Рабочие листы
к вашим урокам
Скачать
1 слайд
Обеспечение безопасности персональных данных, обрабатываемых в информационных системах (ИСПДн)
2 слайд
Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим ФЗ и принятыми в соответствии с ним нормативными правовыми актами.
Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим ФЗ или другими ФЗ
152-ФЗ от 25 июля 2006
Статья 18.1.
Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
3 слайд
Меры для обеспечения выполнения обязанностей оператора
152-ФЗ от 25 июля 2006
Правительство РФ устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.
Оператор обязан представить документы и локальные акты, и (или) иным образом подтвердить принятие соответствующих мер, по запросу Роскомнадзора.
4 слайд
назначить ответственного за организацию обработки ПДн
разработать и утвердить необходимые документы
принять правовые, организационные и технические меры по обеспечению безопасности персональных данных
выполнить требования, установленные постановлением Правительства РФ от № 687 от 15 сентября 2008 г
организовать проведение периодических проверок условий обработки ПДн
знакомить служащих, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о персональных данных
уведомить Роскомнадзор об обработке (намерении осуществлять обработку) ПДн
осуществить обезличивание персональных данных
опубликовать документы, определяющие политику в отношении обработки персональных данных
Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом
«О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами
Постановление правительства РФ
№ 211 от 21 марта 2012
5 слайд
Конвенции и иные международные договора
Законы
Постановления правительства
Приказы
и иные документы
Европейская конвенция
152-ФЗ от 27.07.2006
(в редакции 261-ФЗ от 25.07.2011 г.)
№ 1119 от 01.11.2012
№ 687 от 15.09.2008
№ 512 от 06.07.2008
Роскомнадзор
№ 274 от 15.03.2013
4 НМД ФСТЭК
3 НМД ФСБ
№ 211 от 21.03.2012
№ 940 от 18.09.2012
Структура законодательства
России по персональным данным
Роскомнадзор
№ 996 от 05.09.2013
6 слайд
Меры, необходимые и достаточные для обеспечения выполнения обязанностей, при обработке ПДн
назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки ПДн
152-ФЗ от 25 июля 2006
Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами:
назначают ответственного за организацию обработки персональных данных в государственном или муниципальном органе из числа служащих данного органа
Постановление правительства РФ
№ 211 от 21 марта 2012
7 слайд
Руководитель организации
Заместитель руководителя организации
Заместитель руководителя организации
Заместитель руководителя организации
Бизнес подразделения
IT-отдел
Ответственный за ИБ
Секция ИБ
Отдел ИБ
8 слайд
Приказ о назначении ответственного за организацию обработки персональных данных.
Разработка Должностной инструкции ответственного за организацию обработки персональных данных в государственном или муниципальном органе.
Делай раз
9 слайд
осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о ПДн, в том числе требований к защите персональных данных
доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных
организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов
Обязанности ответственного за ОРГАНИЗАЦИЮ обработки ПДн
152-ФЗ от 27 июля 2006
10 слайд
11 слайд
12 слайд
13 слайд
Приказ о назначении комиссии по приведению деятельности Организации в соответствие с требованиями Федерального закона «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
Делай два
14 слайд
цели создания комиссии
состав комиссии
председатель
члены комиссии (3-4 сотрудника)
конкретные задачи для достижения указанных целей
перечень нормативных и методических документов, которыми необходимо руководствоваться
сроки выполнения поставленных задач
Содержание приказа
15 слайд
Разработка Плана приведения процесса обработки персональных данных, обрабатываемых в ИС организации в соответствие с требованиями 152-ФЗ «О персональных данных».
