Главная » Права работников » Техническая защита персональных данных. Является ли ваша организация оператором персональных данных? Список лиц, допущенных к обработке ПДн

Техническая защита персональных данных. Является ли ваша организация оператором персональных данных? Список лиц, допущенных к обработке ПДн

Персональные данные работника - тема сейчас особо актуальная. Чтобы не оштрафовали ГИТ и Роскомнадзор, читайте о том, как правильно обрабатывать персданные, как их хранить и как защитить. Скачайте готовые образцы всех необходимых документов

Из этой статьи вы узнаете:

Персональные данные работника: что к ним относится

Для начала нужно четко определить, что относится к персональным данным (ПДн). Они имеются в ведении каждой компании, и их можно условно разделить на два вида:

  1. Документы, которые служащий предоставил сам при трудоустройстве (ст.65 ТК РФ).
  2. Документы, образовавшиеся в процессе работы (приказы, личная карточка, бухгалтерские бумаги по оплате труда).

Все эти данные конфиденциальны и нуждаются в защите.

Законодательно установлены такие категории персональных данных:

Письмо Роскомнадзора от 14.12.2012 г. определяет еще ряд случаев, например, при обработке:

  • ПДн родных служащего, зафиксированных в его досье (при праве на алименты, на соцвыплаты и допуске к государственной тайне);
  • медицинской информации, связанной с возможностью выполнения трудовой функции;
  • ПДн, требующихся для пропуска;
  • размещении ПДн персонала в интернете.

Защита персональных данных в организации: пошаговая инструкция

Шаг 1. Разработать и утвердить Положение о защите персональных данных.

Шаг 2. Оформить лист ознакомления с Положением, в котором каждый служащий расписывается после знакомства с документом с проставлением даты.

Шаг 3. Разработать и утвердить Инструкцию для ответственного (можно оформить приложением к Положению).

Уведомлять Роскомнадзор о начале сбора ПДн сотрудников не нужно, поскольку он ведется в рамках трудовых отношений.

Шаг 4. Издать приказ об организации обработки ПДн на предприятии.

Шаг 5. Составить и утвердить Перечень персональных данных, обрабатываемых в организации.

Шаг 6. Приказом назначить ответственного за обработку ПДн .

Шаг 7. Издать приказ об установлении списка лиц, обладающих доступом к личным сведениям о персонале.

Шаг 8. Взять от каждого сотрудника его письменное согласие на обработку личной информации.

Шаг 9. Обеспечить надежное хранение бумажных документов в спецшкафах либо сейфах.

Шаг 10. При хранении сведений в базе данных предварительно следует составить акт ее классификации и определения уровня ее защищенности.

Комплект документов по защите персональных данных

Разработка пакета документов по защите персональных данных в 2018 потребуется для любого их оператора. Причем ФЗ №152 не оговаривает перечень документов и не предлагает их форм, а посему каждая компания вправе самостоятельно определить состав пакета. Все материалы по защите ПДн на предприятии можно разбить на три подвида:

1. Организационные:

  • положение о защите ПДн;
  • должностные инструкции;
  • приказы (о назначении ответственных и имеющих доступ и т.д.)

2. Технологические (инструкции).

3. Методические (правила работы с ПДн).

Срок хранения персональных данных

ПДн собраны в досье служащего, а срок его хранения определен в 75 лет. Исключение составляют данные руководителей, работников, имеющих звания (премии, награды, ученые степени) – их следует хранить постоянно.

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке , установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Всем доброго времени суток! В этой статье я хотел бы еще раз поднять тему защиты персональных данных (далее будем обзывать их - ПДн), а также тему защиты от регуляторов. Пик дебатов на тему защиты ПДн давно прошел. Приходились эти пики как правило на приближение очередного «самого последнего срока» ввода 152-ФЗ в полную силу. В итоге «самый последний срок» наступил, активные дебаты стихли, но закон «О персональных данных» живет, регуляторы устраивают проверки и наказывают нарушителей. Поэтому тема будет еще долго актуальна.

Сразу оговорюсь, что в этой статье в основном будет информация организационного характера, нежели техническая. «А зачем такая информация нужна нам?» - спросит читатель хабра. Объясняю: так уж получилось, что начальники как крупных, так и не очень организаций не любят выстраивать длинные логические цепочки и вникать в суть вопроса, который лежит далеко от их компетенции. Поэтому при возникновении необходимости обеспечения защиты персональных данных строится вполне логичная по их мнению взаимосвязь: «Защита персональных данных» -> «Защита информации» -> «Информационные технологии» -> «Взвалить вопрос защиты ПДн на IT-шников». И пофигу, что в этом вопросе львиную долю можно поручить юристам и кадровикам, но как говорится в бородатом анекдоте: «кому не нравится грузить люминь, пойдет грузить чугуний».

Типичный пример разглашения ПДн специальной категории (сведения об интимной жизни)

Итак, почему здесь я все-таки не буду рассматривать техническую защиту персональных данных.

Причин несколько:

  • Этой информации итак много в интернетах и она более-менее однозначная.
  • Эта тема довольно емкая и заслуживает отдельной статьи, в этом опусе я все же хочу коснуться именно организационных моментов.
  • Организационные моменты проверяет Роскомнадзор, а технические – ФСТЭК. ФСТЭК проверяет гораздо меньше по защите персональных данных, хотя бы потому, что управление Роскомнадзора есть в каждом регионе, а управление ФСТЭК – одно на Федеральный округ.
  • В связи с отменой Постановления правительства № 781, регламентирующего техническую защиту персональных данных, и его заменой на ПП № 1119, нормативные документы ФСТЭК России и ФСБ России оказались в «подвешенном» состоянии. Ими по идее нельзя пользоваться, так как они были изданы во исполнение отмененного постановления № 781, но с другой стороны документы ФСТЭК России должен отменять сам ФСТЭК России. Поэтому техническую защиту ПДн лучше рассматривать предметно после выхода новой документации от регуляторов.
  • IT-шникам все же гораздо ближе техническая защита ПДн и им проще в этом разобраться, а вот когда начальство взваливает «бумажную» работу, многим может понадобиться помощь и разъяснения.

Немного о себе

Я посчитал нужным сначала немного рассказать о себе для того, чтобы читателю стало понятно, что все, написанное ниже, основано на личном опыте организации защиты персональных данных в различных организациях, а не является квинтэссенцией различных форумных дебатов в интернетах (там «специалисты» иногда такого напишут, что волосы дыбом встают, и не только на голове).

Я являюсь начальником отдела одной из компаний на Дальнем Востоке, занимающихся аутсорсингом предприятий в сфере информационной безопасности. Безусловно, защита персональных данных – одна из наиболее востребованных наших услуг. Работаю я в этом направлении с 2008 года. Среди клиентов есть как небольшие организации, так и достаточно крупные государственные (департаменты, аппараты правительства, законодательные собрания и тд), так и коммерческие (операторы сотовой связи, интернет-провайдеры, частные медицинские клиники).

У некоторых клиентов проходили проверки Роскомнадзора на предмет выполнения требований законодательства в сфере защиты ПДн и пока что результат – 100% успешных проверок. Также у меня есть личный опыт представления интересов организации в ходе подобной проверки.

