Защита информации и обеспечение безопасности персональных данных в образовательных организациях

Республики Коми

Министерство образования Республики Коми

I. Обзор законодательства, общие требования

1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

2. Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в

информационных системах персональных данных»

3. Постановление Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися

государственными или муниципальными органами»

4. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных

данных при их обработке в информационных системах персональных данных»

ФЗ «О персональных данных». Основные определения

• Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

• Оператор – лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных

• Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

• Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники

• Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

ФЗ «О персональных данных». Конфиденциальность персональных данных

В соответствии со статьей 7 Федерального закона «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без

согласия субъекта персональных данных, если иное не предусмотрено федеральным законом

ФЗ «О персональных данных». Согласие субъекта персональных данных на обработку его персональных

данных

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и

в своем интересе.

В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного

представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

Обязательные требования к содержанию письменного согласия субъекта персональных данных определены в статье 9 Федерального закона «О

персональных данных».

ФЗ «О персональных данных». Специальные категории персональных данных

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 статьи 10 Федерального закона «О персональных данных».

Обработка специальных ПДн в образовательных организациях возможна в следующих случаях:1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;2) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;3) обработка сведений о состоянии здоровья работника касается возможности выполнения им трудовой функции (п. 2.3 ч. 2 ст. 10 Закона о персональных данных). Такая обработка допускается, например, в отношении сведений о состоянии здоровья педагогических работников (абз. 6 ч. 2 ст. 331 ТК РФ).

ФЗ «О персональных данных». Биометрические персональные данные

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность

(биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут

обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.

Разъяснения Роскомнадзора

1. Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве, 14.12.2012http://rkn.gov.ru/news/rsoc/news17877.htm

2. Вопросы отнесения фото-, видеоизображений, дактилоскопических данных к биометрическим персональным данным и особенности их обработки, 30.08.2013http://rkn.gov.ru/news/rsoc/news21529.htm

http://pd.rkn.gov.ru/

ФЗ «О персональных данных». Обязанности оператора

Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом

• назначение ответственного за организацию обработки персональных данных;• издание документов, определяющих политику обработки персональных данных,

локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

• применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных»;

• осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям Федерального закона;

• оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона;

• ознакомление работников с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

ФЗ «О персональных данных». Обязанности оператора

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

• определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

• применение организационных и технических мер по обеспечению безопасности персональных данных в соответствии с определяемыми уровнями защищенности персональных данных;

• применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

• оценка эффективности принимаемых мер;• учет машинных носителей персональных данных;• обнаружение фактов несанкционированного доступа к персональным данным и принятие

мер;• восстановление персональных данных, модифицированных или уничтоженных вследствие

несанкционированного доступа к ним;• установление правил доступа к персональным данным, обрабатываемым в

информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

• контроль за принимаемыми мерами.

ПП РФ от 01.11.2012 № 1119. Уровни защищенности и требования к защите персональных данных

Типы ИСПДн

Типы угроз безопасности ПДн

Тип ИСПДн Обрабатываемые ПДн

ИСПДн-С ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни

ИСПДн-Б Биометрические ПДн

ИСПДн-О Общедоступные ПДн

ИСПДн-И Другие ПДн

Тип угроз Описание

Угрозы 1-го типа Актуальны угрозы НДВ в системном ПО

Угрозы 2-го типа Актуальны угрозы НДВ в прикладном ПО

Угрозы 3-го типа Актуальны угрозы, не связанные с наличием НДВ в системном и прикладном ПО

ПП РФ от 01.11.2012 № 1119. Уровни защищенности и требования к защите персональных данных

Определение уровня защищенности ПДн (УЗ)

ПП РФ от 01.11.2012 № 1119. Уровни защищенности и требования к защите персональных данных

Требования к защите в зависимости от уровней защищенности

№ Требования УЗ 4 УЗ 3 УЗ 2 УЗ 1

1. Организация режима обеспечения безопасности помещений, в которых размещена ИС + + + +

2. Обеспечение сохранности носителей ПДн + + + +

3. Утверждение перечня лиц, имеющих доступ к ПДн, обрабатываемым в ИСПДн + + + +

4. Использование СЗИ, прошедших процедуру оценки соответствия + + + +

5. Назначение лица (работника), ответственного за обеспечение безопасности ПДн в ИСПДн + + +

6. Обеспечение доступа к содержанию электронного журнала сообщений только должностного лица (работника) или уполномоченного лица + +

7. Автоматическая регистрация в электронном журнале безопасности изменений полномочий пользователей ИСПДн +

8. Создание структурного подразделения, ответственного за обеспечение безопасности ПДн в ИСПДн +

Приказ ФСТЭК от 18 февраля 2013 г. № 21. Состав и содержание организационных и технических мер

Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных

Состав мер:• идентификация и аутентификация субъектов доступа и

объектов доступа;• управление доступом субъектов доступа к объектам

доступа;• ограничение программной среды;• защита машинных носителей информации;• регистрация событий безопасности;• антивирусная защита;• обнаружение вторжений;• анализ защищенности;• обеспечение целостности ИС и ПДн;• обеспечение доступности ПДн;• защита среды виртуализации;• защита технических средств;• защита ИС, систем связи и передачи данных;• выявление инцидентов, реагирование;• управление конфигурацией ИС и СЗПДн

Выбор мер:• определение базового набора

мер в соответствии с установленным уровнем защищенности;

• адаптация базового набора мер с учетом особенностей ИСПДн;

• уточнение адаптированного базового набора мер с учетом не выбранных ранее мер, в результате чего определяются меры, направленные на нейтрализацию всех актуальных угроз безопасности ПДн для конкретной ИСПДн;

• дополнение уточненного адаптированного базового набора мер (при необходимости).

Приказ ФСТЭК от 18 февраля 2013 г. № 21. Разъяснения ФСТЭК

Информационное сообщение по вопросам защиты информации и обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных от 15.07.2013 № 240/22/2637

http://fstec.ru/

• Требования, которыми необходимо руководствоваться при обработке ПДн в ГИС, а также определении класса защищенности ГИС, в которой ведется обработка ПДн;

• Форма проведения оценки соответствия эффективности принимаемых мер (ст. 19 ФЗ 152-ФЗ);

• Применение СТР-К и РД АС;• Применение понятий

«информационная система» и «автоматизированная система

II. Методические рекомендации

Методические рекомендации по приведению информационных систем персональных данных в соответствие с требованиями законодательства по защите

персональных данных государственных и муниципальных учреждений Республики Коми

• Порядок проведения работ по обеспечению безопасности персональных данных

• Порядок приведения в соответствие с требованиями законодательства информационных систем персональных данных

• Полный комплект типовых организационно-распорядительных документов по вопросам защиты персональных данных

• Комплект типовых организационно-распорядительных документов по вопросам применения средств криптографической защиты информации

Рекомендованы для применения в органах исполнительной власти, государственных и муниципальных учреждениях Республики Коми Администрацией Главы Республики Коми и

Правительства Республики Коми

III. Особенности защиты персональных данных в Государственной информационной системе «Электронное

образование»