Приведение информационных систем персональных данных в соответствие с требованиями законодательства


Нормативные правовые акты по защите персональных данных


Эволюция и состав нормативных правовых актов по защите персональных данных представлен на рисунке:



Нормативные правовые акты по защите персональных данных:

  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  2. Постановление Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
  3. Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
  4. Постановление Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
  5. Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Нормативные правовые акты по защите персональных данных ФСТЭК России:

  1. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», ФСТЭК России, 2008 г.
  2. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК России 14.02.2008).
  3. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. (Утверждены приказом ФСТЭК России от 18.02.2013 № 21).
  4. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Нормативные правовые акты по защите персональных данных ФСБ России

  1. Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности (утв. ФСБ России 31.03.2015 № 149/7/2/6-432).
  2. Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»


Федеральный закон №152-ФЗ «О персональных данных» (Закон) определяет:

Пункт 1 статьи 1 говорит о том, что Закон регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств.

Нормы Закона не распространяется (п. 2 ст. 1) на отношения, возникающие при:

Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Персональные данные делятся на несколько категорий:

Категории ПДн
Специальная категория ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни
Общедоступные ПДн, созданные в целях информационного обеспечения для неограниченного круга лиц (справочники, адресные книги)
Биометрические сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПДн) и которые используются оператором для установления личности субъекта ПДн

Неавтоматизированная обработка ПДн регулируется Законом при условии, что ПДн находятся в картотеках или иных систематизированных собраниях, эта обработка осуществляется при непосредственном участии человека, доступ и поиск данных осуществляется в соответствии с определенным алгоритмом.

Говоря об обработке ПДн, необходимо иметь ввиду, что при организации пропускного режима на предприятии также возникает обработка ПДн посетителей.

При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:

Обработка персональных данных, должна осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер.

Виды обработки персональных данных:


Сбор целенаправленный процесс получения ПДн оператором непосредственно от субъекта ПДн либо через специально привлеченных для этого третьих лиц
Запись процесс преобразования сигналов информации в пространственное изменение физических характеристик или формы носителя записи с целью сохранения и последующего воспроизведения записанной информации (ГОСТ 13699-91)
Систематизация присвоение данным или документам классификационных индексов в соответствии с правилами какой-либо классификации (ГОСТ 7.74-96)
Накопление это результат интеграции, систематизации, уточнения и учета информации в определенных системах
Хранение это процесс поддержания исходной информации в виде, обеспечивающем выдачу данных по запросам конечных пользователей в установленные сроки.
Уточнение обновление или изменение ПДн
Извлечение совокупность алгоритмов и методов обработки информации, используемых для выборки данных из хранилищ или баз данных
Использование действия (операции) с ПДн, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн или других лиц либо иным образом затрагивающих права и свободы субъекта ПДн или других лиц
Распространение действия, направленные на раскрытие ПДн неопределенному кругу лиц
Предоставление действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц
Блокирование временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн)
Уничтожение действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн
Обезличивание действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн

Принципы обработки персональных данных:

  1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
  2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
  3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
  4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
  5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

Согласие субъекта на обработку ПДн


Требуется Не требуется
Обработка ПДн (ст. 6, 9)
Включение ПДн в общедоступные источники ПДн (ст. 8)
Специальные категории ПДн (ст. 10)
Биометрические ПДн (ст. 11)
Осуществление транграничной передачи ПДн (ст. 12)
Распространение ПДн (ст. 22)
Передачу ПДн третьим лицам (ст. 23)
Если обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно
Если обработку ПДн осуществляет лицо, которому оператором поручена обработка ПДн
Принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы (ст. 16) Если обработка биометрических ПДн осуществляется в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации

Оператор при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.


