Защита персональных данных и организация работы с конфиденциальными документами

1.

МИНИСТЕРСТВО КУЛЬТУРЫ
РОССИЙСКОЙ ФЕДЕРАЦИИ
ФГБОУ ВО «КАЗАНСКИЙ
ГОСУДАРСТВЕННЫЙ ИНСТИТУТ
КУЛЬТУРЫ»
НАЦИОНАЛЬНЫЙ ПРОЕКТ
«КУЛЬТУРА»
НАЦИОНАЛЬНЫЙ ПРОЕКТ «КУЛЬТУРА»
ФЕДЕРАЛЬНЫЙ ПРОЕКТ
«ТВОРЧЕСКИЕ ЛЮДИ»

2.

Защита персональных данных
и организация работы с
конфиденциальными
документами
к.п.н., старший преподаватель кафедры
библиотечно-информационной деятельности и
интеллектуальных систем
Маслова Юлия Викторовна

3.

План занятия
1. Понятие конфиденциальная информация.
2. Конфиденциальное делопроизводство.
3. Место и роль конфиденциальной информации в условиях современного
общества.
4. Формы и виды уязвимости конфиденциальной информации и
конфиденциальных документов.
5. Организационные основы защиты конфиденциальной информации
6. Персональные данные и организационные основы защиты
персональных данных.

4.

Конфиденциальная
информация
В соответствии с Федеральным законом от
27.07.2006 № 149-ФЗ «Об информации,
информационных технологиях и о защите
информации», циркулирующая в обществе
информация подразделяется на:
- общедоступную информацию
- и информацию ограниченного доступа.

5.

Конфиденциальными
называются документы, содержащие сведения,
известные только определенному кругу лиц, не
подлежащие огласке, доступ к которым
ограничен.
Обязательным признаком конфиденциального
документа является наличие в нем
информации, подлежащей защите.

6.

коммерческая
тайна
К конфиденциальным относятся документы, имеющие
гриф ограничения доступа:
для служебного
пользования

7.

Виды конфиденциальной
информации
установлены Указом Президента РФ от
06.03.1997 № 188 «Об утверждении
Перечня сведений конфиденциального
характера»

8.

Виды конфиденциальной
информации
1. Сведения о фактах, событиях и
обстоятельствах частной жизни гражданина,
позволяющие идентифицировать его
личность (персональные данные), за
исключением сведений, подлежащих
распространению в средствах массовой
информации в установленных
федеральными законами случаях.

9.

Виды конфиденциальной
информации
2. Сведения, составляющие тайну
следствия и судопроизводства.
3. Служебные сведения, доступ к которым
ограничен органами государственной
власти в соответствии с
Гражданским кодексом Российской
Федерации и федеральными законами
(служебная тайна).

10.

Виды конфиденциальной
информации
4. Сведения, связанные с
профессиональной деятельностью, доступ к
которым ограничен в соответствии с
Конституцией Российской Федерации и
федеральными законами (врачебная,
нотариальная, адвокатская тайна, тайна
переписки, телефонных переговоров,
почтовых отправлений, телеграфных или
иных сообщений и т.д.).

11.

Виды конфиденциальной
информации
5. Сведения, связанные с коммерческой
деятельностью, доступ к которым ограничен
в соответствии с Гражданским кодексом
Российской Федерации и федеральными
законами (коммерческая тайна).
6. Сведения о сущности изобретения,
полезной модели или промышленного
образца до официальной публикации
информации о них

12.

!
Законодательством РФ
предусмотрена ответственность
за несанкционированный доступ,
разглашение или продажу
конфиденциальных сведений и
документы имеющих грифы.

13.

2. Конфиденциальное
делопроизводство.
- определяется как деятельность,
обеспечивающая документирование,
организацию работы с конфиденциальными
документами и защиту содержащейся в них
информации.

14. Организация конфиденциального делопроизводства, предусматривает:

- назначение должностного лица, ответственного за
их учет, хранение и использование;
- порядок подготовки и размножения документов;
- отдельную регистрацию документов;
- формирование дел;
- организацию выдачи и хранения документов;
- проверку наличия документов;
- архивное хранение и порядок уничтожения.

15. Запрещается:

- изъятие конфиденциальных документов из дел;
- перемещение их одного дела в другое без
разрешения руководства и отметок в «Журнале
учета выдачи конфиденциальных документов»;
- несанкционированный вынос конфиденциальных
документов из офиса.

