1.98M
Category: lawlaw
Similar presentations:
Институт правовой защиты персональных данных. Тема 6
Институт правовой защиты персональных данных. Тема 6
Институт правовой защиты персональных данных
Институт правовой защиты персональных данных
Защита персональных данных
Защита персональных данных
Проблема обеспечения безопасности персональных данных граждан
Проблема обеспечения безопасности персональных данных граждан
Защита персональных данных
Защита персональных данных
Проектирование СЗПДн на примере типовой коммерческой компании
Проектирование СЗПДн на примере типовой коммерческой компании
Требования к обеспечению безопасности персональных данных при их обработке в информационных системах. Лекция 2
Требования к обеспечению безопасности персональных данных при их обработке в информационных системах. Лекция 2
Организация работы по защите персональных данных
Организация работы по защите персональных данных
Защиты информации от НСД. Правовые основы защиты информации
Защиты информации от НСД. Правовые основы защиты информации
Работа с персональными данными. Федеральный закон РФ о персональных данных
Работа с персональными данными. Федеральный закон РФ о персональных данных

Тема 5 Правовая и организационная защита персональных данных — Частья 1

1.

Тема 5 Правовая и
организационная защита
персональных данных

2.

Штрафы крупнейших компаний за утечку
данных
Китайская компания по прокату автомобилей Didi
Global была оштрафована в июле 2022 г. китайским
регулятором кибербезопасности на 1,19 млрд. долл.США
штраф Amazon, выписанный в 2021 г. органами по
регулированию
конфиденциальности
данных
Люксембурга, составил 877 млн. долл.США
до 2021 г. крупнейшим штрафом за утечку данных был
штраф Equifax за 2019 г. Из-за неустраненных уязвимостей
пострадали почти 150 млн человек, что вынудило
американское агенство по отчетности по потребительским
кредитам выплатить не менее 575 млн. долл.США

3.

Компенсация ущерба субъекту ПДн за
утечку
•Министр цифрового развития Шадаев М.:
Решение об оборотных штрафах за утечку
ПДн примут до конца 2024 г.
•Петербуржец
требовал
от
компании
«Яндекс.Еда»
возмещения
морального
вреда в размере 50 тыс. руб, суд
удовлетворил его требование частично,
снизив сумму компенсации до 5 тыс.руб.

4.

Законодательство в области обработки и
защиты ПДн
160-ФЗ от 19.12.2005 г. «О ратификации Конвенции Совета Европы о защите
физических лиц при автоматизированной обработке персональных данных»
(28.01.1981)
Директива Европейского Союза № 2002/58/ЕС «О приватности и
электронных коммуникациях» (12.07.2002)
Трудовой кодекс РФ от 30.12.2001 г. № 197-ФЗ - Глава 14 «Защита
персональных данных».
152-ФЗ от 27.07.2006 «О персональных данных»
Указ Президента РФ от 30.05.2005 г. № 609 «Об утверждении Положения о
Персональных данных государственного гражданского служащего РФ и
ведении его личного дела»
Указ Президента РФ от 17.03.2008 № 351 «О мерах по обеспечению ИБ РФ
при
использовании
информационно-телекоммуникационных
сетей
международного информационного обмена»

5.

Законодательство в области обработки и
защиты ПДн
Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении положения
об особенностях обработки ПДн, осуществляемой без использования средств
автоматизации»
Постановление Правительства РФ от 21.03.2012 года № 211 «Об утверждении
перечня мер, направленных на обеспечение выполнения обязанностей,
предусмотренных ФЗ «О ПДн» и принятыми в соответствии с ним НПА, операторами,
являющимися государственными или муниципальными органами»
Постановление Правительства РФ от 06.07.2008 № 512 «Об утверждении требований
к материальным носителям биометрических ПДн и технологиям хранения таких
данных вне ИСПДн»
Постановление Правительства РФ от 04.03.2010 г. N 125 «О перечне ПДн,
записываемых на электронные носители информации, содержащиеся в основных
документах, удостоверяющих личность гражданина РФ, по которым граждане РФ
осуществляют выезд из РФ и въезд в РФ»

6.