Делай два
16 слайд
ПЛАН
по приведению деятельности Организации в соответствие с требованиями
Федерального закона «О персональных данных»
Утверждается и вводится в действие
Приказом руководителя организации
17 слайд
Предварительное обследование информационных систем организации для определения:
перечня, категории и объёма обрабатываемых персональных данных
категории субъектов, ПДн которых обрабатываются
правового основания обработки персональных данных
перечня действий с персональными данными
способов обработки персональных данных
перечня должностей сотрудников, допущенных к обработке персональных данных в организации
даты начала обработки персональных данных
сроков или условий прекращения обработки
сведений о наличии или об отсутствии трансграничной передачи
сведений об обеспечении безопасности персональных данных
необходимости регистрации в реестре Роскомнадзора
предварительного перечня ИСПДн
Делай три
18 слайд
Предварительное обследование информационных систем организации для определения:
перечня, категории и объёма обрабатываемых персональных данных
категории субъектов, ПДн которых обрабатываются
правового основания обработки персональных данных
перечня действий с персональными данными
способов обработки персональных данных
перечня должностей сотрудников, допущенных к обработке персональных данных в организации
даты начала обработки персональных данных
сроков или условий прекращения обработки
сведений о наличии или об отсутствии трансграничной передачи
сведений об обеспечении безопасности персональных данных
необходимости регистрации в реестре Роскомнадзора
предварительного перечня ИСПДн
Делай три
19 слайд
Делай три
Анкетирование сотрудников
Субъектами ПДн
являются сотрудники оператора
Субъектами ПДн
являются НЕ сотрудники оператора
Обработка осуществляется с использование СВТ
Обработка осуществляется без использования СВТ
Обработка осуществляется с использование СВТ
Обработка осуществляется без использования СВТ
20 слайд
21 слайд
Вариант оформления анкеты
22 слайд
Предварительное обследование информационных систем организации для определения:
перечня, категории и объёма обрабатываемых персональных данных
категории субъектов, ПДн которых обрабатываются
правового основания обработки персональных данных
перечня действий с персональными данными
способов обработки персональных данных
перечня должностей сотрудников, допущенных к обработке персональных данных в организации
даты начала обработки персональных данных
сроков или условий прекращения обработки
сведений о наличии или об отсутствии трансграничной передачи
сведений об обеспечении безопасности персональных данных
необходимости регистрации в реестре Роскомнадзора
предварительного перечня ИСПДн
Делай три
23 слайд
24 слайд
Вариант оформления анкеты для юриста
25 слайд
Вариант оформления анкеты для юриста
26 слайд
27 слайд
Предварительное обследование информационных систем организации для определения:
перечня, категории и объёма обрабатываемых персональных данных
категории субъектов, ПДн которых обрабатываются
правового основания обработки персональных данных
перечня действий с персональными данными
способов обработки персональных данных
перечня должностей сотрудников, допущенных к обработке персональных данных в организации
даты начала обработки персональных данных
сроков или условий прекращения обработки
сведений о наличии или об отсутствии трансграничной передачи
сведений об обеспечении безопасности персональных данных
необходимости регистрации в реестре Роскомнадзора
предварительного перечня ИСПДн
Делай три
Участники процесса:
руководители структурных подразделений организации
сотрудники кадровых органов
юристы
28 слайд
29 слайд
Предварительное обследование информационных систем организации для определения:
перечня, категории и объёма обрабатываемых персональных данных
категории субъектов, ПДн которых обрабатываются
правового основания обработки персональных данных
перечня действий с персональными данными
способов обработки персональных данных
перечня должностей сотрудников, допущенных к обработке персональных данных в организации
даты начала обработки персональных данных
сроков или условий прекращения обработки
сведений о наличии или об отсутствии трансграничной передачи
сведений об обеспечении безопасности персональных данных
необходимости регистрации в реестре Роскомнадзора
предварительного перечня ИСПДн
Делай три
30 слайд
ИСПДн - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
152-ФЗ от 27 июля 2006
База данных
Информационная система персональных данных
31 слайд
32 слайд
издание оператором, являющимся юридическим лицом, документов, определяющих:
политику оператора в отношении обработки персональных данных
локальных актов по вопросам обработки ПДн
локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства ФЗ, устранение последствий таких нарушений
152-ФЗ от 25 июля 2006
Делай четыре
33 слайд
Меры, необходимые и достаточные для обеспечения выполнения обязанностей, при обработке ПДн
б) утверждают актом руководителя государственного или муниципального органа следующие документы:
