Как работает система обеспечения защиты персональных данных?

Ответственность

Соответствует ли защита персональных данных действующему законодательству контролируется Роскомнадзором, Федеральной службой безопасности и Федеральной службой по техническому и экспортному контролю.

Несоблюдение порядка защиты личных данных может повлечь ответственность:

  • дисциплинарную;
  • гражданско-правовую;
  • материальную;
  • административную;
  • уголовную.

Дисциплинарная ответственность наиболее распространенный вид наказания, к которому привлекаются сотрудники, имеющие полный доступ к персональным данным, как правило, за разглашение каких-либо сведений.

Решение о наказании принимает работодатель. Нарушителю могут быть вынесены замечание, предупреждение, выговор и даже применено отстранение от должности – в зависимости от тяжести причиненного вреда.

Гражданско-правовая ответственность напрямую связана с нанесением морального вреда (уместно говорить про честь, достоинство и деловую репутацию), в связи с разглашением его персональных данных.

Если данный факт подтверждается в судебном порядке, пострадавшей стороне нарушитель, например, выплачивает компенсацию.

Административная ответственность как за нарушение порядка сбора, анализа, а также хранения персональных данных, так и разглашение информации.

В соответствии со статьей 13.11 Кодекса об административных правонарушениях первое влечет за собой наложением следующих штрафов:

  • на физических лиц – триста-пятьсот руб.;
  • на должностных лиц – пятьсот-тысяча руб.;
  • на юридических лиц – пять-десять тысяч рублей.

За разглашение информации физические лица штрафуются на пятьсот-тысячу руб., должностные – четыре-пять тысяч руб. (статья 13.14 Кодекса об административных правонарушениях).

Уголовная ответственность наступает за нарушение неприкосновенности частной жизни, в том числе при использовании служебного положения.

Мера наказания может быть в виде штрафа, обязательных работ, отстранения от занимаемой должности, лишения свободы на 4- месяцев.

Нарушителю могут быть вынесены замечание, предупреждение, выговор и даже применено отстранение от должности в зависимости от тяжести причиненного вреда.

Как защищать?

антивирусная защита;.

Что это такое?

Система защиты персональных данных (СЗПД) – это комплекс мер и мероприятий организационного и технического характера, направленных на противодействие несанкционированному доступу к закрытой информации с учетом актуального типа угроз безопасности(п. 2 Постановления Правительства РФ от 01.11.2012 N 1119).

Любое физическое или юридическое лицо, подпадающее под определение “оператор ПД”, обязано создать условия и предпринять меры по охране ПД от непредумышленных или преступных покушений.

СЗПД должна быть выстроена таким образом, чтобы действовать эффективно, но в то же время обеспечивать непрерывность внутренних процессов компании или организации.

Какие предпринимаются меры и мероприятия.

Обеспечение защиты

Защита информации по уровням в каждом случае состоит из цепочки мер.

Четвертый уровень. Означает исключение из помещения, где находится информационное оборудование, посторонних лиц, обеспечение сохранности носителей данных, утверждение четкого списка работников, которые имеют допуск к обработке данных, а также использование специальных средств защиты информации.

Третий уровень. Подразумевает выполнение всех требований, предусмотренных для предыдущего уровня, и назначение ответственного за информационную безопасность должностного лица.

Второй уровень. Помимо выполнения требований предыдущего уровня, включает в себя ограничение доступа к электронному журналу безопасности.

Первый уровень. Кроме всех требований, которым необходимо следовать на втором уровне, включает обеспечение автоматической регистрации в электронном журнале безопасности полномочий сотрудников, имеющих доступ к данным, в случае изменения этих полномочий, а также возложение ответственности за информационную безопасность на специально созданное подразделение.

Должное выполнение прописанных в законодательстве мер защиты персональных данных в соответствии с уровнями обеспечивает максимальную эффективность общей стратегии защиты информации, принятой в компании-операторе.

Представляет собой защиту общедоступных данных, то есть тех, к которым полный и неограниченный доступ предоставлен самим человеком.