Законодательство в области обработки и
защиты ПДн - РКН
Приказ Роскомнадзора РФ от 5 сентября 2013 г. № 996 «Об утверждении требований
и методов по обезличиванию ПДн»
Приказ Роскомнадзора РФ от 30.05.2017 №94 «Об утверждении методических
рекомендаций по уведомлению уполномоченного органа о начале обработки ПДн и о
внесении изменений в ранее представленные сведения»
Приказ Роскомнадзора № 18 от 24.02.2021 «Об утверждении требований к
содержанию согласия на обработку ПДн, разрешенных субъектом персональных
данных для распространения»
Приказ Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке
вреда, который может быть причинен субъектам персональных данных в случае
нарушения Федерального закона «О персональных данных»
Приказ Роскомнадзора от 28.10.2022 г. № 179 "Об утверждении Требований к
подтверждению уничтожения персональных данных»
Приказ РКН от 28.10.2022 г. № 180 «Об утверждении форм уведомлений о
намерении осуществлять обработку ПДн, об изменении сведений, содержащихся в
уведомлении о намерении осуществлять обработку ПДн, о прекращении обработки
ПДн»
Приказ Роскомнадзора от 14.11.2022 г. № 187 "Об утверждении Порядка и условий
взаимодействия Федеральной службы по надзору в сфере связи, информационных
технологий и массовых коммуникаций с операторами в рамках ведения реестра учета
инцидентов в области персональных данных»

7.

Законодательство в области обработки и
защиты ПДн – ФСТЭК России
Методический
документ. Методика оценки угроз безопасности
информации, утвержден ФСТЭК России 05.02.2021 г.
Требования к защите ПДн при их обработке в ИСПДн, утверждены
постановлением Правительства РФ от 1.11.2012 г. № 1119;
Об утверждении Состава и содержания организационных и
технических мер по обеспечению безопасности персональных данных
при их обработке в информационных системах персональных данных,
утверждены приказом ФСТЭК России от 18.02.2013 г. № 21;
Требования о ЗИ, не составляющей гос. тайну, содержащейся в ГИС,
утверждены приказом ФСТЭК России от 11.02.2013 г. № 17;
Методический документ «Меры защиты информации в
государственных информационных системах» (утверждено ФСТЭК
11.02.2014)
Информационное сообщение по вопросам ЗИ и ОБ ПДн при их
обработке в ИС в связи с изданием приказа ФСТЭК России №17 и №21
от 15 июля 2013 г. № 240/22/2637.

8.

Законодательство в области обработки и
защиты ПДн – ФСБ России
Приказ ФСБ России от 09.02.2005 № 66 «Об утверждении Положения
о
разработке,
производстве,
реализации
и
эксплуатации
шифровальных (криптографических) средств защиты информации.
(Положение ПКЗ 200)»
Приказ ФСБ России от 10.07.2014 г. N 378 «Об утверждении Состава и
содержания организационных и технических мер по обеспечению
безопасности ПДн при их обработке в информационных системах ПДн
(ИСПДн) с использованием средств криптографической защиты
информации, необходимых для выполнения установленных
Правительством РФ требований к защите ПДн для каждого из уровней
защищенности».
Приказ ФСБ России от 24.10.2022 № 524 «Об утверждении
Требований о защите информации, содержащейся в государственных
информационных системах, с использованием шифровальных
(криптографических) средств»

9.

Законодательство в области обработки и
защиты ПДн - Минцифры
Приказ
Минцифры России от 12.05.2023 N 453 "О порядке обработки
биометрических персональных данных и векторов единой биометрической
системы в единой биометрической системе и в информационных системах
аккредитованных государственных органов, центрального банка Российской
Федерации в случае прохождения им аккредитации, организаций,
осуществляющих аутентификацию на основе биометрических персональных
данных физических лиц»

10.

Стороны взаимоотношений
Персональные данные – любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных
данных).
Субъекты ПДн
Операторы ПДн
лица, к которым
относятся
соответствующие
данные, и их
наследники
государственный орган, муниципальный
орган, ЮЛ или ФЛ, самостоятельно или
совместно с другими лицами
организующие и (или) осуществляющие
обработку ПДн, а также определяющие
цели обработки ПДн, состав ПДн,
подлежащих обработке, действия
(операции), совершаемые с ПДн.

