн и технологиям хранения таких данных вне ИСПДн.
В Постановлении Правительства № 781 от 17.11.2007 года предусмотрено (п.6), что Порядок проведения классификации информационных систем устанавливается совместно ФСТЭК России, ФСБ РФ и Министерством информационных технологий и связи РФ.
Приказ ФСТЭК РФ, ФСБ РФ и Министерства информационных технологий и связи РФ от 13.02.2008 № 55/86/20
Приказ ФСТЭК России от 05.02.2010 № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» (пришел на смену Основным мероприятиям …)
7
Нормативно-правовое регулирование
Федеральный закон № 152-ФЗ
с учетом 261-ФЗ
Правительство РФ с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн, актуальности угроз безопасности ПДн устанавливает:
- уровни защищенности ПДн при их обработке в ИСПДн в зависимости от угроз безопасности этих данных;
- требования к защите Пдн при их обработке в ИСПДн, исполнение которых обеспечивает установленные уровни защищенности ПДн;
- требования к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн.
8
Состав и перечень мер по защите ПДн(ст. 18.1 Фед. закона № 152-ФЗ)
Определен состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательствомо защите ПДн. К таким мерам могут относиться:
назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки ПДн;
издание документов, определяющих политику оператора в отношении обработки ПДн;
применение правовых, организационных и технических мер по обеспечению безопасности ПДн;
осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн установленному порядку;
оценка вреда, который может быть причинен субъектам ПДн; ознакомление работников оператора с организацией работы с ПДн.
9
Обязанности оператора ПДн(п. 2 ст. 19 Фед. Закона № 152-ФЗ)
Требование Реализация
1. Определение угроз безопасности ПДн при их обработке в ИСПДн
Модель угроз (документ)
2. Применение организационных и техни-ческих мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходи-мых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн
?
Уровни защищенности ПДн должны быть установлены Правительством РФ
3. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации
Перечень сертифицированных СЗИ приведен на сайте ФСТЭК России (ЗПК «1С:Предприятие 8.2z»)
4. Оценка эффективности принимаемых мер по обеспечению безопасности ПДн ?
10
Обязанности оператора ПДн (п. 2 ст. 19 Фед. закона № 152-ФЗ)
Требование Реализация
5. Учет машинных носителей ПДнОрганизационные меры
(журнал учета)
6. Обнаружение фактов несанкционированного доступа к ПДн и принятие мер
Технические меры (ПО фирмы 1С)
7. Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним
Организационно-технические меры (деятельность системного администратора и ПО фирмы 1С)
8. Установление правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн
Организационно-технические меры (регламентация правил доступа внутри компании + настройка ПО фирмы 1С)
9. Контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн
Организационные меры (назначение ответственного и
периодический контроль)
11
Обязанности оператора ПДн
Среди обязательных мероприятий, которые должны быть проведены всеми операторами ПДн, необходимо выделить:
получение согласия физических лиц на обработку персональных данных;
направление уведомления в Роскомнадзор для включения в реестр операторов персональных данных;
назначение ответственного за организацию обработки персональных данных;
разработка положения об обработке и защите персональных данных.
12
Деятельность «1С» по обеспечению требований законодательства о ПДн
Сертификация средств защиты информации;
Доработка конфигураций;
Разработка подсистемы «Защита персональных данных»
Методическая поддержка партнеров и пользователей
13
Сертификация ПО фирмы «1С»
Что учтено в решениях фирмы «1С» на платформе 8.2 (с учетом требований,предусмотренных Приказом ФСТЭК России № 58)
Управление доступом – предусмотрена возможность настройки доступа с паролем состоящим из любого количества символов (возможности платформы дают возможность вводить запрет на простые пароли, а также возможность указания пароля на нескольких регистрах)
Регистрация и учет:
регистрации событий аутентификации и отказа в аутентификации;
регистрация событий доступа и отказа в доступе к конкретным персональным данным;
получение сведений о зарегистрированных событиях;
регистрация изменений прав пользователя.
