«Организационное и правовое обеспечение информационной безопасности»
Томск 2016 1 Введение
Приказ Минкомсвязи России от 14.11.2011 N 312 (ред. от 24.11.2014)
«Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственно- го контроля (надзора) за соответствием обработки персональных данных тре- бованиям законодательства Российской Федерации в области персональных данных» (Зарегистрировано в Минюсте России 13.12.2011 N 22595). Выписка: 67. В ходе проведения проверки Служба или ее территориальный орган осуществляют следующие мероприятия по контролю: 67.1. Рассмотрение документов Оператора, в том числе: 67.1.1. Уведомление об обработке персональных данных. 67.1.2. Документов, необходимых для проверки фактов, содержащих признаки нарушения законодательства Российской Федерации в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Службу или ее территориальный орган. 67.1.3. Документов, подтверждающих выполнение Оператором предписаний об устранении ранее выявленных нарушений законодательства Российской Федерации в области персональных данных. 67.1.4. Письменного согласия субъекта персональных данных на обработку его персональных данных. 67.1.5. Документов, подтверждающих соблюдение требований законодательства Российской Федерации при обработке специальных категорий и биометрических персональных данных. 67.1.6. Документов, подтверждающих уничтожение Оператором персональных данных субъектов персональных данных по достижении цели обработки. 67.1.7. Локальных актов Оператора, регламентирующих порядок и условия обработки персональных данных. 67.2. Исследование (обследование) информационной системы персональных данных, в части, касающейся персональных данных субъектов персональных данных, обрабатываемых в ней.
2 Необходимые материалы
Для выполнения практической работы необходимо использовать спра-
вочные правовые системы (СПС).
3 Задания к практической работе
3.1 Исходные данные
Дана информационная система обработки персональных данных:
№ Тип Тип актуальных Количество варианта персональных угроз обрабатываемых данных, который информационной системой обрабатывает субъектов персональных информационная данных и контингент, система персональные данные которого обрабатываются в системе
1 Касающиеся Актуальны угрозы, не Менее чем 100000 субъектов
расовой, связанные с наличием персональных данных, не национальной недокументированных являющихся сотрудниками принадлежности. (недекларированных) оператора. возможностей в системном и прикладном программном обеспечении, используемом в информационной системе. 2 Касающиеся Актуальны угрозы, не Более чем 100000 субъектов состояния связанные с наличием персональных данных, не здоровья. недокументированных являющихся сотрудниками (недекларированных) оператора. возможностей в системном и прикладном программном обеспечении, используемом в информационной системе. 3 Иные категории Актуальны угрозы, не Персональные данные персональных связанные с наличием сотрудников оператора. данных. недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе. 4 Специальные В том числе актуальны Более чем 100000 субъектов категории угрозы, связанные с персональных данных, не персональных наличием являющихся сотрудниками данных. недокументированных оператора. (недекларированных) возможностей в прикладном программном обеспечении. 5 Иные категории Актуальны угрозы, не Более чем 100000 субъектов персональных связанные с наличием персональных данных, не данных. недокументированных являющихся сотрудниками (недекларированных) оператора. возможностей в системном и прикладном программном обеспечении, используемом в информационной системе. 6 Общедоступные Актуальны угрозы, не Персональные данные персональные связанные с наличием сотрудников оператора. данные. недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе. 7 Сведения, В том числе актуальны Персональные данные которые угрозы, связанные с сотрудников оператора. характеризуют наличием физиологические недокументированных и биологические (недекларированных) особенности возможностей в человека, на прикладном основании программном которых можно обеспечении. установить его личность и которые используются оператором для установления личности субъекта персональных данных.
8 Касающиеся Актуальны угрозы, не Персональные данные
политических связанные с наличием сотрудников оператора. взглядов, недокументированных религиозных или (недекларированных) философских возможностей в убеждений. системном и прикладном программном обеспечении, используемом в информационной системе. 9 Иные категории Актуальны угрозы, не Менее чем 100000 субъектов персональных связанные с наличием персональных данных, не данных. недокументированных являющихся сотрудниками (недекларированных) оператора. возможностей в системном и прикладном программном обеспечении, используемом в информационной системе. 10 Общедоступные В том числе актуальны Более чем 100000 субъектов персональные угрозы, связанные с персональных данных, не данные. наличием являющихся сотрудниками недокументированных оператора. (недекларированных) возможностей в прикладном программном обеспечении. 11 Биометрические В том числе актуальны Более чем 100000 субъектов персональные угрозы, связанные с персональных данных, не данные. наличием являющихся сотрудниками недокументированных оператора. (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе. 12 Иные категории В том числе актуальны Менее чем 100000 субъектов персональных угрозы, связанные с персональных данных, не данных. наличием являющихся сотрудниками недокументированных оператора. (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе. 13 Иные категории В том числе актуальны Более чем 100000 субъектов персональных угрозы, связанные с персональных данных, не данных. наличием являющихся сотрудниками недокументированных оператора. (недекларированных) возможностей в прикладном программном обеспечении. 14 Биометрические Актуальны угрозы, не Персональные данные персональные связанные с наличием сотрудников оператора. данные. недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе. 15 Общедоступные Актуальны угрозы, не Более чем 100000 субъектов персональные связанные с наличием персональных данных, не данные. недокументированных являющихся сотрудниками (недекларированных) оператора. возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
3.2 Определить уровень защищенности персональных данных,
требования к защите персональных данных при их обработке в информационных системах персональных данных и выбрать базовый набор мер по обеспечению безопасности ПДн в ИСПДн в соответствии с установленным уровнем защищенности. 3.3 Разработать 2-3 документа по обработке персональных данных. Например: - уведомление об обработке (о намерении осуществлять обработку) персональных данных (см. http://pd.rkn.gov.ru/operators-registry/notification/ См. Пример заполнения уведомления http://pd.rkn.gov.ru/operators- registry/operators-registry-documents/); - согласие субъекта персональных данных на обработку его персональ- ных данных; - документы, регламентирующие порядок и условия обработки персональных данных; - документы, определяющие политику оператора в отношении обра- ботки персональных данных; - локальные акты по вопросам обработки персональных данных, а так- же локальные акты, устанавливающих процедуры, направленные на предот- вращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; - и др. 3.4 Оформить отчет к практической работе по персональным данным согласно ОС ТУСУР 01-2013 (http://www.tusur.ru/ru/students/educational/design-rules/index.html ).