Вы находитесь на странице: 1из 7

Министерство образования и науки Российской Федерации

Федеральное государственное бюджетное образовательное учреждение


высшего профессионального образования

ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ


УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ (ТУСУР)

Кафедра комплексной информационной безопасности


электронно-вычислительных систем (КИБЭВС)

Н.А. Новгородова

ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Практическая работа №4 по дисциплине


«Организационное и правовое обеспечение информационной безопасности»

Томск 2016
1 Введение

Приказ Минкомсвязи России от 14.11.2011 N 312 (ред. от 24.11.2014)


«Об утверждении Административного регламента исполнения Федеральной
службой по надзору в сфере связи, информационных технологий и массовых
коммуникаций государственной функции по осуществлению государственно-
го контроля (надзора) за соответствием обработки персональных данных тре-
бованиям законодательства Российской Федерации в области персональных
данных» (Зарегистрировано в Минюсте России 13.12.2011 N 22595).
Выписка:
67. В ходе проведения проверки Служба или ее территориальный орган
осуществляют следующие мероприятия по контролю:
67.1. Рассмотрение документов Оператора, в том числе:
67.1.1. Уведомление об обработке персональных данных.
67.1.2. Документов, необходимых для проверки фактов, содержащих
признаки нарушения законодательства Российской Федерации в области
персональных данных, изложенных в обращениях граждан и информации,
поступившей в Службу или ее территориальный орган.
67.1.3. Документов, подтверждающих выполнение Оператором
предписаний об устранении ранее выявленных нарушений законодательства
Российской Федерации в области персональных данных.
67.1.4. Письменного согласия субъекта персональных данных на
обработку его персональных данных.
67.1.5. Документов, подтверждающих соблюдение требований
законодательства Российской Федерации при обработке специальных
категорий и биометрических персональных данных.
67.1.6. Документов, подтверждающих уничтожение Оператором
персональных данных субъектов персональных данных по достижении цели
обработки.
67.1.7. Локальных актов Оператора, регламентирующих порядок и
условия обработки персональных данных.
67.2. Исследование (обследование) информационной системы
персональных данных, в части, касающейся персональных данных субъектов
персональных данных, обрабатываемых в ней.

2 Необходимые материалы

Для выполнения практической работы необходимо использовать спра-


вочные правовые системы (СПС).

3 Задания к практической работе

3.1 Исходные данные

Дана информационная система обработки персональных данных:


№ Тип Тип актуальных Количество
варианта персональных угроз обрабатываемых
данных, который информационной системой
обрабатывает субъектов персональных
информационная данных и контингент,
система персональные данные
которого обрабатываются в
системе

1 Касающиеся Актуальны угрозы, не Менее чем 100000 субъектов


расовой, связанные с наличием персональных данных, не
национальной недокументированных являющихся сотрудниками
принадлежности. (недекларированных) оператора.
возможностей в
системном и
прикладном
программном
обеспечении,
используемом в
информационной
системе.
2 Касающиеся Актуальны угрозы, не Более чем 100000 субъектов
состояния связанные с наличием персональных данных, не
здоровья. недокументированных являющихся сотрудниками
(недекларированных) оператора.
возможностей в
системном и
прикладном
программном
обеспечении,
используемом в
информационной
системе.
3 Иные категории Актуальны угрозы, не Персональные данные
персональных связанные с наличием сотрудников оператора.
данных. недокументированных
(недекларированных)
возможностей в
системном и
прикладном
программном
обеспечении,
используемом в
информационной
системе.
4 Специальные В том числе актуальны Более чем 100000 субъектов
категории угрозы, связанные с персональных данных, не
персональных наличием являющихся сотрудниками
данных. недокументированных оператора.
(недекларированных)
возможностей в
прикладном
программном
обеспечении.
5 Иные категории Актуальны угрозы, не Более чем 100000 субъектов
персональных связанные с наличием персональных данных, не
данных. недокументированных являющихся сотрудниками
(недекларированных) оператора.
возможностей в
системном и
прикладном
программном
обеспечении,
используемом в
информационной
системе.
6 Общедоступные Актуальны угрозы, не Персональные данные
персональные связанные с наличием сотрудников оператора.
данные. недокументированных
(недекларированных)
возможностей в
системном и
прикладном
программном
обеспечении,
используемом в
информационной
системе.
7 Сведения, В том числе актуальны Персональные данные
которые угрозы, связанные с сотрудников оператора.
характеризуют наличием
физиологические недокументированных
и биологические (недекларированных)
особенности возможностей в
человека, на прикладном
основании программном
которых можно обеспечении.
установить его
личность и
которые
используются
оператором для
установления
личности субъекта
персональных
данных.

