Организация обработки и защиты персональных данных

Полезная информация в статье: "Организация обработки и защиты персональных данных" с полным раскрытием темы. Если все же вы не нашли ответа на интересующий вопрос, то можно всегда обратиться к дежурному специалисту.

Документы по персональным данным: какие бумаги должны быть в организации, чтобы успешно пройти проверку РКН?

Согласно Федеральному закону «О персональных данных» от 27 июля 2006 г. № 152-ФЗ уполномоченным органом по вопросам персональных данных является Роскомнадзор. Этот же нормативно-правовой акт регламентирует перечень документов, которые подаются туда операторами ПД, которые занимаются обработкой идентификационных данных граждан.

Любая организация или ресурс, которая имеет дело с информацией о клиентах или пользователях, должны подать ряд документов в РКН. Данная обязанность может лечь на любого владельца бизнеса или держателя сайта, ведь стоит только сделать форму регистрации или обратной связи – и он автоматически становится тем самым ОПД.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Какой комплект бумаг должен быть в организации?

Для того, чтобы успешно проходить все проверки Роскомнадзора, согласно требованиям Федерального закона №152-ФЗ могут понадобиться следующие документы по персональным данным:

  1. Перечень обрабатываемых ПД.
  2. Приказ о назначении комиссии по защите.
  3. План мероприятий по защите.
  4. Положение о комиссии по защите.
  5. Перечень должностей и третьих лиц, допущенных к ОПД (Обработке персональных данных).
  6. Согласие на ОПД.
  7. Перечень информационных систем.
  8. Обязательство о неразглашении.
  9. Соглашение о соблюдении безопасности.
  10. Перечень средств защиты информации.
  11. Техпаспорт информационных систем.
  12. Перечень помещений.
  13. Приказ о назначении ответственных лиц.
  14. Положение об ОПД.
  15. Положение по защите.
  16. Политика в отношении ОПД.
  17. Инструкция ответственного лица.
  18. Инструкция администратора безопасности.
  19. Регламент определения уровней защищенности.
  20. Техзадание на систему защиты.
  21. Модель угроз безопасности.
  22. Акт определения уровней защищенности.
  23. Протокол определения ущерба субъекту ПД.
  24. Уведомление об ОПД.
  25. Инструкция пользователя информационных систем.
  26. Регламент учета, хранения и уничтожения носителей.
  27. Регламент допуска сотрудников и других лиц.
  28. Регламент реагирования на запросы субъектов ПД.
  29. Регламент резервного копирования.
  30. Регламент проведения контрольных мероприятий.
  31. Регламент по трансграничной передаче данных.

И некоторые другие документы в зависимости от специфики деятельности оператора.

Образцы и бланки

Ниже приведены бланки и образцы документов по обработке персональных данных:

Что содержит пакет сопровождающей документации?

Для каждого из этих действий предусмотрены нормативные документы.

Сбор и обработка

  • Перечень должностей и других лиц, допущенных к ОПД — Основания передачи данных на обработку, списки контрагентов и сотрудников.
  • Перечень обрабатываемой информации — Содержит цели и основания обработки, условия ее прекращения, состав данных, категорию субъектов.
  • Перечень помещений для ОПД — Адреса офисов и помещений, где возможна обработка ПД.
  • Инструкция ответственного за организацию обработки — Документ, который устанавливает права, обязанности и ответственность ответственного за организацию процесса (юридической фирмы, сотрудника, системного интегратора).
  • Об обработке данных — Положение, устанавливающее правила обработки, хранения и использования информации, ответственность оператора и права субъекта.
  • Политика в отношении ОПД — Публичный документ без содержания отсылок, который располагается на видном месте офисов и на сайте оператора.
  • Уведомление об ОПД — Документ, который подается в РКН потенциальным оператором до начала работы с информацией с целью включения фирмы, индивидуального предпринимателя, физического лица или другого объекта, имеющего дело с ПД в реестр операторов ПД.

Хранение

Регламент учета, хранения и уничтожения носителей — Определяет все процедуры учета, хранения и, в предусмотренных законом случаях, возможные способы уничтожения носителей.

