Защита персональных данных

Защита персональных данных

Лавренко Михаил Иванович,главный специалист отдела информатизации и новых технологий

министерства образования и науки Хабаровского края

Ст. 29 Конституции РФКаждый имеет право свободно искать, получать, передавать и распространять информацию любым законным способом

Однако, различными нормативно-правовыми актами определены виды информации ограниченного доступа - тайна и конфиндециальная информация(к лицу, владеющему такой информацией, предъявляются требования не передавать такую информацию третьим лицам без согласия ее обладателя)

Виды информации ограниченного доступа в соответствии с Российским законодательством

Виды тайны: коммерческая, банковская, служебная, врачебная, тайна усыновления…

Государственная тайна

ФЗ 5485-1 «О государственной тайне», Указ Президента РФ от 30.11.1995 № 1203 «Об утверждении перечня сведений, отнесенных к государственной тайне»

Конфиденциальная информация

Указ Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера» и др. нормативно-правовые акты.В зависимости от нормативного акта может включать в себя государственную тайну, противопоставляться ей, быть самостоятельным видом тайны (наряду, например, с банковской или коммерческой тайной), а также вообще не считаться охраняемой законом

Персональные данные

Указ Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера»152-ФЗ «О персональных данных»

Нормативные правовые акты, устанавливающие требования по защите персональных данных

• Конституция Российской Федерации (ст. 23, 24)

• Федеральные законы– Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации

Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»

– Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

– Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»

– Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ (Глава 14 «Защита персональных данных работника»)

Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»

Статья 2. Цель настоящего Федерального закона Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Развитие законодательства о персональных данных, изменения, внесенные Федеральным законом от 25.07.2011 N 261-ФЗ


Статья 3. Основные понятия 1) Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

2) Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными


Статья 3. Основные понятия 3) Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

4) Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники


Статья 3. Основные понятия 5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных


Статья 3. Основные понятия 10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.


Статья 6. Условия обработки персональных данных Обработка персональных данных допускается в следующих случаях:1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем


Статья 6. Условия обработки персональных данных Обработка персональных данных допускается в следующих случаях:

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом


Статья 7. Конфиденциальность персональных данных Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. (+ определяются требования к письменной форме согласия)


Статья 10. Специальные категории персональных данных 1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.


Статья 10. Специальные категории персональных данных 2. Обработка специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных2) персональные данные сделаны общедоступными субъектом персональных данных2.3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях



3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну



7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан


Статья 14. Право субъекта персональных данных на доступ к его персональным данным 1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи...Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.


Статья 14. Право субъекта персональных данных на доступ к его персональным данным 7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:1) подтверждение факта обработки персональных данных оператором2) правовые основания и цели обработки персональных данных3) цели и применяемые оператором способы обработки персональных данных4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом


Статья 14. Право субъекта персональных данных на доступ к его персональным данным 7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:6) сроки обработки персональных данных, в том числе сроки их хранения7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом8) информацию об осуществленной или о предполагаемой трансграничной передаче данных9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами


Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом 1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом...

К таким мерам могут, в частности, относиться:


Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом 1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных…3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных


Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом 4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников

Постановление Правительства Российской Федерацииот 21 марта 2012 г. № 211«Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»


Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных

Нормативные правовые акты, устанавливающие требования по защите персональных данных

• Постановления Правительства Российской Федерации– Постановление Правительства Российской Федерации от

17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

– Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

Постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности

персональных данных при их обработке в информационных системах персональных данных»

Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом

Постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности

персональных данных при их обработке в информационных системах персональных данных»

Информационные системы классифицируются в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства

(Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»)


Статья 19. Меры по обеспечению безопасности персональных данных при их обработке Обеспечение безопасности персональных данных достигается, в частности:

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных



5) учетом машинных носителей персональных данных6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним



8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных


Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 4. Состав и содержание необходимых для выполнения установленных требований к защите персональных данных, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.(Приказ ФСТЭК России от 05.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»)


Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.


Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

Реестр операторов персональных данных на сайте Федеральной службы по надзору в сфере связи,

информационных технологий и массовых коммуникаций (Роскомнадзор)

www.rsoc.ru Статья 22. Уведомление об обработке персональных данных 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных


Статья 22. Уведомление об обработке персональных данных Уведомление должно содержать следующие сведения:1) наименование (фамилия, имя, отчество), адрес оператора;2) цель обработки персональных данных;3) категории персональных данных;4) категории субъектов, персональные данные которых обрабатываются;5) правовое основание обработки персональных данных;6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;


Статья 22. Уведомление об обработке персональных данных Уведомление должно содержать следующие сведения:7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;8) дата начала обработки персональных данных;9) срок или условие прекращения обработки персональных данных;10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.


Статья 22. Уведомление об обработке персональных данных 7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Статья 25. Заключительные положения 2.1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.

Приказ ФСТЭК России от 05.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в информационных

системах персональных данных»

Приложениек Положению

о методах и способах защитыинформации в информационныхсистемах персональных данных

МЕТОДЫ И СПОСОБЫ ЗАЩИТЫ ИНФОРМАЦИИОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В ЗАВИСИМОСТИ ОТ КЛАССА

ИНФОРМАЦИОННОЙ СИСТЕМЫ

Информационное письмо министерства образования и науки от 02.11.2009 № 04.4-11-7513 «Об обеспечении защиты

персональных данных»

Перечень специализированных организаций, имеющих лицензию на проведение работ в области защиты информации 1.ООО «Дальневосточный Специализированный Центр Безопасности Информации «МАСКОМ»

2.ЗАО «ЛАНИТ-ПАРТНЕР»

3.Хабаровский научно-технический центр — филиал ФГУП «НПП «Гамма»

4.ООО ДРСЦ «КомпьюЛинк»

5.Дальневосточный учебно-научный центр по информационной безопасности ФГБОУ ВПО «ДВГУПС»

2.3. Для информационных систем 3 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации:

а) управление доступом:

идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длинной не менее шести буквенно-цифровых символов;

б) регистрация и учет:

регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа;

учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме);

в) обеспечение целостности:

обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по контрольным суммам компонентов средств защиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;

физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации;

периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;

наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности.

2.4. Безопасное межсетевое взаимодействие для информационных систем 3 класса при их подключении к сетям международного информационного обмена, а также для распределенных информационных систем 3 класса при их разделении на подсистемы достигается путем применения средств межсетевого экранирования (межсетевых экранов), которые обеспечивают:

фильтрацию на сетевом уровне для каждого сетевого пакета независимо (решение о фильтрации принимается на основе сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов);

идентификацию и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ по идентификатору (коду) и паролю условно-постоянного действия;

регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана);

контроль целостности своей программной и информационной части;фильтрацию пакетов служебных протоколов, служащих для диагностики и управления

работой сетевых устройств;восстановление свойств межсетевого экрана после сбоев и отказов оборудования;регламентное тестирование реализации правил фильтрации, процесса идентификации и

аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления.

Межсетевые экраны, которые обеспечивают выполнение указанных выше функций, применяются в распределенных информационных системах 2 и 1 классов при их разделении на отдельные части.

При разделении информационной системы при помощи межсетевых экранов на отдельные части системы для указанных частей системы может устанавливаться более низкий класс, чем для информационной системы в целом.

Виды средств защиты информации

• СЗИ от НСД (Secret Net, Аккорд, Dallas Lock и т. п., в т. ч. MS Windows), платы аппаратной поддержки, средства обеспечения доверенной загрузки («электронные замки»)

• Межсетевые экраны (аппаратные файрволы, криптошлюзы, программные файрволы (Trust Access, VipNet Office Firewall, VipNet Personal Firewall и т. п.)

• Средства обнаружения вторжений• Средства анализа защищенности• Комплексные решения (Security Studio Endpoint

Protection)

Варианты развертывания распределенного межсетевого экрана Trust Access



Documents

Защита персональных данных