Итак, вас назначили ответственным за организацию обработки ПДн, да к тому же вы узнали, что внесены в план проверок Роскомназдора на грядущий год. С чего начать?

И вот, это случилось: начальник, не особо заморачиваясь подписал приказ в котором сказано «Системному администратору ООО «Рога и копыта» Иванову И. И. сделать так, чтобы защита персональных данных в нашей опупенной организации была по фен-шую». Что делать в первую очередь?

В первую очередь нужно выяснить, есть ли в реестре операторов персональных данных ваша организация. Для этого в поиске достаточно вбить ИНН компании. Если такого уведомления нет, то нужно его подать (но нужно учесть, что если уведомление не было подано ранее – это уже повод для регулятора оштрафовать вашу организацию).

Если уведомление все-таки присутствует, нужно уточнить его содержание. Часто бывает так, что уведомление заполнялось каким-нибудь Васей Пупкиным из отдела кадров от балды в далеком 2007 году, которого к тому же давным давно уволили. В этом случае вполне естественно, что содержание многих полей не соответствует действительности. В то же время практика карательных мер как раз говорит о том, что большинство предписаний выносится Роскомнадзором именно в связи с несоответствием уведомления тому, что происходит в организации на самом деле. Например, в графе «Категории обрабатываемых персональных данных» указано «ФИО, паспортные данные, адрес места жительства, номер телефона», а вы обрабатываете еще и сведения о здоровье.

Для внесения изменений в уведомление на портале персональных данных также существует специальная форма . Тут надо помнить, что изменения не будут учтены, если вы вслед не отправите бумажное письмо в свое территориальное управление Роскомнадзора. Это же касается и первоначального уведомления.

Хорошо, с уведомлением разобрались, что потом?

Потом вам нужно издать и утвердить в своей организации кучу документов (инструкции, положения, приказы, журналы и тд). Здесь нужно помнить, что документы должны регламентировать не только автоматизированную обработку но и «аналоговую» тоже.

Перечня документов как такового не существует, есть лишь перечень аспектов, которые вы должны описать в них.
Первым делом нужно назначить ответственного за организацию обработки персональных данных (это лицо теперь требуется указывать в уведомлении оператора). Этот человек у нас будет отвечать в основном за «бумажные» вопросы. Также требуется назначить администратора безопасности персональных данных. Он будет отвечать уже за техническую сторону вопроса. И того и другого можно назначить одним приказом. Тут сразу хочу заметить, что все формулировки настоятельно рекомендуется согласовывать с текстом законодательства, так как проверяющие очень часто к ним придираются. Например, если вы ответственного за организацию обработки ПДн назовете просто ответственным за обработку ПДн, то с вероятностью 99.9% регулятор в процессе проверки попросит внести изменения в документ.

Далее, многие об этом забывают, но Роскомнадзор требует: во всех кабинетах, в которых обрабатываются ПДн на бумаге должны быть определены места хранения (сейф, шкаф, стеллаж) и ответственные за сохранность конфиденциальности ПДн в этом кабинете. Проще говоря, издаем приказ, в котором пишем «В кабинете № 1 утвердить местом хранения сейф, ответственным назначить такого-то такого-то».
Далее, вы должны назначить комиссию по классификации и комиссию по уничтожению ПДн. В эти комиссии должны входить: председатель комиссии и, как минимум, два члена комиссии. Обе комиссии по своему составу могут быть на 100% идентичными.

Далее, необходимо определиться с лицами, допущенными к обработке персональных данных. Это сотрудники, которые работают с ПДн как работников организации, так и клиентов, абонентов и других категорий субъектов. Причем в документе должно быть указано какой работник к каким данным имеет доступ, обрабатывает он эти данные с помощью средств автоматизации или нет, а в случае с автоматизированной обработкой еще и его роль в системе (пользователь, администратор и тд). Тут следует заметить, что каждый сотрудник, допущенный к обработке персональных данных должен подписать соглашение о неразглашении ПДн.

Следующим шагом нужно определить категории персональных данных, которые у нас подлежат защите. Это делается также отдельным приказом. Здесь есть тоже такой момент, о котором многие забывают, но Роскомнадзор при проверках спрашивает – персональные данные являются частным случаем сведений конфиденциального характера, поэтому отдельным приказом должен быть утвержден также и такой перечень. Что может относиться к сведениям конфиденциального характера, определено указом президента РФ № 188 от 6 марта 1997 г. Просто переписываем пункты, относящиеся к вашей организации в свой приказ и готово.

Наконец, вы должны утвердить в организации основной документ, регламентирующий защиту ПДн. Обычно такой документ называют «Положение об обработке и защите персональных данных». Здесь вы описываете основные понятия из законодательства, цели и законные основания обработки ПДн, права и обязанности оператора, права и обязанности субъекта ПДн.

Также придется разработать ряд журналов, вы должны показать Роскомнадзору, что вы проводите регулярную (а не только одноразовую) деятельность по защите ПДн. В этом вам помогут, например «Журнал проведения инструктажа по информационной безопасности» и «Журнал учета мероприятий по контролю обеспечения защиты персональных данных». Обязательно (Роскомнадзор обязательно спросит) должен быть журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав. Также не забудьте перед проверкой обзавестись журналом учета проверок юридических лиц контролирующими органами.

Подводя итог по внедрению организационной документации по защите ПДн в вашей организации, еще раз повторюсь, строгого перечня документов нет. Вы можете создать один большой документ под названием «Политика в отношении защиты персональных данных», в котором опишите все, что я выше перечислил, а можете разбить на множество мелких документов. Можете издать несколько разных приказов, а можете назначить всех ответственных, определить лиц, допущенных к обработке ПДн и тд одним единственным распоряжением.

Но, все-таки, для примера приведу стандартный перечень документов, который обычно мы внедряем у своих клиентов:

  • перечень сведений конфиденциального характера;
  • инструкция администратора информационной безопасности;
  • приказ о назначении лиц, ответственных за организацию обработки персональных данных и перечне мер по защите персональных данных;
  • перечень персональных данных, подлежащих защите;
  • приказ об утверждении мест хранения персональных данных;
  • инструкция пользователей информационной системы персональных данных;
  • приказ о назначении комиссии по уничтожению персональных данных;
  • порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;
  • план внутренних проверок режима защиты персональных данных;
  • приказ о вводе в эксплуатацию информационной системы персональных данных;
  • журнал учета носителей информации информационной системы персональных данных;
  • журнал учета мероприятий по контролю обеспечения защиты персональных данных;
  • журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав;
  • правила обработки персональных данных без использования средств автоматизации;
  • положение о разграничении прав доступа к обрабатываемым персональным данным;
  • акт классификации информационной системы персональных данных;
  • инструкция по проведения антивирусного контроля в информационной системе персональных данных;
  • инструкция по организации парольной защиты;
  • журнал периодического тестирования средств защиты информации;
  • форма акта уничтожения документов, содержащих персональные данные;
  • соглашение о неразглашении персональных данных;
  • журнал учета средств защиты информации;
  • журнал проведения инструктажа по информационной безопасности;
  • инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций;
  • приказ о перечне лиц, допущенных к обработке персональных данных;
  • положение об обработке и защите персональных данных;
  • план мероприятий по обеспечению безопасности персональных данных;
  • модель угроз безопасности в информационной системе персональных данных.

