4.2.1. Л ИБ512 Организация ПДн. Филиалы СанктПетербург, Казань, Уфа, Челябинск

Название	Филиалы СанктПетербург, Казань, Уфа, Челябинск
Дата	15.03.2023
Размер	2.62 Mb.
Формат файла
Имя файла	4.2.1. Л ИБ512 Организация ПДн.pdf
Тип	Лекция #993090

Ежегодные награды
Microsoft,
Huawei, Cisco и другие
Входит в ГК Аплана
Основана в 1995 г.
Филиалы:
Санкт-Петербург, Казань, Уфа, Челябинск,
Хабаровск, Красноярск, Тюмень, Нижний
Новгород, Краснодар, Волгоград, Ростов-на-Дону
Головной офис в Москве
Разработка программного обеспечения и информационных систем
Крупные заказчики
100+
cотрудников
Ресурсы более 400 высококлассных экспертов и преподавателей
Сеть региональных учебных центров по всей России
Направления обучения:
Информационные технологии
Информационная безопасность
ИТ-менеджмент и управление проектами
Разработка и тестирование ПО
Гос. и муниципальное управление
Программы по импортозамещению
E-learning и очное обучение
1

academyit.ru
Модуль 4
Комплексная
защита объектов
информатизации

Тема 4.2.
Обеспечение безопасности
персональных данных,
обрабатываемых в
информационных системах
(ИСПДн)
3

Лекция 4.2.1. Общий порядок организации
обработки персональных данных
4

5
Статистика: Цели обработки ПДн

6
Статистика:
Основание обработки ПДн

Статистика: Категории субъектов ПДн
7

Статистика: Категории Дн
8

Меры, направленные на обеспечение выполнения
оператором обязанностей ФЗ №152 –
ст. 18.1
Свобода усмотрения оператора
ПДн:
Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ № 152 и принятыми в соответствии с ним нормативными правовыми актами
Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей – если иное не предусмотрено федеральным законом.
9

Организация обеспечения безопасности ПДн
10
Организация
обеспечения
безопасности
ПДн
- формирование и
реализация совокупности согласованных по цели, задачам, месту и времени организационных и
технических мероприятий,
направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДн.

Риск-ориентированный подход при выборе
мер оператором
Риск- ориентированный подход - стоимость защиты информации должна определяться соображениями
разумной достаточности и не должна превышать размера возможного ущерба от нарушения безопасности такой информации.
Оцениваются такие параметры:
• Экономические показатели
• Тяжесть возможных негативных последствий
• Вероятность наступления негативных последствий
11

Меры для обеспечения выполнения
обязанностей оператора
Правительство РФ устанавливает перечень мер
, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами,
операторами,
являющимися государственными или муниципальными органами
Оператор
обязан
представить документы и локальные акты, и (или) иным образом подтвердить принятие соответствующих мер
, по запросу Роскомнадзора.
152-ФЗ от 25 июля 2006
12

Перечень мер для государственным и муниципальных
органов
Постановление правительства РФ
№ 211 от 21.03.2012
назначить ответственного за организацию обработки ПДн разработать и утвердить необходимые документы (локальные нормативные акты)
принять правовые, организационные и технические меры по обеспечению безопасности персональных данных в ИСПДн выполнить требования об особенностях обработки ПДн без использования средств автоматизации (Постановление Правительства РФ от № 687 от 15.09.2008)
организовать проведение периодических проверок условий обработки ПДн знакомить служащих, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о персональных данных уведомить Роскомнадзор об обработке (намерении осуществлять обработку) ПДн осуществить обезличивание персональных данных (в ряде случаев…….)
опубликовать документы, определяющие политику в отношении обработки персональных данных на официальном сайте
13

Меры по обеспечению безопасности ПДн
при их обработке
Правовые меры
Организационные меры
Технические меры
Оператор при обработке персональных данных обязан принимать необходимые меры или обеспечивать их принятие для защиты персональных данных от:
• неправомерного или случайного доступа к ним,
• уничтожения,
• изменения,
• блокирования,
• копирования,
• предоставления,
• распространения персональных данных,
• а также от иных неправомерных действий в отношении персональных данных
Ч. 1 ст. 19 ФЗ № 152 14

