Перечень персональных данных обрабатываемых в испдн и подлежащих защите для каждой испдн

Настоящий Перечень персональных данных, подлежащих защите в информационных системах персональных данных (ИСПДн) (далее – Перечень) (полное наименование оператора) (далее – (краткое наименование оператора) ), разработан ___________________________________________________________________________.

Перечень содержит полный список категорий данных, безопасность которых должна обеспечиваться системой защиты персональных данных (СЗПДн).

1Общие положения

Объектами защиты являются – информация, обрабатываемая в ИСПДн, и технические средства ее обработки и защиты.

Объекты защиты каждой ИСПДн включают:

• персональные данные субъектов ПДн (раздел 2.1.1);
• персональные данные сотрудников (раздел 2.1.2);

Технологическая информация (раздел 2.2).

Программно-технические средства обработки (раздел 2.3).

Средства защиты ПДн (раздел 2.4).

Каналы информационного обмена и телекоммуникации (раздел 2.5).

Объекты и помещения, в которых размещены компоненты ИСПДн (раздел 2.6).

2ИСПДн __________

2.1Обрабатываемая информация

2.1.1Перечень персональных данных субъектов ПДн

Персональные данные субъектов ПДн включают:

• ФИО;
• Дата рождения;
• Контактный телефон;
• Адрес проживания;
• Прочие данные.

2.1.2 Перечень персональных данных сотрудников Учреждения

Персональные данные сотрудников Учреждения включают:

• Фамилия, имя, отчество;
• Место, год и дата рождения;
• Адрес по прописке;
• Адрес проживания (реальный);
• Паспортные данные (серия, номер паспорта, кем и когда выдан);
• Информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
• Информация о трудовой деятельности до приема на работу;
• Информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения);
• Телефонный номер (домашний, рабочий, мобильный);
• Семейное положение и состав семьи (муж/жена, дети);
• Информация о знании иностранных языков;
• Форма допуска;
• Оклад;
• Данные о трудовом договоре (номер трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, номер и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
• Сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
• ИНН;
• Данные об аттестации работников;
• Данные о повышении квалификации;
• Данные о наградах, медалях, поощрениях, почетных званиях;
• Информация о приеме на работу, перемещении по должности, увольнении;
• Информация об отпусках;
• Информация о командировках;
• Информация о болезнях;
• Информация о негосударственном пенсионном обеспечении.

2.2Технологическая информация

Технологическая информация, подлежащая защите, включает:

• управляющую информацию (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);
• технологическую информацию средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);
• информацию на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащих защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;
• информацию о СЗПДн, их составе и структуре, принципах и технических решениях защиты;
• информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;
• служебные данные (метаданные), появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.

2.3Программно-технические средства обработки

Программно-технические средства включают в себя:

• общесистемное и специальное программное обеспечение (операционные системы, СУБД, клиент-серверные приложения и другие);
• резервные копии общесистемного программного обеспечения;
• инструментальные средства и утилиты систем управления ресурсами ИСПДн;
• аппаратные средства обработки ПДн (АРМ и сервера);
• сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

2.4Средства защиты ПДн

Средства защиты ПДн состоят из аппаратно-программных средств, включают в себя:

• средства управления и разграничения доступа пользователей;
• средства обеспечения регистрации и учета действий с информацией;
• средства, обеспечивающие целостность данных;
• средства антивирусной защиты;
• средства межсетевого экранирования;
• средства анализа защищенности;
• средства обнаружения вторжений;
• средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

2.5Каналы информационного обмена и телекоммуникации

Каналы информационного обмена и телекоммуникации являются объектами защиты, если по ним передаются обрабатываемая и технологическая информация.

