Персональные данные – сведения по которым можно идентифицировать конкретную личность
ФИО, пол, дата и место рождения, место жительства, образование, семейное положение, занимаемая должность
1.Обработка персональных данных осуществляется только в рамках СОГЛАСИЯ субъекта или его представителей (сведения, фото, видеоматериалы)
2.Новое Постановление Правительства от 10.01.2023 №6 «Об утверждении Правил принятия решения о запрещении или об ограничении трансграничной передачи персональных данных…»
3.Обработка персональных данных внутри организации осуществляется на основании Приказов руководителя
4.Обработка персональных данных в ГИС «Образование» (АИС «Зачисление в обр. организацию) только на специализированном рабочем месте:
-Актуализировать пароли администратора и пользователя
-Техническое обслуживание рабочего места
-Обслуживание рабочего места и СЗИ по регламентам
-Заполнение журналов
Положение об обработке и защите персональных данных
Приложение Формы Согласие на обработку персональных данных Новостроевская средняя школа
Политика в отношении обработки персональных данных сотрудников учреждения, обучающихся и родителей (законных представителей)
Приказ "Об утверждении перечня информационных систем и контролируемой зоне"
Приказ "Об утверждении списка лиц, имеющих доступ к персональным данным и перечня персональных данных, подлежащих защите "
Приказ «Об утверждении списков постоянных пользователей информационных систем персональных данных, допущенных в помещения и установлении им права доступа к информационным и техническим ресурсам »
Приказ «Об утверждении мест хранения материальных носителей персональных данных »
Приказ «О назначении ответственных за эксплуатацию объектов информатизации »
Что нужно знать о сохранении Персональных данных ...
Сегодня реальность во многом заменяется виртуальным миром. Мы знакомимся, общаемся и играем в Интернете; у нас есть друзья, с которыми в настоящей жизни мы никогда не встречались, но доверяемся таким людям больше, чем близким. Мы создаем своего виртуального (информационного) прототипа на страничках в социальных сетях, выкладывая информацию о себе. Используя электронное пространство, мы полагаем, что это безопасно, потому что мы делимся всего лишь информацией о себе и к нашей обычной жизни вроде бы это не относится. Но на самом деле границы между абстрактной категорией «информация» и реальным человеком носителем этой информации стираются.
Информация о человеке, его персональные данные сегодня превратились в дорогой товар, который используется по-разному: кто-то использует эти данные для того, чтобы при помощи рекламы продать вам какую-то вещь; кому-то вы просто не нравитесь, и в Интернете вас могут пытаться оскорбить, очернить, выставить вас в дурном свете, создать плохую репутацию и сделать изгоем в обществе; с помощью ваших персональных данных мошенники, воры, могут украсть ваши деньги, шантажировать вас и заставлять совершать какие-то действия и многое другое. Поэтому защита личной информации может приравниваться к защите реальной личности. И важно в первую очередь научиться правильно, безопасно обращаться со своими персональными данными.
Роскомнадзор открыл информационно-развлекательный сайт для детей и подростков http://персональныеданные.дети/, направленный на изучение вопросов, связанных с защитой прав субъектов персональных данных.
На сайте размещены информационные материалы для детей, которые могут быть использованы как в рамках школьных уроков по теме персональных данных, так и просто в виде интересной и познавательной информации. Все материалы разрабатывались с учетом ошибок детей в онлайн среде, о которых сотрудникам Роскомнадзора становится известно в рамках их повседневной работы.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Защита персональных данных – это комплекс мероприятий, позволяющий выполнить требования законодательства РФ, касающиеся обработки, хранения и передачи персональных данных граждан.
Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
ЗАКОНОДАТЕЛЬНАЯ БАЗА
Согласно требованию Федерального закона №152 от 27 июля 2006 г. "О персональных данных", а так же Федерального Закона №261 от 25 июля 2011 года "О внесении изменений в федеральный закон "О персональных данных" оператор персональных данных обязан выполнить ряд организационных и технических мер касающихся процессов обработки персональных данных.
Закон «О персональных данных» обязывает оператора принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, изменения, уничтожения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Нормативные документы по защите персональных данных
Наименование документа |
Номер документа, дата принятия |
Название документа |
Федеральный закон |
N 152 – ФЗ от 27.07.2006г. |
|
О персональных данных.