Вот, примерно так, опять же, список может быть гораздо шире или гораздо уже, все зависит от того, что будет написано в каждом из документов, здесь важно именно содержание. Образцы всех документов достаточно легко нагуглить.

Многие наверное заметили, что в списке документов много таких, которые регламентируют автоматизированную обработку и защиту ПДн в информационных системах. Несмотря на то, что при проверке Роскомнадзор обращает больше внимания на документальное обеспечение защиты ПДн, нежели на техническое, все равно - чем больше документов вы предоставите по защите ПДн, тем больше плюсиков в карму со стороны регулятора вам упадет.

Завершая раздел про документы, отмечу еще несколько моментов, на которые нужно обратить внимание. Во-первых, ко всем вышеперечисленным документам должен идти лист ознакомления и все лица, которых касается этот документ (будь то инструкция или приказ) должны расписаться в том, что они с бумажкой ознакомлены. Во-вторых, в должностные инструкции всех лиц, допущенных к обработке персональных данных нужно вписать строку «При работе с персональными данными руководствоваться Положением об обработке и защите персональных данных». И, в-третьих, помимо внутренних документов, необходимо разработать один публичный. Обычно его обзывают как «Политика в отношении обработки персональных данных». Такой документ должен вывешиваться на веб-сайте оператора ПДн, либо, если веб-сайта нет, на информационной доске в офисе или находиться в другом общедоступном месте. Примеров политики также можно нагуглить великое множество.

Аттестация

Несмотря на то, что этот момент больше относится к технической защите (ведь аттестация производится, когда наша информационная система полностью заряжена средствами защиты информации), все же хотел здесь пару слов сказать и о ней. Мне просто очень часто приходится слышать от очередных клиентов, что им промыли мозги о том, что аттестация информационных систем персональных данных является обязательной. Запомните раз и навсегда – это все ЧУШЬ! В положении об аттестации объектов информатизации черным по белому написано, что обязательной аттестации подлежат только объекты, содержащие государственную тайну и экологически опасные объекты. Поэтому весь этот бред об обязательной аттестации ИСПДн – просто происки недобросовестных интеграторов, желающих лишний раз скосить бабла с доверчивого клиента.

Аттестация ИСПДн может быть обязательной только в том случае, если ваша организация находится в подчинении вышестоящего органа, и эта самая верхушка спустила вам указание аттестовывать все свои ИСПДн.

Хотя, аттестацию может возжелать и сам начальник организации, ведь аттестат соответствия однозначно подтверждает, что ваши информационные системы полностью соответствуют законодательству как в плане документального обеспечения, так и в плане технической защиты. В этом случае нужно помнить, что одним из условий действительности аттестата является неизменность условий эксплуатации ИСПДн. То есть грубо говоря вы не можете поменять монитор на рабочем месте или установить дополнительное ПО без согласования с органом по аттестации, а это влечет за собой дополнительные затраты. Также стоит помнить, что аттестат соответствия может выдаваться максимум на три года, а потом – все по новой.
Возвращаясь к нашей основной теме – подготовке к проверке Роскомназдора, хочу сказать, что за все пять лет работы в данной сфере, проверяющие никогда не требовали Аттестат соответствия.

Вместо заключения

Букв получилось довольно много и, я думаю, пора закругляться, тем более, что выполнив описанные выше меры, можно сказать, что вы практически готовы к проверке Роскомнадзора. Но все же еще раз постараюсь коротко сформулировать основные этапы, выполнение которых поможет вам с большой долей вероятности получить положительное заключение по итогам проверки и некоторые другие, не вошедшие в статью, моменты:

  • Уведомление оператора. Необходимо проверить наличие уведомления, а также правдивость сведений изложенных в нем.
  • Роскомнадзор не будет проверять ваши информационные системы персональных данных, эти функции возложены на ФСТЭК России и ФСБ России (в случае использования средств шифрования), поэтому сосредоточьтесь на документальном обеспечении, информировании своих сотрудников.
  • Думаю не стоит лишний раз говорить о том, что если к вам пришла проверка Роскомнадзора, а в отделе кадров у кого-нибудь на столе будет лежать без присмотра пачка ксерокопий чьих-то паспортов, то это будет эпик фейл.
  • Если после всего прочитанного и после всех проведенных мероприятий у вас еще остаются вопросы, не поленитесь (а уж тем более не бойтесь и не стесняйтесь) позвонить в региональное управление Роскомнадзора. Задайте интересующие вас вопросы. Как правило, дозвониться туда легко (в сравнении со многими другими госорганами) и работники РКН идут на встречу, и разъясняют свое видение некоторых спорных вопросов. В некоторых случаях такой звонок даже жизненно необходим, так как наше законодательство часто можно трактовать двояко и даже бывает такое, что у одного и того же сотрудника РКН сегодня одна точка зрения на какую-либо проблему, а завтра – другая.
  • Со всех субъектов лучше собирать согласие на обработку ПДн. Да, в законе есть перечень случаев, когда согласие не требуется, например, когда оператор и субъект являются сторонами договорных отношений. НО, здесь же нужно помнить, что обработка биометрических и специальных категорий ПДн, а также передача ПДн третьим лицам осуществляются ТОЛЬКО с согласия субъекта. В любом случае, предоставление согласия на обработку ПДн снимает с вас множество различных неприятных вопросов. И если есть возможность эти согласия собрать, лучше это сделать. Здесь, кстати, как и с уведомлением нужно помнить о том, что сведения, указанные в согласии должны совпадать с тем, что и как вы обрабатываете на самом деле.
  • В начале проверки покажите регуляторам, что вы всячески готовы сотрудничать и исправлять выявленные недостатки в ходе самой проверки. Идеально подготовиться невозможно, в любом случае будут какие-либо замечания. Это не страшно, их можно устранить в процессе проверки, которая длится как правило 20 дней. Если замечания будут устранены, на содержании итогового протокола это негативно никак не скажется.

На этом, наверное, и закончу. Как видно не так страшны проверки РКН, как могут показаться на первый взгляд. Если у читателей есть какие-либо вопросы или предложения по следующим статьям на тему ПДн, постараюсь на все ответить и все учесть.

UPD: Актуальная информация в свежей статье.

Правовые вопросы, связанные с защитой персональных данных, волнуют юристов, которые ведут свою деятельность в разных сферах закона. Это связано с тем, что в любой области права имеется определенный перечень информации, которая требует обеспечения ее конфиденциальности и нераспространения третьим лицам теми, кому она была вверена в ходе исполнения ими должностных обязанностей.

Итак, рассмотрим далее то, какая информация относится к данной группе, а также особенности системы защиты персональных данных. Как она работает на предприятиях и в организациях? Кроме этого, рассмотрим то, что должно входить в структуру Положения о защите персональных данных работников (образец) и каким образом оно принимается.