Практика. Создание системы защиты персональных данных

Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

  1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
  2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
  4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
  5. Разработка технического задания на создание системы защиты персональных данных.
  6. Приобретение средств защиты информации.
  7. Внедрение системы защиты персональных данных.
  8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Выводы

Вот такие нехитрые шаги позволят вам спать спокойно и обрабатывать персональные данные. В первую очередь важно понимать, кто, где и зачем обрабатывает персональные данные. Это стержень на который наматывается вся остальная обертка, связанная с разработкой документов и доработкой сведений на сайте. Тот, кто познает эту истину, познает дзен.

ru p8924 p14069 p14070 , эти позиции применяются и судами, вот, к примеру, можно посмотреть здесь апелляционное определение СК по гражданским делам Новосибирского областного суда от 04 февраля 2016 г.

Обработка и защита персональных данных: часто задаваемые вопросы

В последнее время все чаще и чаще поднимается вопрос о защите персональных данных (ПДн). Ведь федеральные законы, постановления правительства РФ обязывают защищать информацию ограниченного доступа, а в случае несоблюдения этих требований — привлекать организации к ответственности со всеми вытекающими последствиями. Для тех, кому интересна тема защиты персональных данных, мы подготовили ответы на часто задаваемые вопросы.

# Как классифицируется информация в соответствии с российским законодательством?

Согласно российскому законодательству, а если точнее, ФЗ-149 «Об информации, информационных технологиях и о защите информации», классифицируется она по способу распространения и по видам доступа, подразделяясь на две категории: общедоступную информацию и информацию ограниченного доступа .

# Какая информация относится к информации ограниченного доступа?

Чтобы информация рассматривалась как информация с ограниченным доступом , необходимо соблюдение следующих условий:

  • Информация должна быть документированной, то есть зафиксированной на материальном носителе.
  • Должен существовать нормативный акт или закон, в соответствии с которым происходит ограничение доступа

Как видно из таблицы, данные, относящиеся к информации ограниченного доступа , делятся на категории и регламентируются соответствующей буквой закона.

# Что такое государственная тайна и какая информация к ней относится?

# Что такое конфиденциальная информация и что к ней относится?

Конфиденциальная информация, как и государственная тайна, относится к информации ограниченного доступа. Согласно указу Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» , к видам информации конфиденциального характера относятся: персональные данные, коммерческая тайна, служебная тайна, профессиональная тайна, тайна следствия и судопроизводства. Для лучшего понимания наиболее распространенных терминов предлагаем воспользоваться списком определений.

# Что понимается под обработкой персональных данных?

Под обработкой ПДн понимается любая операция, действие, совокупность действий, совершаемых с использованием или без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, обновление, изменение, извлечение, использование, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение ПДн.

# Какие предприятия должны защищать персональные данные?

Определение
Согласно статье 3 ФЗ-152, вводится термин «оператора» , под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цель обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ПДн.
Читайте также:  Составить корреспонденцию счетов по хозяйственным операциям пример

Предприятия, попадающие под озвученное определение, согласно статье 18.1 всё того же ФЗ-152, обязаны принимать достаточные и необходимые меры по защите персональных данных, обеспечивая тем самым выполнение обязанностей, предусмотренных настоящим Федеральным законом и принятых в соответствии с ним нормативно-правовых актов.

# Что требуется от оператора персональных данных?

В первую очередь, выполнить ряд организационных, правовых и технических мер, описанных в Федеральном законе и соответствующих подзаконных актах (в том числе статьи 8.1, 19):

  • Назначить ответственное лицо для организации обработки персональных данных.
  • Издать документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
  • Осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям Федерального закона и принятым в соответствии с ним нормативно-правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.
  • Производить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом.
  • Ознакомить работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучить указанных работников.
  • Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Обратите внимание, что обеспечение безопасности является важным моментом в вопросе требований, предъявляемых к оператору персональных данных.
Обеспечение безопасности достигается:

  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • применением прошедших в установленном порядке процедур по оценке соответствия средств защиты информации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • учетом машинных носителей персональных данных;
  • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • контролем принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

# Кто занимается проверками и какие ресурсы есть у этих организаций?

На основании статьи 23 ФЗ-152, проверками занимается Уполномоченный орган по защите прав субъектов ПДн.
Кроме того, согласно статье 19 озвученного закона, контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности ПДн при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России), и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

ФСБ и ФСТЭК, решением Правительства Российской Федерации, с учетом значимости и содержания обрабатываемых персональных данных, могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности ПДн в ходе их обработки в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

Помимо ФСБ и ФСТЭК на «тропу проверок» зачастую выходит и другой инспектирующий орган в лице Роскомнадзора. Вам наверняка приходилось слышать о том, что правительство РФ наделило РКН полномочиями, позволяющими контролировать операторов ПДн. Обеспечение контроля и надзора за соответствием обработки персональных данных требованиям ФЗ «О персональных данных» входит в задачи этой организации.