(в ред. Федеральных законов от 25.11.2009 N 266-ФЗ, от 27.12.2009 N 363-ФЗ, от 28.06.2010 N 123-ФЗ, от 27.07.2010 N 204-ФЗ, от 27.07.2010 N 227-ФЗ, от 29.11.2010 N 313-ФЗ от 04.06.2011 N 123-ФЗ, от 25.07.2011 N 261-ФЗ от 05.04.2013 N 43-ФЗ)
Для удобства работы с законом, его текст со всеми внесенными изменениями читайте по приведенной у нас ссылке на сайт «Консультант плюс». Для желающих ознакомиться с исходным текстом закона даём ссылку на сайт «Российской газеты». Все изменения к ФЗ 152 Вы можете также найти на сайте «Российской газеты», воспользовавшись перечнем законов, приведенных выше, в особенности посмотрите ФЗ 261, который внес кардинальные изменения в ФЗ 152.
Ввод в действие закона "О персональных данных"
28 декабря 2010 года президент России Дмитрий Медведев одобрил введение в действие закона 152-ФЗ "О персональных данных" в июле 2011 года. Федеральный закон 152-ФЗ вступил в силу 26 января 2007 года. Для приведения в соответствие закону информационных систем предприятий был предусмотрен срок до января 2010 года, затем этот срок был ещё раз продлен до января 2011 года. И вот ещё раз - до июля 2011-го. Нового срока переноса введения в действие 152-ФЗ после 01.07.2011г. не было.
Вывод:
01.07.2011 г. наступил час "Х". С каждым днём вопрос защиты персональных данных становится острее. Это означает, что операторы персональных данных, не сумевшие выполнить требования 152-ФЗ, с 1 июля 2011 года понесут соответствующую гражданскую, административную, дисциплинарную, а может быть даже и уголовную ответственность.
Ответственность за неисполнение 152-ФЗ
Законом предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение его требований. Так, Кодекс об административных правонарушениях предусматривает максимальный штраф в 500000 рублей за невыполнение законного предписания Роскомнадзора (ст. 19.5 КоАП). Тот же Кодекс предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП). В уголовном кодексе говорится о штрафе в 300000 руб., обязательных работах на срок до 1-го года, аресте до 6-ти месяцев и лишении права занимать должность на срок до 5-ти лет в случае осуществления защиты персональных данных без лицензии в случаях, если это деяние причинило крупный ущерб гражданам (ст. 171 УК). При систематических и грубых нарушениях Роскомнадзор имеет право ходатайствовать об отзыве лицензий на основной вид деятельности.
| |
Методические документы ФСТЭК России |
от 15.02.2008г. |
|
Базовая модель угроз безопасности ПДн при их обработке в ИСПДн (с официального сайта ФСТЭК России) | |
Постановление Правительства РФ |
N 512 от 06.07.2008г. |
|
Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных | |
Постановление Правительства РФ |
N 687 от 15.09.2008г. |
|
Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации | |
Постановление Правительства РФ |
N 211 от 21.03.2012г. |
|
Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами | |
Постановление Правительства РФ |
N 1119 от 01.11.2012г. |
|
Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
Комментарий:
Данное постановление отменяет постановление №781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", а значит руководящие документы, которые разработаны во исполнение постановления №781 теряют силу. Такими документами являются:
- Приказ ФСТЭК России №55, ФСБ России №86, Мининформсвязи Российской Федерации №20 от 13.02.2008 «Об утверждении Порядка классификации информационных систем персональных данных» (больше известен как приказ трёх).
- Приказ ФСТЭК России от 05.02.2010 №58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».
- «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 14 февраля 2008 года (ФСТЭК России).
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" от 21 февраля 2008 года (ФСБ России).
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных" от 21 февраля 2008 года (ФСБ России).
Ссылки на данные документы с нашего сайта убраны. Нет смысла руководствоваться в работе документами, утратившими силу. Надеемся, что во исполнение Постановления №1119 в этом году Регуляторами будут разработаны и утверждены необходимые для работы по защите персональных данных документы. А пока все находятся в состоянии неопределённости.