Общее понятие

Если говорить об общем понятии, то конфиденциальная информация - это все те сведения, которые имеют непосредственное отношение к определенному физическому лицу. Как правило, это его личные данные. Если изъясняться юридическим термином, то данное лицо в практике специалистов в области права именуется субъектом персональных данных.

Какие данные законодатель относит к категории рассматриваемых? В первую очередь, это фамилия, имя и отчество человека, а также дата и место его рождения. Кроме этого, к группе таковых принадлежат сведения относительно места его проживания по факту, а также прописки. Сведения относительно семейного положения человека, а также его социального статуса, дохода и образования также относятся к группе конфиденциальной информации.

Законодательное регулирование работы с персональными данными в России. Основные нормативные акты

Что касается российского законодательства, то оно обеспечивает надлежащую защиту персональных данных людей, которые являются не только гражданами страны, но еще и пребывают на ее территории по любым обстоятельствам. Законодательство, которое регулирует данные вопросы, представлено несколькими нормативными актами. В частности, к группе таковых можно отнести основной Закон - Конституцию, а также ФЗ 152 "О защите персональных данных". Изменения в эти нормативные акты вносятся не очень часто, что позволяет специалистам более досконально изучить каждую новую поправку и применить ее на практике надлежащим образом.

Кроме российского законодательства, вопросы, связанные с защитой персональных данных, регулируются и международными нормативными актами. Кроме этого, данная деятельность ведется также и на основании нормативных актов, которые издаются органами местных властей, имеющимися в государстве. Законодатель отмечает, что в таких нормативных актах может содержаться регламент относительно обработки данных конкретного типа, но не могут быть предусмотрены правила, касающиеся ограничения определенных прав субъектов, которые являются носителями персональных данных.

Все законы и подзаконные акты, в которых прописаны требования относительно обработки персональных данных, а также обеспечения их защиты, в соответствии с законодательством, должны быть опубликованы официально на ресурсах, доступных для общества. Это правило имеет одно исключение, которое касается документов, регламентирующих работу с секретной информацией - данные сведения должны защищаться от доступа в довольно строгом порядке.

Принципы обработки данных персонального характера

В тексте ФЗ 152 "О защите персональных данных" говорится о том, что работа со сведениями, составляющими личную информацию, должна производиться исключительно в соответствии с определенными принципами. Какие они? Рассмотрим это далее более детально.

В первую очередь, все действия сотрудников органов и служб, которые имеют дело с обработкой личной информации, должны осуществляться с учетом основного принципа - законности. Это означает то, что все сведения, имеющиеся в базе, должны быть добыты законным путем, добросовестно и обработаны надлежащим образом, исключительно в рамках тех целей, для которых они были предоставлены. Кроме этого, должностное лицо, которое занимается обработкой вверенной ему информации, должно использовать те данные, которые позволяют рамки его полномочий.

Все способы обработки сведений, а также их характер, объем должны полностью соответствовать тем целям, для которых была принята в работу информация. В процессе деятельности не могут быть объединены сведения для обработки их в рамках нескольких целей единовременно. Исключением может стать только работа, производимая в информационной системе.

Все личные данные, которые предоставляются в обработку, должны быть достоверными - это также один из основных принципов работы с информацией рассматриваемого характера. Их объем должен быть достаточным для проведения операции в надлежащем виде, законодатель не допускает истребование у лица избыточных сведений, которые не требуются для проведения всех необходимых действий.

Условия, при которых возможна обработка сведений

В Положении о защите персональных данных предусматривается то, что вся работа с информацией, предоставленной на обработку, должна производиться на законных основаниях. Что это означает?

В первую очередь, следует помнить о том, что вся работа с личными данными должна осуществляться исключительно с согласия самого лица, которое является их обладателем. Что касается лица, которое совершает саму процедуру работы, то оно обязательно должно быть уполномоченным на то законом либо отдельным юридическим лицом, в котором производится обработка. В том случае, если лицо, которое принимает информацию, в ходе процесса работы со сведениями должен передать их иному сотруднику учреждения или организации, то в таком случае то самое иное лицо также обязано обеспечивать их сохранность.

В некоторых случаях законодатель предусматривает возможность использования личных данных без согласия на то субъекта, являющегося их непосредственным носителем. В частности, это касается того момента, когда производится использование данных для составления статистических отчетов, а также для достижения научных целей. Также это касается того случая, когда необходимо обеспечить исполнение договорных обязательств, защиту жизни и здоровья одного человека или целого общества. Кроме этого, наличие разрешения субъекта персональной информации не требуется в том случае, когда сведения используются в работе журналистами, в творческой или в научной деятельности. Однако, в Положении о защите персональных данных указывается то, что сведения могут быть применены исключительно профессиональной деятельности и только в том случае, если их раскрытие не принесет ущерб субъекту данной информации.

Особые категории персональной информации

Законодатель предусматривает определенный перечень персональной информации, которая представляет собой несколько категорий особого типа. К числу таковых относятся сведения о расовой принадлежности лица, о его философских и личных убеждениях, об интимной жизни, а также о состоянии здоровья. Данные группы сведений особенным образом охраняются законодательством и их разглашение ни в коем случае не допускается, за исключением определенных случаев. Какие они?

В первую очередь, следует обратить внимание на то, что согласие лица на раскрытие личных данных, относящихся к особым категориям, не требуется в том случае, если они уже являются общедоступными. По большей мере, это касается известных личностей, о жизни которых в открытых каждому источниках имеется немалое количество информации, в том числе, и личного характера.

В том случае, если субъект персональной информации особого характера дает свое письменное разрешение на разглашение сведений, они также могут быть раскрыты.

Что касается сведения относительно состояния здоровья человека, то защита персональной информации данной группы производится особым образом. В современной правовой практике имеется такое понятие, как "врачебная тайна". Именно благодаря ему и обеспечивается сохранность сведений медицинского характера, касающихся человека. Лица, которые, в силу своих должностных обязанностей, знают о состоянии здоровья пациента, не имеют права разглашать полученную информацию третьим лицам без письменного согласия на то самого клиента медицинского учреждения. В противном случае, лицо, которое не соблюдает данное правило, подвергается ответственности. Для получения доктором или иным профессиональным сотрудником медицинского или профилактического учреждения личной информации не требуется разрешение субъекта, так как неполучение специалистом информации относительно состояния здоровья человека может угрожать ему смертью или существенным ухудшением общего положения организма.

В современной практике также разрешается обработка информации личного характера, представленной в группе особых сведений, осуществляемая в процессе проведения следственных действий или судебного разбирательства дела по существу.

Персональные данные биометрического характера

В современную эпоху высоких технологий все большую популярность набирает новый вид личной информации - биометрические данные. Они представляют собой особую группу сведений. Обработка и защита персональных данных этого типа также производится на основании Закона РФ "О персональной информации".

В указанном акте говорится о том, что обработка данных биометрического характера, к числу которых относятся все те сведения, которые характеризуют биологические особенности конкретного человека, может быть произведена исключительно на основании письменного согласия, которое должно быть предоставлено субъектом личных данных непосредственно.

Однако, несмотря на такую строгость закона в отношении защиты конфиденциальности биометрических данных человека, и из этого имеется исключение. Оно заключается в отсутствии необходимости предоставления письменного согласия лица на обработку биометрической информации в случае ведения оперативно-розыскных мероприятий, которые могут производиться правоохранительными органами различных категорий, а также сотрудниками пограничных и миграционных служб.