2.6Объекты и помещения, в которых размещены компоненты ИСПДн

Объекты и помещения являются объектами защиты, если в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

Видео:Что такое персональные данные (ПДн)? Защита по 152-ФЗ и требования Роскомнадзора в 2022Скачать

Перечень персональных данных подлежащих защите

Защита персональных данных
с помощью DLP-системы

П еречень персональных данных, нуждающихся в защите в информационных системах персональных данных (ИСПДн), должен быть изложен организацией в ее Концепции информационной безопасности. Оператор ПД должен обеспечить эффективное функционирование системы защиты персональной информации на своем объекте, контролировать выполнение норм закона о защите ПД, определить лиц, которые обеспечивают сбор, сохранность, передачу этой информации. С этой целью нужно определить, какие данные входят в перечень защищаемых, и разработать систему их защиты исходя из видов используемых ПД.

Видео:Обработка персональных данных от А до ЯСкачать

Какие данные должны быть защищены

Объектами защиты являются данные, которые обрабатываются в ИСПДн. К таким объектам относят:

• информацию технологического характера;
• программные продукты и средства информационной обработки;
• средства информационной защиты;
• источники и каналы по обмену данными;
• объекты, помещения с хранящимися ИСПДн.

Список таких объектов на предприятии должен составляться по результатам внутреннего информационного и технического аудита и охватывать анализ получаемых, обрабатываемых и хранящихся данных. Это необходимо для создания устойчивой системы защиты ПД.

Видео:3.1-1 Рекомендации по обеспечению безопасности персональных данных при обработке в ИСПДн (часть 1)Скачать

Обрабатываемая информация

Перечень персональной информации каждого субъекта включает в себя основные сведения о нем. К специальным данным относят:

• национальную принадлежность;
• расовые признаки;
• политические взгляды;
• вероисповедание;
• отношение к алкогольным, наркотическим, психотропным веществам;
• семейное положение;
• состояние здоровья и интимной жизни.

Видео:Защита персональных данных на предприятии Что нужно знать ответственному за ПДнСкачать

Перечень ПД работников предприятия

На каждом предприятии, в любой организации обрабатываются большие объемы ПД. К ним относятся:

• ФИО;
• информация о рождении;
• адрес прописки по паспорту;
• адрес проживания (фактический);
• данные паспорта;
• информация о полученном образовании (названия образовательных учреждений, специальность, срок обучения, данные из документов, подтверждающих учебу в указанных заведениях);
• контактные номера телефонов, адреса e-mail, Skype и т. д.;
• лингвистические знания (иностранные языки);
• данные с предыдущих мест работы/службы;
• сведения о трудовом стаже;
• сведения о трудовом договоре (серийный номер документа, дата и время его оформления и выдачи, тип труда, срок действия договора о труде, наличие у сотрудника льгот, длительность отпусков, график рабочего дня и перерывов, система выдачи заработной платы);
• оклад;
• информация о воинском учете (звание, категория запаса, категория годности);
• индивидуальный номер налогоплательщика (ИНН);
• информация о перенесенных и хронических заболеваниях;
• информация о заслуженных наградах, званиях, орденах, медалях;
• данные о командировках.

Видео:Изменения в обработке персональных данных с 01 марта 2023 годаСкачать

Технологическая информация

Защите подлежат следующие виды технологической информации:

• файлы конфигурации, системные настройки;
• пароли, ключи доступа, сведения аутентификации;
• информация о составе и структуре средств защиты данных;
• все ресурсы, базы данных, таблицы, которые содержат информацию о сотрудниках, планы и схемы эвакуации и т. д.

Видео:Как Microsoft получила судьбоносный контракт. Прошлое тщательно скрывают. (полная версия)Скачать

Программно-технические средства

В этих системах осуществляются обработка, хранение, передача, использование ПД. Их защита является также актуальным вопросом для каждого оператора.

К таким средствам относят:

• программное обеспечение – общее, специальное, системы управления базами данных, операционные системы, данные удаленных серверов, сведения из систем «клиент-сервер»;
• все резервные копии ПО;
• надстройки управляющих систем ИСПДн;
• автоматизированные компьютеры и серверы, на которых хранятся и обрабатываются ПД;
• маршрутизаторы, прочее сетевое оборудование.

