1. Разработка эффективных
организационно-
распорядительных документов по
защите персональных данных
Кочуров Александр Михайлович
кандидат технических наук,
Заместитель директора УЦ «Эшелон»
Контакты: тел. 8-985-268-02-67
E-mail: akochurov@uc-echelon.ru
2. Основные понятия
Персональные данные - любая информация,
относящаяся к прямо или косвенно определенному или
определяемому физическому лицу (субъекту
персональных данных)
Гражданский кодекс Российской Федерации
Статья 19. Имя гражданина
1. Гражданин приобретает и осуществляет права и обязанности
под своим именем, включающим фамилию и собственно имя, а также
отчество, если иное не вытекает из закона или национального
обычая.
5. Вред, причиненный гражданину в результате неправомерного
использования его имени, подлежит возмещению в соответствии с
настоящим Кодексом.
При искажении либо использовании имени гражданина
способами или в форме, которые затрагивают его честь, достоинство
или деловую репутацию, применяются правила, предусмотренные
статьей 152 (Защита чести, достоинства и деловой репутации)
настоящего Кодекса.
3. Рассуждения
Персональные данные ЧТО это?
Кто обладатель
ИВАНОВ Иван Иванович Это ПДн?
информации?
Согласно ГОСТу Р ИСО/МЭК
19794-5-2006
часть 5
Это ПДн? Это БПДн?
Это ПДн?
Это БПДн?
4. Персональные Изображение
данные гражданина
ГК РФ. Статья 152.1. Охрана изображения гражданина
Обнародование и дальнейшее использование изображения гражданина (в том числе
его фотографии, а также видеозаписи или произведения изобразительного искусства,
в которых он изображен) допускаются только с согласия этого гражданина. После
смерти гражданина его изображение может использоваться только с согласия детей и
пережившего супруга, а при их отсутствии - с согласия родителей.
Такое согласие не требуется в случаях, когда:
1) использование изображения осуществляется в государственных, общественных
или иных публичных интересах;
2) изображение гражданина получено при съемке, которая проводится в местах,
открытых для свободного посещения, или на публичных мероприятиях
(собраниях, съездах, конференциях, концертах, представлениях, спортивных
соревнованиях и подобных мероприятиях), за исключением случаев, когда такое
изображение является основным объектом использования;
3) гражданин позировал за плату. (естественно, нужно подтверждение в получении
денег)
5. Основные понятия
Уничтожение персональных данных – действия, в результате
которых становится невозможным восстановить содержание
персональных данных в информационной системе
персональных данных и (или) в результате которых
уничтожаются материальные носители персональных данных;
Обезличивание персональных данных – действия, в результате
которых становится невозможным без использования
дополнительной информации определить принадлежность
персональных данных конкретному субъекту персональных
данных;
Обработка персональных данных – любое действие (операция)
или совокупность действий (операций), совершаемых с
использованием средств автоматизации или без использования
таких средств с персональными данными, включая сбор, запись,
систематизацию, накопление, хранение, уточнение (обновление,
изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение персональных данных.
6. Глава 2. Принципы и условия обработки ПДн
Условия обработки персональных данных (ст. 6.)
Основные условия обработки персональных данных:
обработка персональных данных осуществляется с согласия субъекта персональных
данных на обработку его персональных данных;
обработка ПД необходима для исполнения договора, стороной которого либо
выгодоприобретателем или поручителем по которому является субъект
персональных данных, а также для заключения договора по инициативе СПД или
договора, по которому СПД будет являться выгодоприобретателем или поручителем;
обработка персональных данных необходима для защиты жизни, здоровья или иных
жизненно важных интересов субъекта персональных данных, если получение
согласия субъекта персональных данных невозможно;
осуществляется обработка персональных данных, доступ неограниченного круга лиц
к которым предоставлен субъектом персональных данных либо по его просьбе
(далее - персональные данные, сделанные общедоступными субъектом
персональных данных).
Оператор вправе поручить обработку персональных данных по поручению другому
лицу с согласия субъекта персональных данных, на основании заключаемого с
этим лицом договора. Лицо, осуществляющее обработку персональных данных
по поручению оператора, обязано соблюдать принципы и правила обработки
персональных данных, предусмотренные настоящим Федеральным законом.
7. Глава 2. Принципы и условия обработки ПДн
Продолжение. Согласие субъекта персональных данных на обработку его
персональных данных (ст. 9.)