Конвенции и иные международные договора
Законы
Постановления правительства
Приказы и иные документы
The General Data Protection
Regulation (GDPR)
152-ФЗ от 27.07.2006
Роскомнадзор
№ 274 от 15.03.2013
НПА ФСТЭК
НПА ФСБ
№ 211 от
21.03.2012
№ 940 от
18.09.2012
Структура законодательства РФ по персональным данным
Роскомнадзор
№ 996 от 05.09.2013
№ 772 от
30.06.2018
№ 857 от
19.08.2015
№ 146 от
13.02.2019
Конвенция Совета Европы 1981 г. N 108
№ 1119 от
01.11.2012
№ 687 от
15.09.2008
Указы Президента
Указ Президента РФ от 06.03.1997 N 188
№ 512 от
06.07.2008
Основные нормативные правовые акты в
сфере персональных данных
15

Перечень рекомендованных мер по обеспечению
безопасности ПДн
1) определение угроз безопасности ПДн при их обработке в ИСПДн;
2) применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные
Правительством РФ уровни защищенности персональных данных;
3) применение прошедших в установленном порядке процедуру оценки
соответствия средств защиты информации;
4) оценка эффективности принимаемых мер по обеспечению безопасности
ПДн до ввода в эксплуатацию ИСПДн;
5) учет машинных носителей ПДн;
6) обнаружение фактов несанкционированного доступа к ПДн и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
7) восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
9) контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
Ч. 2 ст. 19 ФЗ № 152 16

Примерный чек-лист документов оператора

Локальные акты оператора, регламентирующих порядок и условия обработки персональных данных.

Уведомление об обработке персональных данных.

Письменное согласие субъекта ПДн на обработку его ПДн.

Документы, подтверждающие соблюдение требований законодательства
РФ
при обработке специальных категорий и
биометрических персональных данных.

Документы, подтверждающие уничтожение оператором персональных данных субъектов персональных данных по достижении цели обработки.

Документы, необходимые для проверки фактов, содержащих признаки нарушения законодательства РФ в области ПДн, изложенные в обращениях граждан и информации, поступившей в Роскомнадзор или его территориальный орган.

Документы, подтверждающие выполнение оператором предписаний об устранении ранее выявленных нарушений законодательства РФ в области персональных данных.
Перечень документов, запрашиваемых при проверке.
Приказ Министерства связи и массовых коммуникаций РФ от 14 ноября 2011 г. N 312 17

Основные шаги по внедрению мер
в организации
1. Назначение лица, ответственного за организацию обработки персональных данных.
2. Определение основных действий по внедрению мер в организации.
3. Предварительное обследование организации, ее ПДн и ИСПДн.
4. Определение актуальных угроз и уровня защищенности.
5. Моделирование угроз для каждой ИСПДн.
6. Принятие и опубликование политики оператора в отношении обработки персональных данных.
7. Разработка локальных нормативных правовых актов по вопросам обработки ПДн в организации.
8. Ознакомление работников с принятыми локальными нормативными правовыми актами.
9. Техническое проектирование и развертывание системы информационной безопасности ИСПДн.
18

Назначение лица, ответственного за
организацию обработки ПДн
Назначение лица, ответственного за организацию обработки ПДн – обязанность оператора – юридического лица.
Лицо, ответственное за организацию обработки ПДн - получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.
Ст. 22.1 ФЗ № 152
Для государственных и муниципальных органов: может быть назначен как из числа государственных /муниципальных служащих, так и работников указанного органа, замещающих должности на основании трудового договора.
Постановление правительства РФ
№ 211 от 21.03.2012 19
Первый шаг

Проект
Для группы компаний: лицо должно быть назначено в каждой организации, входящей в группу.
•
Приказ о назначении ответственного за организацию обработки персональных данных.
•
Внесение изменений в трудовой договор
•
Разработка
Должностной инструкции ответственного за организацию обработки персональных данных в государственном или муниципальном органе.
Как назначить лицо, ответственное за организацию
обработки ПДн
20

Кого назначить
Лицо, состоящее в трудовых
отношениях с организацией:
• Руководителя организации
(возложить обязанности на себя).
• Заместителя руководителя организации.
• Отдельного специального сотрудника, подчиняющегося руководителю напрямую.
• Сотрудника подразделения IT.
• Сотрудника подразделения ИБ.
• Сотрудника иного подразделения компании
(менеджера по персоналу, менеджера по работе с клиентами и т.п.).
Иное лицо:
ИП – на основании гражданско- правового договора и приказа.
ЮЛ – на основании гражданско- правового договора и приказа.
Сотрудники других организаций или ИП (отношения с организацией или ИП должны быть урегулированы + приказ)
21