Помимо сказанного, уполномоченный орган по защите прав субъектов ПДн выполняет:

  • рассмотрение обращений субъектов ПДн, принятие в пределах своих полномочий решений по результатам их рассмотрения;
  • ведение реестра операторов, занимающихся обработкой ПДн;
  • подготовку предложений по совершенствованию нормативно-правового регулирования в области защиты прав субъектов ПДн.

В соответствии с ФЗ-294 «О защите прав юридических лиц и индивидуальных предпринимателей (ИП) при осуществлении государственного контроля (надзора) и муниципального контроля», Роскомнадзор вправе выполнять плановые, внеплановые, документарные и выездные виды проверок.
Основаниями для осуществления проверок выступают:

  • ежегодный план проверок операторов ПДн со сведениями, определяемыми в части 4 статьи 9 ФЗ-294, который публикуется на официальном сайте Роскомнадзора;
  • истечение срока исполнения оператором ранее выданного предписания об устранении нарушений;
  • поступление в Роскомнадзор обращений и заявлений о фактах нарушения законодательства.

# Какая деятельность подлежит обязательному лицензированию и какими могут быть сами лицензии?

Начнем с того, что лицензирование представляет собой способ регулирования деятельности организации, характеризующийся установлением правового режима осуществления отдельных видов деятельности.

Основные виды лицензий, выдаваемых регулирующими органами

Лицензия ФСБ (государственная тайна)

Если организация проводит работы с использованием сведений, представляющих государственную тайну , необходимо получить лицензию ФСБ . Такая лицензия необходима организациям, вне зависимости от их организационно-правовых форм. Лицензия представляет собой официальный документ и действует в течение установленного срока, разрешая осуществлять на определенных условиях конкретный вид деятельности.
Имея лицензию на Гостайну, организация, в том числе и поставщик облачных услуг, может выполнять следующее:

  • осуществлять работы с использованием сведений, составляющих государственную тайну;
  • осуществлять работы, связанные с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну;
  • осуществлять мероприятия и/или оказывать услуги в области защиты государственной тайны.

Лицензия ФСБ на деятельность в области разработки, распространения и технического обслуживания шифровальных (криптографических) средств и предоставления услуг в области шифрования данных

Помимо лицензии на Гостайну, ФСБ занимается выдачей лицензии на деятельность в области разработки, распространения и технического обслуживания шифровальных (криптографических) средств и предоставления услуг в области шифрования данных. Такая лицензия позволяет выполнять широкий перечень работ и оказывать услуги в отношении шифровальных (криптографических) средств. В таблице ниже представлен пример работ и услуг, которые можно выполнять при наличии такой лицензии.

Таблица 1. Пример перечня работ/услуг, которые можно выполнять согласно лицензии

Обратите внимание, что деятельность по технической защите конфиденциальной информации подлежит лицензированию. Наиболее востребованной для типовой организации, осуществляющей деятельность по защите конфиденциальной информации , является наличие лицензии ТЗКИ, выдаваемой ФСТЭК РФ.

Согласно Постановлению Правительства Российской Федерации от 15 августа 2006 г. № 504:
ТЗКИ (Техническая защита конфиденциальной информации) — это комплекс мероприятий и/или услуг по защите информации от несанкционированного доступа, включая технические каналы, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа.

# Нужны ли лицензии оператору, например, на деятельность по технической защите конфиденциальной информации?

Здесь, пожалуй, можно дать односложный ответ: нет. Дело в том, что лицензии могут понадобиться подрядчику Оператора в случае, если сам оператор приглашает подрядчика оказать услуги по разработке проектов организационно-распорядительных документов и необходимых организационно-технических мер.
В этом случае подрядчику понадобится как минимум лицензия на деятельность по технической защите конфиденциальной информации, выдаваемая ФСТЭК России, а также может понадобиться лицензия ФСБ России на деятельность, связанную с применением в ИСПДн шифровальных/криптографических средств.