8 Касающиеся Актуальны угрозы, не Персональные данные


политических связанные с наличием сотрудников оператора.
взглядов, недокументированных
религиозных или (недекларированных)
философских возможностей в
убеждений. системном и
прикладном
программном
обеспечении,
используемом в
информационной
системе.
9 Иные категории Актуальны угрозы, не Менее чем 100000 субъектов
персональных связанные с наличием персональных данных, не
данных. недокументированных являющихся сотрудниками
(недекларированных) оператора.
возможностей в
системном и
прикладном
программном
обеспечении,
используемом в
информационной
системе.
10 Общедоступные В том числе актуальны Более чем 100000 субъектов
персональные угрозы, связанные с персональных данных, не
данные. наличием являющихся сотрудниками
недокументированных оператора.
(недекларированных)
возможностей в
прикладном
программном
обеспечении.
11 Биометрические В том числе актуальны Более чем 100000 субъектов
персональные угрозы, связанные с персональных данных, не
данные. наличием являющихся сотрудниками
недокументированных оператора.
(недекларированных)
возможностей в
системном
программном
обеспечении,
используемом в
информационной
системе.
12 Иные категории В том числе актуальны Менее чем 100000 субъектов
персональных угрозы, связанные с персональных данных, не
данных. наличием являющихся сотрудниками
недокументированных оператора.
(недекларированных)
возможностей в
системном
программном
обеспечении,
используемом в
информационной
системе.
13 Иные категории В том числе актуальны Более чем 100000 субъектов
персональных угрозы, связанные с персональных данных, не
данных. наличием являющихся сотрудниками
недокументированных оператора.
(недекларированных)
возможностей в
прикладном
программном
обеспечении.
14 Биометрические Актуальны угрозы, не Персональные данные
персональные связанные с наличием сотрудников оператора.
данные. недокументированных
(недекларированных)
возможностей в
системном и
прикладном
программном
обеспечении,
используемом в
информационной
системе.
15 Общедоступные Актуальны угрозы, не Более чем 100000 субъектов
персональные связанные с наличием персональных данных, не
данные. недокументированных являющихся сотрудниками
(недекларированных) оператора.
возможностей в
системном и
прикладном
программном
обеспечении,
используемом в
информационной
системе.

3.2 Определить уровень защищенности персональных данных,


требования к защите персональных данных при их обработке в
информационных системах персональных данных и выбрать базовый набор
мер по обеспечению безопасности ПДн в ИСПДн в соответствии с
установленным уровнем защищенности.
3.3 Разработать 2-3 документа по обработке персональных данных.
Например:
- уведомление об обработке (о намерении осуществлять обработку)
персональных данных (см. http://pd.rkn.gov.ru/operators-registry/notification/
См. Пример заполнения уведомления http://pd.rkn.gov.ru/operators-
registry/operators-registry-documents/);
- согласие субъекта персональных данных на обработку его персональ-
ных данных;
- документы, регламентирующие порядок и условия обработки
персональных данных;
- документы, определяющие политику оператора в отношении обра-
ботки персональных данных;
- локальные акты по вопросам обработки персональных данных, а так-
же локальные акты, устанавливающих процедуры, направленные на предот-
вращение и выявление нарушений законодательства Российской Федерации,
устранение последствий таких нарушений;
- и др.
3.4 Оформить отчет к практической работе по персональным данным
согласно ОС ТУСУР 01-2013
(http://www.tusur.ru/ru/students/educational/design-rules/index.html ).

Оценить