Меры Реализация мер
Определение угроз безопасности ПДн при их обработке в ИСПДн Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК России 14.02.2008)
Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности ПДн, актуальные при обработке ПДн в ИСПДн, эксплуатируемых при осуществлении соответствующих видов деятельности (утв. ФСБ России 31.03.2015 № 149/7/2/6-432
Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»
Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации Государственный реестр сертифицированных средств защиты информации № РОСС RU.0001.01БИ00
Оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн
Учет машинных носителей ПДн
Обнаружение фактов НСД к ПДн и принятие мер
Восстановление ПДн, модифицированных или уничтоженных вследствие НСД к ним
Установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн
Контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
п. 17 требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства РФ от 01.11.2012 №1119

Основные этапы работ по приведению ИСПДн в соответствие с требованиями законодательства


  1. Определение ответственного обеспечение безопасности ПДн в ИСПДн (п. 2 приказа ФСТЭК № 21, п. 14 ПП № 1119) – издается приказ о назначении ответственных лиц.
  2. Подготовка (обучение) должностных лиц, ответственных за обеспечение безопасности ПДн в ИСПДн (ст. 18.1 ФЗ № 152-ФЗ) – документы об обучении.
  3. Сбор и анализ исходных данных по информационной системе, формирование перечня персональных данных и выявление ИСПДн.
  4. Классификация ИСПДн (п. 8 ПП № 1119, п. 9 приказа ФСТЭК № 21) – акт классификации ИСПДн (уровень защищенности).
  5. Построение (формирование) частной модели угроз и модели нарушителя (пп. 1 п. 2 ст. 19 ФЗ № 152-ФЗ) – модель угроз и нарушителя.
  6. Разработка (проектирование) системы защиты ПДн
  7. Разработка документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн ИСПДн
  8. Развертывание, настройка и ввод в эксплуатацию СЗПДн
  9. Испытание СЗПДн в процессе опытной эксплуатации
  10. Организация контроля за соблюдением условий использования СЗИ

Рассмотрим некоторые из этих этапов подробнее. Одна из целей сбора и анализа исходных данных по информационной системе – это выявление и определение характеристик ПДн, а также формирование перечня ПДн:

Типы информационных систем ПДн:


Информационная система, обрабатывающая специальные категории ПДн является информационной системой, обрабатывающей специальные категории ПДн, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн
Информационная система, обрабатывающая биометрические ПДн является информационной системой, обрабатывающей биометрические ПДн, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн, и не обрабатываются сведения, относящиеся к специальным категориям ПДн
Информационная система, обрабатывающая общедоступные ПДн является информационной системой, обрабатывающей общедоступные ПДн, если в ней обрабатываются ПДн субъектов ПДн, полученные только из общедоступных источников ПДн, созданных в соответствии со статьей 8 Федерального закона "О персональных данных"
Информационная система, обрабатывающая иные категории ПДн является информационной системой, обрабатывающей иные категории ПДн, если в ней не обрабатываются ПДн, указанные выше
Информационная система, обрабатывающая ПДн сотрудников оператора является информационной системой, обрабатывающей ПДн сотрудников оператора, если в ней обрабатываются ПДн только указанных сотрудников. В остальных случаях информационная система ПДн является информационной системой, обрабатывающей ПДн субъектов ПДн, не являющихся сотрудниками оператора

Признаками биометрических персональных данных являются:

В соответствии со ст. 152.1 Гражданского кодекса Российской Федерации обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия его законных представителей (супруги, дети, родители).

Такое согласие не требуется в случаях:

Исходя из смысла указанной статьи, опубликование, в том числе редакцией СМИ, фотографического изображения в случаях, предусмотренных ст. 152.1 Гражданского кодекса Российской Федерации, а также полученного из общедоступных источников не требует соблюдения условий, связанных с получением письменного согласия субъекта персональных данных.

При использовании на территории предприятия систем видеонаблюдения, обязательно применение предупреждающих знаков или табличек «Внимание! Ведется видеонаблюдение».


Актуальные угрозы безопасности ПДн


Под актуальными угрозами безопасности ПДн понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПДн при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.


Угрозы 1-го типа Угрозы 2-го типа Угрозы 3-го типа
Актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе Актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе Актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе

Недекларированные возможности - функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.