4. В случаях, предусмотренных федеральным законом, обработка персональных
данных осуществляется только с согласия в письменной форме субъекта
персональных данных. Равнозначным содержащему собственноручную подпись
субъекта персональных данных согласию в письменной форме на бумажном
носителе признается согласие в форме электронного документа, подписанного в
соответствии с федеральным законом электронной подписью. Согласие в
письменной форме субъекта персональных данных на обработку его персональных
данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер
основного документа, удостоверяющего его личность, сведения о дате
выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных
данных, номер основного документа, удостоверяющего его личность,
сведения о дате выдачи указанного документа и выдавшем его органе,
реквизиты доверенности или иного документа, подтверждающего
полномочия этого представителя (при получении согласия от представителя
субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего
согласие субъекта персональных данных;
4) цель обработки персональных данных;
8. Глава 2. Принципы и условия обработки ПДн
Продолжение. Согласие субъекта персональных данных на обработку
его персональных данных (ст. 9)
5) перечень персональных данных, на обработку которых дается согласие
субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица,
осуществляющего обработку персональных данных по поручению
оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение
которых дается согласие, общее описание используемых оператором
способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных
данных, а также способ его отзыва, если иное не установлено
федеральным законом;
9) подпись субъекта персональных данных.
Согласно
определению
Обработка
персональных данных
9. Категории информации
ИНФОРМАЦИЯ
(ст. 1 ФЗ 27.08.2006 N 149-ФЗ)
сведения (сообщения, данные) независимо от формы их представления
ОБЩЕДОСТУПНАЯ ОГРАНИЧЕННОГО ДОСТУПА
(ст. 7 ФЗ 27.08.2006 N 149-ФЗ) (ст. 5 ФЗ 27.08.2006 N 149-ФЗ)
общеизвестные сведения и иная доступ к информации ограничен федеральными законами
информация, доступ к которой не
ограничен; КОНФИДЕНЦИАЛЬНАЯ ГОСУДАРСТВЕННАЯ ТАЙНА
обладатель информации установил ИНФОРМАЦИЯ (ст. 1 Закона РФ от 21.07.1993 N 54-85-1)
общедоступный режим доступа. защищаемые государством сведения в области его военной, внешнеполитической,
Перечень сведений отнесенных к экономической, разведывательной, контрразведывательной и оперативно-
(ст. 8 ФЗ 27.08.2006 N 149-ФЗ) конфиденциальной информации содержится в розыскной деятельности, распространение которых может нанести ущерб
нормативные правовые акты, Указе Президента РФ N 188 6.03.1997 безопасности Российской Федерации;
затрагивающие права, свободы и
обязанности человека и гражданина, а ПЕРСОНАЛЬНЫЕ ДАННЫЕ
также устанавливающие правовое (ФЗ 27.07.2006 N 152-ФЗ)
положение организаций и полномочия Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу
государственных органов, органов (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное,
социальное, имущественное положение, образование, профессия, доходы, другая информация;
местного самоуправления;
информация о состоянии окружающей ТАЙНА СЛЕДСТВИЯ И СУДОПРОИЗВОДСТВА
среды; (Указ Президента РФ N 188 6.03.1997)
информация о деятельности Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах
государственных органов и органов государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ "О
местного самоуправления (за государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства" и другими
нормативными правовыми актами Российской Федерации.
исключением сведений, составляющих
государственную или служебную СЛУЖЕБНАЯ ТАЙНА
тайну); (Указ Президента РФ N 188 6.03.1997)
информация, накапливаемой в Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом
открытых фондах библиотек, музеев и Российской Федерации и федеральными законами.
архивов, а также в государственных,
муниципальных и иных ПРОФЕССИОНАЛЬНАЯ ТАЙНА
(Указ Президента РФ N 188 6.03.1997)
информационных системах, созданных
Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской
или предназначенных для обеспечения Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров,
граждан и организаций такой почтовых отправлений, телеграфных или иных сообщений и так далее).
информацией; КОМЕРЧЕСКАЯ ТАЙНА
иной информации, недопустимость (ФЗ 29.07.2004 N 98-ФЗ )
ограничения доступа к которой Сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о
установлена федеральными законами. результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления
профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу
неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении
которых обладателем таких сведений введен режим коммерческой тайны.
НОУ-ХАУ
(Указ Президента РФ N 188 6.03.1997)
Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации
о них.
10. “Об информации, информационных технологиях и о
защите информации” от 27 июля 2006 года № 149-ФЗ
Обладатель информации
Права:
разрешать или ограничивать доступ к информации, определять порядок и
условия такого доступа;
использовать информацию, в том числе распространять ее, по своему
усмотрению;
передавать информацию другим лицам по договору или на ином
установленном законом основании;
защищать установленными законом способами свои права в случае
незаконного получения информации или ее незаконного использования
иными лицами;
осуществлять иные действия с информацией или разрешать
осуществление таких действий.