Вывод
Ни для клиента, ни для хостинг-провайдера озвученные лицензии не нужны, они необходимы исключительно подрядчику, реализующему внедрение мер по защите информации.

# Что представляет собой аттестат и какой уполномоченный орган его выдает?

Под аттестатом понимается документ, подтверждающий эффективность принятых Оператором организационно-технических мер защиты. Этот термин вводится в пункте 4 части 2 статьи 19 ФЗ-152.
Аттестат может выдаваться только :

  • органом по аттестации (при обработке информации, содержащей сведения, составляющие государственную тайну);
  • организацией, имеющей право на деятельность в области технической защиты конфиденциальной информации (при обработке информации конфиденциального характера, в том числе персональных данных).
Читайте также:  Лотошино - адреса и контакты отделений пенсионного фонда на сегодня

# Что представляют собой уровни угроз и уровни защищенности ПДн?

При обработке ПДн в информационных системах существуют установленные требования по их защите. Требуемый уровень защищенности зависит от трех уровней актуальных угроз.

Таблица 2. Три уровня актуальных угроз

Угроза I уровняУгроза II уровняУгроза III уровня
Угрозы, связанные с наличием недокументированных возможностей в используемом системном программном обеспеченииУгрозы, связанные с наличием недокументированных возможностей в используемом прикладном программном обеспеченииУгрозы, не связанные с наличием недокументированных возможностей в используемом системном и прикладном программном обеспечении

Согласно Постановлению Правительства РФ № 1119 от 1 ноября 2012 года, вместо классов информационных систем персональных данных устанавливаются 4 уровня защищенности персональных данных при их обработке в информационных системах, а также требования для каждого из них.
Информационная система может быть отнесена к тому или иному уровню защищенности в зависимости от:

  • типа персональных данных, обрабатываемых информационной системой;
  • типа актуальных угроз;
  • количества обрабатываемых субъектов персональных данных и от того, персональные данные какого контингента обрабатываются.

Таблица 3. Категории обрабатываемых персональных данных

Средства и решения по защите ПДн играют важную роль в вопросе безопасности, поскольку обеспечивают возможность устранения угроз. Здесь особенно важно понимать, что именно подлежит защите, какие могут быть угрозы и каким образом реализуется сама защита. Для ответа на поставленный вопрос предлагаем воспользоваться приведенной ниже схемой:

# Кем осуществляется оценка актуальных угроз?

При выработке технических мер защиты, оценка угроз безопасности является необходимым мероприятием. Эту процедуру, согласно методике оценки актуальных угроз безопасности ПДн при их обработке в ИСПДн, должны выполнять эксперты и специалисты в области защиты информации.

# Какова ответственность в случае нарушения требований по защите ПДн?

Вопрос ответственности за невыполнение требований законодательства по защите ПДн является часто задаваемым. Кто-то, отмахиваясь, полностью игнорирует законодательство о ПДн, считая его формальностью, кто-то, наоборот, приводит весомый список наказаний и боится наступления часа «Икс». Какова же реальность?

Неисполнение требований закона «О персональных данных» приводит организации к следующим рискам:

  • гражданские иски со стороны клиентов или работников;
  • приостановление или прекращение обработки ПДн в организации;
  • привлечение организации и/или ее руководства к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности;
  • приостановление действия или аннулирование лицензий на основной вид деятельности организации;
  • репутационные риски;
  • риски недобросовестной конкуренции.

Согласно изменениям в Кодекс РФ об административных правонарушениях, внесённых Законопроектом № 683952-6, принятым в настоящее время в первом чтении, в статью 13.11 вводятся нормы, которые позволят привлечь оператора ПДн в ходе проверки сразу по нескольким составам административного правонарушения с размером штрафа до 30–50 тысяч рублей по каждому факту нарушения.
Обработка специальных категорий ПДн (в том числе данных о состоянии здоровья) в случаях, не предусмотренных законодательством Российской Федерации о персональных данных, влечёт административную ответственность в размере до 300 тысяч рублей.

# Можно ли размещать персональные данные в облаке на территории Российской Федерации?

Да, можно. Об этом мы расскажем в нашем следующем материале.

