Защита персональных данных

 
 
 
 
 
 
 

РЕФЕРАТ

На тему:

«Защита персональных данных» 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Томск, 2012

Содержание: 

 

1. Введение.
2. Основные законодательные и подзаконные акты по защите персональных данных принятые в России.
3. Требования к информационным системам персональных данных.
4. Основные организационно-технические мероприятия по защите персональных данных.
5. Преимущества проведения мероприятий по защите персональных данных.
6. Ответственность за нарушение работы с персональными данными.
7. Заключение.
8. Список используемой литературы.

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Введение. 

     Основным  Законом, регулирующим защиту персональных данных в Российской Федерации, является Федеральный Закон «О персональных данных». Основу этого Закона составляют базовые принципы и условия обработки персональных данных, которые были разработаны во исполнение норм Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», а также положений Директивы Европейского Парламента и Совета Европы 95/46/ЕС «О защите личности в отношениях обработки персональных данных и свободном обращении этих данных» и Директивы Европейского Парламента и Совета Европы 2002/58/ЕС от 12 июля 2002 г., касающейся защиты персональных данных и защиты личных данных в электронном коммуникационном секторе, которая заменила Директиву Европейского Парламента и Совета Европы 97/66/ЕС от 15 декабря 1997 г., регламентирующую использование персональных данных и гарантирующую неприкосновенность частной жизни в сфере телекоммуникаций.

     Защита  персональных данных – это комплекс мероприятий, позволяющий выполнить  требования законодательства РФ, касающиеся обработки, хранению и передачи персональных данных граждан.

     Персональные  данные - любая информация, относящаяся  к определенному или определяемому  на основании такой информации физическому  лицу (субъекту персональных данных), в  том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное  положение, образование, профессия, доходы, другая информация.

     Оператор  персональных данных - государственный  орган, муниципальный орган, юридическое  или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. 
 
 
 
 
 
 

Основные  законодательные и подзаконные  акты по защите персональных данных принятые в России. 

     Федеральный закон №152-ФЗ "О персональных данных" был принят 27 июля 2006 года.

Согласно требованию закона о защите персональных данных, оператор персональных данных обязан выполнить ряд организационных  и технических мер касающихся процессов обработки персональных данных.

Правоотношения в  сфере персональных данных регулируются федеральным законодательством  РФ (Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»), Трудовым кодексом РФ (глава 14), а так же Гражданским  кодексом РФ.

     Закон «О персональных данных» обязывает  оператора принимать необходимые  организационные и технические  меры для защиты персональных данных от неправомерного или случайного доступа  к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных  действий.

     Появление закона поставило сложную и требующую  немедленного решения задачу перед  большинством российских компаний. До 1 января 2010 года компании (операторы), обрабатывающие персональные данные в  информационных системах, обязаны обеспечить:

     а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к  персональным данным и (или) передачи их лицам, не имеющим права доступа  к такой информации;

     б) своевременное  обнаружение фактов несанкционированного доступа к персональным данным;

     в) недопущение  воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может  быть нарушено их функционирование;

     г) возможность  незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

     д) постоянный контроль за обеспечением уровня защищенности персональных данных. 

Основные  положения Закона «О персональных данных»:

     Информационные  системы, обрабатывающие персональные данные и созданные до вступления в силу Закона «О персональных данных»  должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 года;

Оператор обязан направить  уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных. Таким органом является Федеральная  служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (более известная как  Роскомнадзор);

Субъект персональных данных имеет право на защиту своих  прав и законных интересов, в том  числе на возмещение убытков и (или) компенсацию морального вреда, обжаловав  действия или бездействие оператора  в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

Нарушение требований Закона влечет гражданскую, уголовную, административную, дисциплинарную ответственность  физических и должностных лиц. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Требования  к информационным системам персональных данных. 

     Требования  к обеспечению безопасности персональных данных установлены Постановлением Правительства № 781 от 17.11.2007 г. «Об  утверждении Положения об обеспечении  безопасности персональных данных при  их обработке в информационной системе  персональных данных». Положение определяет требования по обеспечению безопасности персональных данных при их обработке в информационных системах в соответствии с их классом.