Правила обработки персональных данных
устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в сфере ПДн
определяющие для каждой цели обработки ПДн:
содержание обрабатываемых ПДн
категории субъектов, ПДн которых обрабатываются
сроки их обработки и хранения
порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований
Постановление правительства РФ
№ 211 от 21 марта 2012
34 слайд
Меры, необходимые и достаточные для обеспечения выполнения обязанностей, при обработке ПДн
б) утверждают актом руководителя государственного или муниципального органа следующие документы:
Правила рассмотрения запросов субъектов ПДн или их представителей
Правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;
Правила работы с обезличенными данными
Постановление правительства РФ
№ 211 от 21 марта 2012
35 слайд
Меры, необходимые и достаточные для обеспечения выполнения обязанностей, при обработке ПДн
б) утверждают актом руководителя государственного или муниципального органа следующие документы:
Перечень информационных систем персональных данных
Перечень ПДн, обрабатываемых в организации
Перечень должностей организации, ответственных за проведение мероприятий по обезличиванию ПДн
Перечень должностей организации, замещение которых предусматривает осуществление обработки ПДн либо осуществление доступа к персональным данным
Постановление правительства РФ
№ 211 от 21 марта 2012
36 слайд
Меры, необходимые и достаточные для обеспечения выполнения обязанностей, при обработке ПДн
б) утверждают актом руководителя государственного или муниципального органа следующие документы:
Должностная инструкция ответственного за организацию обработки персональных данных
Типовое обязательство сотрудника, непосредственно осуществляющего обработку ПДн, в случае расторжения с ним трудовых отношений прекратить обработку ПДн, ставших известными ему в связи с исполнением должностных обязанностей
Постановление правительства РФ
№ 211 от 21 марта 2012
37 слайд
Меры, необходимые и достаточные для обеспечения выполнения обязанностей, при обработке ПДн
б) утверждают актом руководителя государственного или муниципального органа следующие документы:
Типовая форма согласия на обработку ПДн сотрудников оператора
Типовая форма согласия на обработку ПДн иных субъектов персональных данных
Типовая форма разъяснения субъекту ПДн юридических последствий отказа предоставить свои ПДн
Порядок доступа сотрудников в помещения, в которых ведется обработка персональных данных
Постановление правительства РФ
№ 211 от 21 марта 2012
38 слайд
Приказ о вводе в действие комплекта документов, регламентирующих обработку персональных данных в организации.
Делай пять
39 слайд
Меры для обеспечения выполнения обязанностей оператора
152-ФЗ от 25 июля 2006
Оператор обязан обеспечить неограниченный доступ (опубликовать)
к документу, определяющему его политику в отношении обработки ПДн
к сведениям о реализуемых требованиях к защите персональных данных
Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей ИТС
документ, определяющий его политику в отношении обработки ПДн
сведения о реализуемых требованиях к защите персональных данных
обеспечить возможность доступа к указанному документу с использованием средств соответствующей ИТС
40 слайд
применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона
152-ФЗ от 25 июля 2006
Делай шесть
в)принятие правовых, организационных и технических мер по обеспечению безопасности ПДн при их обработке, предусмотренных соответствующими нормативными правовыми актами, для выполнения установленных Правительством РФ требований к защите ПДн при их обработке, исполнение которых обеспечивает установленные уровни защищенности ПДн
Постановление правительства РФ
№ 211 от 21 марта 2012
41 слайд
Обеспечение безопасности персональных данных достигается
определением угроз безопасности
применением организационных и технических мер
применением сертифицированных СрЗИ
оценкой эффективности принимаемых мер
учетом машинных носителей
обнаружением фактов НСД и принятием мер
восстановлением персональных данных
установлением правил доступа
обеспечением регистрации и учета всех действий
контролем за принимаемыми мерами
152-ФЗ от 25 июля 2006
42 слайд
оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;
152-ФЗ от 25 июля 2006
Делай шесть
43 слайд
Протокол оценки вреда, который может быть причинён субъектам персональных данных.
Делай шесть
44 слайд
Разработка частной модели угроз безопасности персональных данных, обрабатываемых в ИСПДн организации.
Делай шесть
45 слайд
46 слайд
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
Приказ ФСТЭК России от 18 февраля 2013 г. № 21
В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и Положением о ФСТЭК, утвержденным Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
П Р И К А З Ы В А Ю:
Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Признать утратившим силу приказ ФСТЭК России от 5 февраля 2010 г. № 58 "Об утверждении Положения о методах и способах защиты информации в ИСПДн" (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456).