Как может выглядеть приказ о назначении
ПРИКАЗЫВАЮ:
Назначить ответственным за организацию обработки персональных данных в организации ______ (должность, ФИО)
Возложить на ______ (ФИО)
следующие обязанности:
1. …
2. ….
3. ….
Руководитель организации __________(подпись)
Дата:
Работник: _______________________________ ознакомлен (подпись)
22

Обязанности ответственного лица
1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных;
2)
доводить
до
сведения
работников
оператора положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
23
Ст. 22.1 ФЗ № 152

Какие еще обязанности можно
возложить?
• Организация работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
• Представление на утверждение списка лиц, доступ которых к персональным данным, обрабатываемым в информационных системах,
необходим для выполнения служебных (трудовых) обязанностей, а также изменений к нему.
• Проведение разбирательств по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных.
• Приостановка предоставления персональных данных пользователям информационной системы при обнаружении нарушений порядка предоставления персональных данных.
• Разработка проектов локальных нормативных правовых актов организации по вопросам организации обработки персональных данных.
И др.
24

Второй шаг
Приказ о назначении комиссии по приведению деятельности Организации в соответствие с требованиями Федерального закона «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
25

Содержание приказа
Цели создания комиссии
Состав комиссии
•
Председатель
•
Члены комиссии (3-4 сотрудника)
Конкретные задачи для достижения указанных целей
Перечень нормативных и методических документов, которыми необходимо руководствоваться
Сроки выполнения поставленных задач
26

Второй шаг
Разработка
Плана приведения процесса обработки персональных данных, обрабатываемых в ИС организации в соответствие с требованиями 152-ФЗ
«О персональных данных».
27

Определение основных действий по
внедрению мер в организации
Разработка
Плана мероприятий
по реализации требований, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
Что может входить:
• Описание процессов обработки персональных данных (ПДн) в
Организации.
• Выделение информационных систем персональных данных (ИСПДн).
• Определение перечня лиц, допущенных к обработке ПДн в ИСПДн.
• Оценка вреда, который может быть причинен субъектам персональных.
• Издание политики в отношении обработки персональных данных.
• Издание положения об обработке и обеспечении безопасности персональных.
• Организация обработки ПДн, осуществляемой без использования средств автоматизации.
28

Определение основных действий по
внедрению мер в организации
Разработка Плана мероприятий по реализации требований, предусмотренных
Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
Что может входить:
• Получение согласий субъектов ПДн на обработку их ПДн (в письменной форме).
• Ознакомление работников
Организации с
порядком обработки и
обеспечения безопасности персональных данных.
• Определение угроз безопасности ПДн при их обработке в ИСПДн
• Определение необходимого уровня защищенности ПДн при их обработке в
ИСПДн.
• Разработка и внедрение системы защиты персональных данных (СЗПДн.)
• Оценка эффективности принимаемых мер по обеспечению безопасности ПДн
…
План может быть утвержден Приказом – тогда обязателен к исполнению.
29
продолжение

ПЛАН
мероприятий по реализации требований, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами
№
п/п
Наименование
мероприятия
Основание
для
проведения
Описание мероприятия
Наименование
документов
Срок
Примечания
1.
Описание процессов обработки персональных данных (ПДн) в
Организации ст. 5 ФЗ-152 4
Необходимо выявить процессы обработки
ПДн в Организации, разработать и утвердить их перечень с указанием целей, способов обработки, перечня лиц, осуществляющих обработку, состава обрабатываемых ПДн, правовых оснований и сроков обработки, а также категорий субъектов чьи ПДн обрабатываются
Перечень процессов и
персональных данных,
обрабатываемых в
Организации
2.
Выделение информационны х систем персональных данных (ИСПДн)
ст. 19 ФЗ-152
ПП-1119 5
Необходимо выделить ИСПДн, разработать и утвердить перечень таких систем с указанием их состава
Перечень ИСПДн
3.
Определение перечня лиц, допущенных к обработке ПДн в
ИСПДн п. 13 ПП-
1119
Необходимо определить и утвердить
Перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей
Перечень лиц,
доступ которых к персональным данным, обрабатываемым в
информационной системе, необходим для выполнения ими служебных
(трудовых)
обязанностей
№ …………..
Пример составления плана мероприятий
30