11.

Категории обрабатываемых персональных данных
№ 152-ФЗ от 27.07.2006
Общедоступные (ст. 8)
• ФИО, год и место рождения, адрес, паспортные данные, ИНН, СНИЛС, номер
телефона, семейное положение, сведения об образовании и квалификации,
трудовая деятельность, размер зарплаты и т.д.
Специальные (ст. 10, п. 1)
• расовая, национальная принадлежности, политические взгляды, религиозные
или философские убеждения, состояние здоровья и т.д.
Биометрические (ст. 11, п. 1)
• Сведения, характеризующие физиологические и биологические особенности
человека, на основании которых можно установить его личность и которые
используются оператором для установления личности субъекта ПДн, кроме
фото- и видеозаписей с массовых и публичных мероприятий
Иные
• Остальные ПДн

12.

Матрица персональных данных
Идентификаторы, присваиваемые государством
рабочей группы по созданию МПДн, РКН, 2014)
(решение
• Номер и серия паспорта, СНИЛС, ИНН, биометрические
данные, банковский счет, номер банковской карты
ПДн
• Фамилия, имя, отчество, дата рождения + любая
информация, выделяющая субъекта из уже ограниченного
круга лиц
По отдельности не являются ПДн
• Фамилия, имя, отчество; адрес проживания; адрес
электронной почты; номер контактного телефона; дата
рождения

13.

Обязанности оператора на этапе сбора ПДн
сообщить субъекту о факте обработки,
и методах совершения операций;
целях
получить добровольное согласие на использование
сведений;
при необходимости разъяснить последствия отказа
от предоставления ПДн;
обеспечить хранение, извлечение, обновление
и другие действия с данными на серверах,
расположенных в пределах РФ.

14.

Случаи обработки ПДн без согласия
субъекта ПДн
на основании ФЗ, устанавливающего ее цель, условия получения ПДн и круг
субъектов, ПДн которых подлежат обработке, а также определяющего полномочия
оператора;
в целях исполнения договора, одной из сторон которого является субъект ПДн;
для статистических или иных научных целей при условии обязательного
обезличивания ПДн;
для защиты жизни, здоровья или иных жизненно важных интересов субъекта
ПДн, если получение согласия субъекта ПДн невозможно;
для доставки почтовых отправлений организациями почтовой связи, для
осуществления операторами электросвязи расчетов с пользователями услуг связи
за оказанные услуги связи, а также для рассмотрения претензий пользователей
услугами связи;
в целях профессиональной деятельности журналиста либо в целях научной,
литературной или иной творческой деятельности при условии, что при этом не
нарушаются права и свободы субъекта ПДн.
для опубликования в соответствии с ФЗ, в т.ч. ПДн лиц, замещающих
государственные должности, должности государственной гражданской службы,
ПДн кандидатов на выборные государственные или муниципальные должности.

15.

Случаи ограничения прав субъектов ПДн
на доступ к его ПДн
обработка ПДн, в т.ч. ПДн, полученных в результате
оперативно-розыскных, контрразведывательной и
разведывательной деятельности, осуществляется в
целях обороны страны, безопасности государства и
охраны правопорядка;
обработка ПДн осуществляется органами для
задержания субъекта ПДН по подозрению в
совершении преступления, либо обвинении по
уголовному делу и т.п.
предоставление ПДн нарушает конституционные
права и свободы других лиц.

16.

Обязанности оператора
Уведомления в РКН, Приказ РКН № 94, 180
Согласия, Приказ РКН № 18
Уничтожать ПДн, Приказ РКН № 179
Обезличивать ПДн, Приказ РКН № 996
Оценивать вред, Приказ РКН № 178
Передавать информацию об инцидентах в РКН,
Приказ РКН № 187
Защита ПДн, ПП РФ № 1119, Приказы ФСТЭК и ФСБ

17.

