Безопасность персональных данных

Необходимость обеспечения безопасности персональных данных в наше время объективная реальность. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника — в средство мщения, в руках инсайдера — товар для продажи конкуренту… Именно поэтому персональные данные нуждаются в самой серьезной защите.

Автоматизированные информационные системы содержат персональные сведения субъектов образовательного процесса (Персональные данные). Обязанность образовательных учреждений, как операторов персональных данных, состоит в необходимости принятия всех требуемых законодательством мер по обеспечению защиты такого типа данных.

Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 № 152-ФЗ (ред. от 23.07.2013) «О персональных данных».

В соответствии с Законом № 152-ФЗ персональными данными является любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПДн). К персональным данным в связи с этим могут относиться фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, принадлежащая субъекту ПДн.

Необходимость обеспечения безопасности персональных данных в наше время объективная реальность. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника — в средство мщения, в руках инсайдера — товар для продажи конкуренту… Именно поэтому персональные данные нуждаются в самой серьезной защите.

Автоматизированные информационные системы содержат персональные сведения субъектов образовательного процесса (Персональные данные). Обязанность образовательных учреждений, как операторов персональных данных, состоит в необходимости принятия всех требуемых законодательством мер по обеспечению защиты такого типа данных.

Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 № 152-ФЗ (ред. от 23.07.2013) «О персональных данных».

В соответствии с Законом № 152-ФЗ персональными данными является любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПДн). К персональным данным в связи с этим могут относиться фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, принадлежащая субъекту ПДн.

Категории персональных данных

Законодательство определяет различные категории персональных данных. К ним могут относиться общедоступные ПДн, специальные категории ПДн, категории ПДн, обрабатываемые в информационных системах персональных данных (далее ИСПДн), биометрические ПДн и другие.

Общедоступные ПДн

Общедоступными являются данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Такие данные могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн. Источниками такой информации являются, к примеру, справочники, адресные книги и т.п. Сведения о субъекте ПДн могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.

Специальные категории ПДн

К специальным категориям относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:

  • субъект ПДн дал согласие в письменной форме на обработку своих персональных данных;
  • персональные данные являются общедоступными;
  • персональные данные относятся к состоянию здоровья субъекта ПДн и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
  • обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПДн;
  • обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации или необходима в связи с осуществлением правосудия.

Категории персональных данных, обрабатываемых в ИСПДн

Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» определяет следующие категории персональных данных, которые обрабатываются в ИСПДн:

  • Категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
  • Категория 2 — персональные данные, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1.
  • Категория 3 — персональные данные, позволяющие идентифицировать субъекта ПДн.
  • Категория 4 — обезличенные и (или) общедоступные персональные данные.

Категорирование персональных данных при обработке в ИСПДн может также проводиться по параметру «объем обрабатываемых персональных данных». Под этим подразумевается количество субъектов, данные которых обрабатываются в информационной системе. Этот параметр может принимать следующие значения:

  • В информационной системе одновременно обрабатываются персональные данные более чем 100000 субъектов ПДн или персональные данные субъектов ПДн в пределах субъекта РФ или Российской Федерации в целом.
  • В информационной системе одновременно обрабатываются персональные данные от 1000 до 100000 субъектов ПДн или персональные данные субъектов ПДн, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования.
  • В информационной системе одновременно обрабатываются данные менее чем 1000 субъектов ПДн или персональные данные субъектов ПДн в пределах конкретной организации.

Такое категорирование персональных данных необходимо для определения класса ИСПДн, от которого зависят меры по обеспечению безопасности ПДн при обработке в информационных системах.

Биометрические персональные данные

Биометрические персональные данные — это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Биометрические персональные данные обрабатываются в соответствии со статьей 11 Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Они могут обрабатываться только при наличии согласия в письменной форме субъекта ПДн. Обработка биометрических персональных данных без согласия субъекта ПДн может осуществляться в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, о государственной службе, о порядке выезда из РФ и въезда в Российскую Федерацию, уголовно-исполнительным законодательством.

В каких случаях обеспечение безопасности ПДн не требуется?..

Обеспечение безопасности (в данном случае конфиденциальности) в соответствии с российским законодательством не требуется лишь для обезличенных и общедоступных персональных данных.

Персональные данные могут быть обезличенными, в случае, если над ними были произведены действия, в результате которых невозможно определить их принадлежность конкретному субъекту ПДн.

Персональные данные могут быть общедоступными только с письменного согласия субъекта ПДн. Они могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом ПДн.

Обеспечение безопасности ПДн при их обработке в ИСПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование и распространение персональных данных. Обязанность по обеспечению безопасности ПДн при их обработке в ИСПДн полностью возлагается на оператора персональных данных. В связи с этим оператор обязан:

  • проводить мероприятия, направленные на предотвращение несанкционированного доступа (далее НСД) к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
  • своевременно обнаруживать факты НСД к персональным данным;
  • не допускать воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
  • незамедлительно восстанавливать ПДн, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;
  • осуществлять постоянный контроль за обеспечением уровня защищенности ПДн.