Третий шаг
Предварительное обследование информационных систем организации для определения:
перечня, категории и объёма обрабатываемых персональных данных категории субъектов, ПДн которых обрабатываются правового основания обработки персональных данных перечня действий с персональными данными способов обработки персональных данных перечня должностей сотрудников, допущенных к обработке персональных данных в организации даты начала обработки персональных данных сроков или условий прекращения обработки сведений о наличии или об отсутствии трансграничной передачи сведений об обеспечении безопасности персональных данных необходимости регистрации в реестре Роскомнадзора предварительного перечня ИСПДн
31
Предварительное обследование
организации, ее ПДн и ИСПДн

ИСПДн типового оператора
• Система кадрового учета персонала и бухгалтерского учета
• Системы управления предприятиями
• Базы данных клиентов
• Базы данных контактов юридических лиц – контрагентов
• Контактные списки почтовой системы и работников
(глобальные и личные)
33

Определение категорий обрабатываемых ПДн и
субъектов ПДн
Категории ПДн:
• «обычные ПДн»
• Специальные ПДн
• Биометрические ПДн
• ПДн, разрешенные субъектом
ПДн для распространения
Субъекты ПДн:
• Наличие гражданства РФ или другого государства
• Наличие трудовых отношений с оператором
• Наличие договорных отношений с оператором
• Возраст
• Правовой статут лица, определяемый отраслевыми актами (подозреваемый, государственный служащий, преподаватель…)
Необходимы для определения оснований обработки, способов обработки, правовых режимов защиты ПДн и др.
34

Третий шаг
Анкетирование сотрудников
Субъектами ПДн являются сотрудники оператора
Субъектами ПДн являются
НЕ
сотрудники оператора
Обработка осуществляется с использованием
СВТ
Обработка осуществляется
без
использования
СВТ
Обработка осуществляется с использованием
СВТ
Обработка осуществляется
без
использования
СВТ
35

Пример анкеты обследования
информационной системы
36

37
Третий шаг
Предварительное обследование информационных систем организации для определения:
перечня, категории и объёма обрабатываемых персональных данных категории субъектов, ПДн которых обрабатываются правового основания обработки персональных данных перечня действий с персональными данными способов обработки персональных данных перечня должностей сотрудников, допущенных к обработке персональных данных в организации даты начала обработки персональных данных сроков или условий прекращения обработки сведений о наличии или об отсутствии трансграничной передачи сведений об обеспечении безопасности персональных данных необходимости регистрации в реестре Роскомнадзора предварительного перечня ИСПДн

Вариант оформления анкеты для
юриста
39

Вариант оформления анкеты для
юриста
40

42
Третий шаг
Предварительное обследование информационных систем организации для определения:
перечня, категории и объёма обрабатываемых персональных данных категории субъектов, ПДн которых обрабатываются правового основания обработки персональных данных перечня действий с персональными данными способов обработки персональных данных перечня должностей сотрудников, допущенных к обработке персональных данных в организации даты начала обработки персональных данных сроков или условий прекращения обработки сведений о наличии или об отсутствии трансграничной передачи сведений об обеспечении безопасности персональных данных необходимости регистрации в реестре Роскомнадзора предварительного перечня ИСПДн
Участники процесса:
руководители структурных подразделений организации сотрудники кадровых органов юристы

44
Третий шаг

Информационная система
персональных данных
ИСПДн
- совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
152-ФЗ от 27 июля 2006
База
данных
45

Перечень ИСПДн: пример заполнения
№
п/п
Наименование
системы
Назначение системы (цель
обработки персональных
данных в ИСПДн)
Категории и объем персональных данных
1.
ИСПДн
«Канцелярия»
Автоматизация процессов кадрового, воинского учёта и учета обучающихся
Иные категории персональных данных сотрудников оператора и субъектов персональных данных, не являющихся сотрудниками оператора
Менее чем 100000 субъектов персональных данных
2.
ИСПДн
«Бухгалтерия»
Автоматизация процессов расчета заработной платы, персонифицированного учета
Информационная система, обрабатывающая иные категории персональных данных сотрудников оператора
Менее чем 100000 субъектов персональных данных
3.
ИСПДн
«Учебная часть»
Автоматизация учебного процесса и контроля качества образования
Иные категории персональных данных субъектов персональных данных, не являющихся сотрудниками оператора
Менее чем 100000 субъектов персональных данных
4.
ИСПДн
«РБД»
Автоматизация учета обучающихся, допущенных к
Государственной итоговой аттестации (9 класс) и Единому государственному экзамену (11 класс)
Информационная система, обрабатывающая иные категории персональных данных субъектов персональных данных, не являющихся сотрудниками оператора Менее чем
100000 субъектов персональных данных
47

