Similar presentations:
Обработка хранение и использование персональных данных
1. Обработка, хранение и использование ПДн
2. Персональные данные:
любые сведения, относящиеся к прямоили косвенно определённому или
определяемому
физическому
лицу
(субъекту
персональных
данных),
которые
предоставляются
другому
физическому или юридическому лицу
либо лицам.
Федеральный закон Российской Федерации от 27 июля
2006 г. 152-ФЗ «О персональных данных»
3. Контролирующие органы
Роскомнадзор (неавтоматизированный(бумажный) документооборот)
ФСТЭК (автоматизированный
документооборот)
ФСБ (средства шифрования: VipNet, CryptoPro
и другие)
4. Требования к обработке ПДн
Постановление Правительства от 01.11.2012 г.№ 1119 (Требования к защите)
Приказ ФСТЭК №17 (Требования к защите
ГИС)
Постановление Правительства от 06.05.2016 г.
№ 399 (О повышении квалификации)
Приказ ФСТЭК № 21 (Перечень мер)
Постановление Правительства РФ от
от 21.03.2012 г. № 211 (Перечень мер по
защите для госорганов)
Приказ ФСБ от 10.07.2014 г. № 378
(Шифрование)
5. Виды ПДн
Специальные категории персональных данных –сведения, касающиеся расовой, национальной
принадлежности, политических взглядов,
религиозных или философских убеждений,
состояния здоровья, интимной жизни
Биометрические персональные данные - сведения,
которые характеризуют физиологические и
биологические особенности человека, на основании
которых можно установить его личность
Общедоступные персональные данные –
сведения, доступ к которым открыт субъектом
персональных данных или на основании закона
6. Действие ФЗ «О персональных данных» не распространяется на отношения, возникающие при:
обработке ПД физическими лицами для личных исемейных нужд, если при этом не нарушаются права
субъектов ПДн
организации хранения, комплектования, учета и
использования содержащих ПД документов Архивного
фонда РФ и других архивных документов в соответствии
с законодательством об архивном деле в РФ
обработке персональных данных, отнесенных к
сведениям, составляющим государственную тайну
предоставлении уполномоченными органами
информации о деятельности судов в Российской
Федерации в соответствии с ФЗ от 22 декабря 2008 года
№ 262-ФЗ «Об обеспечении доступа к информации о
деятельности судов в Российской Федерации»
7. Документы, необходимые организации для обработки ПДн:
Положение об обработке ПДн (размещается на сайте)Приказ о назначении ответственных
Обязательство о неразглашении ПДн
Согласие на обработку персональных данных
Правила рассмотрения запросов субъектов ПДн
Правила осуществления внутреннего контроля
План мероприятий по защите ПДн (составляется ежегодно)
Перечни: обрабатываемых данных, помещений, АРМ, СЗИ,
допущенных лиц, ИСПДн
Журналы учета: съемных носителей, прав доступа, средств
защиты, регистрации нарушений, учета запросов.
Формы запросов: о наличии и ознакомлении с ПДн, на уточнение,
на уничтожение, на блокирование, отзыва согласия на обработку
ПДн.
Инструкции: ответственных за обработку, пользователей, по учету
съемных носителей, по резервному копированию, по антивирусной
защите.
8. Создание ИСПДн
Подготовка организационно-распорядительнойдокументации
Создание системы защиты информации
организационными и техническими мерами
Регистрация в Роскомнадзоре
Аттестация (с 2013 (приказ ФСТЭК №17)
обязательна только для ГИС, выполняет
лицензиат)
9. Этапы обработки ПДн
Получение (курьер, почта, лично, каналысвязи)
Обезличивание (при необходимости)
Обработка
Хранение
Уничтожение или передача в архив
10. Этапы обработки ПДн
11. Методы обезличивания
метод введения идентификаторов (замена частисведений идентификаторами с созданием таблицы
соответствия идентификаторов исходным данным)
метод изменения состава или семантики (изменение
состава или семантики персональных данных путем
замены результатами статистической обработки,
обобщения или удаления части сведений)
метод декомпозиции (разбиение массива персональных
данных на несколько частей с их последующим
раздельным хранением)
метод перемешивания (перестановка отдельных
записей, а также групп записей в массиве персональных
данных)
Приказ Роскомнадзора от 05.09.2013 N 996 "Об утверждении
требований и методов по обезличиванию персональных данных"
12. Примеры обезличивания
метод введения идентификаторов (замена частисведений идентификаторами с созданием таблицы
соответствия идентификаторов исходным данным)
13. Примеры обезличивания
метод перемешивания (перестановка отдельныхзаписей, а также групп записей в массиве персональных
данных)
14. Способы уничтожения
Физическое уничтожение носителяУничтожение информации с носителя
Уничтожение материального носителя
Бумажный носитель. Используются 2 вида уничтожения:
уничтожение через шредирование (измельчение и гидрообработка)
и уничтожение через термическую обработку (сжигание).
Электронный носитель. Уничтожение заключается в таком
воздействии на рабочие слои дисков, в результате, которого
разрушается физическая, магнитная или химическая структура
рабочего слоя. Примерами могут быть: механическое разрушение
дисков (прессование, механическое эрозирование поверхности —
пескоструй, ультразвуковое и электрохимическое эрозирование),
химическое травление в агрессивных средах и обжиг или
переплавка дисков. Съём данных с магнитных дисков,
подвергшихся таким воздействиям, становится невозможным.
Уничтожение информации с носителя
Существует множество алгоритмов, в том числе
стандартизированные, которые многократно перезаписывают
носитель набором данных (случайных или закономерных)