Защита

  • Приказ о назначении комиссии — Приказ, определяющий состав комиссии, которая, руководствуясь специальным Положением, будет следить за соответствием обеспечиваемых мер защиты действующему законодательству (В данном случае 152-ФЗ).
  • О комиссии по защите — Положение, которое определяет права, обязанности и ответственность членов Комиссии.
  • Перечень средств защиты — Содержит список специализированных средств, применяемых в конкретной компании.
  • Приказ о назначении лиц, ответственных за обработку и защиту.
  • Положение по защите — Информация о системе защиты, требования к ней и порядок ее реализации.
  • Регламент определения уровней защищенности — Определяет и описывает уровни защищенности, видов угроз и ущерба.
  • ТЗ на систему защиты данных — Описание необходимых защитных подсистем, которые должны обеспечить корректную безопасную работу операторов.

Передача

  • Регламент по трансграничной передаче информации — Определяет порядок передачи данных через границу РФ.
  • Заявление физического лица о согласии на передачу оператором данных третьим лицам — Образец заявления, которое свидетельствует о добровольном согласии субъекта.
  • Согласие на передачу данных работника третьим лицам — Документ, который в случае необходимости пишется наемным сотрудником в пользу работодателя, который в данном случае является оператором.

Разглашение

Роскомнадзор — это структура с широким спектром полномочий и обязанностей, а персональные данные — довольно сложная тема, вызывающая много споров. Для успешного взаимодействия с исполнительными органами и законом нужно изучить большое количество тонкостей.

К счастью, в современных реалиях, в век широкой доступности информации, в сети можно найти любой интересующий оператора или субъекта документ и изучить его, что сильно облегчает задачу. В этой сфере нет мелочей и нужно быть крайне внимательным, ведь то, что может показаться сотруднику незначительным, может оказаться нарушением законодательства.

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

+7 (499) 938-47-92 (Москва)
Это быстро и бесплатно !

Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/dokumenty-po-pd.html

Организация работы с персональными данными

С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно — дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.

Читайте так же:  Метро комендантский проспект часы работы

Что такое персональные данные

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • пол;
  • адрес;
  • семейное положение;
  • должность (профессия);
  • зарплата, другие доходы;
  • владение недвижимым имуществом, денежные вклады и др.;
  • образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
  • привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
  • факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • физиологические особенности, здоровье;
  • деловые и иные личные качества;
  • другие сведения.

Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.

Таблица 1. Документы, в которых содержатся персональные данные работников

Оператор по обработке персональных данных

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:

  • сбор;
  • запись;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение персональных данных.

Положение о работе с персональными данными

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее — Положение). Унифицированной формы документа нет. Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы. Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.

Таблица 2. Структура Положения о персональных данных работников

Фрагмент Положения о персональных данных работников

Введение Положения в действие

Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.

Образец приказа

Если есть профсоюз

Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый — согласиться. Второй — в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий. После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

Ознакомление работников с Положением

Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

  • в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
  • — листе ознакомления с Положением (образец на с. 91);
  • — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Образец листа ознакомления с локальными нормативными актами

N
п/п
Наименование локального нормативного акта Дата Подпись
1 Правила внутреннего трудового распорядка
ООО «Черный лес»
03.10.2011 Евстахов
2 Положение об оплате труда, премировании и
социальном обеспечении сотрудников ООО «Черный
лес»
03.10.2011 Евстахов
3 Инструкция по информационной безопасности,
утвержденная Приказом от 15.06.2008 N 1
03.10.2011 Евстахов
4 Положение о персональных данных 03.10.2011 Евстахов
5 Положение о материальной ответственности
работников за ущерб, причиненный ООО «Черный лес»
03.10.2011 Евстахов

Фрагмент журнала ознакомления с Положением о персональных данных

N
п/п
Ф.И.О. работника Дата
ознакомления
Подпись
1 Алексеева Диана Николаевна 15.08.2011 Алексеева
2 . . .
6 Евстахов Сергей Сергеевич 03.10.2011 Евстахов
7 . . .
8 . . .
9 . . .

Примечание. Срок хранения персональных данных

Локальные нормативные акты (положения, инструкции) о персональных данных должны храниться постоянно. Что касается заявлений работников о согласии на обработку данных (о них будет рассказано в следующих номерах), других документов работника, то они хранятся 75 лет. Об этом говорится в Перечне, утвержденном Приказом Минкультуры России от 25.08.2010 N 558.

Административная ответственность

Меры административной ответственности (в основном предусмотрены штрафы, дисквалификация в данном случае не применяется) для предприятия и его должностных лиц за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников приведены в табл. 3.

Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников

Нарушение Ответственность Норма
законодательства
Нарушение установленного законом
порядка сбора, хранения,
использования или распространения
информации о гражданах
(персональных данных)
Для должностных лиц:
от 500 до 1000 руб.;
для юридических лиц:
от 5000 до 10 000
руб.
Статья 13.11
КоАП РФ
Разглашение информации, доступ к
которой ограничен (персональных
данных), лицом, получившим к ней
доступ в связи с исполнением
служебных или профессиональных
обязанностей
Для должностных лиц:
от 4000 до 5000 руб.
Статья 13.14
КоАП РФ

Ответственный за организацию работы с персональными данными работников

Ответственного за сбор, обработку, хранение персональных данных работников назначает руководитель организации. Для этого следует издать приказ (образец которого приведен на с. 92).

Образец приказа

Этим же приказом может быть установлен список лиц, имеющих доступ к персональным данным. Указанный список не возбраняется утвердить и отдельным приказом руководителя.

Как правило, ответственными за организацию работы с персональными данными работников (их получение, обработку, хранение, защиту и т.д.) назначают следующих работников:

  • начальника отдела кадров;
  • (старшего) инспектора по кадрам;
  • директора по персоналу;
  • заместителя начальника отдела (директора по персоналу);
  • специалиста по работе с персоналом.
Читайте так же:  Обжалование постановления апелляционного арбитражного суда

Может быть введена и новая должность.

Автор: А.Ю.Тьевар, старший научный редактор журнала «Зарплата»

Источник: http://hr-portal.ru/article/organizaciya-raboty-s-personalnymi-dannymi

Организация обработки и защиты персональных данных

Вопрос обработки и защиты персональных данных (ПДн) является одним из наиболее актуальных в области информационной безопасности последнего десятилетия. Причина этого кроется в повсеместности подобной информации. Любая организация осуществляет обработку персональных данных, является оператором и, соответственно, обязана соответствовать требованиям законодательства в данной области.

Для этого оператору необходимо решить три основные задачи:

  1. Организовать обработку персональных данных в рамках организации.
  2. Наладить взаимодействие со сторонними организациями и государственными органами по вопросам передачи и совместного использования сведений.
  3. Обеспечить безопасность данных на всех этапах их жизненного цикла.

Организация обработки

Понятие обработки персональных данных скрывает под собой множество операций, в т.ч. сбор, запись, хранение, уточнение, передачу, обезличивание, блокирование и уничтожение. Каждое из перечисленных действий должно выполняться в строгом соответствии с принципами законности, достоверности, минимальной достаточности и соответствия заявленным целям обработки – не только в информационных системах, но и при работе с бумажными носителями. Об этом часто забывают, сосредотачиваясь на защите информации. А между тем, большая часть замечаний, предъявляемых Роскомнадзором по результатам проверок, связано с нарушениями в организации обработки персональных.

Среди основных мероприятий, направленных на организацию обработки персональных данных можно выделить:

  • определение целей, задач и документально подтвержденных оснований для обработки всех персональных данных;
  • инвентаризация информационных ресурсов, содержащих персональные данные, определение их состава, мест хранения, подразделений и сотрудников, допущенных к обработке;
  • рассмотрение возможности обезличивания персональных данных и внедрение данного механизма;
  • строгая регламентация и документирование всех процессов обработки персональных данных в соответствии с определенными целями.

Взаимодействие с третьими лицами

В процессе обработки оператор вынужден взаимодействовать с иными юридическими и физическими лицами. Прежде всего, это субъекты персональных данных и государственные органы. Субъекты наделены существенными правами, и оператор должен предоставить возможность их реализации, для чего разрабатывается механизм работы с обращениями субъектов.

Отдельного внимания требует проработка порядка реагирования на запросы государственных и правоохранительных органов, органов судебной власти, а также различных контролирующих органов. Любое взаимодействие с ними и предоставление какой-либо информации должно иметь юридическое основание и строго регламентироваться внутренними документами. Аналогично, передача персональных данных или их обработки по инициативе оператора может осуществляться только при соблюдении ряда условий и ограничений, при наличии документально оформленных договоренностей.

Обеспечение безопасности персональных данных

Обеспечение безопасности персональных данных в организации осуществляется на всех этапах их жизненного цикла и предполагает:

  • классификацию (определение уровня защищенности) информационных систем персональных данных;
  • разграничение доступа работников к персональным данным;
  • обоснованный выбор мер защиты персональных данных;
  • реализацию организационных мероприятий по обеспечению безопасности;
  • внедрение средств защиты информации в информационных системах.
Видео (кликните для воспроизведения).