Обратите внимание, что обеспечение безопасности является важным моментом в вопросе требований, предъявляемых к оператору персональных данных.

Построение системы защиты персональных данных

разрабатывается перечень информационных систем организации, которые работают с ПД;.

Организация защиты персональных данных

Профессиональная организация безопасности данных и информационной защиты помогает ведомственным учреждениям, компаниям пересматривать политики, внедрять эффективные способы защиты личных данных клиентов, партнеров, сотрудников. Безопасность в этом случае базируется на следующих основополагающих моментах:

  • оценке текущего состояния технической, аппаратной составляющей используемой системы, поиске уязвимых мест;
  • организации систем защиты персональных данных, которые реализовываются компаниями, учреждениями (это политики, из которых формируется общий регламент);
  • соответствии паролей международным стандартам;
  • отработка контрдействий, использования средств защиты персональных данных в организации, применяемые в случае попытки несанкционированного доступа к информации.

Организация защиты конфиденциальных данных включает работу с персоналом. Это обусловлено тем, что в 80% случаев именно работники становятся инициаторами проникновения вредоносных программ в систему. Такое происходит без злого умысла со стороны сотрудника. Проникают вирусы следующим образом:

  • с обновлениями ПО;
  • через письма, приходящие на электронную почту;
  • при переходе по ссылкам;
  • через съемные носители информации.

Организация работ по защите персональных данных основывается, в том числе и на работе с персоналом. Составляются инструкции и политики обязательные для ознакомления, проводятся занятия в режиме реального времени.

Мы поможем создать и наладить работу организации по защите персональных данных в организации. Это повысит безопасность, эффективность противодействий попыткам несанкционированного проникновения в системы для кражи информации. Квалифицированные сотрудники подразделения следят за выполнением политики конфиденциальности, предупреждают несанкционированные проникновения в систему третьих лиц.

Организация защиты информационной системы персональных данных требует комплексного подхода, основывается на работе над аппаратной, программной составляющей и обучении персонала. Только так возможно создать эффективное противодействие виртуальным угрозам, обезопасить информацию от утечки.

автоматического отключения идентификатора пользователя при вводе нескольких ошибочных паролей, файл журнала событий мониторинг попыток взлома ;.

Защита персональных данных

Подобный предпроектный аудит предоставляет объективные сведения о процессах, задействованных при обработке ПДн в компании и мерах по их защите.

Как документально оформить защиту персональных данных

Исходя из практической целесообразности, можно издать следующие документы:

  • положение о ПД;
  • список служащих, работающих с персональными данными;
  • приказ об утверждении работника, отвечающего за работу с персональными данными;
  • положение о мерах по ЗПД;
  • инструкцию о служебном расследовании фактов разглашения личных данных работников;
  • инструктаж по ЗПД;
  • журнал антивирусных проверок;
  • журнал контроля использования ПД для служебной необходимости.

Перед началом ввода ИСПД в эксплуатацию необходимо провести ее аттестацию безопасности и получить Аттестат соответствия требованиям ФСТЭК России.

Организация защиты персональный данных в организации.

ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года 687.

Выбор средств защиты персональных данных

После выхода в свет постановления Правительства РФ № 781 “Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных” от 17 ноября 2007 г. и совместного приказа Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20 “Об утверждении порядка проведения классификации информационных систем персональных данных” (далее “Порядок…”) перед службами разработки и эксплуатации информационных систем (ИС), обрабатывающих персональные данные, возникло два почти гамлетовских вопроса:

  • как классифицировать ИС, предназначенные для защиты персональных данных;
  • как выбрать средства защиты информации для защиты персональных данных в этих системах.

“Порядок…” утверждает, что “классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных”. Это означает, что персональные данные (ПД) классифицирует их владелец, что является серьезным подспорьем для объективного выбора методов и средств защиты ПД и создает объективную базу для диалога с проверяющими органами о достаточности принятых в организации мер защиты персональных данных.