Обязанности:
соблюдать права и законные интересы иных лиц;
принимать меры по защите информации;
ограничивать доступ к информации, если такая обязанность установлена
федеральными законами.
11. Обязательность защиты или рекомендательный характер
ИНФОРМАЦИЯ
сведения (сообщения, данные) независимо от формы их представления (ст. 1 ФЗ 27.08.2006 N 149-ФЗ)
ОГРАНИЧЕННОГО ДОСТУПА
(ст. 5 ФЗ 27.08.2006 N 149-ФЗ)
доступ к информации ограничен федеральными законами
ОБЩЕДОСТУПНАЯ
ИНФОРМАЦИЯ КОНФИДЕНЦИАЛЬНАЯ ГОСУДАРСТВЕННАЯ ТАЙНА
ИНФОРМАЦИЯ (ст. 1 Закона РФ от 21.07.1993 N 54-85-1)
защищаемые государством сведения в области его военной, внешнеполитической,
Перечень сведений отнесенных к экономической, разведывательной, контрразведывательной и оперативно-
конфиденциальной информации содержится в розыскной деятельности, распространение которых может нанести ущерб
Указе Президента РФ N 188 6.03.1997 безопасности Российской Федерации;
149-ФЗ ст. 6; ТК РФ ст. 86 (ПДн); 152-ФЗ ст. 19 (ПДн)
ОБЛАДАТЕЛЬ ИНФОРМАЦИИ ОБЯЗАН ЗАЩИЩАТЬ ИНФОРМАЦИЮ
Государство регламентирует как защищать информацию ограниченного доступа.
Руководящие документы ФСТЭК России и ФСБ России.
Государство не регламентирует
как защищать информацию –
это отдано на откуп Регламентация государства носит
обладателю информации. обязательный (служебная тайна,
Регламентация государства носит обязательный характер.
КСИИ) и рекомендательный
характер (коммерческая тайна).
Защищать обязан.
Два пути.
1 путь – аттестация. Входишь в
государственную систему защиты
Например, защита сайта информации. Ответственность
компании от вирусов и несѐт лицензиат ФСТЭК России и
Обязательная аттестация объектов информатизации.
модификации общедоступной обладатель информации.
информации.
2 путь – отказ от аттестации.
Самостоятельно защищаешь
информацию.
Ответственность несѐшь сам.
12.
13. Пример из ФЗ-152. Процедуры:
1. Определить доступ (получение) субъекта персональных данных к его персональным
данным (ст. 14).
2. Оценить вред, который может быть причинен субъектам персональных данных.
3. Публикация, например, на сайте оператора документа, определяющего его политику в
отношении обработки персональных данных.
4. Описать процедуры обнаружения фактов НСД к ПД и принятием мер.
5. Процедура восстановления (система резервирования) ПД, модифицированных или
уничтоженных вследствие НСД к ним.
6. Система контроля за принимаемыми мерами по обеспечению безопасности ПД и уровня
защищенности ИСПДн.
7. Обязанности оператора при обращении к нему СПД либо при получении запроса СПД или
его представителя, а также уполномоченного органа по защите прав СПД.
8. Обязанности оператора по устранению нарушений законодательства, допущенных при
обработке ПД, по уточнению, блокированию и уничтожению ПД.
Пример из ПП РФ № 687 от 15.09.2008
1. Правила обработки персональных данных, осуществляемой без использования средств
автоматизации.
2. Лица, осуществляющие обработку персональных данных, должны быть
проинформированы об особенностях и правилах осуществления такой обработки.
3. Актом оператора вводится журнал для однократных пропусков на объект.
4. Журнал для однократных пропусков на объект.
5. Акт или приказ по определению мест хранения материальных носителей.
6. Акт или приказ по установлению перечня лиц, осуществляющих обработку либо имеющим
к ним доступ.
14. Несколько примеров по количеству документов,
разрабатываемых операторами в области ПД
№
Название документа Количество
пп
1 Рекомендации по выполнению законодательных требований 32 по ТЗИ и плюс 11
при обработке ПД в организациях БС РФ. по КЗИ
2. Методические рекомендации для организации защиты
информации при обработке ПД в государственных 30
образовательных учреждениях города Москвы.
3. Методические рекомендации органам исполнительной Приказы – 9
власти города Москвы по организации защиты Инструкции – 2
конфиденциальной информации и ПД. Положения – 4
Разработано 48 приложений в виде типовых форм. Руководства – 4
Без учета требований ПП № 211 ( в стадии разработки по Журналы – 6
выполнению требований). Перечни –5
Списки –4
Акты –3
Модели –3
Планы –5
Разное – 14
всего 59.