Организация может самостоятельно выполнить любой из этапов или их все. Однако, для этого необходимо наличие в штате специалистов, знающих тонкости законодательства, опыт разработки организационно-распорядительной документации и построения систем защиты информации. В противном случае, возникает опасность затягивания процесса, внедрения некорректных мер и, в конечном итоге, появления обоснованных претензий со стороны контролирующих органов. Держать подобных специалистов организациям, не занимающимся информационной безопасностью, достаточно затратно. В этом случае, рекомендуется обратиться за услугами к профессионалам.

Мы предлагаем несколько видов услуг в зависимости от потребностей и возможностей Заказчика:

  1. Приведение деятельности организации в соответствие с требованиями законодательства в области обработки и защиты персональных данных «под ключ».
  2. Предоставление проектов организационно-распорядительной документации с консультацией по их заполнению.
  3. Аудит соответствия деятельности организации требованиям законодательства в области обработки и защиты персональных данных.

Проект «под ключ»

Приведение деятельности организации в соответствие с требованиями законодательства необходимо, если в организации ранее не проводились работы по данному направлению, либо они не были завершены. В этом случае, выполняется полный комплекс мероприятий:

Проекты (шаблоны) организационно-распорядительной документации

Иногда организациям нужно только разработать организационно-распорядительные документы: приказы, инструкции, положения. Например, если имеются собственные специалисты, но отсутствует опыт защиты персональных данных, или необходимо в сжатые сроки привести в порядок процессы их обработки. Для таких случаев мы предлагаем комплект проектов (шаблонов) документов.Все документы прошли неоднократное внедрение в реальных организациях, а их состав и содержание будут подобраны исходя из рода Вашей деятельности. Шаблоны имеют максимально возможную степень готовности, требующие внимания и заполнения места выделены. Это позволит в сжатые сроки и с минимальными затратами подготовиться к документарной проверки, наладить в организации обработку персональных данных и внедрить необходимые организационные мероприятия защиты.

Если при разработке итоговых документов возникают сложности, мы с радостью подскажем и ответим на вопросы. Также предлагаем услуги удаленной разработки документов. Наши специалисты удаленно соберут необходимую информацию и, в тесном контакте с Вами, подготовят все необходимые документы.

Аудит соответствия

К настоящему времени многие организации в той или иной степени озадачивались проблемой защиты персональных данных, проводили определенные мероприятия, разрабатывали документы. Со временем все эти мероприятия теряют свою актуальность и перестают соответствовать действительности. Для этого есть несколько причин:

  1. Законодательство периодически изменяется. Обеспечение безопасности — непрерывный процесс, возникают новые угрозы, меняются технологии и условия обработки. Следом за ними, изменяются требования и способы защиты. По нашим оценкам, примерно каждые пять лет законодательство будет существенно обновляться.
  2. Организация развивается, появляются новые бизнес-процессы, подразделения, филиалы и представительства. Внедряются новые технологии обработки. Уже через несколько лет предприятие совсем не то, для которого разрабатывались документы и внедрялись средства защиты. Они теряют свою эффективность и превращаются в бесполезные ограничения, мешающие нормальной работе.
  3. Сотрудники постепенно забывают о важности обеспечения сохранности персональных данных, снижают внимание и ответственность, начинают нарушать установленные правила. Необходимо периодически «освежать» знания работников, проверять исполнение и эффективность принятых мер.
Читайте так же:  Каков срок процедуры мировое соглашение

Учитывая все вышеперечисленное, ФСТЭК требует, чтобы не реже одного раза в три года проводился анализ актуальности имеющейся документации, процессов обработки и защиты персональных данных и их соответствия действующему законодательства, а также угроз безопасности информационным системам и обрабатываемых в них данных. Подобный аудит должен проводится лицензиатами ФСТЭК, имеющими достаточный опыт в данной области.

Мы проанализируем все аспекты деятельности Вашей организации по обработке и защиты персональных данных, дадим ее независимую оценку и подскажем, как наилучшим образом устранить выявленные недостатки.

Для уточнения деталей проекта и получения консультации свяжитесь с нами или воспользуйтесь формой обратной связи.

Источник: http://www.asku.ru/services/sec_services/sec_pii/

Защита персональных данных шифрованием

Информационная система любой организации содержит персональные данные (ПНд) о сотрудниках и клиентах, которые в соответствии с ФЗ № 152-ФЗ должны быть защищены.

Законодательно подлежат шифрованию ПДн от обезличенно-общих до личных, имеющих прямое воздействие на человека (здоровье, религиозные взгляды, особенности личной жизни). Самая высокая категорийность защиты требуется данным, которые передаются в Пенсионный фонд (ФИО, зарплата, социальное положение, инвалидность, семейное положение, число детей и т.п.).

