Нормативная правовая база защиты персональных данных

1. Государственное бюджетное профессиональное образовательное учреждение «Сахалинский промышленно-экономический техникум»

Презентация к учебному занятию по дисциплине «Информационная
безопасность и защита информации»
На тему: «Нормативная
правовая база защиты
персональных данных»
Подготовил:
Преподаватель ГБПОУ СПЭТ
Грудкин Е.А.

2. Нормативная правовая база защиты персональных данных

Схема нормативной правой базы защиты ПДн
Защита персональных данных
Юридические особенности
обработки ПДн
Требования по организации
защиты ПДн
Конституция Российской Федерации
Ратифицированные международные
договоры
Федеральные законы
Указы и распоряжения Президента РФ
Постановления и распоряжения
Правительства РФ
Ведомственные документы

3. Нормативная правовая база защиты персональных данных

Основные законы
1.
Конституция Российской Федерации, от 12.12.1993 (с поправками от 30 декабря
2008 г.).
2.
Конвенция совета Европы «О защите физических лиц при автоматизированной
обработке
персональных
данных»
(Convention for the Protection of Individuals with regard to Automatic Processing ETS
108) Страсбург, 28 января 1981 года. Подписана Россией 7 ноября 2001 г.
3.
Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета
Европы о защите физических лиц при автоматизированной обработке
персональных данных».
4.
Федеральный
закон
от
27.07.2006
г.
«О персональных данных» (с изменениями и дополнениями).
5.
Гражданский кодекс Российской Федерации. Часть первая от 30.11.94 г. № 51ФЗ. Часть вторая от 26.01.96 г. № 14-ФЗ. Часть третья от 26.11.2001 г. № 146-ФЗ.
Часть четвертая от 18.12.2006 г. № 230-ФЗ (с изменениями и дополнениями)
6.
Трудовой
кодекс
Российской
Федерации
№ 197-ФЗ (ТК РФ) (с изменениями и дополнениями)
от
№
152-ФЗ
30.12.2001
г.

4. Нормативная правовая база защиты персональных данных

Основные законы
7. Кодекс
Российской
Федерации
об
административных
правонарушениях
от
30.12.2001 г. № 195-ФЗ (КоАП РФ) (с изменениями и
дополнениями).
8. Уголовный кодекс Российской Федерации от
13.06.1996
г.
№ 63-ФЗ (УК РФ) (с изменениями и дополнениями).
9. Федеральный закон от 27.07.2006 г. № 149-ФЗ
«Об информации, информационных технологиях
и о защите информации».
10.…
и
другие
Законы
регламентирующие
особенности обработки персональных данных,
права субъектов персональных данных и
ограничение прав субъектов персональных данных.

5. Нормативная правовая база защиты персональных данных

Указы Президента и Постановления Правительства
1.
2.
3.
4.
5.
Указ Президента РФ от 06.03.1997 г. № 188 «Об утверждении перечня
сведений конфиденциального характера» (с изменениями от 23 сентября
2005 г.)
Постановление Правительства РФ от 17.11.2007 г. № 781 «Об утверждении
Положения об обеспечении безопасности персональных данных при их
обработке в информационных системах персональных данных»
Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении
Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации»
Постановление Правительства РФ от 06.07.2008 г. № 512 «Об утверждении
требований к материальным носителям биометрических персональных
данных и технологиям хранения таких данных вне информационных
систем персональных данных»
Административный регламент проведения проверок Федеральной службой по
надзору в сфере связи, информационных технологий и массовых коммуникаций при
осуществлении федерального государственного контроля (надзора) за соответствием
обработки персональных данных требованиям законодательства Российской
Федерации в области персональных данных (утвержден приказом Федеральной
службы по надзору в сфере связи, информационных технологий и массовых
коммуникаций от 01.12.2009 № 630)

6. Нормативная правовая база защиты персональных данных

Нормативные документы по защите ПДн
10. Приказ ФСТЭК, ФСБ РФ и Министерства информационных технологий и связи
РФ от 13.02.2008 г. № 55/86/20 «Об утверждении Порядка проведения
классификации информационных систем персональных данных»
СПЕЦИАЛЬНЫЕ ДОКУМЕНТЫ ФСТЭК России по защите ПДн
11. Приказ ФСТЭК от 05.02.2010 г. № 58 «Об утверждении Положения о методах
и способах защиты информации в информационных системах
персональных данных». Зарегистрировано в Минюсте РФ 19 февраля 2010 г.
Регистрационный N 16456
12. Базовая модель угроз безопасности персональных данных при их обработке
в информационных системах персональных данных. Утверждена
заместителем директора ФСТЭК России 15.02.2008 г. ДСП. (есть открытая
выписка)
13. Методика определения актуальных угроз безопасности персональных
данных при их обработке в информационных системах персональных данных.
Утверждена заместителем директора ФСТЭК России 14.02.2008 г.