Меры по обеспечению безопасности данных

После того, как личные данные субъектов принимаются в обработку, оператор и лица, которые принимают сведения на рассмотрение, обязаны обеспечивать их безопасность, которая заключается, в первую очередь, в отсутствии возможности попадания их к посторонним лицам. Какие предусматриваются требования к защите персональных данных?

Процедуры, связанные с обеспечением сохранности личных данных лиц, должны производиться с момента приема информации в обработку. Для этого оператор, который осуществляет данную деятельность, должен принимать меры технического и организационного характера, которые позволят обеспечить желаемую цель. Как правило, для этого используются средства шифровального типа (криптографические), которые препятствуют неправомерному и случайному доступу к внесенным сведениям, их копированию, блокированию, видоизменению и иных операций, которые могут быть произведены над данными, внесенными в открытом виде.

В том случае, если данные обрабатываются в рамках информационных систем, также должна обеспечиваться надлежащая безопасность. Определенные требования выдвигаются к материалам, на которых хранятся данные биометрического характера, а также к технологиям, при помощи которых обеспечивается сохранность элементов.

Над теми лицами и службами, деятельность которых связана со сбором, обработкой и хранением личных данных людей, законодатель устанавливает определенный контроль, который обеспечивает надлежащее исполнение ими всех предписанных в Законе №152 "О защите персональных данных" пунктов. В качестве контролирующих лиц и органов, в первую очередь, выступают представители исполнительной власти, призванные обеспечивать безопасность в различных сферах деятельности. Они имеют право производить контроль исключительно в пределах тех полномочий, которые представляются для них Законом, без возможности прямого доступа к конфиденциальной информации.

Любая контрольная и надзорная деятельность уполномоченных на то лиц или органов может быть осуществлена по индивидуальному заявлению лица, сохранность личных данных которых не была обеспечена, в связи с чем произошла их утечка. Контролирующий субъект обязан рассмотреть представленное обращение, после чего произвести проверку, в результате которой должны быть приняты меры относительно дальнейшего обеспечения безопасной сохранности вверенных личных сведений, а также устранения негативных последствий, которые повлекло за собой их разглашение. В том случае, если оператор незаконным путем получил сведения или запросил те данные, которые являются излишними, контролирующий орган обязан потребовать их полное удаление, а также блокирование.

О конфиденциальности персональных данных

Действующий Закон "О защите персональных данных" (ФЗ 152) предусматривает необходимость обеспечения конфиденциальности всех сведений, которые предоставляются субъектами в обработку. Данная обязанность, как правило, возлагается на самого оператора, который принимает данные в обработку, а на предприятиях - на определенных лиц, предусмотренных в специальном Положении. Однако в двух случаях законодатель все же разрешает снять конфиденциальность со сведений. Первый из них - это случай, когда данные полностью обезличиваются. Иными словами, они могут быть раскрыты, но только таким образом, чтобы по предоставленным третьим лицам сведениям невозможно было установить, о чьих конкретно личных данных идет речь.

Второй случай снятия конфиденциальности с информации относится к и без того открытой информации. Как правило, к таким личным данным относятся имя и фамилия человека, год рождения, город и точное место проживания, номер телефона, а также данные об образовании, профессии, карьерных достижениях и т. п. Однако, такое возможно лишь в том случае, когда сам субъект персональной информации дал свое письменное разрешение на снятие конфиденциальности со сведений.

Разрешение субъекта

Как уже упоминалось выше несколько раз, для обработки персональных данных субъекта требуется его письменное разрешение на работу с предоставленными оператору сведениями. Оно может быть оформлено в письменной форме и закреплено личной подписью. При желании, субъект имеет право в любой момент отозвать свое разрешение.

Рассматриваемое разрешение обязательно должно включать в себя определенный перечень сведений о субъекте. В их числе указываются имя, фамилия и отчество, его место жительства, а также данные документа, выданного государством, который удостоверяет личность. Кроме этого, в нем обязательно должна быть указана цель, с которой предоставляются сведения в обработку, а также определенный перечень сведений, которые были приняты оператором. Также субъект должен указать способ обработки сведений, на который он соглашается.

В самом конце документа обязательно должен быть указан срок, на протяжении которого действует согласие субъекта, а также определен порядок, в котором может состояться отзыв написанного документа.

После отметки всех представленных выше данных, субъект персональной информации обязан поставить дату, когда был составлен документ, а также свою подпись.

В том случае, если лицо не имеет возможности дать согласие на обработку данных в связи со своей смертью, это должны сделать за него наследники. Если же лицо является недееспособным, либо по физиологическим причинам не имеет возможности собственноручно написать согласие, то это могут сделать его законные представители.

Обязанности оператора

ФЗ 152 "О защите персональных данных" представляет вниманию всех заинтересованных лиц определенный перечень обязанностей, которые должен соблюдать оператор, работающий с личными данными субъектов.

По первому же запросу (устному или письменному) оператор обязан предоставить субъекту, который является носителем личной информации, все сведения относительно того, для каких целей будут использованы все предоставленные им данные, каким именно образом произведется их обработка, а также то, в течение какого времени будет производиться процедура. В обязательном порядке данные сведения также должны быть предоставлены в момент приема сведений и их фиксации.

В том случае, если личные сведения должны быть предоставлены в обязательном порядке, оператор должен уведомить субъекта об этом, а также разъяснить возможные юридические последствия его отказа от данной процедуры.

В некоторых случаях оператор может получать личные данные лиц не от них самих, а через посредников. В таком случае он обязан уведомить субъекта персональной информации о том, кто предоставил его сведения, а также цель, для которой данное действие было совершено.

Обработка и защита персональных данных полностью возлагается на оператора, который принимает сведения от лица. Именно он и несет ответственность за ненадлежащее исполнение этой своей прямой обязанности.

Защита персональных данных в организациях и на предприятиях

На любого человека, который ведет трудовую деятельность на каком-либо предприятии или в организации, имеется заведенное, в соответствии с требованиями законодательства, личное дело, в котором отражается огромное количество сведений, представляющих собой персональную информацию. Их сохранность также должна обеспечиваться надлежащим путем. Все требования к данному процессу отражены в содержании Положения о защите персональных данных работников, которое должно составляться на каждом предприятии индивидуально. Следует отметить, что имеется единая рекомендательная форма данного нормативного акта, имеющего локальный характер, однако в ней, по большей части, представлены основные принципы и требования к содержанию. При желании, на любом предприятии может быть принято свое индивидуальное Положение о защите персональных данных работников. Образец данного документа не предусматривает особенностей ведения деятельности конкретного предприятия, что может быть исправлено в случае разработки и принятия индивидуального документа.

Что касается обеспечения сохранности сведений и защиты персональных данных работников, то данные функции могут осуществляться в порядке ведения зашифрованной базы данных, в которую вносятся все индивидуальные данные, предоставленные работниками. Такие информационные системы, как правило, имеют локальный или системный характер, кроме того, на предприятии их может быть несколько. В числе данных, внесенных в такие базы, как правило, содержатся данные относительно должности, оклада, сертификатов, научных званий, наград, списка индивидуальных клиентов, социального статуса и т. п.

