- •Реферат
- •По теме:
- •Содержание
- •Введение
- •Федеральный закон Федеральный закон от 27.07.2006 №152-фз «о персональных данных» Понятие персональных данных
- •Основные принципы обработки персональных данных
- •Механизмы защиты персональных данных
- •Постановление Правительства рф от 15 сентября 2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
- •Приказы Роскомнадзора Приказ Роскомнадзора России от 5 сентября 2013 г. №996 «Об утверждении требований и методов по обезличиванию персональных данных»
- •Приказ Роскомнадзора России от 28 октября 2022 года №179 «Об утверждении Требований к подтверждению уничтожения персональных данных»
- •Заключение
- •Список использованных источников
Приказы Роскомнадзора Приказ Роскомнадзора России от 5 сентября 2013 г. №996 «Об утверждении требований и методов по обезличиванию персональных данных»
Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных [8].
К характеристикам (свойствам) методов обезличивания персональных данных:
обратимость (возможность преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду
вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения)
изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных)
стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных
совместимость (возможность интеграции персональных данных, обезличенных различными методами) [8].
К требованиям к свойствам получаемых обезличенных данных относятся:
сохранение полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых персональных данных);
сохранение структурированности обезличиваемых персональных данных;
сохранение семантической целостности обезличиваемых персональных данных;
анонимность отдельных данных не ниже заданного уровня (количества возможных сопоставлений, обезличенных данных между собой для деобезличивания) [8].
Приказ Роскомнадзора России от 28 октября 2022 года №179 «Об утверждении Требований к подтверждению уничтожения персональных данных»
Акт об уничтожении персональных данных должен содержать
а) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица) и адрес оператора;
б) наименование (юридического лица) или фамилию, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) персональных данных по поручению оператора (если обработка была поручена такому (таким) лицу (лицам);
в) фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
г) фамилию, имя, отчество (при наличии), должность лиц (лица), уничтоживших персональные данные субъекта персональных данных, а также их (его) подпись;
д) перечень категорий, уничтоженных персональных данных субъекта (субъектов) персональных данных;
е) наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) персональные данные субъекта (субъектов) персональных данных, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
ж) наименование информационной (информационных) системы (систем) персональных данных, из которой (которых) были уничтожены персональные данные субъекта (субъектов) персональных данных (в случае обработки персональных данных с использованием средств автоматизации);
з) способ уничтожения персональных данных;
и) причину уничтожения персональных данных;
к) дату уничтожения персональных данных субъекта (субъектов) персональных данных [9].
Приказ Роскомнадзора России от 27 октября 2022 года №178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"»
Оператор для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения Закона о персональных данных:
Высокую в случаях:
обработки сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных;
обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений и т.п.
обработки персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является несовершеннолетний [10].
Среднюю в случаях:
распространения персональных данных на официальном сайте в информационно-телекоммуникационной сети "Интернет" оператора, а равно предоставление персональных данных неограниченному кругу лиц;
обработки персональных данных в дополнительных целях, отличных от первоначальной цели сбора;
продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор [10].
Низкую в случаях:
ведения общедоступных источников персональных данных, сформированных в соответствии со статьей 8 Закона о персональных данных;
назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником оператора [10].
Приказы ФСБ
Приказ ФСБ России от 10 июля 2014г. №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»
Данный приказ разработан федеральной службой безопасности, касающегося операторов персональных данных, использующих средства криптографической защиты информации для обеспечения безопасности персональных данных при их обработке в Информационная система персональных данных (ИСПДн).
Приказ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием СКЗИ, необходимых для выполнения требований к защите персональных данных для каждого из уровней защищенности.
Приказ №378 определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн с использованием средств криптографической защиты.
Исходя из установленного уровня защищенности, приказ определяет состав и содержание организационных и технических мер.
Для 4-го уровня защищенности устанавливаются следующие требования:
организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
обеспечение сохранности носителей персональных данных;
утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз [11].
Для более высоких уровней накладываются дополнительные требования.