Определение уровня защищенности ИСПДн:


Категория ПДн Объем ПДн Угрозы
1 типа 2 типа 3 типа
Спец. категория НЕ сотрудники оператора Более 100 000 1 уровень 1 уровень 2 уровень
Менее 100 000 1 уровень 2 уровень 3 уровень
Сотрудники оператора 1 уровень 2 уровень 3 уровень
Биометрические ПДн 1 уровень 2 уровень 3 уровень
Иные ПДн НЕ сотрудники оператора Более 100 000 1 уровень 2 уровень 3 уровень
Менее 100 000 1 уровень 3 уровень 4 уровень
Сотрудники оператора 1 уровень 3 уровень 4 уровень
Общедоступные НЕ сотрудники оператора Более 100 000 2 уровень 2 уровень 4 уровень
Менее 100 000 2 уровень 3 уровень 4 уровень
Сотрудники оператора 2 уровень 3 уровень 4 уровень

Требования по обеспечению уровня защищенности ПДн:


4-й уровень защищенности - организовать режим обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- обеспечить сохранность носителей ПДн;
- утвердить руководителем оператора документ, определяющий перечень лиц, доступ которым к ПДн, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- использовать средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
3-й уровень защищенности +
- назначить должностное лицо (работника), ответственным за обеспечение безопасности ПДн в информационной системе;
2-й уровень защищенности +
- чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей;
1-й уровень защищенности +
- чтобы была автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к ПДн, содержащимся в информационной системе;
- создать структурное подразделение, ответственное за обеспечение безопасности ПДн в информационной системе, либо возложить на одно из структурных подразделений функции по обеспечению такой безопасности.

Пути снижения уровня защищенности ИСПДн (реинжиниринг):

Для снижения требований с системе защиты информации следует:


Обезличивание ПДн


Обезличивание персональных данных - это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка обезличенных ПДн – любое действие, совершаемое с использованием средств автоматизации с обезличенными ПДн, без применения предварительного деобезличивания.

Деобезличивание – действия, в результате которых обезличенные данные принимают вид, позволяющий определить их принадлежность конкретному субъекту ПДн с помощью СВТ.

Анонимность – невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации.


Методы обезличивания персональных данных:

Метод введения идентификаторов реализуется путем замены части сведений идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным. Каждому значению идентификатора должно соответствовать одно значение атрибута и каждому значению атрибута должно соответствовать одно значение идентификатора. Метод неустойчив к атакам на справочники идентификаторов при деобезличивании.

Таблица обезличенных данных:

Идентификатор Дата рождения Место проживания Номер телефона Должность
А17865Б 01.12.1950 г. Москва, ул. Генерала Ивлева, д. 5, кв. 47 89056578545 Начальник отдела
Б24569Е 12.05.1964 г. Москва, пр-кт Кутузова, д. 7, кв. 25 89518887953 Заместитель начальника отдела

Таблица идентификаторов:


Идентификатор ФИО
А17865Б Иванов Иван Иванович
Б24569Е Петров Иван Петрович

Метод изменения состава или семантики реализуется путем обобщения, изменения значений атрибутов или удаления части сведений, позволяющих идентифицировать субъекта. Процедура реализации метода должна содержать правила удаления либо замены ПДн на новые значения, вычисляемые по заданным правилам. Необходимо определить следующие параметры:

Пример:

Удалены атрибуты: ФИО, Номер телефона.

Обобщен атрибут: Адрес проживания обобщен до города


Дата рождения Место проживания Должность
01.12.1950 г. Москва Начальник отдела
12.05.1964 г. Москва Заместитель начальника отдела

Метод декомпозиции основан на разделении множества атрибутов ПДн на несколько подмножеств и создание таблиц, устанавливающие связи между подмножествами (таблицы связей), с последующим раздельным хранением записей. Процедура реализации метода по заданному правилу производит разделение исходного массива ПДн на несколько частей, каждая из которых содержит заданный набор атрибутов всех субъектов. Сведения, содержащиеся в каждой части, не позволяют идентифицировать субъектов ПДн.