     Классификация информационных систем производится операторами  самостоятельно в зависимости от объема и состава обрабатываемых персональных данных в соответствии с совместным приказом ФСТЭК, ФСБ и Мининформсвязи от 13.02.2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных».

     Контроль  за выполнением законодательства возложен на следующие органы:

Роскомнадзор – основной надзорный орган в области персональных данных;

ФСБ – основной надзорный  орган в части использования  средств шифрования;

ФСТЭК – надзорный  орган в части использования  технических средств защиты информации.

     Уполномоченный  орган по защите прав субъектов персональных данных производит как плановые и  внеплановые мероприятия по контролю (надзору) за соответствием обработки  персональных данных требованиям законодательства Российской Федерации. За 2008 год уполномоченный орган произвел 76 плановых проверок и 40 внеплановых, произведенных по в  ходе рассмотрения обращений граждан . На 2009 год планируется проведение более 300 плановых проверок. 
 
 
 
 
 
 
 
 
 

Основные  организационно-технические мероприятия  по защите персональных данных. 

     Организационные меры по защите персональных данных включают в себя:

Разработку организационно-распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных;

Определение перечня  мероприятий по защите ПДн.

Технические меры по защите персональных данных предполагают использование программно - аппаратных средств защиты информации. При обработке  ПДн с использованием средств автоматизации, применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется исходя из класса системы персональных данных;

     Типичные  позиции операторов персональных данных:

     1. ”Наша  компания не собирается ничего  предпринимать и тратить время  и деньги на решение этих  вопросов, мы будем ждать развития  событий”.

Такая компания не собирается тратить деньги и время на изменение  процессов обработки и хранения персональных данных, а так же не задумывается об обучении своих сотрудников  при работе с ними. Организация  продолжает свою деятельность в привычном  режиме, в надежде на то, что первые компании, которые не выполнят поставленных задач со стороны государственных  органов, будут требовать пересмотра и корректировки закона, а так  же расширения списка средств, допустимых к использованию в системах защиты ПДн или же сдвинуть сроки готовности системы обработки ПДн.

Ассоциация российских банков (АРБ) уже дважды пыталась безуспешно отсрочить срок приведения информационных систем в соответствие с требованиями ФЗ-152. Сроки выполнения оставлены  без изменения.

     2. “Мы  уверены в том, что действия  закона не будут распространяться  на нашу компанию”.

В любой компании, вне зависимости от её организационно-правовой формы, есть информация о сотрудниках, работающих в организации, а иногда и её контрагентах. Таким образом такая компания является оператором персональных данных, действия ФЗ-152 распространяются и на неё. 
 

Преимущества  проведения мероприятий по защите персональных данных. 

     После внедрения системы по защите персональных данных Заказчик получит:

- Возможность продолжать свою деятельность, не опасаясь претензий со стороны клиентов и собственных сотрудников;

- Возможность работы с персональными данными не только внутри компании, но и при передаче их сторонним организациям;

- Защиту от претензий со стороны регулирующих органов;

- Защиту от непредвиденной и принудительной остановки бизнеса;

- Защиту от недобросовестных конкурентов;

- Информационную систему соответствующую всем стандартам и требованиям законодательства.

     Для оценки возможности реализации угрозы применяются два показателя: уровень  исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.

Исходная степень  защищенности определяется следующим  образом.

1. ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные – среднему уровню защищенности (положительные решения по второму столбцу).

2. ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные – низкому уровню защищенности.

3. ИСПДн имеет низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2.

При составлении перечня  актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициент, а именно:

0 – для высокой  степени исходной защищенности;

5 – для средней  степени исходной защищенности;

10 – для низкой  степени исходной защищенности.

     Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем  показатель, характеризующий, насколько  вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки. Вводятся четыре вербальных градации этого показателя:

     маловероятно  – отсутствуют объективные предпосылки  для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа  в помещение, где последние хранятся);

     низкая  вероятность – объективные предпосылки  для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);