Обязанности операторов ПДн
Приказ РКН № 180 от 28.10.2022 г.
Регистрация в Реестре РКН
• приказ о назначении ответ-го за организацию обработки ПДн;
• Уведомление о начале обработки ПДн
Наличие документов для начала обработки ПДн
• Положение о защите и обработке ПДн
• политика, регулирующая обработку ПДн (Роскомнадзор - Политика
оператора в отношении обработки персональных данных)
• форма согласия на обработку ПДн по Приказу РКН № 18 от 24.02.2021
(Роскомнадзор - Согласие на обработку персональных данных);
• Уведомления об изменении сведений (Портал персональных данных Уведомление об изменении сведений, содержащихся в уведомлении о
намерении осуществлять обработку персональных данных)
• уведомление о трансграничной передаче данных (Портал персональных
данных - Уведомление об осуществлении трансграничной передачи ПД)
• уведомление о прекращении обработки данных (Портал персональных
данных - Уведомление о прекращении обработки персональных данных)
• уведомление об уничтожении данных

18.

Обязанности операторов ПДн
Приказ РКН № 180 от 28.10.2022 г.
Наличие документов для начала обработки ПДн
• Регламент о допуске работников к обработке ПДн
• Обязательство о неразглашении ПДн (Роскомнадзор Обязательство
о
неразглашении
конфиденциальной
информации(персональных
данных), не содержащих
сведений, составляющих государственную тайну.)
• Положение о внутреннем аудите;
• инструкции по работе с ПДн в ИС;
• Положение о порядке уничтожения ПДн
• поручение
(при
передаче
полномочий
сторонней
организации).

19.

Нужно ли вносить оператора ПДн в Реестр
Портал персональных данных - Форма уведомления
Вносятся в Реестр
операторов ПДн
Не вносятся в Реестр
операторов ПДн (с
01.09.2022)
Соблюдение трудового законодательства
не предоставляются третьим лицам без
согласия субъекта и используются
оператором для исполнения и
заключения договора с субъектом (ФЛ,
общественные объединения и т.д.)
Субъект сделал свои данные
общедоступными
ПДн включены в ГИСПДн
ПДн обрабатываются без использования
средств автоматизации
ПДн – это ФИО субъектов
ПДн используются для однократного
пропуска субъекта ПДн на территорию
оператора
ПДн обрабатываются в сфере
транспортной безопасности

20.

Порядок регистрации оператора (О) ПДн в Реестре РКН
Портал персональных данных - Форма уведомления
Подготовка
и
подача
уведомления
(бумажный/электронный носители)
об
обработке
ПДн
• Наименование, адрес О
• Цель обработки ПДн
• Описание мер по обеспечению безопасности
• ФИО, контакты ответственных
• Дата начала обработки ПДн, срок / условия прекращения
• Сведения о трансграничной передаче
Внесение сведений в Реестр РКН
• РКН вносит данные О в Реестр в течение 30 дней с даты поступления
уведомления
• Запрос от РКН для уточнения сведений

21.

Группы целей по обработке ПДн
1 Цели сбора и обработки ПДн клиентов или
контрагентов
2 Цели сбора и обработки ПДн настоящих и бывших
сотрудников, членов их семьи
3 Цели сбора и обработки ПДн кандидатов на
замещение вакансий
4 Цели сбора и обработки ПДн пользователей сайта

22.

Группы целей по обработке ПДн
1 Цели сбора и обработки ПДн клиентов или контрагентов
• Обеспечение соблюдения законодательства
• Принятие решения о заключении договоров, их исполнения и расторжения
• Обеспечение пропускного и внутриобъектового режима
• Обеспечение привлечения подрядчиков
• Реализация прав и обязанностей компании
• Оказание услуг
• Связь с контрагентами
2 Цели сбора и обработки ПДн настоящих и бывших сотрудников, членов
их семьи
• Обеспечение соблюдения законодательства
• Обеспечение функций, полномочий, обязанностей согласно законодательству
• Регулирование трудовых отношений
• Предоставление работникам и их семьям социальных гарантий
• Обеспечение пропускного и внутриобъектового режимов
• Формирование справочных материалов для внутреннего информационного обеспечения
деятельности компании

23.