При проведении классификации ИС, предназначенной для обработки персональных данных, учитываются следующие исходные данные: ·

  • категория обрабатываемых в информационной системе персональных данных; ·
  • объём обрабатываемых ПД (количество субъектов, персональные данные которых обрабатываются в ИС); ·
  • заданные владельцем информационной системы характеристики безопасности персональных данных, обрабатываемых в ИС; ·
  • структура информационной системы; ·
  • наличие подключений ИС к сетям связи общего пользования и (или) сетям международного информационного обмена; ·
  • режим обработки ПД; ·
  • режим разграничения прав доступа пользователей информационной системы; ·
  • местонахождение технических средств ИС.

В первую очередь определим, что относится к персональным данным. Это сведения различного характера о конкретных физических лицах. Заметим, что мы говорим только о сведениях в электронной форме, вводимых, хранящихся, обрабатываемых и передаваемых в информационной системе. Данные сведения разделяются на четыре основные категории: ·

  • категория 1 — ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; ·
  • категория 2 — ПД, позволяющие идентифицировать субъекта персональных данных и получить о нём дополнительную информацию, за исключением персональных данных, относящихся к категории 1; ·
  • категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных; ·
  • категория 4 — обезличенные и (или) общедоступные ПД.
Читайте также:  Пенсионный фонд в Усть-Уде: особенности деятельности, режим работы, адрес

Например, отдельно фамилия является данными 4-й категории, сочетание фамилии и адреса — третьей, фамилия, адрес, номера страховок и карт — второй, а если к этим данным добавлена электронная медкарта, то получившиеся персональные данные относятся исключительно к первой категории.

Исходя из этой классификации можно констатировать, что любые медицинские данные, а также кадровый учет, содержащий графу “национальность” (а таковы почти все действующие анкеты и личные листки по учету кадров, используемые в настоящее время), необходимо относить к первой категории. Понятно также, что фрагменты персональных данных почти всегда имеют меньшую категорию, чем их совокупность. Даже подробные сведения о здоровье физического лица могут быть бессмысленны, если неизвестна его фамилия или другие данные, однозначно привязывающие эти сведения к пациенту.

Объем обрабатываемых ПД может принимать следующие значения: ·

  1. — в ИС одновременно обрабатываются персональные данные более чем 100 000 субъектов или персональные данные субъектов в пределах региона Российской Федерации или Российской Федерации в целом; ·
  2. — в ИС одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов или персональные данные субъектов, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; ·
  3. — в ИС одновременно обрабатываются данные менее чем 1000 субъектов или персональные данные субъектов конкретной организации.

По характеристикам безопасности ПД, обрабатываемых в информационной системе, ИС подразделяются на типовые и специальные. Первые — информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Характеристика “конфиденциальность” означает, что обращаться (вводить, хранить, обрабатывать и передавать) с ПД в электронной форме может только тот, для кого они предназначены. Для обеспечения конфиденциальности при передаче персональных данных в сетях, включая Интернет, необходимо использовать шифрование данных.

Специальные информационные системы — это такие ИС, в которых вне зависимости от необходимости обеспечения конфиденциальности ПД требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (например, целостность или доступность). Характеристика “целостность” означает, что персональные данные должны меняться только регламентированным образом, например изменения в файл электронной медкарты может вносить только уполномоченный врач, а в любых других случаях информация в медкарте не должна меняться. При передаче по сетям целостность обеспечивается применением электронной цифровой подписи.

Характеристика “доступность” означает, что работа с ПД должна обеспечиваться для заданного количества данных и пользователей с соблюдением установленных временных регламентов. Иначе говоря, “доступность” — другая формулировка надежности системы. Заметим также, что говорить о доступности в открытых сетях практически бессмысленно — ни один провайдер не обеспечит гарантированного доступа к данным или их бесперебойной передачи.

К специальным информационным системам относятся: ·

  • ИС, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов; ·
  • ИС, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта или иным образом затрагивающих его права и законные интересы.

По структуре информационные системы для обработки ПД подразделяются: ·

  • на автономные (не подключенные к иным ИС), предназначенные для обработки персональных данных (автоматизированные рабочие места); ·
  • на комплексы автоматизированных рабочих мест, объединенных в единую ИС средствами связи без использования технологии удаленного доступа (локальные информационные системы); ·
  • на комплексы автоматизированных рабочих мест и (или) локальных ИС, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределённые информационные системы).

По наличию подключений к сетям связи общего пользования и (или) международного информационного обмена ИС подразделяются на системы, имеющие подключения не имеющие подключений.