И вот, первые изменения: вместо Приказа №58 от 05.02.2010г., вступили в действие 2 Приказа ФСТЭК России №21 от 18.02.2013г. "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" и Приказ №17 от 11.02.2013г. "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах". Приказы определяют состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн. Документы являются ключевыми для обеспечения безопасности ПДн. Однако для полноценной работы по защите персональных данных Регуляторам необходимо еще разработать и утвердить ряд документов, взамен отмененных Постановлением №1119, в частности, ждем в первую очередь изменения Методики определения актуальных угроз ... в соотвествии с требованиями Приказов №17 и №21. Удачи в изучении документов! Там есть над чем подумать... Для начала можете прочитать статью "Уровни защищенности персональных данных вместо классов" на нашем сайте.
| |
Приказ ФСТЭК России |
N 17 от 11.02.2013г. |
|
Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. (с официального сайта ФСТЭК России)
Комментарий: Изучая 17-й приказ, пришлось пересмотреть не один десяток документов, на которые ссылается данный приказ, и все равно нет однозначного ответа по его применению. Мнения экспертов в области информационной безопасности тоже разделились. Вот мнение эксперта Алексея Лукацкого, по применению 17-го приказа, для защиты информации в государственных информационных системах, пока на наш взгляд наиболее аргументированное, которое он высказал в блоге на сайте "DLP-Эксперт". Здесь же Вы можете узнать мнение других экспертов по применению 17-го приказа ФСТЭК.
К сожалению, четкого ответа на вопрос, какие системы должны защищаться по данному приказу, нет. Существуют разные позиции. Одни ссылаются на то, что государственной информационной системой является только та, которая создана на основании федерального закона, закона субъекта РФ или правового акта госоргана. Под это определение не попадает, например, информационная система бухгалтерии или отдела кадров госоргана, а именно там обрабатываются персональные данные госслужащих. Получается, что госорган в такой трактовке должен следовать 21-му приказу ФСТЭК. Другие эксперты считают, что все, что делается в госорганах, делается в силу закона; иная деятельность по определению незаконна. При такой позиции информационная система бухгалтерии или отдела кадров подпадает под действие 17-го приказа ФСТЭК. По поводу приоритетности требований 17 и 21 приказа: если начинать искать разночтения в понимании термина «государственная информационная система», то на госорган сваливается сразу два приказа – 17-й и 21-й. Однако по используемым мерам они практически идентичны и отличаются только в концептуальных вопросах – сертификация средств защиты, оценка эффективности в форме аттестации, принцип экономической целесообразности, процедура исключения защитных мер из перечня базовых. Но в каждом из этих случаев больших выгод ухода от 17-го приказа к 21-му нет. Сертифицированные средства защиты в госорганах должны быть не только по 17-му приказу, но и по множеству других нормативных актов, вплоть до требований федерального законодательства. Следование принципу экономической целесообразности не сильно облегчает финансовое бремя – число систем, непопадающих под определение ГИС, невелико. Возможность исключить какие-то меры из базового набора могло бы помочь, если бы информационные системы госоргана, обрабатывающие разные виды информации ограниченного доступа, были физически изолированы друг от друга и между собой бы не пересекались. Но на практике это не так. Вот и получается, что госоргану, даже несмотря на наличие некоторых коллизий, лучше выполнять требования одного, 17-го приказа ФСТЭК.
| |
Приказ ФСТЭК России |
N 21 от 18.02.2013г. |
|
Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. (с официального сайта ФСТЭК России)
Для защиты персональных данных в государственных информационных системах необходимо руководствоваться Приказом ФСТЭК России №17 от 11.02.2013г., который зарегистрирован в МинЮсте 31.05.2013 г. и вступил в силу 01.09.2013 г.
| |
Информационное сообщение ФСТЭК России |
N 240/22/2637 от 15 июля 2013 г. |
|
По вопросам защиты информации и обеспечения безопасности персональных данных при их обработке в информационных системах в связи с изданием приказа ФСТЭК России от 11 февраля 2013 г. N 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и приказа ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». (с официального сайта ФСТЭК России)
Смотрите также анализ письма и "перевод" его на доступный язык Алексея Лукацкого
| |
Приказ ФСБ России |
N 378 от 10.07.2014г. |
|
Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности. | |