Разработка Положения и сопутствующих документов

Процесс разработки рассматриваемого Положения также прописан в ФЗ "О защите персональных данных". Закон отмечает, что данный документ должен быть разработан и принят путем согласования каждого пункта. В первую очередь, следует разработать проект документа, в котором должны быть отмечены все основные положения, в числе которых обязательно необходимо предусмотреть порядок обработки сведений личного характера о сотрудниках.

В связи с тем, что любой субъект персональной информации должен дать свое разрешение на обработку его личных данных, на всех предприятиях и в организациях должны быть разработаны два дополнительных проекта: согласия на обработку предоставленных сведений, а также уведомления о том, что все данные будут включены в общую базу. Кроме этого, предприятие обязано создать документ, в содержании которого будет даваться обязательство относительно надлежащего хранения информации, имеющей статус ограниченного доступа.

О том, что на предприятии будет вестись рассматриваемая база данных, должен быть издан приказ, который обязан подписать руководитель или лицо, уполномоченное на то. В его тексте необходимо указать само название базы, утвердить Положение, которое вводится в структурном подразделении или на всем предприятии в целом, а также определить нововведения в деятельности должностных лиц, чья деятельность связана непосредственно с обработкой личной информации и ее хранением.

После составления проектов всех вышеперечисленных документов, на предприятии должна быть собрана комиссия для обсуждения представленных в них положений. Только после того, как все лица, вошедшие в состав комиссии, будут удовлетворены каждым положением, документы могут быть подписаны и введены в действие.

Для осуществления защиты персональных данных изменения могут быть произведены и в структурных подразделениях предприятий. Нередко с этой целью вводятся новые штатные должности или изменяются обязанности лиц, занимающих уже имеющиеся места. В Законе "О защите персональных данных" не устанавливается конкретный перечень сотрудников, которые являются ответственными за сохранность вверенных сведений. Как правило, такой круг лиц определяется Положением на каждом предприятии отдельно.

Структура Положения о защите персональных данных (образец)

Персональные данные работников любого предприятия должны охраняться надлежащим образом. Именно для этого, создавая Положение по предприятию, необходимо четко знать то, какие моменты в нем должны быть рассмотрены. Итак, рассмотрим примерную структуру Положения о защите персональных данных (образец).

Персональные данные, которые находятся под охраной и относятся к категории личных, должны быть в точности определены в данном документе. Как правило, в локальных актах большинства предприятий их перечень указывается сразу после вступительной части, в которой должны быть прописаны общие положения и основные понятия, которые могут быть использованы в документе. В Положении следует четко определить тот порядок, в котором будет осуществляться доступ к данным, а также круг лиц, имеющих право на это. В том случае, если на предприятии или в организации имеется определенный перечень личных сведений, которым присвоен статус особой секретности, доступ к ним должен быть определен отдельно.

В Положении обязательно должен предусматриваться четкий комплекс действий и мер, с помощью которых будет осуществляться охрана данных, ответственность за нарушение установленных требований, наказание разглашение персональных данных, а также за халатное отношение к своим должностным обязанностям, связанным с приемом, обработкой сведений и обеспечением их сохранности.

В образце Положения о защите персональных данных также говорится о том, что в его структуре должен быть раздел, посвященный правам и обязанностям, имеющимся у работников, связанных с обработкой их личных сведений.

При необходимости, в связи со спецификой деятельности предприятия, в Положении могут быть указаны и дополнительные требования и понятия.

Устранение нарушений в процессе обработки предоставленных личных сведений

Вся ответственность за отсутствие сохранности личных сведений субъекта, в соответствии с ФЗ "О защите персональных данных", полностью возлагается на самого оператора, который совершал прием сведений и их обработку. В случае нарушения требований, выдвинутых законодательством, он обязан принять все меры, которые необходимы для устранения нарушения.

В соответствии с ФЗ "О защите персональных данных", если субъект обращается в контролирующие органы с жалобой на ненадлежащую работу оператора, принявшего его личные сведения, эти данные должны быть немедленно заблокированы на тот период, пока будет проводиться проверка. После того, как нарушение будет установлено, оператор обязан устранить все недочеты - это следует сделать в течение трех суток с момента вынесения постановления контролирующим органом. В Законе "О защите персональных данных" говорится о том, что устранение нарушений должно быть произведено путем удаления информации о субъекте. То же самое следует сделать и в том случае, если субъект отозвал свое разрешение на обработку личной информации. Так, например, любое Положение о защите персональных данных работников (образец) обязательно должно иметь в своем содержании правила относительно удаления сведений о сотруднике, который отозвал свое разрешение на обработку своих личных данных.

Комплекс мероприятий разного характера, проводимый для активного противодействия возможному несанкционированному доступу к персональным данным, состоящий из управленческих мер, эффективно действующих аппаратных средств защиты, составляет основу эффективно работающей Система защиты персональных данных (СЗПДн).

Целью внедрения надежно работающего комплекса мероприятий является:

Точное соответствие требованиям регулятора о соблюдении положений Федерального закона «О защите персональных данных», положениям утвержденных подзаконных актов, обеспечивающих должный уровень безопасности для используемых персональных данных;

Разработка инструкций, предписывающих выполнение определенных правил при преобразовании используемых ПДн, обеспечивающих их защиту.

  • Решаемые задачи
  • Используемое оборудование
  • Сферы применения

Разработка и внедрение системы защиты персональных данных (СЗПДн) — это ряд мероприятий технического и управленческого характера, ставящих перед собой цель обеспечить комплексную защиту сведений, которые признаются Федеральным Законом от 27.07. 2006 г. N 152-ФЗ персональными данными.

Оператор, которым являются госструктуры и коммерческие предприятия, выполняющие действия по работе с ПДн, заинтересованы в безопасной их обработке, тем самым, признавая необходимость внедрения системы защиты.

Учитывая накопленный при реализации проектов по созданию СЗПДн опыт, представляется возможным определить ряд важных преимуществ от внедрения системы:

На первом месте находится кардинальное снижение как правовых, так и репутационных рисков, возникающих при несоблюдении действующего законодательства относительно сохранности персональных данных.

Вторым важным моментом является тот факт, что научно-обоснованное построение системы защиты позволяет обрабатывать персональные данные сотрудников и клиентов, не опасаясь за их сохранность. Это может стать мощным конкурентным преимуществом при работе с конфиденциальными сведениями частных лиц и информацией, предназначенной лишь для служебного (внутреннего) использования. Грамотно выстроенная СЗПДн легко справляется с наиболее распространенными угрозами - блокирует воздействие вредоносных ПО, предотвращает воровство клиентских баз данных, что часто практикуют уволенные сотрудники.

Третьим фактором, мотивирующим внедрение эффективной СЗПДн, является создание у компании имиджа надежного партнера, которому можно доверять обеспечение конфиденциальности персональных данных.