Обеспечение целостности – предусмотрена проверка информационной базы на физическую целостность с использованием ПП ФИКС 2.0
14
Доработки технологической платформы
Начиная с версии 8.2.10 в платформе «1С:Предприятие 8.2» дополнительно реализовано:
Регистрация аутентификации и отказа в аутентификации (реализовано в версии 8.2.9);
Регистрация изменений прав пользователей позволяет определить когда какие роли назначались пользователю;
Регистрация фактов отказа в доступе Регистрируются все факты отказа в доступе пользователю. Например, для
поиска массовых попыток обращения к недоступным для пользователя ресурсам Регистрация доступа к защищаемым ресурсам:
- Разработчик включает регистрацию для доступа к определенным полям по определенным объектам метаданных;
- Разработчик описывает какую ключевую информацию необходимо включать в события журнала регистрации для поиска событий;
- Система реализует отражение всех фактов доступа к указанной информации;
- Система предоставляет возможность отбора зарегистрированных событий по метаданным и данным.
15
Условия продажи и применения ЗПК
Защищенный программный комплекс «1С:Предприятие, версия 8.2z»: прошел регистрацию в 2010 году; сертификат ФСТЭК РФ № 2137; может применяться в ИСПДн до класса К1
Порядок продажи ЗПК определен в инфописьме № 12891 от 29.12.2010; Существует два варианта ЗПК:
4601546081315 ЗПК «1С:Предприятие 8.2z» (x86-32) – 10 000 руб.; 4601546081322 ЗПК «1С:Предприятие 8.2z» (x86-64) – 30 000 руб.
ЗПК может применяться с любыми конфигурациями,разработанными на 8.2;
1 экз. ЗПК может устанавливаться на несколько рабочих мест/серверов;
Осуществляется регулярное ежеквартальное обновление вновь выходящих релизов (последним сертифицирован релиз – 8.2.14.533);
Бесплатное получение обновлений в течение года после приобретения.
Вопросы по применению ЗПК можно направлять по адресу – [email protected]
16
Зарплатные конфигурации
В «1С:Зарплата и управление персоналом» и «1С:Зарплата и кадры бюджетного учреждения» реализовано :
настройка режима защиты персональных данных по областям (личные данные, данных о доходах, данные о профессии и образовании, данные об имуществе);
просмотр сведений о зарегистрированных событиях аутентификации и отказа в аутентификации, доступа и отказе в доступе;
уничтожение персональных данных по запросу субъекта;
автоматическое уничтожение персональных данных кандидата по истечении срока предоставления персональных данных.
17
Автоматическое уничтожение ПДн
Данные, предоставленные на определенный срок, будут уничтожены автоматически по истечении этого срока
Автоматическое уничтожение включается в форме
«Настройки программы»
Срок обработки указывается в анкете кандидата
в месяцах
18
Обработка персональных данных
В типовую анкету (анкета резюме кандидата) может быть дополнительно введено два вопроса:
• «Разрешить обработку персональных данных»
• «Срок предоставления персональных данных, мес.»
Программа позволяет осуществить настройку «обязательности ответа» на данные вопросы.
19
Обработка персональных данных
При вводе сведений о кандидате следует в явном виде указать согласие на обработку персональных данных, в противном случае документ не будет записан
20
Подсистема «Защита персональных данных»
Обработка «Согласие на обработку персональных данных»
Команда и форма ввода данных для печати
Роль «Подготовка согласия на обработку персональных данных»
21
Методическая поддержка
Раздел на сайте Buh.ru
Обучающий курс на базе Учебного центра № 1
22
Методическая поддержка
Вопросы защиты персональных данных рассматриваются:
в методическом пособии, разработанном специалистами 1С, "Обеспечение защиты персональных данных" (3-я редакция);
в мультимедийном курсе «1С:Электронное обучение. Обеспечение защиты персональных данных».
Вопросы, предложения – [email protected]
Двенадцатая международная научно-практическая конференция
НОВЫЕ ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В ОБРАЗОВАНИИ
31 января - 1 февраля 2012 г.
Спасибо за внимание!
Баймакова Ирина Александровна, эксперт