7. Нормативная правовая база защиты персональных данных

Нормативные документы по защите ПДн
ДОКУМЕНТЫ ФСБ России по криптозащите ПДн
15.Приказ ФСБ России от 09.02.2005 г. N 66 «Об утверждении Положения о разработке,
производстве, реализации и эксплуатации шифровальных (криптографических)
средств защиты информации (Положение ПКЗ-2005)»
16.Типовые требования по организации и обеспечению функционирования
шифровальных (криптографических) средств, предназначенных для защиты
информации, не содержащей сведений, составляющих государственную тайну, в случае
их использования для обеспечения безопасности персональных данных при их
обработке в информационных системах персональных данных. № 149/6/6-622, 2008 г.,
ФСБ России.
17.Методические рекомендации по обеспечению с помощью криптосредств безопасности
персональных данных при их обработке в информационных системах персональных
данных с использованием средств автоматизации. № 149/54-144, 2008 г. ФСБ России.
18.Типовой регламент проведения в пределах полномочий мероприятий по контролю
(надзору) за выполнением требований, установленных Правительством Российской
Федерации, к обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных № 149/7/2/6-1173 08 августа 2009 г.

8. Нормативная правовая база защиты персональных данных

Нормативные документы по защите ПДн
Статья 23
1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну,
защиту своей чести и доброго имени.
Статья 24
2. Сбор, хранение, использование и распространение информации о частной жизни лица без его
согласия не допускаются.
Трудовой кодекс Российской Федерации
Глава 14. Защита персональных данных работника
Устанавливает:
Понятие персональных данных работника и обработку персональных данных
работника.
Общие требования при обработке персональных данных работника и гарантии
их защиты.
Хранение и использование персональных данных работников.
Передача персональных данных работника.
Права работников в целях обеспечения защиты персональных данных,
хранящихся у работодателя.
Ответственность за нарушение норм, регулирующих обработку и защиту
персональных данных работника.

9. Нормативная правовая база защиты персональных данных

ФЗ «Об информации, информационных технологиях и о защите
информации»
Регулирует отношения, возникающие при:
1.
2.
3.
осуществлении права на поиск, получение,
распространение информации;
применении информационных технологий;
обеспечении защиты информации.
передачу,
производство
и
Основные определения
информация – сведения (сообщения, данные) независимо от формы их
представления;
информационные технологии - процессы, методы поиска, сбора, хранения,
обработки, предоставления, распространения информации и способы осуществления
таких процессов и методов;
информационная система - совокупность содержащейся в базах данных информации
и обеспечивающих ее обработку информационных технологий и технических средств;
обладатель информации - лицо, самостоятельно создавшее информацию либо
получившее на основании закона или договора право разрешать или ограничивать
доступ к информации, определяемой по каким-либо признакам;
доступ к информации - возможность получения информации и её использования;
оператор информационной системы - гражданин или юридическое лицо,
осуществляющие деятельность по эксплуатации информационной системы, в том
числе по обработке информации, содержащейся в ее базах данных.

10. Нормативная правовая база защиты персональных данных

Классификация информации в зависимости от порядка её
предоставления или распространения
• предоставление информации - действия, направленные на получение
информации определенным кругом лиц или передачу информации
определенному кругу лиц;
• распространение информации - действия, направленные на получение
информации неопределенным кругом лиц или передачу информации
неопределенному кругу лиц;
ИНФОРМАЦИЯ
Информация, свободно
распространяемая
Информация, предоставляемая
по соглашению лиц,
участвующих в
соответствующих отношениях
Информация,
распространение
которой в РФ
ограничивается или
запрещается
Информация, которая в
соответствии с федеральными
законами подлежит
предоставлению или
распространению