Видео:Модель угроз: как определить, какие угрозы актуальны для вашей ИСПДнСкачать

СЗПДн

Средства защиты персональной информации (СЗПДн) являются аппаратно-программными ресурсами, к ним относят:

• средства управления пользовательским доступом;
• средства обработки вводимой информации, регистрационные данные пользователей;
• средства, которые обеспечивают сохранность данных;
• защитное ПО – антивирусы, антишпионы, фаерволы и т. д.;
• сетевое окружение;
• криптографические ключи защиты ПД.

Видео:Требования к защите персональных данных в информационных системахСкачать

Помещения с размещенными ИСПДн

Офисные помещения также относятся к объектам, которым нужно обеспечить защиту. В них хранятся и проходят обработку данные, оборудование, физические носители ПД.

Видео:Ответы РКН на вопросы персональных данных 2023Скачать

Каналы передачи и обмена информацией, телекоммуникационные средства

В случае передачи обрабатываемых сведений или информации технологического характера каналами информобмена, телекоммуникационными линиями они в обязательном порядке должны быть защищены.

• собирать и обрабатывать только те сведения сотрудников, которые необходимы для обеспечения рабочего процесса;
• хранить в базе и использовать только те данные работника, включающие в себя сведения, предоставленные им самим либо добавленные с его согласия;
• не принимать какие-либо незаконные решения касательно работника на основании ПД;
• нести ответственность за сохранность сведений о работниках.

При получении и обработке сведений о сотрудниках работодатель обязан:

• не распространять эти сведения;
• предоставлять доступ к информации только лицам, уполномоченным на это;
• передавать конфиденциальную информацию только с согласия сотрудника.

Сотрудник предприятия имеет право:

• получать сведения о хранении своих ПДн;
• иметь допуск к базе своих данных;
• вносить поправки в БД (только в личные сведения).

Права о защите персональной информации отстаиваются гражданином в судебном порядке.

Видео:Персональные данные. Часть 1. ПДн и ИСПДн.Скачать

Категории персональных данных

Все без исключения операции, связанные с обработкой персональных данных в ИСПДн, предполагают следование требованиям ФЗ-152 и другим нормативно-правовым актам, касающимся использования ПДн. В частности, любой организации придется принимать определенные меры технической и организационной безопасности, предварительно определив уровень защищенности ИСПДн (до 2013 года было разделение на классы), что предусматривает Постановление Правительства РФ № 1119. Чтобы понять, насколько эффективно система нейтрализует факторы, приводящие к несанкционированному доступу и применению личных сведений субъектов ПДн, нужно определить, какие категории персональных данных вы обрабатываете. Этот параметр наравне с типом УБ и другими показателями повлияет на причисление ИС к 1, 2, 3 или 4 уровню.

Видео:Закон о персональных данных 152-ФЗ по полочкамСкачать

Установленные законом категории обрабатываемых персональных данных

Разделение ПДн необходимо для того, чтобы устанавливать отдельные правила обработки и защиты для информации разного характера, а также наказания организаций, которые их нарушают. Действующее российское законодательство предусматривает 4 категории обрабатываемых ПДн:

• общедоступные;
• биометрические;
• специальные;
• иные.

Несмотря на внесение различных изменений, четко прописаны только три первые группы, а вот в отношении последней нет конкретики. Перед операторами стоит задача понять, с какими сведениями они работают, и только потом устанавливать степень защищенности ИС.

Видео:152-ФЗ и как его СОБЛЮДАТЬ. Часть 1Скачать

Категория общедоступных ПДн

Отличительной особенностью таких персональных данных является возможность их получения неограниченным кругом лиц. Они присутствуют в открытых источниках, например, справочниках и иных документах, при этом гражданин должен предварительно дать свое согласие на размещение. В соответствии с классификацией ФЗ-152 в данную категорию персональных данных входят:

• имя, фамилия и отчество субъекта;
• место, где человек родился или проживает;
• возраст;
• профессия, образование;
• месяц, год и число рождения;
• электронная почта;
• телефонный номер и т.д.

