Обработка, хранение и использование ПДн
Персональные данные:
Контролирующие органы
Требования к обработке ПДн
Виды ПДн
Действие ФЗ «О персональных данных» не распространяется на отношения, возникающие при:
Документы, необходимые организации для обработки ПДн:
Создание ИСПДн
Этапы обработки ПДн
Этапы обработки ПДн
Методы обезличивания
Примеры обезличивания
Примеры обезличивания
Способы уничтожения
611.47K
Categories: informaticsinformatics lawlaw

Обработка хранение и использование персональных данных

1. Обработка, хранение и использование ПДн

2. Персональные данные:

любые сведения, относящиеся к прямо
или косвенно определённому или
определяемому
физическому
лицу
(субъекту
персональных
данных),
которые
предоставляются
другому
физическому или юридическому лицу
либо лицам.
Федеральный закон Российской Федерации от 27 июля
2006 г. 152-ФЗ «О персональных данных»

3. Контролирующие органы

Роскомнадзор (неавтоматизированный
(бумажный) документооборот)
ФСТЭК (автоматизированный
документооборот)
ФСБ (средства шифрования: VipNet, CryptoPro
и другие)

4. Требования к обработке ПДн

Постановление Правительства от 01.11.2012 г.
№ 1119 (Требования к защите)
Приказ ФСТЭК №17 (Требования к защите
ГИС)
Постановление Правительства от 06.05.2016 г.
№ 399 (О повышении квалификации)
Приказ ФСТЭК № 21 (Перечень мер)
Постановление Правительства РФ от
от 21.03.2012 г. № 211 (Перечень мер по
защите для госорганов)
Приказ ФСБ от 10.07.2014 г. № 378
(Шифрование)

5. Виды ПДн

Специальные категории персональных данных –
сведения, касающиеся расовой, национальной
принадлежности, политических взглядов,
религиозных или философских убеждений,
состояния здоровья, интимной жизни
Биометрические персональные данные - сведения,
которые характеризуют физиологические и
биологические особенности человека, на основании
которых можно установить его личность
Общедоступные персональные данные –
сведения, доступ к которым открыт субъектом
персональных данных или на основании закона

6. Действие ФЗ «О персональных данных» не распространяется на отношения, возникающие при:

обработке ПД физическими лицами для личных и
семейных нужд, если при этом не нарушаются права
субъектов ПДн
организации хранения, комплектования, учета и
использования содержащих ПД документов Архивного
фонда РФ и других архивных документов в соответствии
с законодательством об архивном деле в РФ
обработке персональных данных, отнесенных к
сведениям, составляющим государственную тайну
предоставлении уполномоченными органами
информации о деятельности судов в Российской
Федерации в соответствии с ФЗ от 22 декабря 2008 года
№ 262-ФЗ «Об обеспечении доступа к информации о
деятельности судов в Российской Федерации»

7. Документы, необходимые организации для обработки ПДн:

Положение об обработке ПДн (размещается на сайте)
Приказ о назначении ответственных
Обязательство о неразглашении ПДн
Согласие на обработку персональных данных
Правила рассмотрения запросов субъектов ПДн
Правила осуществления внутреннего контроля
План мероприятий по защите ПДн (составляется ежегодно)
Перечни: обрабатываемых данных, помещений, АРМ, СЗИ,
допущенных лиц, ИСПДн
Журналы учета: съемных носителей, прав доступа, средств
защиты, регистрации нарушений, учета запросов.
Формы запросов: о наличии и ознакомлении с ПДн, на уточнение,
на уничтожение, на блокирование, отзыва согласия на обработку
ПДн.
Инструкции: ответственных за обработку, пользователей, по учету
съемных носителей, по резервному копированию, по антивирусной
защите.

8. Создание ИСПДн

Подготовка организационно-распорядительной
документации
Создание системы защиты информации
организационными и техническими мерами
Регистрация в Роскомнадзоре
Аттестация (с 2013 (приказ ФСТЭК №17)
обязательна только для ГИС, выполняет
лицензиат)

9. Этапы обработки ПДн

Получение (курьер, почта, лично, каналы
связи)
Обезличивание (при необходимости)
Обработка
Хранение
Уничтожение или передача в архив

10. Этапы обработки ПДн

11. Методы обезличивания

метод введения идентификаторов (замена части
сведений идентификаторами с созданием таблицы
соответствия идентификаторов исходным данным)
метод изменения состава или семантики (изменение
состава или семантики персональных данных путем
замены результатами статистической обработки,
обобщения или удаления части сведений)
метод декомпозиции (разбиение массива персональных
данных на несколько частей с их последующим
раздельным хранением)
метод перемешивания (перестановка отдельных
записей, а также групп записей в массиве персональных
данных)
Приказ Роскомнадзора от 05.09.2013 N 996 "Об утверждении
требований и методов по обезличиванию персональных данных"

12. Примеры обезличивания

метод введения идентификаторов (замена части
сведений идентификаторами с созданием таблицы
соответствия идентификаторов исходным данным)

13. Примеры обезличивания

метод перемешивания (перестановка отдельных
записей, а также групп записей в массиве персональных
данных)

14. Способы уничтожения

Физическое уничтожение носителя
Уничтожение информации с носителя
Уничтожение материального носителя
Бумажный носитель. Используются 2 вида уничтожения:
уничтожение через шредирование (измельчение и гидрообработка)
и уничтожение через термическую обработку (сжигание).
Электронный носитель. Уничтожение заключается в таком
воздействии на рабочие слои дисков, в результате, которого
разрушается физическая, магнитная или химическая структура
рабочего слоя. Примерами могут быть: механическое разрушение
дисков (прессование, механическое эрозирование поверхности —
пескоструй, ультразвуковое и электрохимическое эрозирование),
химическое травление в агрессивных средах и обжиг или
переплавка дисков. Съём данных с магнитных дисков,
подвергшихся таким воздействиям, становится невозможным.
Уничтожение информации с носителя
Существует множество алгоритмов, в том числе
стандартизированные, которые многократно перезаписывают
носитель набором данных (случайных или закономерных)
English     Русский Rules