Уровень защиты для каждой категории должен различаться. Защита от утечек может строиться внутри компании по визуальным или звуковым каналам, за счет использования сертифицированного ФСБ / ФСТЭК оборудования с применением криптографии. Различные подходы к уровням защиты ведут к необходимости работы с разными IT-архитектурами, вплоть до вынесения персональной информации в специальные высокозащищённые базы данных.

Разделяются базы данных на малые, средние и распределенные. В крупных системах важна отладка системы корреляции событий, устанавливающих взаимосвязь сообщений о потенциальных угрозах, проводящих комплексную оценку опасности.

Защита персональных данных выполняется с целью:

  • охраны прав сотрудников, клиентов и руководства предприятия;
  • соответствия законодательству РФ;
  • защиты клиентской базы, утечка информации из которой может нанести серьезные убытки компании и ее репутации.

Законом о шифровании персональных данных 152-ФЗ Правительство РФ установило алгоритм, позволяющий безопасно работать с информацией, а также меры взыскания в случае несоблюдения требований вплоть до уголовной ответственности и аннулирования лицензий. К шифрованию персональных данных предъявляются требования следующего порядка:

  1. Использование криптографических средств, соответствующих уровням защиты при помощи модели угроз.
  2. Защита корпоративной информации путем шифрования данных на удаленных серверах, прозрачное или ассиметричное шифрование, в т.ч. сетевых папок, разграничение права доступа между различными сотрудниками, использование токенов (закрытых ключей внешних информационных носителей).
  3. Использование межсетевых экранов, систем предотвращения вторжений, файерволлов и антивирусов, разработка и обновление моделей угроз, использование сканеров уязвимостей, выработка защитных политик, контроль за электронным документооборотом, мониторинг сотрудников.
  4. Использование электронной подписи для безопасности документов и скорости их оформления.
  5. Защита электронной корпоративной почты (сертификаты открытого и закрытого ключей).

Информационная защита использует механизмы шифрования, сертификация которых проверяется ФСБ. Шифруется все: и базы данных, и их передача по сети, все копии резервных баз. Для безопасной работы необходима интеграция российских алгоритмов шифрования, вплоть до разработки собственных продуктов.

Необходимость регулярного обновления технологий защиты позволила выработать ГОСТы шифрования персональных данных (Р 34.11-2012 «Стрибог», блочные Р 34.12-2015 «Магма»/«Кузнечик», Р 34.13-2015). ГОСТовские алгоритмы устойчивы к взлому, отличаются высокой производительностью и хорошими данными распараллеливания), позволяя подбирать оптимальную защиту к различным (ограниченным или полноценным) ресурсам вычислительного оборудования.

Алгоритмы шифрования данных

Алгоритм защиты персональных данных в организации включает типовой перечень действий, которые необходимо выполнить для защиты:

  1. Создание методики обработки ПДн.
  2. Возможность согласия/отказа на обработку для сотрудников и клиентов.
  3. Уведомительные сообщения о работе с ПДн в общем потоке материалов.
  4. Создание структуры хранения информации.
  5. Создание базы данных.
  6. Определение порядка и способов обработки, наказаний за нарушения.
  7. Работа по дополнению инструкций для работников, ответственных за обработку и хранение ПДн.

Алгоритм построения системы защиты персональных данных состоит из пяти этапов:

  1. Предпроектная оценка остановки. Важно грамотно построить частную модель угроз для конкретной компании
  2. Разрабатывается документация, формируется техническое задание.
  3. Проектирование защиты. Работы ведутся в соответствии с выработанным ТЗ, приобретаются техсредства защиты, проводится их сертификация, определяется круг должностных лиц, ответственных за функционирование средств защиты.
  4. Введение в действие разработанного средства защиты ПДн.
  5. Осуществление техподдержки и сопровождения.

Для распространенной платформы 1С шифрование выполняется без внешних компонентов, com объектов, чтобы полностью изолировать ее от привязки к операционной системе.

Источник: http://integrus.ru/blog/it-decisions/zashhita-personalnyh-dannyh-shifrovaniem.html

Снова о защите персональных данных или готовимся к проверке Роскомнадзора

Вступление

Всем доброго времени суток! В этой статье я хотел бы еще раз поднять тему защиты персональных данных (далее будем обзывать их — ПДн), а также тему защиты от регуляторов. Пик дебатов на тему защиты ПДн давно прошел. Приходились эти пики как правило на приближение очередного «самого последнего срока» ввода 152-ФЗ в полную силу. В итоге «самый последний срок» наступил, активные дебаты стихли, но закон «О персональных данных» живет, регуляторы устраивают проверки и наказывают нарушителей. Поэтому тема будет еще долго актуальна.