Основные локальные акты по вопросам
обработки ПДн в организации
• Приказ о назначении оператором, являющимся юридическим лицом, ответственного за организацию обработки ПДн
(и обеспечение их безопасности).
• Документ, регулирующий порядок хранения и использования ПДн работника
(ст. 87 ТК РФ) и порядок передачи ПДн работника в пределах одной организации или ИП (ст. 88 ТК РФ).
• Политика оператора в отношении обработки ПДН и сведения о реализуемых требованиях к защите ПДн .
• Положения (инструкция, руководство) об обработке ПДн (и обеспечении безопасности ПДн при их обработке).
• Оценка вреда, который может быть причинен субъекту ПДн в случае нарушения ФЗ № 152.
• Перечень персональных данных .
• Список (перечень, номенклатура должностей) работников, замещение которых предусматривает осуществление обработки ПДн либо доступа к ПДн.
• Документ (акт классификации) информационной системы, в которой ведется обработка ПДн, выбора актуальных типов угроз и установления уровня защищенности.
• Частная модель угроз безопасности ПДн.
Число локальных нормативных правовых актов,
регулирующих вопросы ПДн может быть более 50
48
Четвертый
шаг

Перечень локальных актов по обработке ПДн в
государственных и муниципальных органах - обязателен
• правила обработки персональных данных;
• правила рассмотрения запросов субъектов персональных данных или их представителей;
• правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
• правила работы с обезличенными данными в случае обезличивания персональных данных;
• перечень информационных систем персональных данных;
• перечни персональных данных, обрабатываемых оператором;
• перечень должностей служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
• перечень должностей служащих, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
• должностной регламент (должностные обязанности) или должностная инструкция ответственного за организацию обработки персональных данных;
• типовое обязательство служащего, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
• типовая форма согласия на обработку персональных данных служащих, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных;данных юридических последствий отказа предоставить свои персональные данные;
• порядок доступа служащих в помещения, в которых ведется обработка персональных данных.
Постановление правительства РФ № 211 от 21.03.2012 49

Возможная схема организационно-
распорядительных документов
Политика в отношении обработки и защиты ПДн
Положение о лице, ответственном за обработку и организацию обеспечения безопасности ПДн
Положение по организации, обработке и обеспечению безопасности ПДн
Положение о порядке аттестации объектов информатизации, связанных с обработкой
ПДн
Положение о структурном подразделении, ответственном за обеспечение безопасности
ПДн
Приказ о назначении ответственного
Приказ о назначении о комиссии, осуществляющей внутренние проверки состояния обработки и защиты ПДн
Приказ о создании структурного подразделения
Приказ о возложении на структурное подразделение обеспечения безопасности
ПДн
50

Регламенты и инструкции
Положение по организации, обработке и обеспечению безопасности ПДн
•
Регламент взаимодействия с уполномоченными органами
•
Регламент взаимодействия с субъектами
ПДн
•
Регламент обмена ПДн с третьими лицами и неопределенным кругом лиц
•
Регламент оценки вреда субъектам ПДн
•
Регламент восстановления средств защиты ПДн
•
Инструкция по организации обработки и осуществления защиты ПДн, обрабатываемых без средств автоматизации
•
Инструкция о порядке доступа в помещение, в котором ведется обработка ПДн
•
Инструкция о порядке осуществления обработки обезличенных ПДн
•
Руководство администратора ИСПДн
•
Руководство администратора по обеспечению безопасности ИСПДн
•
Руководства пользователя по обеспечению безопасности ИСПДн
51

Приказы
Положение по организации, обработке и обеспечению безопасности ПДн
Приказ об утверждении перечней обрабатываемых ИСПДн
Приказ об утверждении перечней сотрудников, подразделений или ролей, допущенных к обработке
Приказы:
•
об утверждении перечня ИСПДн
•
о классификации ИСПДн (определении уровней защищенности)
•
Приказ об утверждении перечней сотрудников, подразделений или ролей, допущенных к обработке
Приказ об утверждении мест хранения ПДн
Приказ назначении комиссии, осуществляющей уничтожение ПДн
Приказ о выполнении мероприятий по созданию средств защиты ПДн и назначению лиц, ответственных за эксплуатацию объектов информатизации
Приказ о введении в действие документов, регламентирующих мероприятия по защите ПДн
Приказ о создании контрольной зоны с указанием перечня помещений, где проводится обработка ПДн и допущенных в них лиц
Приказ об использовании электронных журналов (сообщений, безопасности), перечень электронных журналов и допущенных к ним лиц
52

