- •1. Основные понятия Федерального закона "о персональных данных"
- •1.1. Содержание категории "персональные данные"
- •1.2. Область применения закона «о персональных данных»
- •1.3. Виды и цели обработки персональных данных
- •1.4. Согласие субъекта на обработку его персональных данных
- •1.5. Согласие субъекта в письменной форме
- •1.6. Обязанности оператора при сборе персональных данных
- •1.7. Передача обработки персональных данных
- •1.8. Особенности обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве
- •1.8.1. Обработка персональных данных работников
- •1.8.2. Обработка персональных данных уволенных работников
- •1.8.3. Обработка персональных данных соискателей на замещение вакантных должностей
- •1.8.4. Обработка персональных данных лиц, находящихся в кадровом резерве
- •2. Категории персональных данных. Права субъектов персональных данных
- •2.1. Специальные категории персональных данных
- •2.2. Биометрические персональные данные
- •2.3. Особенности отнесения фото- и видеоизображений, дактилоскопической информации к биометрическим персональным данным
- •2.3.1. Отнесение фото- или видеоизображений субъекта к биометрическим персональным данным
- •2.3.2. Отнесение материалов видеосъемки к биометрическим персональным данным
- •2.3.3. Отнесение дактилоскопической информации к биометрическим персональным данным
- •2.4. Общедоступные, подлежащие опубликованию или обязательному раскрытию персональные данные
- •2.5. Права субъектов персональных данных
- •2.5.1. Право субъекта на доступ к его персональным данным
- •2.5.2. Права субъектов при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
- •2.5.3. Обязанности оператора при обращении к нему субъекта, его представителя, или получения запроса от Роскомнадзора
- •3. Обязанности оператора персональных данных
- •3.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных законом «о персональных данных»
- •3.2. Обязанности лица, ответственного за организацию обработки персональных данных
- •3.3. Политика организации в отношении обработки персональных данных
- •3.4. Перечень мер для операторов, являющихся государственными или муниципальными органами
- •3.5. Обезличивание персональных данных
- •3.6. Локальные акты по вопросам обработки персональных данных
- •3.7. Организация обработки персональных данных
- •3.8. Подача уведомления в Роскомнадзор об обработке персональных данных
- •3.9. Ответственность за нарушение требований по обращению с персональными данными
- •3.9.1. Дисциплинарная ответственность
- •3.9.2. Материальная ответственность
- •3.9.3. Гражданско-правовая ответственность
- •3.9.4. Административная ответственность
- •3.9.5. Уголовная ответственность
- •4. Работа с персональными данными в организации
- •4.1. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации
- •4.2. Трансграничная передача персональных данных
- •4.3. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
- •4.4. Порядок уточнения, прекращения обработки, блокирования и уничтожения персональных данных
- •4.4.1. Блокирование персональных данных
- •4.4.2. Уточнение персональных данных
- •4.4.3. Уничтожение персональных данных
- •5. Требования к защите персональных данных при их обработке в информационных системах
- •5.1. Требования Федерального закона "о персональных данных" к обеспечению безопасности персональных данных
- •5.2. Уровни защищенности персональных данных при их обработке в информационных системах
- •5.3. Требования к защите персональных данных при их обработке в информационных системах
- •5.4. Выбор организационных и технических мер по обеспечению безопасности персональных данных при их обработке в испДн в соответствии с приказом фстэк № 21
- •5.4.1. Определение базового набора мер защиты информации для установленного уровня защищенности
- •5.4.2. Адаптация базового набора мер с учетом структурно-функциональных характеристик и особенностей функционирования испДн
- •5.4.3. Уточнение набора мер с учетом не выбранных ранее мер, направленных на нейтрализацию всех актуальных угроз
- •5.4.4. Дополнение уточненного набора мерами, установленными иными нормативными правовыми актами
- •5.4.5. Компенсирующие меры по снижению актуальных угроз
- •5.4.6. Классы сертифицированных средств защиты информации для обеспечения уровней защищенности пДн
- •5.4.7. Оценка эффективности реализованных мер по обеспечению безопасности персональных данных
- •Содержание
Министерство образования и науки Российской Федерации
Саратовский государственный технический университет имени Гагарина Ю.А.
А.А. Губенков
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Учебное пособие
для студентов направления 090303.65 «Информационная безопасность автоматизированных систем», бакалавров направления 090900.62 «Информационная безопасность»
и магистров направления «Информационная безопасность»
Саратов 2015
УДК 004.056
ББК 32
Г 93
Рецензенты:
Кафедра математического обеспечения вычислительных комплексов и информационных систем Саратовского государственного
университета им. Н.Г. Чернышевского
Кандидат технических наук, доцент Я.С. Шатило
Одобрено
редакционно-издательским советом
Саратовского государственного технического университета
имени Гагарина Ю.А.
Губенков А.А.
