1 / 23

Баймакова Ирина Александровна, эксперт

Обеспечение защиты персональных данных в условиях изменения действующего законодательства. Баймакова Ирина Александровна, эксперт. История вопроса. 1981 год - Конвенция «О защите физических лиц при автоматизированной обработке персональных данных»;

leila-hebert
Download Presentation

Баймакова Ирина Александровна, эксперт

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Обеспечение защиты персональных данных в условиях изменения действующего законодательства Баймакова Ирина Александровна, эксперт

  2. История вопроса • 1981 год - Конвенция «О защите физических лиц при автоматизированной обработке персональных данных»; • 2006 год – Федеральный закон «О персональных данных» № 152-ФЗ; • 2007 год – создание Управления по защите прав субъектов персональных данных; • 2008 год – издание подзаконных и нормативных правовых актов • 2011 год – существенное изменение Федерального закона «О персональных данных»

  3. Изменения законодательства Федеральным законом от 25.07.2011 № 261-ФЗ были внесены изменения в Федеральный закон«О персональных данных» • Изменения затронули: • Применяемую терминологию; • Порядок получения согласия субъектов ПДн и случаи обработки ПДн без согласия; • Требования к уведомлению; • Требования к оператору персональных данных при передаче информации для обработки третьим лицам; • Введение уровней защищенностей.

  4. Терминология (ст. 3 Федерального закона 152-ФЗ) • персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн); • автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники; • распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц; • предоставление ПДн - действия, направленные на раскрытие Пдн определенному лицу или определенному кругу лиц; • обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;

  5. Принципы и условия обработки ПДн(ст. 5 и 6 Фед. закона № 152-ФЗ) Основополагающие принципах и условиях обработки ПДн, в том числе: • обработка ПДн должна осуществляться на законной и справедливой основе; • обработка ПДн должна быть ограничена достижением конкретных целей; • обрабатываемые ПДн не должны быть избыточными по отношению к целям их обработки; • оператор должен принимать меры, либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

  6. Нормативно-правовое регулирование Федеральный закон № 152-ФЗ до 261-ФЗ

  7. Нормативно-правовое регулирование Федеральный закон № 152-ФЗ с учетом 261-ФЗ Правительство РФ с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн, актуальности угроз безопасности ПДн устанавливает: - уровни защищенности ПДн при их обработке в ИСПДн в зависимости от угроз безопасности этих данных; - требования к защите Пдн при их обработке в ИСПДн, исполнение которых обеспечивает установленные уровни защищенности ПДн; - требования к материальным носителям биометрических ПДн и технологиям хранения таких данных вне ИСПДн.

  8. Состав и перечень мер по защите ПДн(ст. 18.1 Фед. закона № 152-ФЗ) Определен состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательствомо защите ПДн. К таким мерам могут относиться: • назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки ПДн; • издание документов, определяющих политику оператора в отношении обработки ПДн; • применение правовых, организационных и технических мер по обеспечению безопасности ПДн; • осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн установленному порядку; • оценка вреда, который может быть причинен субъектам ПДн; • ознакомление работников оператора с организацией работы с ПДн.

  9. Обязанности оператора ПДн(п. 2 ст. 19 Фед. Закона № 152-ФЗ)

  10. Обязанности оператора ПДн (п. 2 ст. 19 Фед. закона № 152-ФЗ)

  11. Обязанности оператора ПДн Среди обязательных мероприятий, которые должны быть проведены всеми операторами ПДн, необходимо выделить: • получение согласия физических лиц на обработку персональных данных; • направление уведомления в Роскомнадзор для включения в реестр операторов персональных данных; • назначение ответственного за организацию обработки персональных данных; • разработка положения об обработке и защите персональных данных.