Как указывают аналитики, частые скандалы, связанные с утечкой конфиденциальной информации, заставляют обращать внимание на систему безопасности при выборе партнера-контрагента. Уже привычными становятся договора о партнерстве либо условия тендера, в которых требуется предоставить задокументированное соответствие СЗПДн действующим нормативным актам.

Не следует забывать, что эффективная СЗПДн обеспечивает непрерывность всех бизнес-процессов в самой компании, устраняет вероятность появления клиентских претензий, обоснованных жалоб со стороны работников, грозных предписания от надзорных органов регулятора.

Этапы выполнения работ по приведению в соответствие 152-ФЗ

1. Инвентаризация, полноценный анализ состояния информационных структур, задействованных в обработке ПДн.

Подобный предпроектный аудит предоставляет объективные сведения о процессах, задействованных при обработке ПДн в компании и мерах по их защите. Специалистами Open Vision в обязательном порядке проводится проверка всей служебной документации, регулярности осуществляемых мероприятий, разработанных для исполнения требований правовой базы относительно безопасности используемых в работе данных ограниченного доступа.

2. Создание концепции системы безопасности, используемой для сохранности персональных данных, предоставление заказчику обоснованных рекомендаций по оптимизации самой обработки ПДн, обеспечению сохранности конфиденциальной информации.

На этом этапе работы квалифицированные специалисты оценивают возможные варианты осуществления проекта, определяют отправные точки для его реализации, устанавливают определенные ограничения по масштабам внедряемого в практику проекта. Определяются основные проблемы, создается обоснование предлагаемых решений. Клиенты получают перечень программно-аппаратных элементов разрабатываемого комплекса защиты информации, с обязательным указанием стоимости по каждому пункту.

3. Уточнение реального уровня защищенности ПДн

В процессе работы определяется возможный тип угроз для защищаемых ПДн, с привязкой к конкретной информационной системе, уточняется предполагаемый состав персональных данных, возможное количество субъектов. Учитывая весь объем полученных сведений, определяется реальное состояние системы безопасности персональных данных.

4. Разработка модели возможных угроз для системы безопасности ПДн, создание модели злоумышленника

Предоставляемый заказчику документ представляет собой систематизированный список возможных угроз для безопасности ПДн при работе с ними в информационных системах персональных данных (ИСПДн). Угрозы безопасности персональных данных (УБПДн) могут возникнуть в результате злонамеренных либо случайных действий физических лиц, деятельности иностранных спецслужб либо специализирующихся на шпионаже организаций, специализированных криминальных группировок, подготавливающих взлом безопасности ПДн, которое затронет права и свободы, как общества, так и государства либо граждан.

5. Разработка Техзадания на строительство СЗПДн

Частное техзадание на построение для определенной информационной структуры СЗПДн определяет ее назначение, преследуемые цели, требования к техническому и организационному обеспечению, план разработки и непосредственного создания СЗПДн.

6. Создание проекта СЗПДн

Создаваемая на этом этапе внедрения СЗПДн проектная документация предусматривает работу, учитывающую предписанные нормативными актами стандарты защищенности данных с ограниченным доступом.

7. Разработка организационно-распорядительной документации

Комплект документов, предписывающих правила обработки, защиты ПДн, состоит из десятков организационно-распорядительных предписаний, которые необходимы для приведения всех процессов по работе и сохранности персональных данных в соответствие с нормативами действующего законодательства.

8. Поставка программно-аппаратных средств информационной защиты

Клиенту поставляются программно-аппаратные элементы для внедрения СЗПДн, прошедшие проверку и соответствующие требованиям законов РФ относительно мер информационной безопасности.

9. Монтаж, настройка СЗИ

На данном этапе внедрения СЗПДн осуществляется монтаж оборудования, инсталлирование программного обеспечения, с соответствующей настройкой. В результате проведенных работ заказчик получает комплект СЗИ, совместимый с применяемой информационной структурой для работы с ПДн.

10. Оценка действенности предпринимаемых мер для создания эффективной защиты персональных данных

Определение эффективности разработанных мер безопасности для данных ограниченного доступа осуществляется до момента запуска СЗПДн в эксплуатацию. Контрольное тестирование системы, работающей в коммерческих структурах, требуется проводить каждые 3 года.

11. Аттестация используемых ИСПДн на соответствие современным требованиям информационной безопасности

Аттестация ИСПДн включает в себя комплекс организационно-технических проверок (аттестационных испытаний), направленных на подтверждение соответствия требованиям информационной безопасности. Предусмотрена для госорганизаций.

Одним из бурно развивающихся сегментов отечественного IT-рынка является интернет торговля, что обусловлено технической простотой внедрения данного проекта, прозрачностью бизнес-процессов. Электронная торговля признана эффективным и перспективным видом предпринимательства.


Вопросы информационной безопасности бизнеса в интернете не утрачивают своей актуальности, напротив, возрастание числа хакерских атак на крупнейшие финансовые учреждения, инвестирующие огромные средства в системы защиты, требует принятия своевременных мер. Вот только как этого добиться, а еще бы и с приемлемым уровнем затрат.


Многие, особенно на начальном этапе, не имеют возможности вырвать с оборота значительные суммы, вложив их в системы информационной безопасности. Бизнес новый, возможные «подводные камни» не известны, да и специфика бизнеса в интернете предполагает постоянные изменения.


В итоге, система безопасности создается, но разрабатывается она «по знакомству» либо делается заказ фрилансеру, в лучшем случае официально оформленной web-студии. Приобретение уже готового решения также нельзя расценивать как обеспечение серьезного уровня безопасности, поскольку возникают вопросы интеграции его в уже существующую IT-инфраструктуру.


А может, следует задуматься, действительно ли подобные системы обеспечивают должный уровень безопасности? Имеет ли сам предприниматель необходимую квалификацию, чтобы определить уровень подготовки «интернет-шабашников»? Может ли такая работа минимизировать возможные риски? К сожалению, в большинстве случаев, ответ отрицательный.


Хоть со стороны потребителя и нет особо жестких требований относительно сохранности тех персональных данных, которые он передает интернет-магазину, совершая покупку, это не может служить основным показателем для выбора способов организации обработки и хранения такой конфиденциальной информации. Покупатель вообще не имеет возможность оценить, насколько эффективно действует защита его персональных данных. Да это, до поры, особенно и не беспокоит, поскольку привлекательные цены, красиво сделанное описание товара, льготная доставка, достигают поставленной цели.


Большая часть покупательской аудитории даже не задается вопросом - куда она отправляет свои персональные данные. То ли это ИП либо частный предприниматель, развивающий свой интернет бизнес. Или это web-подразделение крупного ритейлера бытовой электроники. Естественно, что отношение к информбезопасности в крупной торговой сети более строгое, нежели у предпринимателя, которому иногда приходится самостоятельно заниматься доставкой товара клиентам.


Примечательно, что, несмотря на все возрастающую угрозу хищения конфиденциальной информации, доверие к интернет торговле постоянно растет. Покупатель вводит информацию о себе, заполняя бланк заказа, порой, даже не беспокоясь о том, как с ней будут обращаться сотрудники магазина. А может, она и не настолько востребована для существующих бизнес-процессов?