Защита персональных данных

Памятка для руководителя ОУ по защите персональных данных (скачать .doc 32 Kb)

Документы ОУ

  1. Журнал проверок на наличие вирусов (скачать .doc 41 Kb)
  2. Инструкция по организации антивирусной защиты (скачать .doc 31 Kb)
  3. Инструкция по организации парольной защиты (скачать .doc 31 Kb)
  4. Инструкция пользователя АРМ (скачать .doc 35 Kb)
  5. Книга учета машинных носителей информации (скачать .doc 26 Kb)
  6. Обязательство о неразглашении (скачать .doc 26 Kb)
  7. Перечень документов по защите информации (скачать .doc 30 Kb)
  8. Перечень мероприятий (скачать .doc 47 Kb)
  9. Перечень сведений конфиденциального характера (скачать .doc 41 Kb)
  10. Положение о защите хранении обработке передаче ПД (скачать .doc 50 Kb)
  11. Положение о работе с персональными данными работников и обучающихся образовательного учреждения (скачать .doc 75 Kb)
  12. Положение об обработке персональных данных работников (скачать .doc 73 Kb)
  13. Пример приказа «О проведении комплекса мероприятий по защите персональных данных» (скачать .doc 28 Kb)
  14. Пример согласия на обработку персональных данных (скачать .doc 49 Kb)

Нормативные документы

  1. Методические рекомендации: Типовая программа проведения внеклассных уроков для учащихся образовательные учреждений общего и среднего образования, детских учреждений дополнительного образования (детских обучающих центров, санаторно-оздоровительных лагерей круглогодичного действия) (9-11 лет). (скачать .PDF 189 Kb)
  2. Методические рекомендации: Типовая программа проведения внеклассных уроков для учащихся образовательные учреждений общего и среднего образования, детских учреждений дополнительного образования (детских обучающих центров, санаторно-оздоровительных лагерей круглогодичного действия) (12-14 лет). (скачать .PDF 208 Kb)
  3. Методические рекомендации: Правила общения в сети интернет (буклет для детей). (скачать .PDF 259 Kb)
  4. Методические рекомендации: Правила безопасности в сети интернет для тебя и твоих друзей (буклет для детей. (скачать .PDF 499 Kb)
  5. Методические рекомендации: Береги свои персональные данные (презентация). (скачать .PPTX 4 530 Kb)
  6. Методические рекомендации: Обеспечение информационной безопасности детства (презентация).  (скачать .PPT 2 740 Kb)
  7. Федеральный закон о безопасности № 2446-1 от 05.03.1992 г. (в ред. Закона РФ от 25.12.1992 № 4235-1, Указа Президента РФ от 24.12.1993 № 2288, Федеральных законов от 25.07.2002 № 116-ФЗ, от 07.03.2005 № 15-ФЗ, от 25.07.2006 № 128-ФЗ, от 02.03.2007 № 24-ФЗ, от 26.06.2008 № 103-ФЗ) (скачать .doc 68 Kb)
  8. Федеральный закон о персональных данных № 152-ФЗ от 27.07.2006 г. (скачать .doc 121 Kb)
  9. Федеральный закон об электронной цифровой подписи № 1-ФЗ от 10.01.2002 г. (в ред. Федерального закона от 08.11.2007 № 258-ФЗ) (скачать .doc 80 Kb)
  10. Руководящий документ «Защита от несанкционированного доступа» (решение председателя Государственной технической комиссии при Президенте РФ от 04.06.1999 г. № 114) (скачать .doc 101 Kb)
  11. Приказ Федеральной службы по техническому и экспортному контролю (№ 55), Федеральной службы безопасности РФ (№ 86), Министерства информационных технологий и связи РФ (№ 20) от 13.02.2008 г. «Об утверждении порядка проведения классификации информационных систем персональных данных) (скачать .doc 48 Kb)
  12. Руководящий документ Гостехкомиссии России от 19.06.2002 г. «Критерии оценки безопасности информационных технологий. Часть 1.» (скачать .doc 468 Kb)
  13. Руководящий документ Гостехкомиссии России от 19.06.2002 г. «Критерии оценки безопасности информационных технологий. Часть 2.» (скачать .doc 2 260 Kb)
  14. Руководящий документ Гостехкомиссии России от 19.06.2002 г. «Критерии оценки безопасности информационных технологий. Часть 3.» (скачать .doc 1 278 Kb)
  15. Федеральный закон Российской Федерации от 9 февраля 2009 г. № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления» (скачать .doc 110 Kb)
  16. Постановление Правительства РФ от 17.11.2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (скачать .doc 48 Kb)
  17. Письмо Рособразования от 29.07.2009 г. № 17-110 «Об обеспечении защиты персональных данных» (скачать .pdf 393 Kb)
  18. Указ Президента РФ от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» (скачать .doc 27 Kb)