16. Санкция на доступ может быть дана при соблюдении следующих условий:

1. Наличие подписанного приказа первого
руководителя о приеме на работу или назначении на
должность, в функциональную структуру которой
входит работа с данной, конкретной информацией.
2. Наличие подписанного сторонами трудового
договора, имеющего пункт о сохранении тайны
фирмы и подписанного обязательства о
неразглашении ставших известными
конфиденциальных сведений и соблюдении правил
их защиты.

17. Санкция на доступ может быть дана при соблюдении следующих условий:

3. Соответствие функциональных обязанностей
сотрудника передаваемым ему документам
информации.
4. Ознакомление и знание сотрудником требований
нормативно-методических документов по защите
информации и сохранении тайны фирмы.
5. Наличие необходимых условий в офисе для работы и
наличие систем контроля над работой сотрудника.

18. 3. Место и роль конфиденциальной информации в условиях современного общества.

Информационные
технологии
оказали огромное
влияние на
восприятие
конфиденциально
сти обществом.
Риски, связанные
со взломом или
утечкой
информации

19. Конфиденциальная информация в сети Intеrnet даёт возможность:

• расследовать и раскрывать преступления;
• создавать морально-этический образ этого человека и
анализировать его устойчивость или компетентность в той или
иной сфере;
• делать мониторинг конкуренции на рынке;
• получать информацию об общественном мнении и социальных
трендах;
• быстро создавать информационный повод и распространять
информацию и т.д.

20. Уязвимость конфиденциальной информации

Свойство уязвимости означает неспособность
информации самостоятельно противостоять
дестабилизирующим воздействиям,
сохранять при таких воздействиях свой
статус. В целом термин «уязвимый»
означает слабый, мало защищенный.

21. Виды уязвимости конфиденциальной информации

1. Уязвимость конфиденциальной информации к
стихийным бедствиям
2. Уязвимость конфиденциальной информации к
непреднамеренным (случайным, неосторожным)
действиям сотрудников
3. Уязвимость конфиденциальной информации к
преднамеренным действиям злоумышленников
4. Уязвимость конфиденциальной информации к
разглашению
5. Уязвимость информации к НСД
6. Уязвимость информации к утечке

22. Уязвимость по времени действия угроз:

- постоянная;
- периодическая;
- разовая.

23. Формы проявления уязвимости информации

• хищение носителя информации или отображенной в нем
информации (кража);
• потеря носителя информации (утеря);
• несанкционированное уничтожение носителя информации
или отображенной в нем информации (разрушение);
• искажение информации (несанкционированное изменение,
несанкционированная модификация, подделка,
фальсификация);
• блокирование информации;
• разглашение информации (несанкционированное
распространение, раскрытие).

24. Система защиты конфиденциальной информации

– рациональная совокупность направлений, методов,
средств и мероприятий, снижающих уязвимость
информации и препятствующих
несанкционированному доступу к информации, ее
разглашению или утечке.

25. Элементы системы защиты конфиденциальной информации

правовой элемент;
организационный элемент;
инженерно-технический элемент;
программно-аппаратный элемент;
криптографический элемент

26. Концепции защиты конфиденциальной информации:

-
-
защиту информации организует и проводит собственник,
владелец / уполномоченное на это лицо;
защитой информации собственник охраняет свои права на
владение и распространение информации, стремится оградить
ее от незаконного завладения и использования в ущерб его
интересам;
защита информации осуществляется путем проведения
комплекса мер по ограничению доступа к защищаемой
информации и созданию условий, исключающих или
существенно затрудняющий несанкционированный доступ к
засекреченной информации.

27. Цели защиты конфиденциальной информации:

-
предотвращение утечки, хищения, утраты, искажения информации;
-
предотвращение угроз безопасности личности, общества, государства;
-
предотвращение несанкционированных действий по уничтожению и
копированию;
-
защита конституционных прав граждан на сохранение личной тайны и
конфиденциальности персональных данных, имеющихся в
информационных системах;
- сохранение конфиденциальности документированной информации.

28. Меры по охране конфиденциальной информации включают :

• определение перечня информации, составляющей коммерческую
тайну;
• ограничение доступа к конфиденциальной информации, путем
установления порядка обращения с этой информацией и контроля за
соблюдением такого порядка;
• учет лиц, получивших доступ к конфиденциальной информации, и
(или) лиц, которым такая информация была предоставлена или
передана;
• регулирование отношений по использованию конфиденциальной
информации, с работниками на основании трудовых договоров и
контрагентами на основании гражданско-правовых договоров;
• нанесение на материальные носители, содержащие к
конфиденциальную информацию, соответствующего грифа.