Исходя из того, что в обязательном порядке требуется обеспечение конфиденциальности данных, можно выделить необходимые элементы информационной системы для обработки персональных данных.

В первую очередь информационная система обязана идентифицировать пользователей и иметь возможность устанавливать индивидуальные полномочия по доступу пользователей к ПД, т. е. обладать системами идентификации и аутентификации и разграничения доступа.

Во-вторых, необходимо обеспечивать защиту персональных данных, которые могут отчуждаться из системы. Например, следует контролировать перенос информации на съёмные носители. Весьма вероятно, что в ряде случаев надо учитывать возможность хищения и утраты (потери) компьютерной техники с персональными данными. В этом случае также обязательно шифрование хранимых на носителях компьютера ПД.

Если система имеет подключения к открытым сетям или предусматривает обмен данными, обязательно применение шифрования данных и электронной цифровой подписи, а также обеспечение защиты от атак из внешних сетей, включая антивирусную защиту.

Для шифрования и электронной подписи используются ключи и сертификаты, которые генерируются самими пользователями и регистрируются в так называемых удостоверяющих центрах.

Весьма важный момент — регистрация действий с ПД, которая, с одной стороны, позволяет выявить виновных в их утечке, а с другой — создает психологическую мотивацию для корректной работы с ними.

Информационной системе для обработки ПД может быть присвоен один из следующих классов: ·

  • класс 1 (К1) — ИС, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных; ·
  • класс 2 (К2) — ИС, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; ·
  • класс 3 (К3) — ИС, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; ·
  • класс 4 (К4) — ИС, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

После выхода в свет постановления Правительства РФ 781 Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных от 17 ноября 2007 г.

Получение согласия на обработку данных

Статьей 9 Федерального закона № 152-ФЗ предусмотрено, что субъект персональных данных принимает решение о предоставлении своих ПДн и дает согласие на их обработку своей волей и в своем интересе.

Под ПДн в соответствии со статьей 3 Федерального закона № 152-ФЗ понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его ФИО, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Как видим, перечень такой информации является открытым.

Предоставление данных может быть обязательным и добровольным. Например, обязательное предоставление данных предусмотрено пунктом 2 статьи 9 Федерального закона № 152-ФЗ в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

В большинстве же случаев мы предоставляем персональные данные в добровольном порядке, при этом согласие субъектов ПДн на обработку ПДн требуется не всегда.

Без получения согласия субъекта ПДн может осуществляться обработка персональных данных в целях исполнения договора, одной из сторон которого является субъект ПДн, либо в случае, если обработка ПДн необходима для доставки почтовых отправлений и т. п. Полный перечень таких исключений приведен в пункте 2 статьи 6 Федерального закона № 152-ФЗ (например, не требуется получения согласия в целях исполнения договора с субъектом ПДн).

Следует принимать во внимание, что обеспечение конфиденциальности ПДн не требуется в отношении общедоступных ПДн. При использовании таких данных рекомендуется источник их получения.

Перечень сведений, подлежащих отражению в согласии субъекта персональных данных на обработку данных, приведен в пункте 4 статьи 9 Федерального закона № 152-ФЗ.

Необходимо оговориться, что класс информационной системы ПДн варьируется от К4 до К1.

Кому пригодится этот закон?

Закон важен для каждого. Все мы, так или иначе, передаем информацию о себе разным учреждениям и организациям, а потом надеемся, что ее не передадут посторонним. Например, банки запрашивают наши паспортные данные и сведения о доходах, продавцы в интернет-магазинах получают номера телефонов, электронную почту и личные данные с днем и местом рождения. А в соцсетях вообще выставляется вся своя жизнь.

Поэтому самая главная цель закона – обеспечение защиты интересов и прав обычных людей.

В свою очередь, нормы закона должны знать и четко исполнять все владельцы сайтов, которые имеют на своей странице:

  • возможность зарегистрировать и использовать личный кабинет;
  • анкеты с личными данными;
  • форма для оформления рассылки, заказа или обратной связи;
  • сбор личной информации или биометрических данных.

В этих случаях ресурс оперирует персональными данными – а потому должен обеспечивать их сохранность.

Что конкретно имеется в виду под персональными данными.

Добавить комментарий