47 слайд
Состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке ИСПДн
Приказ ФСТЭК России от 18 февраля 2013 г. № 21
Безопасность ПДн при их обработке в ИС обеспечивает оператор или лицо, осуществляющее обработку ПДн по поручению оператора.
Для выполнения работ по обеспечению безопасности ПДн при их обработке в информационной системе могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по ТЗКИ.
48 слайд
Состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке ИСПДн
Приказ ФСТЭК России от 18 февраля 2013 г. № 21
Меры по обеспечению безопасности персональных данных при их обработке в государственных информационных системах принимаются в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах своих полномочий в соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
49 слайд
Состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке ИСПДн
Приказ ФСТЭК России от 18 февраля 2013 г. № 21
Оценка эффективности реализованных в рамках СЗПДн мер по обеспечению безопасности ПДн проводится
оператором самостоятельно
или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по ТЗКИ.
Указанная оценка проводится не реже 1 раза в 3 года.
50 слайд
Требования
о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах
Приказ ФСТЭК России от 11 февраля 2013 г. № 17
В соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и Положением о ФСТЭК, утвержденным Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
П Р И К А З Ы В А Ю:
Утвердить прилагаемые Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах.
Установить, что указанные в пункте 1 настоящего приказа Требования применяются для защиты информации в государственных информационных системах с 1 сентября 2013 г.
51 слайд
Требования
о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах
Приказ ФСТЭК России от 11 февраля 2013 г. № 17
Могут применяться для защиты общедоступной информации, содержащейся в государственных информационных системах (ГИС).
Не рассматриваются требования о защите информации, связанные с применением криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации.
52 слайд
Требования
о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах
Приказ ФСТЭК России от 11 февраля 2013 г. № 17
При обработке в ГИС информации, содержащей ПДн, настоящие Требования применяются наряду с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119.
По решению обладателя информации (заказчика) или оператора настоящие Требования могут применяться для защиты информации, содержащейся в негосударственных информационных системах.
53 слайд
е)осуществляют ознакомление служащих государственного или муниципального органа, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных служащих
Делай семь
Постановление правительства РФ
№ 211 от 21 марта 2012
ознакомление работников оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
152-ФЗ от 27 июля 2006
54 слайд
55 слайд
Статья 22. Уведомление об обработке персональных данных.
Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
152-ФЗ от 25 июля 2006
Делай восемь
ж)уведомляют уполномоченный орган по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных, за исключением случаев, установленных Федеральным законом «О персональных данных».
Постановление правительства РФ
№ 211 от 21 марта 2012
56 слайд
осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора
152-ФЗ от 25 июля 2006
Делай девять
Д)в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организуют проведение периодических проверок условий обработки персональных данных в государственном или муниципальном органе
Постановление правительства РФ
№ 211 от 21 марта 2012
57 слайд
Проверки осуществляются:
ответственным за организацию обработки персональных данных
комиссией, образуемой руководителем организации
О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю докладывает ответственный за организацию обработки ПДн либо председатель комиссии.
Постановление правительства РФ
№ 211 от 21 марта 2012
Делай девять
58 слайд
Делай десять
з)согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание ПДн, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ
Постановление правительства РФ
№ 211 от 21 марта 2012
59 слайд
Зарегистрировано в Минюсте России
10 сентября 2013 г. № 29935
Требования и методы
по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ
Приказ РКН № 996 от 05 сентября 2013
Рабочие листы
к вашим урокам
Скачать
6 667 830 материалов в базе
Настоящий материал опубликован пользователем Рыжков Сергей Романович. Инфоурок является информационным посредником и предоставляет пользователям возможность размещать на сайте методические материалы. Всю ответственность за опубликованные материалы, содержащиеся в них сведения, а также за соблюдение авторских прав несут пользователи, загрузившие материал на сайт
Если Вы считаете, что материал нарушает авторские права либо по каким-то другим причинам должен быть удален с сайта, Вы можете оставить жалобу на материал.
Удалить материалВаша скидка на курсы
40%Курс профессиональной переподготовки
500/1000 ч.
Курс профессиональной переподготовки
300 ч. — 1200 ч.
Курс профессиональной переподготовки
300/600 ч.
Курс повышения квалификации
72 ч. — 180 ч.
Оставьте свой комментарий
Авторизуйтесь, чтобы задавать вопросы.