11. Нормативная правовая база защиты персональных данных

Категории информации
ИНФОРМАЦИЯ
(ст. 1 ФЗ 27.08.2006 N 149-ФЗ)
сведения (сообщения, данные) независимо от формы их представления
·
·
·
·
·
·
·
ОБЩЕДОСТУПНАЯ
(ст. 7 ФЗ 27.08.2006 N 149-ФЗ)
общеизвестные сведения и иная
информация, доступ к которой не
ограничен;
обладатель информации установил
общедоступный режим доступа.
(ст. 8 ФЗ 27.08.2006 N 149-ФЗ)
нормативные правовые акты,
затрагивающие права, свободы и
обязанности человека и гражданина, а
также устанавливающие правовое
положение организаций и полномочия
государственных органов, органов
местного самоуправления;
информация о состоянии окружающей
среды;
информация о деятельности
государственных органов и органов
местного самоуправления (за
исключением сведений, составляющих
государственную или служебную
тайну);
информация, накапливаемой в
открытых фондах библиотек, музеев и
архивов, а также в государственных,
муниципальных и иных
информационных системах, созданных
или предназначенных для обеспечения
граждан и организаций такой
информацией;
иной информации, недопустимость
ограничения доступа к которой
установлена федеральными законами.
ОГРАНИЧЕННОГО ДОСТУПА
(ст. 5 ФЗ 27.08.2006 N 149-ФЗ)
доступ к информации ограничен федеральными законами
КОНФИДЕНЦИАЛЬНАЯ
ИНФОРМАЦИЯ
Перечень сведений отнесенных к
конфиденциальной информации содержится в
Указе Президента РФ N 188 6.03.1997
ГОСУДАРСТВЕННАЯ ТАЙНА
(ст. 1 Закона РФ от 21.07.1993 N 54-85-1)
защищаемые государством сведения в области его военной, внешнеполитической,
экономической, разведывательной, контрразведывательной и оперативнорозыскной деятельности, распространение которых может нанести ущерб
безопасности Российской Федерации;
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
(ФЗ 27.07.2006 N 152-ФЗ)
Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу
(субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное,
социальное, имущественное положение, образование, профессия, доходы, другая информация;
ТАЙНА СЛЕДСТВИЯ И СУДОПРОИЗВОДСТВА
(Указ Президента РФ N 188 6.03.1997)
Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах
государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ "О
государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства" и другими
нормативными правовыми актами Российской Федерации.
СЛУЖЕБНАЯ ТАЙНА
(Указ Президента РФ N 188 6.03.1997)
Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом
Российской Федерации и федеральными законами.
ПРОФЕССИОНАЛЬНАЯ ТАЙНА
(Указ Президента РФ N 188 6.03.1997)
Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской
Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров,
почтовых отправлений, телеграфных или иных сообщений и так далее).
КОМЕРЧЕСКАЯ ТАЙНА
(ФЗ 29.07.2004 N 98-ФЗ )
Сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о
результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления
профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу
неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении
которых обладателем таких сведений введен режим коммерческой тайны.
НОУ-ХАУ
(Указ Президента РФ N 188 6.03.1997)
Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации
о них.

12. Нормативная правовая база защиты персональных данных

Обладатель информации
Права:
разрешать или ограничивать доступ к информации, определять
порядок и условия такого доступа;
использовать информацию, в том числе распространять ее, по
своему усмотрению;
передавать информацию другим лицам по договору или на ином
установленном законом основании;
защищать установленными законом способами свои права в случае
незаконного получения информации или ее незаконного
использования иными лицами;
осуществлять иные действия с информацией или разрешать
осуществление таких действий.
Обязанности:
соблюдать права и законные интересы иных лиц;
принимать меры по защите информации;
ограничивать доступ к информации, если такая обязанность
установлена федеральными законами.

13. Нормативная правовая база защиты персональных данных

Схема применения НМД по защите ПДн
Федеральный закон от 27.07.2006 г. N 152-ФЗ
«О персональных данных»
Нет
ИСПДн
с использованием средств
автоматизации?
Постановление Правительства РФ
от 15.09.2008 г. N 687
«Об утверждении Положения об
особенностях обработки
персональных данных,
осуществляемой без использования
средств автоматизации»
Постановление Правительства РФ от 6.07.2008 г. N 512
«Об утверждении требований к материальным носителям
биометрических персональных данных и технологиям хранения
таких данных вне информационных систем персональных данных»
Да
Постановление Правительства РФ от
17.11.2007 г. N 781
«Об утверждении Положения об
обеспечении безопасности
персональных данных при их
обработке в информационных системах
персональных данных»
Приказ Федеральной службы по
техническому и экспортному
контролю, ФСБ РФ и Министерства
информационных технологий и связи
РФ от 13.02.2008 г. N 55/86/20
«Об утверждении Порядка проведения
классификации информационных
систем персональных данных»
Защита от НСД
ФСТЭК
ФСБ
Модель угроз
В компетенции
ФСБ (ПКЗ-2005)?
Да
Методические
рекомендации.
Нет
Нужны СКЗИ?
Нет
Да
При
согласован
ии только
ФСБ
Приказ ФСБ
России от
21.02.2008 г. №
149/54-144
«Модель угроз
ФСБ»
Базовая модель угроз безопасности ПДн. ФСТЭК
«Модель угроз ФСТЭК»
Все остальное
РД. ФСТЭК