Сразу оговорюсь, что в этой статье в основном будет информация организационного характера, нежели техническая. «А зачем такая информация нужна нам?» — спросит читатель хабра. Объясняю: так уж получилось, что начальники как крупных, так и не очень организаций не любят выстраивать длинные логические цепочки и вникать в суть вопроса, который лежит далеко от их компетенции. Поэтому при возникновении необходимости обеспечения защиты персональных данных строится вполне логичная по их мнению взаимосвязь: «Защита персональных данных» -> «Защита информации» -> «Информационные технологии» -> «Взвалить вопрос защиты ПДн на IT-шников». И пофигу, что в этом вопросе львиную долю можно поручить юристам и кадровикам, но как говорится в бородатом анекдоте: «кому не нравится грузить люминь, пойдет грузить чугуний».


Типичный пример разглашения ПДн специальной категории (сведения об интимной жизни)

Итак, почему здесь я все-таки не буду рассматривать техническую защиту персональных данных.

  • Этой информации итак много в интернетах и она более-менее однозначная.
  • Эта тема довольно емкая и заслуживает отдельной статьи, в этом опусе я все же хочу коснуться именно организационных моментов.
  • Организационные моменты проверяет Роскомнадзор, а технические – ФСТЭК. ФСТЭК проверяет гораздо меньше по защите персональных данных, хотя бы потому, что управление Роскомнадзора есть в каждом регионе, а управление ФСТЭК – одно на Федеральный округ.
  • В связи с отменой Постановления правительства № 781, регламентирующего техническую защиту персональных данных, и его заменой на ПП № 1119, нормативные документы ФСТЭК России и ФСБ России оказались в «подвешенном» состоянии. Ими по идее нельзя пользоваться, так как они были изданы во исполнение отмененного постановления № 781, но с другой стороны документы ФСТЭК России должен отменять сам ФСТЭК России. Поэтому техническую защиту ПДн лучше рассматривать предметно после выхода новой документации от регуляторов.
  • IT-шникам все же гораздо ближе техническая защита ПДн и им проще в этом разобраться, а вот когда начальство взваливает «бумажную» работу, многим может понадобиться помощь и разъяснения.
Читайте так же:  При мировом соглашении госпошлина возвращается истцу

Немного о себе

Я посчитал нужным сначала немного рассказать о себе для того, чтобы читателю стало понятно, что все, написанное ниже, основано на личном опыте организации защиты персональных данных в различных организациях, а не является квинтэссенцией различных форумных дебатов в интернетах (там «специалисты» иногда такого напишут, что волосы дыбом встают, и не только на голове).

Я являюсь начальником отдела одной из компаний на Дальнем Востоке, занимающихся аутсорсингом предприятий в сфере информационной безопасности. Безусловно, защита персональных данных – одна из наиболее востребованных наших услуг. Работаю я в этом направлении с 2008 года. Среди клиентов есть как небольшие организации, так и достаточно крупные государственные (департаменты, аппараты правительства, законодательные собрания и тд), так и коммерческие (операторы сотовой связи, интернет-провайдеры, частные медицинские клиники).

У некоторых клиентов проходили проверки Роскомнадзора на предмет выполнения требований законодательства в сфере защиты ПДн и пока что результат – 100% успешных проверок. Также у меня есть личный опыт представления интересов организации в ходе подобной проверки.

Итак, вас назначили ответственным за организацию обработки ПДн, да к тому же вы узнали, что внесены в план проверок Роскомназдора на грядущий год. С чего начать?

И вот, это случилось: начальник, не особо заморачиваясь подписал приказ в котором сказано «Системному администратору ООО «Рога и копыта» Иванову И. И. сделать так, чтобы защита персональных данных в нашей опупенной организации была по фен-шую». Что делать в первую очередь?

В первую очередь нужно выяснить, есть ли в реестре операторов персональных данных ваша организация. Для этого в поиске достаточно вбить ИНН компании. Если такого уведомления нет, то нужно его подать (но нужно учесть, что если уведомление не было подано ранее – это уже повод для регулятора оштрафовать вашу организацию).