Группы целей по обработке ПДн
3 Цели сбора и обработки ПДн кандидатов на
замещение вакансий
• Содействие в трудоустройстве, принятие решений о заключении
трудовых договоров
• Обеспечение пропускного и внутриобъектового режима
• Реализация прав и обязанностей ЮЛ
4 Цели сбора и обработки ПДн пользователей сайта
• Реализация прав и обязанностей ЮЛ
• Принятие решения о заключении договоров с клиентами или
контрагентами
• Связь с представителями потенциальных клиентов и контрагентов
• Улучшение качества услуг организации

24.

Действия с ПДн
№ 152-ФЗ от 27.07.2006
Обработка
Распростр
анение
Использов
ание
Блокирова
ние
Уничтожен
ие
Обезличив
ание
Трансгран
ичная
передача

25.

Основные понятия
№ 152-ФЗ от 27.07.2006
Обработка ПДн – действия (операции) с ПДн, включая сбор,
систематизацию, накопление, хранение, уточнение (обновление,
изменение), использование, распространение (в т.ч. передачу),
обезличивание, блокирование, уничтожение ПДн.
Распространение ПДн – действия, направленные на передачу ПДн
определенному кругу лиц (передача ПДн) или на ознакомление с
ПДн неограниченного круга лиц, в т.ч. обнародование ПДн в СМИ,
размещение в информационно-телекоммуникационных сетях или
предоставление доступа к ПДн каким—либо иным способом.
Использование ПДн – действия (операции) с ПДн, совершаемые
оператором в целях принятия решений или совершения иных
действий, порождающих юридические последствия в отношении
субъекта ПДн или других лиц либо иным образом затрагивающих
права и свободы субъекта ПДн или других лиц.

26.

Основные понятия
№ 152-ФЗ от 27.07.2006
Блокирование ПДн – временное прекращение сбора,
систематизации,
накопления,
использования,
распространения ПДн, в т.ч. их передачи.
Уничтожение ПДн – действия, в результате которых
невозможно
восстановить
содержание
ПДн
в
информационной системе ПДн или в результате которых
уничтожаются материальные носители ПДн.
Обезличивание ПДн – действия, в результате которых
невозможно
определить
принадлежность
ПДн
конкретному субъекту ПДн.
Трансграничная передача ПДн – передача ПДн
оператором через Государственную границу РФ органу
власти иностранного государства, физическому или
юридическому лицу иностранного государства.

27.

Принципы процесса обработки ПДн
Законность
Соответствие
целей
Достоверность,
достаточность
Соответствие
способа целям
обработки
Недопустимост
ь объединения

28.

Случаи и сроки уничтожения ПДн
Срок уничтожения ПДн
30 дней
договору
Случаи уничтожения ПДн
или срок по С даты достижения цели обработки ПДн
10 рабочих дней (продление С даты обращения субъекта ПДн с требованием
на 5 рабочих дней)
прекратить обработку ПДн
10 рабочих дней
С даты выявления неправомерной обработки
ПДн
7 рабочих дней
Со дня предоставления субъектом ПДн
сведений, подтверждающих, что ПДн были
получены незаконно или не являются
необходимыми для заявленной цели обработки
Если оператор не может уничтожить ПДн в указанные сроки, то он обязан блокировать
доступ к ним, а затем уничтожить их в течение 6 месяцев (ч. 6 ст. 21 Закона № 152-ФЗ)

29.

Порядок уничтожения ПДн
Разработка
Положения
(случаи
уничтожения,
методы и т.д.)
Создание
комиссии
по
уничтожени
ю ПДн
документальное
оформление процесса
уничтожения
(Акт/журнал
регистрации событий –
хранение 3 года)
Составление
перечня
документов
(носителей),
подлежащих
уничтожению
Определение
методов
уничтожения
установленного
перечня документов

30.

Методы обезличивания ПДн
Приказ Роскомнадзора РФ от 5 сентября 2013 г. № 996
Замена данных идентификаторами (условными
обозначениями)
Замена семантики (обобщение,
удаление части данных)
изменение,
Декомпозиция – деление данных на части и
обработка в разных информационных системах
Перемешивание данных

31.