Содержание политики
обработки ПДн
1.
Общие положения:
•
Назначение политики
•
Понятия
•
Права и обязанности субъекта ПДн
•
Права и обязанности оператора
2.
Цели сбора ПДн
3.
Правовые основания обработки ПДн
4.
Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
5.
Порядок и условия обработки персональных данных
6.
Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»
55

Положение об обработке ПДн
Роскомнадзора
Содержание:
I.
Общие положения
II.
Условия и порядок обработки ПДн государственных гражданских служащих Роскомнадзора
III. Условия и порядок обработки ПДн государственных служащих центрального аппарата и территориальных органов Роскомнадзора и лиц, состоящих с ними в родстве (свойстве), в связи с рассмотрением вопроса о предоставлении единовременной субсидии на приобретение жилого помещения
IV. Условия и порядок обработки ПДн субъектов в связи с предоставлением государственных услуг и исполнением государственных функций
V.
Порядок обработки ПДн субъектов ПДн в информационных системах
VI. Обработка ПДн в рамках межведомственного информационного взаимодействия с применением единой системы межведомственного электронного взаимодействия
VII. Сроки обработки и хранения ПДн
VIII. Порядок уничтожения ПДн при достижении целей обработки или при наступлении иных законных оснований
IX. Рассмотрение запросов субъектов ПДн или их представителей
X.
Лицо, ответственное за организацию обработки ПДн в центральном аппарате
Роскомнадзора
Приказ Роскомнадзора от 03.12.2021 № 1255 «Об утверждении положения об обработке и защите персональных данных в Центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций»
57

Какие еще примеры можно
посмотреть?
Распоряжение ОАО "РЖД" от 21.07.2020 N 1554р "Политика обработки персональных данных в ОАО "РЖД"
Приказ Госкорпорации "Росатом" от 03.07.2018 N 1/700-П "Об утверждении
Политики Государственной корпорации по атомной энергии "Росатом" в отношении обработки персональных данных«
Приказ Госкорпорации "Роскосмос" от 28.12.2020 N 391 "Об утверждении
Политики Государственной корпорации по космической деятельности "Роскосмос" в отношении обработки персональных данных"
Приказ Банка России от 22.08.2018 N ОД-2189 "Об Основных направлениях политики обработки персональных данных в Центральном банке Российской
Федерации (Банке России)«
Положение об обработке персональных данных НИУ ВШЭ
Политика обработки персональных данных утв. Приказом АО «ПФ
«СКБ Контур» от 10.07.2020 № 269 58

Пятый шаг
Приказ о вводе в действие комплекта документов, регламентирующих обработку персональных данных в организации.
59 59

64
Оператор
обязан
обеспечить
неограниченный
доступ
(опубликовать)
к документу, определяющему его политику в отношении обработки ПДн к сведениям о реализуемых требованиях к защите персональных данных
Оператор
, осуществляющий сбор персональных данных с
использованием информационно-телекоммуникационных сетей,
обязан опубликовать в соответствующей ИТС
документ, определяющий его политику в отношении обработки ПДн сведения о реализуемых требованиях к защите персональных данных обеспечить возможность доступа к указанному документу с использованием средств соответствующей ИТС
Меры для обеспечения выполнения
обязанностей оператора
152-ФЗ от 25 июля 2006

Шестой шаг
Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19
настоящего Федерального закона
152-ФЗ от 25 июля 2006
Пр инятие правовых, организационных и технических мер по обеспечению безопасности ПДн при их обработке, предусмотренных соответствующими нормативными правовыми актами, для выполнения установленных
Правительством РФ требований к защите ПДн при их обработке,
исполнение которых обеспечивает установленные уровни защищенности
ПДн
Постановление правительства РФ
№ 211 от 21 марта 2012
65

Обеспечение безопасности
персональных данных достигается
определением угроз безопасности применением организационных и
технических мер применением сертифицированных СрЗИ
оценкой эффективности принимаемых мер учетом машинных носителей обнаружением фактов НСД и принятием мер восстановлением персональных данных установлением правил доступа обеспечением регистрации и учета всех действий контролем за принимаемыми мерами
152-ФЗ от 25 июля 2006
66

Шестой шаг
Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона,
соотношение указанного вреда и принимаемых оператором мер,
направленных на обеспечение выполнения обязанностей,
предусмотренных настоящим Федеральным законом;
152-ФЗ от 25 июля 2006
67

Шестой шаг
Протокол оценки вреда
, который может быть причинён субъектам персональных данных.
68
Необходимо провести и зафиксировать в Протоколе ….
Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства в области персональных данных, проводится для каждой категории субъектов персональных данных каждого процесса обработки персональных данных.