Г 93 Обеспечение безопасности персональных данных: учеб. пособие / А.А. Губенков. – Саратов: Сарат. гос. техн. ун-т, 2015. 86 с.
ISBN
В учебном пособии рассматриваются особенности обработки и обеспечения безопасности персональных данных в государственных и муниципальных органах власти, на предприятиях и в коммерческих организациях различных форм собственности. Пособие предназначено для студентов, изучающих вопросы защиты информации, однако может быть также полезно для руководителей, работников кадровых органов и специалистов по информационным технологиям.
УДК 004.056
ББК 32
ISBN |
© Саратовский государственный технический университет имени Гагарина Ю.А., 2015 © Губенков А.А., 2015 |
ВВЕДЕНИЕ
В учебном пособии детально рассматриваются требования Федерального закона от 27.07.2006 года № 152-ФЗ "О персональных данных", постановлений Правительства РФ и нормативно-методических документов уполномоченных органов власти, регулирующие работу с персональными данными, а также организация работ по реализации данных требований в государственных и муниципальных органах власти, на предприятиях, в коммерческих организациях и учреждениях.
Рассмотрены понятие конфиденциальности персональных данных, принципы и критерии отнесения информации к персональным данным, основные направления и методы работы по организации защиты персональных данных.
Особое внимание в пособии уделено особенностям выполнения требований постановлений Правительства РФ от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и постановления Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
Данный курс поможет лицам, ответственным за организацию обработки и обеспечение безопасности персональных данных, обеспечить выполнение требований законодательства РФ в области персональных данных.
1. Основные понятия Федерального закона "о персональных данных"
1.1. Содержание категории "персональные данные"
Федеральный закон №152 от 27.07.2006 года «О персональных данных» (далее – ФЗ-152) направлен на обеспечение защиты прав человека при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Данный закон регулирует порядок сбора, хранения, использования и другие способы обработки сведений о гражданах, а также в нем устанавливаются дополнительные гарантии защиты персональных данных:
ограничение на передачу персональной информации третьим лицам без согласия субъекта;
требование к информированию субъекта о целях и способах обработки информации о нем;
необходимость получения согласия субъекта на обработку сведений о нем;
обеспечение конфиденциальности и безопасности обрабатываемых персональных данных.
Данный закон был принят после ратификации в 2005 году Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных [4]. Данная Конвенция вступила в силу для Российской Федерации 1 сентября 2013 года, после того, как был опубликован ее официальный перевод (статья 419 «Собрания законодательства РФ» от 03.02.2014).
Под персональными данными (далее - ПДн) в федеральном законе понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Определяющими признаками отнесения той или иной информации к персональным данным являются:
возможность прямо или косвенно определить на основании этой информации конкретное физическое лицо (субъекта), которому принадлежат эти данные;
возможность прямо или косвенно отнести эту информацию к уже определённому физическому лицу (субъекту).
Таким образом, к персональным данным относятся любые сведения о субъекте, в том числе его фамилия, имя, отчество, дата и место рождения, гражданство, адрес, номера ИНН и СНИЛС, семейное, социальное, имущественное положение, данные об образовании, профессии, трудовой деятельности, доходы, контактная информация и другие сведения о его частной жизни.
Операторами персональных данных могут являться:
государственные органы (федеральные органы государственной власти, органы государственной власти субъектов РФ, иные государственные органы, в том числе Центральный банк, Пенсионный фонд, Федеральный фонд обязательного медицинского страхования, Фонд социального страхования, Центральная избирательная комиссия и т.п.)
муниципальные органы (органы местного самоуправления, иные муниципальные органы)
юридические лица, обрабатывающие персональные данные,
физические лица (граждане, осуществляющие предпринимательскую деятельность).
Оператором является лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных, а также определяющие:
цели обработки персональных данных,
состав персональных данных для обработки,
действия, совершаемые с персональными данными.
Таким образом, к операторам относятся, в том числе организации, которые нанимают работников по трудовым договорам или договорам гражданско-правового характера, страховые компании, операторы сотовой связи, учебные заведения, интернет-магазины, медицинские учреждения, государственные и муниципальные учреждения, ведомства и службы, перевозчики различных видов транспорта, банковские учреждения, нотариусы и др.
Согласно Указу Президента РФ от 06.03.1997 № 188 сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в СМИ в установленных законами случаях, относятся к категории сведений конфиденциального характера [1]. Поэтому, операторы и работники, получившие доступ к персональным данным, обязаны не раскрывать посторонним лицам и не распространять персональные данные без согласия субъекта, т.е. обеспечивать конфиденциальность персональных данных.
Следует отметить, что в законе не указываются конкретные средства и способы защиты персональных данных, а состав и содержание мер по обеспечению их безопасности определены в других нормативно-правовых актах [13, 16, 21, 22]. В законе лишь говорится о необходимости принятия надлежащих мер безопасности персональных данных, направленных на предотвращение их уничтожения, потери, а также на предотвращение несанкционированного доступа, изменения или распространения таких данных.