29. Персональные данные и организационные основы защиты персональных данных

Персональные данные - любая информация, с
помощью которой можно однозначно
идентифицировать физическое лицо

30. Основная цель защиты конфиденциальной информации,

в том числе коммерческой тайны, состоит в том,
чтобы предотвратить её утечку или разглашение.
Разглашение информации, составляющей
коммерческую тайну - это действие или
бездействие, в результате которых эта
информация становится известной третьим лицам
без согласия обладателя такой информации либо
вопреки трудовому или гражданско – правовому
договору.

31. Основополагающим законом в области защиты персональных данных является:

Основополагающим законом в области защиты
персональных данных является:
Федеральный закон
«О персональных данных»
№152 от 8 июля 2006г.

32. Оператор персональных данных

- государственный орган, муниципальный орган,
юридическое или физическое лицо,
организующие и (или) осуществляющие
обработку персональных данных, а также
определяющие цели и содержание обработки
персональных данных

33. Обработка персональных данных  

Обработка персональных данных
- действия (операции) с персональными данными,
включая сбор, систематизацию, накопление,
хранение, уточнение (обновление, изменение),
использование, распространение (в том числе
передачу), обезличивание, блокирование,
уничтожение персональных данных.

34. Информационная система персональных данных   

Информационная система персональных
данных
- информационная система, представляющая
собой совокупность персональных данных,
содержащихся в базе данных, а также
информационных технологий и технических
средств, позволяющих осуществлять
обработку таких персональных данных с
использованием средств автоматизации или
без использования таких средств

35. Регуляторы:   

Регуляторы:
• Роскомнадзор (защита прав субъектов
персональных данных)
• ФСБ (требования в области криптографии)
• ФСТЭК России (требования по защите
информации от несанкционированного доступа и
утечки по техническим каналам).

36. Категории персональных данных:   

Категории персональных данных:
1. общие (или общедоступные);
2. специальные;
3. биометрические;
4. иные.

37. Организация защиты персональных данных работника   

Организация защиты персональных
данных работника
Защите подлежит:
- информация о персональных данных
работника;
- документы, содержащие персональные
данные работника;
- персональные данные, содержащиеся на
электронных носителях.

38. Мероприятия по защите персональных данных  

Мероприятия по защите персональных
данных
внешняя
защита
внутренняя
защита

39. Иные организационные и технические меры, направленные на защиту персональных данных:    

Иные организационные и технические
меры, направленные на защиту
персональных данных:
1.
2.
3.
утверждение требований к помещению, где
хранятся персональные данные;
обеспечение программной защиты
информационной системы организации.
ведение журнала учета работы
с персональными данными.

40. Требования при обработке персональных данных

41. Требования при передаче персональных данных

42. Работник имеет право!

43. Основные принципы обеспечения безопасности персональных данных 

Основные принципы обеспечения
безопасности персональных данных
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
Принцип законности.
Принцип максимальной дружественности и прозрачности.
Принцип превентивности.
Принцип оптимальности и разумной разнородности.
Принцип адекватности и непрерывности.
Принцип адаптивности.
Принцип доказательности и обязательности контроля.
Принцип самозащиты и конфиденциальности самой системы защиты
информации.
Принцип многоуровневости и равнопрочности.
Принцип простоты применения и апробированности защиты.
Принцип преемственности и совершенствования.
Принцип персональной ответственности и минимизации привилегий
для пользователей всех уровней.

44. Положения о защите персональных данных работников регламентируют: 

Положения о защите персональных данных
работников регламентируют:
1. Конституция Российской Федерации
2. Федеральный закон 27 июля 2006 г. 149-ФЗ «Об информации,
информационных технологиях и о защите информации»;
3. Федеральный закон от 27 июля 2006 г. 152-ФЗ «О персональных
данных»
4. Трудовой кодекс Российской Федерации
А также: подзаконные нормативные правовые акты (постановления
Правительства РФ, ведомственные нормативные правовые акты), а также на
локальном уровне должны приниматься нормативные и иные акты в целях
обеспечения защиты персональных данных работников.

45.

!
Допуск работника к
конфиденциальной информации
осуществляется с его согласия.
Работодатель имеет право отказать в
приёме на работу тому, кто не хочет
брать на себя обязательства по
сохранению конфиденциальной
информации.

46.

БЛАГОДАРИМ
ЗА ВНИМАНИЕ!
Маслова Юлия Викторовна
к.п.н., старший преподаватель
[email protected]