Примеры обезличивания ПДн

32.

Примеры обезличивания ПДн

33.

Примеры обезличивания ПДн

34.

Примеры обезличивания ПДн

35.

Порядок оценки вреда субъектам ПДн
Определение типов ПДн, которые обрабатываются в ИС и
категорий субъектов ПДн
Оценка степени вреда, Акт оценки вреда (ответственный или
комиссия)
• Наименование оператора или ФИО
• Дата издания Акта оценки вреда
• Дата проведения оценки вреда
• ФИО, должности и подписи лиц, оценивавших вред
Определение
мер
для
предотвращения
безопасности ПДн и минимизации вреда
Разработка плана мероприятий
нарушения

36.

Степени вреда субъектам ПДн
высокая
Обработка
биометрических,
специальных данных
Обработка ПДн
несовершеннолетних
Обезличивание ПДн
Поручение
иностранному лицу
осуществлять
обработку ПДн
Сбор ПДн с
использованием
зарубежных баз
данных
средняя
Распространение ПДн
на официальном сайте
оператора
Обработка ПДн в
дополнительных целях
Использование баз
ПДн другого оператора
Получение согласия на
официальном сайте
оператора
низкая
Ведение
общедоступных
источников ПДн
Назначение в качестве
ответственного за
обработку ПДн
сотрудника, не
являющегося штатным

37.

Ответственность
Административная
• ст. 13.11 КоАП РФ – до 18 млн. руб.
Уголовная
• ст. 137 УК РФ – до 5 лет лишения свободы
• Ст. 272 ФЗ от 26.11.2024 О внесении изменений в УК РФ (принят
Государственной Думой)
Гражданско-правовая
• ст. 15, 151 ГК РФ – возмещение убытков
Дисциплинарная
• ст. 81 ТК РФ – вплоть до увольнения

38.

Ответственность за незаконное использование и(или) передача, сбор и (или)
хранение компьютерной информации, содержащей ПДн, … (ст. 272 УК РФ)
п. 1 Незаконные использование и (или)
передача (распространение, предоставление,
доступ), сбор и (или) хранение компьютерной
информации, содержащей ПДн, полученные
путем неправомерного доступа к средствам ее
обработки, хранения или иного вмешательства
в их функционирование либо иным незаконным
путем, … обработки
- штраф 300 тыс. руб
- в размере заработной платы или иного дохода
осужденного за период до 1 года
- принудительные работы до 4 лет
- лишение свободы до 4 лет
п. 2 … в отношении несовершеннолетних лиц, - штраф 700 тыс. руб
специальных категорий ПДн, биометрических - в размере заработной платы или иного дохода
ПДн
осужденного за период до 2 лет с лишением
занимать должности и заниматься опред.деятю до 2 лет
- принудительные работы до 5 лет
- лишение свободы до 5 лет
п.
3
+
совершенные
из
корыстной
заинтересованности, с причинением крупного
ущерба, группой лиц по предварительному
сговору, с использованием своего служебного
положения
- штраф до 1 млн руб
- в размере заработной платы или иного дохода
осужденного за период до 3 лет с лишением
занимать должности и заниматься опред.деятю до 3 лет
- принудительные работы до 5 лет со штрафом,
и лишение права на должность и деятельность
- лишение свободы до 6 лет со штрафом, и
лишение права на должность и деятельность

39.

Ответственность за размещение ПДн
ст. 13.11 КоАП
Для граждан
Предупреждение или штраф (3 тыс. – 5 тыс. руб)
Для должностных лиц
Предупреждение или штраф (10 тыс. – 20 тыс. руб)
Для юридических лиц
Предупреждение или штраф (15 тыс. – 75 тыс. руб)
Ужесточение ответственности
Для граждан
штраф (6 тыс. – 10 тыс. руб)
Для должностных лиц
штраф (20 тыс. – 40 тыс. руб)
Для юридических лиц
штраф (30 тыс. – 150 тыс. руб)
Ужесточение ответственности при повторных нарушениях
Для граждан
штраф (10 тыс. – 20 тыс. руб)
Для должностных лиц
штраф (40 тыс. – 100 тыс. руб)
Для ИП
штраф (100 тыс. – 300 тыс. руб)
Для юридических лиц
штраф (300 тыс. – 500 тыс. руб)

40.