Таблица 1:


ID Фамилия Имя Отчество
12 Иванов Иван Иванович
28 Петров Иван Петрович

Таблица 2:


ID Город Улица Дом
46 Москва Строителей 12
78 Самара Сусанина 5

Таблица связей:


ID Из таблицы 1 Из таблицы 2
1 12 46
2 28 78


Метод перемешивания основан на перемешивании (перестановке) отдельных значений или групп значений между собой.


Исходная таблица:


ФИО Дата рождения Место проживания Номер телефона Должность
Иванов Иван Иванович 01.12.1950 г. Москва, ул. Генерала Ивлева, д. 5, кв. 47 89056578545 Начальник отдела
Петров Иван Петрович 12.05.1964 г. Москва, пр-кт Кутузова, д. 7, кв. 25 89518887953 Заместитель начальника отдела

Обезличенная таблица:


ФИО Дата рождения Место проживания Номер телефона Должность
Петров Иван Петрович 01.12.1950 г. Москва, пр-кт Кутузова, д. 7, кв. 25 89056578545 Заместитель начальника отдела
Иванов Иван Иванович 12.05.1964 г. Москва, ул. Генерала Ивлева, д. 5, кв. 47 89518887953 Начальник отдела


Анономизация ПДн:

Аноним – кто-то, кто не может быть «назван или идентифицирован».

Анонимизированная информация определяется как информация, позволявшая прежде идентифицировать субъекта, которая была обезличена и для которой код или иной способ связывания более не существует.

Отличается от обезличенной тем, что для нее не может быть осуществлена операция восстановления идентифицируемости субъекта. Для ананомизации применяются следующие методы преобразования:

Абстрагирование – снижение точности информации, например, путем группирования последовательных значений;

Скрытие данных – удаление всей записи или определенной части записей;

Внесение «шума» в данные – добавление небольшого количества посторонней информации;

Замена данных средним значением – замена выбранных значений средним значением для групп данных.

Согласно методическим рекомендациям по применению приказа Роскомнадзора от 5 сентября 2013 г. N996 "Об утверждении требований и методов по обезличиванию персональных данных» (утв. Роскомнадзором 13.12.2013) оператору рекомендуется разработать и применять при осуществлении своей деятельности документацию, включающую:


Построение модели угроз и модели нарушителя


Следует выполнить такие мероприятия по построению модели:


Разработка (проектирование) системы защиты ПДн



Разработка документов по организации защиты ПДн и эксплуатации средств защиты ПДн в информационных системах ПДн


Состав и содержание нормативной документации по организации защиты ПДн и эксплуатации СЗПДн в ИСПДн определен:

В Постановлении №211 определен перечень мер для организации работ по защите ПДн:

Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения.

В содержание правил обработки персональных данных входят:

А также:

В правила рассмотрения запросов субъектов персональных данных или их представителей обязательно должны входит следующие вопросы:

В состав правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям входят:

Правила работы с обезличенными персональными данными должны содержать:

Перечень информационных систем персональных данных зависит от структуры предприятия.

В случае наличия собственного отдела кадров и бухгалтерии - это кк минимум информационная система отдела кадров (ПДн сотрудников организации) и информационная система бухгалтерии (начисление зарплаты). При использовании системы контроля доступа - система контроля и управления доступом СКУД (только в случае идентификации сотрудника по фото). Если ведется видеонаблюдение с распознаванием по биометрическим данным – не забудьте добавить и систему видеонаблюдения. Ну и так далее.