Протокол оценки вреда
69
Настоящий Протокол составлен комиссией, назначенной приказом №
_____
от «____» __________ 20 __ г. в составе:
Председатель комиссии:
_________________
(должность, ФИО)
Члены комиссии:
_________________
(должность, ФИО)
_________________
(должность, ФИО)
с целью оценки вреда, который может быть причинен субъектам, при обработке их персональных данных в случае нарушения требований законодательства в области персональных данных в ____________
(Наименование организацию).

Оценка вреда
70
При проведении оценки вреда комиссия оперировала следующими вербальными градациями этого показателя:
Вред отсутствует
- если нарушение требований законодательства в области персональных данных не повлечет негативных последствий для субъекта персональных данных
Низкий уровень вреда
- если нарушение требований законодательства в области персональных данных может привести к незначительным негативным последствиям для субъекта персональных данных
Средний уровень вреда
- если нарушение требований законодательства в области персональных данных может привести к негативным последствиям для субъекта персональных данных
Высокий уровень вреда
- если нарушение требований законодательства в области персональных данных может привести к значительным негативным последствиям для субъекта персональных данных

Протокол оценки вреда
71
Результаты оценки вреда, который может быть причинен субъектам, при обработке их персональных данных в
_________________________________
(Наименование организации):

Протокол оценки вреда
72
№
п/п
Категория субъектов персональных данных
Нарушаемое
свойство
безопасности
Уровень
возможного вреда
для субъекта
персональных
данных
1.
Наименование процесса: Образовательная деятельность
1.1.
Поступающие (на которых подано заявление о приеме на обучение) конфиденциальность низкий уровень вреда целостность низкий уровень вреда доступность низкий уровень вреда
1.2.
Обучающиеся конфиденциальность низкий уровень вреда целостность низкий уровень вреда доступность низкий уровень вреда
1.3.
Родители (законные представители) обучающихся конфиденциальность низкий уровень вреда целостность низкий уровень вреда доступность низкий уровень вреда
1.4.
Ранее обучавшиеся конфиденциальность низкий уровень вреда целостность низкий уровень вреда доступность низкий уровень вреда
1.4.
Ранее обучавшиеся конфиденциальность низкий уровень вреда целостность низкий уровень вреда доступность низкий уровень вреда

Шестой шаг
Разработка частной модели угроз безопасности персональных данных,
обрабатываемых в ИСПДн организации.
73

Состав и содержание
организационных и технических мер
74
Состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн устанавливает для каждого из уровней защищенности ПДн, определяемых в соответствии с постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

Состав и содержание
организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн
Безопасность ПДн при их обработке в ИС
обеспечивает оператор
или
лицо, осуществляющее обработку
ПДн
по поручению
оператора.
Для выполнения работ по обеспечению безопасности ПДн при их обработке в информационной системе
могут привлекаться
на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по ТЗКИ
Приказ ФСТЭК России от 18 февраля 2013 г. № 21
75

Состав и содержание
организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн
Меры по обеспечению безопасности персональных данных при их обработке в
государственных информационных системах
принимаются в соответствии с требованиями о защите информации
,
содержащейся в
государственных информационных системах,
устанавливаемыми ФСТЭК
России в пределах своих полномочий в соответствии с частью 5
статьи 16
Федерального закона от 27 июля 2006
г.
№ 149-ФЗ
«Об информации,
информационных технологиях и о защите информации».
Приказ ФСТЭК России от 18 февраля 2013 г. № 21
76

Состав и содержание
организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн
Оценка эффективности
реализованных в рамках СЗПДн мер по обеспечению безопасности ПДн проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по ТЗКИ.
Указанная оценка проводится
не реже 1 раза в 3 года.
Приказ ФСТЭК России от 18 февраля 2013 г. № 21
77

Требования
о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах
Приказ ФСТЭК России от 11 февраля 2013 г. № 17
В соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и Положением о ФСТЭК,
утвержденным Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
П Р И К А З Ы В А Ю:
1.
Утвердить прилагаемые Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах.
2.
Установить, что указанные в пункте 1 настоящего приказа Требования применяются для защиты информации в государственных информационных системах с 1 сентября 2013 г.
78 5. При обработке в государственной информационной системе информации,
содержащей персональные данные, настоящие Требования применяются наряду с требованиями к
защите персональных данных при их обработке в
информационных системах персональных данных,
утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119
(Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).