Если уведомление все-таки присутствует, нужно уточнить его содержание. Часто бывает так, что уведомление заполнялось каким-нибудь Васей Пупкиным из отдела кадров от балды в далеком 2007 году, которого к тому же давным давно уволили. В этом случае вполне естественно, что содержание многих полей не соответствует действительности. В то же время практика карательных мер как раз говорит о том, что большинство предписаний выносится Роскомнадзором именно в связи с несоответствием уведомления тому, что происходит в организации на самом деле. Например, в графе «Категории обрабатываемых персональных данных» указано «ФИО, паспортные данные, адрес места жительства, номер телефона», а вы обрабатываете еще и сведения о здоровье.

Для внесения изменений в уведомление на портале персональных данных также существует специальная форма. Тут надо помнить, что изменения не будут учтены, если вы вслед не отправите бумажное письмо в свое территориальное управление Роскомнадзора. Это же касается и первоначального уведомления.

Хорошо, с уведомлением разобрались, что потом?

Потом вам нужно издать и утвердить в своей организации кучу документов (инструкции, положения, приказы, журналы и тд). Здесь нужно помнить, что документы должны регламентировать не только автоматизированную обработку но и «аналоговую» тоже.

Перечня документов как такового не существует, есть лишь перечень аспектов, которые вы должны описать в них.
Первым делом нужно назначить ответственного за организацию обработки персональных данных (это лицо теперь требуется указывать в уведомлении оператора). Этот человек у нас будет отвечать в основном за «бумажные» вопросы. Также требуется назначить администратора безопасности персональных данных. Он будет отвечать уже за техническую сторону вопроса. И того и другого можно назначить одним приказом. Тут сразу хочу заметить, что все формулировки настоятельно рекомендуется согласовывать с текстом законодательства, так как проверяющие очень часто к ним придираются. Например, если вы ответственного за организацию обработки ПДн назовете просто ответственным за обработку ПДн, то с вероятностью 99.9% регулятор в процессе проверки попросит внести изменения в документ.

Далее, многие об этом забывают, но Роскомнадзор требует: во всех кабинетах, в которых обрабатываются ПДн на бумаге должны быть определены места хранения (сейф, шкаф, стеллаж) и ответственные за сохранность конфиденциальности ПДн в этом кабинете. Проще говоря, издаем приказ, в котором пишем «В кабинете № 1 утвердить местом хранения сейф, ответственным назначить такого-то такого-то».
Далее, вы должны назначить комиссию по классификации и комиссию по уничтожению ПДн. В эти комиссии должны входить: председатель комиссии и, как минимум, два члена комиссии. Обе комиссии по своему составу могут быть на 100% идентичными.

Далее, необходимо определиться с лицами, допущенными к обработке персональных данных. Это сотрудники, которые работают с ПДн как работников организации, так и клиентов, абонентов и других категорий субъектов. Причем в документе должно быть указано какой работник к каким данным имеет доступ, обрабатывает он эти данные с помощью средств автоматизации или нет, а в случае с автоматизированной обработкой еще и его роль в системе (пользователь, администратор и тд). Тут следует заметить, что каждый сотрудник, допущенный к обработке персональных данных должен подписать соглашение о неразглашении ПДн.

Читайте так же:  Мировое соглашение утвержденное судом апелляционное определение

Следующим шагом нужно определить категории персональных данных, которые у нас подлежат защите. Это делается также отдельным приказом. Здесь есть тоже такой момент, о котором многие забывают, но Роскомнадзор при проверках спрашивает – персональные данные являются частным случаем сведений конфиденциального характера, поэтому отдельным приказом должен быть утвержден также и такой перечень. Что может относиться к сведениям конфиденциального характера, определено указом президента РФ № 188 от 6 марта 1997 г. Просто переписываем пункты, относящиеся к вашей организации в свой приказ и готово.

Наконец, вы должны утвердить в организации основной документ, регламентирующий защиту ПДн. Обычно такой документ называют «Положение об обработке и защите персональных данных». Здесь вы описываете основные понятия из законодательства, цели и законные основания обработки ПДн, права и обязанности оператора, права и обязанности субъекта ПДн.

Также придется разработать ряд журналов, вы должны показать Роскомнадзору, что вы проводите регулярную (а не только одноразовую) деятельность по защите ПДн. В этом вам помогут, например «Журнал проведения инструктажа по информационной безопасности» и «Журнал учета мероприятий по контролю обеспечения защиты персональных данных». Обязательно (Роскомнадзор обязательно спросит) должен быть журнал учета обращений граждан-субъектов персональных данных о выполнении их законных прав. Также не забудьте перед проверкой обзавестись журналом учета проверок юридических лиц контролирующими органами.