Подзаконные акты ФСТЭК России
Требования к защите ПДн при их обработке в ИСПДн, утверждены
постановлением Правительства РФ от 1.11.2012 г. № 1119;
Методический документ. Методика оценки угроз безопасности
информации, утвержден ФСТЭК России 05.02.2021 г.
Об утверждении Состава и содержания организационных и
технических мер по обеспечению безопасности персональных данных
при их обработке в информационных системах персональных данных,
утверждены приказом ФСТЭК России от 18.02.2013 г. № 21;
Требования о ЗИ, не составляющей гос. тайну, содержащейся в ГИС,
утверждены приказом ФСТЭК России от 11.02.2013 г. № 17;
Методический документ «Меры защиты информации в
государственных информационных системах» (утверждено ФСТЭК
11.02.2014)
Информационное сообщение по вопросам ЗИ и ОБ ПДн при их
обработке в ИС в связи с изданием приказа ФСТЭК России №17 и №21
от 15 июля 2013 г. № 240/22/2637.

41.

Обязанности операторов ПДн
Уровень
защищеннос
ти ПДн
• ПП РФ 1119 от 01.11.2012
• Перечень ИСПДн
• Акт определения УЗ ПДн ИСПДн
Модель
угроз
• Методика оценки УБИ от 05.02.2021
Реализация
мер ЗИ
• Приказ ФСТЭК 21 и 17
• ЛНА, записи

42.

Классификация ИСПДн
ПП РФ № 1119 от 1.11.2012
ИС,
обрабатывающая
специальные
категории ПДн
ИС,
обрабатывающая
биометрические
ПДн
ИС,
обрабатывающая
общедоступные
ПДн
ИС,
обрабатывающая
иные категории
ПДн

43.

Актуальные угрозы безопасности ПДн
ПП РФ № 1119 от 1.11.2012
Угрозы 1 типа
• актуальны для ИС, если для нее в том числе актуальны угрозы,
связанные с наличием недокументированных (недекларированных)
возможностей в системном ПО, используемом в ИС
Угрозы 2 типа
• актуальны для ИС, если для нее в том числе актуальны угрозы,
связанные с наличием недокументированных (недекларированных)
возможностей в прикладном ПО, используемом в ИС.
Угрозы 3 типа
• актуальны для ИС, если для нее актуальны угрозы, не связанные с
наличием
недокументированных
(недекларированных)
возможностей в системном и прикладном ПО, используемом в ИС.

44.

Определение уровня защищенности
ПП РФ № 1119 от 1.11.2012
Тип
ИСПДн
ИСПДн-С
Категории
субъектов
Не сотрудники
сотрудники
ИСПДн-Б
Не сотрудники
сотрудники
ИСПДн-И
Не сотрудники
сотрудники
ИСПДн-О
Не сотрудники
сотрудники
Количество
субъектов
Тип актуальных угроз
1 тип
2 тип
3 тип
Более 100 тыс.
УЗ 1
УЗ 1
УЗ 2
Менее 100 тыс.
УЗ 1
УЗ 2
УЗ 3
Любое
Более 100 тыс.
УЗ 1
УЗ 1
УЗ 2
УЗ 2
УЗ 3
УЗ 3
Менее 100 тыс.
УЗ 1
УЗ 2
УЗ 3
Любое
Более 100 тыс.
УЗ 1
УЗ 1
УЗ 2
УЗ 2
УЗ 3
УЗ 3
Менее 100 тыс.
УЗ 1
УЗ 3
УЗ 4
Любое
Более 100 тыс.
УЗ 1
УЗ 2
УЗ 3
УЗ 2
УЗ 4
УЗ 4
Менее 100 тыс.
УЗ 2
УЗ 3
УЗ 4
Любое
УЗ 2
УЗ 3
УЗ 4
English     Русский Rules