  12. Деятельность «1С» по обеспечению требований законодательства о ПДн • Сертификация средств защиты информации; • Доработка конфигураций; • Разработка подсистемы «Защита персональных данных» • Методическая поддержка партнеров и пользователей

  13. Сертификация ПО фирмы «1С» Что учтено в решениях фирмы «1С» на платформе 8.2(с учетом требований,предусмотренных Приказом ФСТЭК России № 58) • Управление доступом – предусмотрена возможность настройки доступа с паролем состоящим из любого количества символов (возможности платформы дают возможность вводить запрет на простые пароли, а также возможность указания пароля на нескольких регистрах) • Регистрация и учет: • регистрации событий аутентификации и отказа в аутентификации; • регистрация событий доступа и отказа в доступе к конкретным персональным данным; • получение сведений о зарегистрированных событиях; • регистрация изменений прав пользователя. • Обеспечение целостности – предусмотрена проверка информационной базы на физическую целостность с использованием ПП ФИКС 2.0

  14. Доработки технологической платформы Начиная с версии 8.2.10 в платформе «1С:Предприятие 8.2» дополнительно реализовано: • Регистрация аутентификации и отказа в аутентификации (реализовано в версии 8.2.9); • Регистрация изменений прав пользователей позволяет определить когда какие роли назначались пользователю; • Регистрация фактов отказа в доступе • Регистрируются все факты отказа в доступе пользователю. Например, для поиска массовых попыток обращения к недоступным для пользователя ресурсам • Регистрация доступа к защищаемым ресурсам: - Разработчик включает регистрацию для доступа к определенным полям по определенным объектам метаданных; - Разработчик описывает какую ключевую информацию необходимо включать в события журнала регистрации для поиска событий; - Система реализует отражение всех фактов доступа к указанной информации; - Система предоставляет возможность отбора зарегистрированных событий по метаданным и данным.

  15. Условия продажи и применения ЗПК • Защищенный программный комплекс «1С:Предприятие, версия 8.2z»: • прошел регистрацию в 2010 году; • сертификат ФСТЭК РФ № 2137; • может применяться в ИСПДн до класса К1 • Порядок продажи ЗПК определен в инфописьме № 12891 от 29.12.2010; • Существует два варианта ЗПК: • 4601546081315 ЗПК «1С:Предприятие 8.2z» (x86-32) – 10 000 руб.; • 4601546081322 ЗПК «1С:Предприятие 8.2z» (x86-64) – 30 000 руб. • ЗПК может применяться с любыми конфигурациями,разработанными на 8.2; • 1 экз. ЗПК может устанавливаться на несколько рабочих мест/серверов; • Осуществляется регулярное ежеквартальное обновление вновь выходящих релизов (последним сертифицирован релиз – 8.2.14.533); • Бесплатное получение обновлений в течение года после приобретения. Вопросы по применению ЗПК можно направлять по адресу – SZI@1c.ru

  16. Зарплатные конфигурации • В «1С:Зарплата и управление персоналом» и «1С:Зарплата и кадры бюджетного учреждения» реализовано : • настройка режима защиты персональных данных по областям (личные данные, данных о доходах, данные о профессии и образовании, данные об имуществе); • просмотр сведений о зарегистрированных событиях аутентификации и отказа в аутентификации, доступа и отказе в доступе; • уничтожение персональных данных по запросу субъекта; • автоматическое уничтожение персональных данных кандидата по истечении срока предоставления персональных данных.

  17. Автоматическое уничтожение ПДн Данные, предоставленные на определенный срок, будут уничтожены автоматически по истечении этого срока Срок обработки указывается в анкете кандидата в месяцах Автоматическое уничтожение включаетсяв форме «Настройки программы»

  18. Обработка персональных данных В типовую анкету (анкета резюме кандидата) может быть дополнительно введено два вопроса: «Разрешить обработку персональных данных» «Срок предоставления персональных данных, мес.» Программа позволяет осуществить настройку «обязательности ответа» на данные вопросы.

  19. Обработка персональных данных При вводе сведений о кандидате следует в явном виде указать согласие на обработку персональных данных, в противном случае документ не будет записан

  20. Подсистема «Защита персональных данных» • Обработка «Согласие на обработку персональных данных» • Команда и форма ввода данных для печати • Роль «Подготовка согласия на обработку персональных данных»

  21. Методическая поддержка • Раздел на сайте Buh.ru • Обучающий курс на базе Учебного центра № 1

  22. Методическая поддержка Вопросы защиты персональных данных рассматриваются: • в методическом пособии, разработанном специалистами 1С, "Обеспечение защиты персональных данных" (3-я редакция); • в мультимедийном курсе «1С:Электронное обучение. Обеспечение защиты персональных данных». Вопросы, предложения – szi@1c.ru

  23. Спасибо за внимание! Баймакова Ирина Александровна, эксперт

More Related