Подводя итог по внедрению организационной документации по защите ПДн в вашей организации, еще раз повторюсь, строгого перечня документов нет. Вы можете создать один большой документ под названием «Политика в отношении защиты персональных данных», в котором опишите все, что я выше перечислил, а можете разбить на множество мелких документов. Можете издать несколько разных приказов, а можете назначить всех ответственных, определить лиц, допущенных к обработке ПДн и тд одним единственным распоряжением.

Вот, примерно так, опять же, список может быть гораздо шире или гораздо уже, все зависит от того, что будет написано в каждом из документов, здесь важно именно содержание. Образцы всех документов достаточно легко нагуглить.

Многие наверное заметили, что в списке документов много таких, которые регламентируют автоматизированную обработку и защиту ПДн в информационных системах. Несмотря на то, что при проверке Роскомнадзор обращает больше внимания на документальное обеспечение защиты ПДн, нежели на техническое, все равно — чем больше документов вы предоставите по защите ПДн, тем больше плюсиков в карму со стороны регулятора вам упадет.

Завершая раздел про документы, отмечу еще несколько моментов, на которые нужно обратить внимание. Во-первых, ко всем вышеперечисленным документам должен идти лист ознакомления и все лица, которых касается этот документ (будь то инструкция или приказ) должны расписаться в том, что они с бумажкой ознакомлены. Во-вторых, в должностные инструкции всех лиц, допущенных к обработке персональных данных нужно вписать строку «При работе с персональными данными руководствоваться Положением об обработке и защите персональных данных». И, в-третьих, помимо внутренних документов, необходимо разработать один публичный. Обычно его обзывают как «Политика в отношении обработки персональных данных». Такой документ должен вывешиваться на веб-сайте оператора ПДн, либо, если веб-сайта нет, на информационной доске в офисе или находиться в другом общедоступном месте. Примеров политики также можно нагуглить великое множество.

Аттестация

Несмотря на то, что этот момент больше относится к технической защите (ведь аттестация производится, когда наша информационная система полностью заряжена средствами защиты информации), все же хотел здесь пару слов сказать и о ней. Мне просто очень часто приходится слышать от очередных клиентов, что им промыли мозги о том, что аттестация информационных систем персональных данных является обязательной. Запомните раз и навсегда – это все ЧУШЬ! В положении об аттестации объектов информатизации черным по белому написано, что обязательной аттестации подлежат только объекты, содержащие государственную тайну и экологически опасные объекты. Поэтому весь этот бред об обязательной аттестации ИСПДн – просто происки недобросовестных интеграторов, желающих лишний раз скосить бабла с доверчивого клиента.

Аттестация ИСПДн может быть обязательной только в том случае, если ваша организация находится в подчинении вышестоящего органа, и эта самая верхушка спустила вам указание аттестовывать все свои ИСПДн.

Хотя, аттестацию может возжелать и сам начальник организации, ведь аттестат соответствия однозначно подтверждает, что ваши информационные системы полностью соответствуют законодательству как в плане документального обеспечения, так и в плане технической защиты. В этом случае нужно помнить, что одним из условий действительности аттестата является неизменность условий эксплуатации ИСПДн. То есть грубо говоря вы не можете поменять монитор на рабочем месте или установить дополнительное ПО без согласования с органом по аттестации, а это влечет за собой дополнительные затраты. Также стоит помнить, что аттестат соответствия может выдаваться максимум на три года, а потом – все по новой.
Возвращаясь к нашей основной теме – подготовке к проверке Роскомназдора, хочу сказать, что за все пять лет работы в данной сфере, проверяющие никогда не требовали Аттестат соответствия.

Вместо заключения

Букв получилось довольно много и, я думаю, пора закругляться, тем более, что выполнив описанные выше меры, можно сказать, что вы практически готовы к проверке Роскомнадзора. Но все же еще раз постараюсь коротко сформулировать основные этапы, выполнение которых поможет вам с большой долей вероятности получить положительное заключение по итогам проверки и некоторые другие, не вошедшие в статью, моменты:

На этом, наверное, и закончу. Как видно не так страшны проверки РКН, как могут показаться на первый взгляд. Если у читателей есть какие-либо вопросы или предложения по следующим статьям на тему ПДн, постараюсь на все ответить и все учесть.

Видео (кликните для воспроизведения).

Источник: http://habr.com/post/169527/

Организация обработки и защиты персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here