Седьмой шаг
ознакомление работников оператора, непосредственно осуществляющих обработку
ПДн, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами,
определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или)
обучение указанных работников.
152-ФЗ от 27 июля 2006
осуществляют ознакомление служащих государственного или муниципального органа,
непосредственно осуществляющих обработку
ПДн,
с положениями законодательства
Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных служащих
Постановление правительства РФ
№ 211 от 21 марта 2012
79

Восьмой шаг
Статья 22.
Уведомление об обработке персональных данных.
Оператор до начала обработки персональных данных
обязан
уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев,
предусмотренных частью 2 настоящей статьи.
152-ФЗ от 25 июля 2006
уведомляют уполномоченный орган по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных, за исключением случаев, установленных Федеральным законом «О персональных данных».
Постановление правительства РФ
№ 211 от 21 марта 2012
81

Девятый шаг
осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора
152-ФЗ от 25 июля 2006
в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организуют проведение периодических проверок условий обработки персональных данных в государственном или муниципальном органе
Постановление правительства РФ
№ 211 от 21 марта 2012
82

Девятый шаг
Проверки осуществляются:
ответственным за организацию обработки персональных данных комиссией, образуемой руководителем организации
О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю докладывает ответственный за организацию обработки ПДн либо председатель комиссии.
Постановление правительства РФ
№ 211 от 21 марта 2012
83

Десятый шаг
з)
в случаях, установленных нормативными правовыми актами Российской
Федерации, в соответствии с требованиями и методами, установленными уполномоченным органом по защите прав субъектов персональных данных,
осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.
Постановление правительства РФ
№ 211 от 21 марта 2012
84

Зарегистрировано в Минюсте России
10 сентября 2013 г. № 29935
Требования и методы
по обезличиванию персональных данных
, обрабатываемых в
информационных системах персональных данных, в том числе
созданных и функционирующих в рамках реализации федеральных
целевых программ
Приказ РКН № 996 от 05 сентября 2013
85

Организация обработки
персональных данных,
осуществляемой без
использования средств
автоматизации.
86

Регулирование обработки ПДн без использования средств
автоматизации
При обработке ПДн без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных не требуется направлять уведомление в Роскомнадзор (п. 8 ч. 2 ст. 22 ФЗ
№ 152).
Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами с учетом положений ФЗ № 152 (ч. 3 ст. 4 ФЗ № 152):
Постановление Правительства РФ от 15.09.2008
N 687
"Об утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации"
87

Особенности организации обработки ПДн без
использования автоматизации
• ПДн должны обособляться от иной информации:
•
Путем фиксации на отдельных материальных носителях ПДн
•
Путем фиксации в отдельных разделах или полях форм (бланков)
• На одном материальном носителе можно фиксировать только те ПДн, цели обработки которых заведомо совместимы
• Для каждой категории ПДн – отдельный материальный носитель
• Лица, осуществляющие обработку ПДн без использования средств автоматизации, должны быть проинформированы о факте обработке ПДн и особенностях обработки без автоматизации.
• Специальные условия использования типовых форм документов, в которые могут включаться ПДн
• Специальные условия ведения журналов (реестров, книг), содержащих
ПДн, необходимые для однократного пропуска на территорию
• Специальные правила обработки ПДн на одном материальном носителе при несовместимости целей обработки п.п. 4-9 Постановления Правительства РФ от 15.09.2008 N 687 88

Меры безопасности при неавтоматизированной
обработке ПДн
• В отношении каждой категории ПДн определены места хранения ПДн
(материальных носителей) и установлен перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ
• Раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях
• При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ, для чего оператором устанавливаются:
•
перечень мер, обеспечивающих сохранность и защиту от НСД
•
Порядок принятия мер
•
Перечень лиц, ответственных за реализацию мер п. п. 13-15 Постановления
Правительства РФ от 15.09.2008 N 687 89

Спасибо
за внимание!
Центральный офис:
Москва, Варшавское шоссе 47, корп. 4, 10 этаж
Тел: +7 (495) 150-9600
e-mail: academy@academyit.ru
Сайт: academyit.ru