Для 3-го уровня защищенности необходимо выполнение требования о назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе, который обладает достаточными навыками должностного лица.
Для 2-го уровня защищенности дополнительно необходимо выполнение требования о том, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных обязанностей.
Для 1-го уровня защищенности необходимо дополнительно оборудовать окна помещений, расположенных на первых и последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения. Так же оборудовать окна и двери помещений, в которых размещены серверы информационной системы. Существуют и другие дополнительные требования [11].
Для используемых СКЗИ определены требования к используемому классу в зависимости от уровня защищенности и типа актуальных угроз. Определить соответствие классов СКЗИ можно с помощью следующей таблицы.
Таблица 1 - СКЗИ определены требования к используемому классу в зависимости от уровня защищенности и типа актуальных угроз
Уровень защищенности |
Класс СКЗИ |
||
АУ 1-го типа |
АУ 2-го типа |
АУ 3-го типа |
|
1 |
КА 1 |
КВ 2+ |
- |
2 |
КВ 2+ |
КВ 2+ |
КС 1+ |
3 |
- |
КВ 2+ |
КС 1+ |
4 |
- |
- |
КС 1+ |
Приказ ФСБ России от 09 февраля 2005 г. №66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ 2005)»
Приказ ФСБ России от 09 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ 2005)», регулирует процедуры и требования, связанные с разработкой, производством, реализацией, и эксплуатацией шифровальных средств для защиты информации (в том числе персональные данные).
Положение ПКЗ 2005 устанавливает требования к шифровальным средствам, которые могут быть использованы для защиты информации. В частности, оно определяет стандарты и критерии для оценки безопасности и надежности шифровальных систем, а также требования к сертификации и лицензированию деятельности, связанной с разработкой, производством, реализацией и эксплуатацией таких средств.
За несоблюдение требований приказа, нарушитель несет ответственность в соответствии с действующим законодательством Российской Федерации в области информационной безопасности [12].
Конкретные виды ответственности и меры, применяемые в случае нарушения, могут варьироваться в зависимости от характера нарушения и обстоятельств дела. Возможные меры ответственности могут включать штрафные санкции, административные наказания или уголовное преследование, если нарушение имеет уголовное значение [12].
Приказы ФСТЭК
Приказ ФСТЭК России от 11 февраля 2013 года №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Приказ ФСТЭК России №17 от 11 февраля 2013 года «Об утверждении требований по защите информации в государственных информационных системах» устанавливает основные требования по защите информации, содержащейся в информационных системах, принадлежащих государственным органам и учреждениям [13]. Данный приказ направлен на обеспечение безопасности информации, предотвращение несанкционированного доступа к ней, ее утечки, искажения или уничтожения, а также на обеспечение конфиденциальности и целостности данных.
Основными требованиями данного приказа являются:
– Разработка и внедрение системы защиты информации, соответствующей уровню угроз и рисков информационной безопасности;
– Применение сертифицированных средств защиты информации;
– Организация контроля и аудита информационной безопасности;
– Обучение и информирование персонала о правилах работы с информацией и мерах по ее защите [13].
Также приказ предусматривает ответственность за нарушение его требований, включая административные штрафы и уголовную ответственность в случае причинения существенного ущерба.
Приказ ФСТЭК России от 18 февраля 2013 г. №21 »Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 »Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных определяет, определяющий состав и содержание мер по обеспечению безопасности персональных данных при обработке в информационных системах [14]. Этот документ предназначен для организаций и предприятий, обрабатывающих персональные данные, и является обязательным для исполнения.
В состав мер, предусмотренных приказом, входят организационные и технические меры, направленные на защиту персональных данных от несанкционированного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
Организационные меры включают в себя разработку и внедрение политики информационной безопасности, обучение персонала, проведение регулярного аудита и контроля за выполнением требований по защите персональных данных [14].
Технические меры включают использование средств защиты информации, таких как антивирусы, межсетевые экраны, системы обнаружения и предотвращения вторжений, средства шифрования данных и другие.
За несоблюдение требований приказа предусмотрена административная ответственность в виде штрафов и приостановления деятельности организации.