Возникающая избыточность запрашиваемых данных как раз и подпадает под действие ФЗ-152, поскольку отмечается несоответствие характера и объема получаемой информации существующим задачам ее обработки для предусмотренных в интернет магазине бизнес-процессов.


Технический уровень развития современной интернет торговли дает возможность предположить использование CRM-систем, благодаря чему и можно сохранять данные о клиенте для последующего с ним взаимодействия и предложения нового товара. Вот только необходимо ли это для уровня послепродажного взаимодействия с покупателем?


Согласно ФЗ-152 персональная информация может храниться лишь только тот период времени, который необходим для ее обработки. После того, как совершена покупка либо сделан отказ, все персональные данные должны уничтожаться, так как их хранение не соответствует специфике осуществляемых бизнес-процессов. Стоит ли сомневаться, что этим практически никто и не занимается.


В ФЗ-152 имеются положения, которые ставят под угрозу само существование интернет торговли. Любой проверяющий орган может потребовать от владельца интернет магазина предоставить именно письменное разрешение гражданина на применение его персональных данных в работе. Никто подобного разрешения в письменной форме не предоставляет, максимум ограничиваются отметкой об ознакомлении с правилами магазина.


Поскольку непосредственного контакта в условиях торговли через интернет не предполагается, исключая встречу покупателя с курьером по доставке товара, обеспечить соблюдение норм ФЗ-152 можно лишь путем обезличивания покупательских персональных данных, а это требует корректировки существующих бизнес-процессов.

Несомненно, что удобным инструментом, упрощающим доступ к различным информационным сервисам компании, обоснованно признаются корпоративные порталы. При развитой сети филиалов и отделений, находящихся от головного офиса на большом расстоянии, значительном количестве бизнес-партнеров, оптимальным средством коммуникации является соединение по VPN каналам, имеющим должный уровень защищенности. Выбор подобного высокотехнологичного решения, однако, обходится довольно дорого, доступен не каждой компании. При отсутствии свободных средств для защищенного соединения, более простым способом работы является точка доступа из сети Интернет.


Особенностью корпоративного портала, даже учитывая разный уровень инфраструктуры, является хранение как конфиденциальной информации сотрудников, клиентов фирмы и бизнес-партнеров юридического лица, так и размещение финансовой информации самой компании, разглашение которой может нанести ущерб. Эффективная организация всех процессов работы с персональными данными должна учитывать, что цели и способы обработки данных у каждой подгруппы субъектов отличаются. Именно дифференцированный подход к преобразованию данных ограниченного доступа должен быть заложен в концепцию корпоративной безопасности.


Несомненно, что финансовое положение компании, создающей корпоративный портал, дает возможность привлечь для работы опытных программистов либо приобрести уже готовое и неоднократно обкатанное решение. Следует, однако, не забывать, что безопасность кода является не единственным параметром, на который необходимо обращать внимание, разрабатывая эффективную систему информбезопасности. По большому счету, информационная безопасность должна признаваться руководством компании как неотъемлемая часть общей системы безопасности.

За последние несколько лет количество пользователей популярных соцсетей в Рунете возрастало невиданными темпами, перевалив 50 миллионный рубеж. Колоссальный объем накопленных в соцсетях персональных данных требует соответствующего контроля, что и предполагают нормы ФЗ-152.


Несмотря на первое впечатление, что имеющаяся в соцсетях информация может рассматриваться как «общедоступная», с каждым годом нарастающий объем данных классифицируется законом уже как «конфиденциальные персональные данные».


Факты хищения из соцсетей аккаунтов не редкость за рубежом и в России. Сотни тысяч аккаунтов становятся доступными злоумышленникам. Число хакерских атак на социальные сети не снижается, эксперты отмечают постоянное внимание киберпреступности к этой части Интернета.


Социально-ориентированные мошеннические схемы имеют большой потенциал, используя в своих целях фарминг-атаки, рассылку спама, фишинг. Весь этот набор инструментов современной киберпреступности может привести к хищению данных конфиденциального характера, чему способствует доверчивость и неопытность людей. Администраторам соцсетей требуется осуществлять постоянный мониторинг, выявляя инциденты, устраняя их последствия.

Услуга интернет-банкинга становится все более популярной в российской банковской сфере, несколько десятков финансовых учреждений полноценно предоставляет подобную услугу. Обусловлено это как отсутствием единой интеграционной платформы, так и недостаточным уровнем автоматизации многих учреждений.


Как и распространенные web-приложения, сервис интернет-банкинга, электронные платежные системы, основываются на общей клиент-серверной архитектуре. Признается, что «слабым звеном» такого взаимодействия является именно пользователь и те устройства, используя которые он распоряжается собственным счетом.


К сожалению, потребитель не имеет возможности объективно оценить все риски, неизбежно возникающие при управлении банковским счетом на расстоянии. Не говоря уж о том, чтобы принять соответствующие меры безопасности. Следовательно, восполнить знания клиентов по этим вопросам должны банки.


Примечательно, что злоумышленники уделяют свое внимание интернет-банкингу чаще всего не с целью хищения средств, поскольку финансовые учреждения обеспечивают максимальную безопасность транзакциям, а для того, чтобы получить доступ к персональным данным клиента. Именно благодаря этому и становятся возможны мошеннические схемы с банковскими картами, иные способы хищения финансов. Многие эксперты уверены, что на «черном» рынке простая запись о клиентских счетах имеет свою собственную стоимость.


Статистика наглядно свидетельствует, что создание и работа сервиса интернет-банкинга во многих структурах не соответствует отраслевым нормам и правилам. Чаще всего каждое финансовое учреждение занималось разработкой самостоятельно, а существовавшие стандарты имели лишь рекомендательный характер.


Начало действия ФЗ-152 создало многим банкам существенные проблемы, поскольку ужесточается контроль регулятора за сохранностью персональных данных, что требует усовершенствования существующих систем безопасности. Как ни пыталась ассоциация банков отсрочить начало действия ФЗ-152, выполнять его положения все же стало необходимо.



Просмотров

Маринованная свекла на зиму
Маринованная свекла на зиму
Лучшие рецепты заготовки на зиму калины красной Рецепты заготовки калины чудо ягоды здоровья
Лучшие рецепты заготовки на зиму калины красной Рецепты заготовки калины чудо ягоды здоровья
Маринованная свекла на зиму
Маринованная свекла на зиму
Лучшие рецепты заготовки на зиму калины красной Рецепты заготовки калины чудо ягоды здоровья
Лучшие рецепты заготовки на зиму калины красной Рецепты заготовки калины чудо ягоды здоровья
Свекла на зиму в банках — очень вкусные рецепты заготовок — маринованная и консервированная, заправка для борща, салат с морковью и по-корейски Свекла целая на зиму в банках
Свекла на зиму в банках — очень вкусные рецепты заготовок — маринованная и консервированная, заправка для борща, салат с морковью и по-корейски Свекла целая на зиму в банках
Свекла на зиму в банках — очень вкусные рецепты заготовок — маринованная и консервированная, заправка для борща, салат с морковью и по-корейски Свекла целая на зиму в банках
Свекла на зиму в банках — очень вкусные рецепты заготовок — маринованная и консервированная, заправка для борща, салат с морковью и по-корейски Свекла целая на зиму в банках