Перечень персональных данных оформляется отдельным документом. При составлении перечня необходимо учитывать, что все ПДн, которые вы туда включите, необходимо будет защищать. В этом случае необходимо соблюдать принцип разумной достаточности. Ниже приводится перечень ПДн для госслужащих, наверное, максимально возможный:

  1. ФИО (в т.ч. прежние), год рождения, месяц рождения, дата рождение, место рождения.
  2. Пол.
  3. Адрес места жительства (по прописке и фактический), дата регистрации по месту жительства или по месту пребывания.
  4. Номера телефонов (мобильного и домашнего).
  5. Паспортные данные, в т.ч. заграничного паспорта.
  6. Гражданство.
  7. Сведения о семейном положении (состоянии в браке, фамилия, имя, отчество супруга(и), степень родства, фамилии, имена, отчества и даты рождения других членов семьи, иждивенцев и другие сведения).
  8. СНИЛС.
  9. ИНН.
  10. Сведения о трудовой деятельности (данные о трудовой занятости на текущее время с полным указанием должности, подразделения, наименования, адреса и телефона организации, а также реквизитов других организаций с полным наименованием занимаемых ранее в них должностей и времени работы в этих организациях, а также другие сведения).
  11. Сведения о социальных льготах и о социальном статусе
  12. Сведения об инвалидности (номер и дата документа, группа инвалидности, причина инвалидности).
  13. Сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки.
  14. Сведения о повышении квалификации и переподготовке.
  15. Сведения о воинском учете.
  16. Сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записях в ней.
  17. Сведения о государственных и ведомственных наградах, почетных и специальных званиях, поощрениях.
  18. Материалы по аттестации и оценке государственных гражданских служащих.
  19. Сведения о временной нетрудоспособности работников.
  20. График работы.
  21. Сведения о пребывании за границей (дата начала и окончания поездки, цель поездки и страна).
  22. Сведения о наличии водительского удостоверения.
  23. Сведения о доходах, имуществе и обязательствах имущественного характера (справка о доходах и расходах супруга (и), несовершеннолетних детей
  24. Сведения о прохождении дактилоскопической регистрации (дата и место прохождения, документ-основание).
  25. Сведения о родственниках, постоянно проживающих за границей.
  26. Содержание и реквизиты служебного контракта с государственным гражданским служащим, трудового или гражданско-правового договора с гражданином.
  27. Сведения из страховых полисов обязательного (добровольного) медицинского страхования.
  28. Материалы по служебным проверкам в отношении государственных гражданских служащих.
  29. Сведения о факте наличия не снятой или не погашенной в установленном федеральным законом порядке судимости.
  30. Фотография.
  31. Сведения о денежном содержании (номера счетов для расчета с государственными служащими (работниками), данные зарплатных договоров, в том числе номера их спецкартсчетов, данные по окладу, надбавкам, налогам и другие сведения).

При разработке документов по организации защиты ПДн и эксплуатации СЗПДн в ИСПДн необходимо отразить следующие моменты:

За нарушение законодательства в области защиты персональных данных предусмотрена административная ответственность:


Состав административного правонарушения Штраф, тыс. руб.
Обработка ПДн в случаях, не предусмотренных законодательством РФ, либо их обработка, несовместимая с целями сбора этих данных Для ДЛ - от 5 до 10, для ЮЛ - от 30 до 50. Вместо штрафа может быть сделано предупреждение
Обработка ПДн без согласия в письменной форме, либо обработка ПДн с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме Для ДЛ - от 10 до 20, для ЮЛ - от 15 до 75
Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПДн, или сведениям о реализуемых требованиях к защите ПДн Для ДЛ - от 3 до 6, для ИП - от 5 до 10, для ЮЛ - от 15 до 30. Вместо штрафа может быть сделано предупреждение
Невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту ПДн информации, касающейся обработки его ПДн Для ДЛ - от 4 до 6, для ИП - от 10 до 15, для ЮЛ - от 20 до 40. Вместо штрафа может быть сделано предупреждение
Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта персональных данных об уточнении ПДн, их блокировании или уничтожении в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки Для ДЛ - от 4 до 10, для ИП - от 10 до 20, для ЮЛ - от 25 до 45. Вместо штрафа может быть сделано предупреждение
Невыполнение оператором при обработке ПДн без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ сохранность ПДн при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к ПДн, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПДн, при отсутствии признаков уголовно наказуемого деяния Для ДЛ - от 4 до 10, для ИП - от 10 до 20, для ЮЛ - от 25 до 50

Готовые документы по защите ПДн можно найти по ссылке