Нужно учитывать, что если гражданин не согласен с тем, что информация о нем общедоступна, то он имеет право потребовать её удалить из источника путем подачи заявления. Также это может быть сделано при выдаче соответствующего решения государственного органа либо суда.

Видео:152-фз что делать для защиты персональных данных и что такое обработка персональных данных на сайтеСкачать

Биометрические ПДн

Практически на любом предприятии есть система охраны и видеонаблюдения, а также ограничения доступа на территорию либо в отдельные помещения. В качестве идентификатора лиц, которые имеют право находиться в определенных зонах или выполнять определенные действия, выступают, как правило, фотографии, отпечатки пальцев или рисунок сетчатки глаза. Эти и другие физиологические особенности входят в категорию биометрических ПДн, а их использование в обязательном порядке требует получения письменного согласия владельцев. Документ не требуется только, если речь идет об использовании данных в целях обеспечения государственной безопасности, работы госструктур, а также осуществлении правоохранительной деятельности.

Работая с такими сведениями, оператору нужно брать в расчет ограничение по условиям обработки — их разрешено собирать, дополнять, хранить и т.д. только до тех пор, пока не достигнута цель обработки или не прошел срок, прописанный в подписанном субъектом разрешении.

Видео:Организация обеспечения безопасности персональных данных в ИСПДн.Скачать

Что является специальной категорией персональных данных?

В данную группу входят:

• гендерная и расовая принадлежность;
• сведения интимного характера, включая сексуальную ориентацию и все, что касается половой жизни;
• философские воззрения;
• религиозные убеждения;
• политические взгляды и т.д.

Если общедоступные ПДн позволяют в совокупности определить субъекта, то специальные персональные данные такой возможности не дают. Для их обработки требуется выполнение одного из условий:

• получение письменного согласия установленного законом образца;
• использование сведений, опубликованных в общедоступных источниках самим гражданином;
• вступление в силу международных договоренностей;
• выполнение действий в рамках судебного производства или по решению суда;
• возникновение риска для жизни и здоровья субъекта либо окружающих людей;
• обработка информации в рамках деятельности общественной либо религиозной организации.

Видео:Разработка частной модели угроз безопасности ПДн, обрабатываемых в ИСПДн.Скачать

Категория иных персональных данных

Четкого определения, какие сведения могут быть отнесены в эту группу, в нормативно-правовой документации нет. Указано только, что речь идет о ПДн, не относящихся к предыдущим категориям. То есть оператору, чтобы идентифицировать информацию как «иную», придется убедиться в том, что она не является биометрической, общедоступной или специальной.

Видео:Как определить уровень защищенности ПДн?Скачать

Категории субъектов персональных данных

В процессе установления уровня защищенности, что требуется каждому оператору ИСПДн, необходимо проанализировать не только особенности обрабатываемой личной информации, но и определиться с категориями субъектов ПДн. В широком представлении под субъектами подразумеваются граждане, которых можно идентифицировать, используя те или иные виды касающихся их сведений. Но если говорить о расчете итогового показателя, который отображает способность ИС нейтрализовать угрозы, то здесь правительственное Постановление № 1119 устанавливает две категории:

• лица, которые не являются штатными или внештатными сотрудниками организации;
• лица, связанные с компанией трудовыми взаимоотношениями.

В дополнение к этому при расчете уровня защищенности нужно будет определиться с количеством граждан, чьи ПДн обрабатываются — меньше или больше 100 000 субъектов. После этого останется установить типы актуальных угроз, и можно приступать к разработке организационно-технических мероприятий, направленных на защиту от неправомерных действий с персональными данными.

🎦 Видео

Защита персональных данных. Институт "РОПКиП"Скачать

Назначение DPO по закону № 99-З «О защите персональных данных» Республики БеларусьСкачать