Техническая защита информационных систем персональных данных: проблемы и … решения? Защита персональных данных - путеводитель Система защиты персональных данных на предприятии.
Федеральный закон № 152-ФЗ и подзаконные акты (Приказ ФСТЭК № 21 от 18.02.2013, Постановление Правительства РФ №1119 от 01.11.2012), устанавливают ряд обязательных требований, в том числе технического характера, которые должны выполняться организациями, осуществляющими обработку персональных данных (операторами персональных данных) с использованием информационных систем, включая меры защиты персональных данных от случайного или неправомерного доступа к ним, изменения, копирования, блокирования, уничтожения, распространения и других неправомерных действий.
Мероприятия по защите персональных данных
АМТЕЛ-СЕРВИС предоставляет услуги защиты персональных данных для организаций различных отраслей, в т.ч. хранящих и обрабатывающих данные в корпоративном или публичном облаке, осуществляющих трансграничную передачу персональных данных россиян. Наша компания работает с проектами в области защиты ПДн среднего и крупного масштаба, стоимостью от 250 тыс. рублей. Всю документацию мы разрабатываем индивидуально и учитываем всю специфику процессов вашей компании, а не просто адаптируем универсальные шаблоны, как это делают многие ИТ-поставщики в целях экономии.
АМТЕЛ-СЕРВИС реализует весь комплекс организационных и технических мероприятий для обеспечения защиты персональных данных (ИСПДн):
- Аудит на соответствие требованиям 152-ФЗ, 242-ФЗ, разработку детального отчета
- Разработку модели угроз, классифицирование информационных систем персональных данных (ИСПДн)
- Разработку комплекта организационно-распорядительной документации
- Разработку технического задания на создание системы защиты
- Проектирование системы защиты ИСПДн
- Внедрение системы безопасности ИСПДн, включая поставку, монтаж, настройку оборудования и ПО, проведение пуско-наладочных работ, разработку эксплуатационной документации, опытную эксплуатацию системы, проведение приемочных испытаний
- Аттестационные испытания
- Консультационную поддержку и сопровождение, включая консультации при проведении проверок Регуляторами (Роскомнадзор, ФСТЭК России, ФСБ России).
Альтернативой построению ИСПДн для небольших компаний может стать облачный сервис «Облако ФЗ-152». Это позволит сэкономить на обслуживании и гарантировать обеспечение защиты персональных данных за разумные деньги.
Преимущества сотрудничества с нами
Защита ПДн, включая аттестацию, аудит защиты персональных данных, а также внедрение системы защиты, — одна из самых востребованных услуг АМТЕЛ-СЕРВИС в сфере ИБ. Заказывая услуги по обеспечению защиты ИСПДн предприятия из Москвы и регионов получают:
- Полный комплекс мероприятий - от проверки на соответствие требованиям 152-ФЗ до проектирования и внедрения системы ЗПДн и прохождения аттестационные испытаний
- Доступ к глубокой экспертизе в области информационной безопасности для полной и всесторонней оценки эффективности работы системы ИБ - в АМТЕЛ-СЕРВИС работают квалифицированные специалисты с многолетним опытом работы
- Решение, реализованное на передовых технологиях и средствах защиты информации, обеспечивающее комплексную и надежную защиту ИТ-систем при оптимальном бюджете.
Качество услуг АМТЕЛ-СЕРВИС подтверждено международными сертификатами, большим опытом работы и многочисленными клиентами. Мы входим в ТОП-30 ведущих компаний в сфере защиты информации. У нас в наличии есть все необходимые для проведения работ лицензии ФСТЭК и ФСБ России. Позаботьтесь о защите ПДн: обращайтесь в нашу компанию.
Всем организациям в Российской Федерации приходится работать с тем или иным количеством персональных данных, и зачастую руководители даже не имеют понятия о том, сколь много информации о сотрудниках предприятия или компании обрабатывается с нарушением норм действующего законодательства.
Следует отметить, что в большинстве случаев нарушения здесь допускаются вовсе не из-за наличия желания как-то обойти закон. Причина более банальна – это элементарное незнание. Можно привести достаточно распространенный в России пример нарушения – новый сотрудник подает пакет документов согласно определенному списку. Работодатели, принимая такие документы, не берут согласия владельца на обработку его персональных данных, а это уже нарушение требований законодательства, пускай даже непреднамеренное. Впрочем, такого рода рисков можно избежать, обладая определенными знаниями. В частности, нужно знать, что к персональным данным в России относятся:
- Ф. И. О., дата рождения;
- имущественное и семейное положение;
- сведения о полученном образовании;
- информация о месте работы и профессии;
- сведения о членах семьи человека.
В документах, которые являются обязательными к предъявлению при трудоустройстве, есть значительное количество персональных данных. Перечень данных документов можно найти в статье 65 Трудового кодекса, на основании которой работодатель имеет право обрабатывать имеющиеся там персональные данные без получения согласия от их владельца. Однако в данный перечень не входят такие документы, как справка о состоянии здоровья или о составе семьи.
При этом предоставление сотрудником ИНН, запрашиваемого многими компаниями при приеме на работу, требует получения согласия на обработку содержащихся здесь данных. Ряд работодателей, скорее всего, в силу оставшейся с прежних времен привычки, требуют вклеивать в личную карточку Т2 фотографию сотрудника, причем согласия самого работника на такое действие не спрашивается. Согласно достаточно распространенному мнению, фото к персональным данным не относится. Это довольно спорное мнение, поскольку закон гласит, что персональные данные – это сведения, по которым можно идентифицировать человека, без использования его Ф. И. О. и даты рождения. Понятно, что идентифицировать человека по фотографии, конечно же, можно. Между тем работодатели, запрашивая у работника его фото, не берут у него письменного согласия на обработку персональных данных – это неправильный подход.
Работодатель, в соответствии с пунктом 7 статьи 86 ТК, должен обеспечить защиту от утраты или от неправомерного использования персональные данные своих рабочих, причем закон обязует его это делать за собственный счет. Помимо этого, законодательство предусматривает еще и соблюдение определенного порядка хранения таких данных, и их использования.
Для того чтобы соответствовать требованиям закона, руководство предприятия издает локальный нормативный акт. Данным документом осуществляется регулирование всех вопросов, связанных с хранением персональных данных, а также с их использованием. Помимо этого, он еще и обеспечивает защиту данных от утраты или от их неправомерного использования.
Такой локальный нормативный акт должен содержать в себе:
- описание доступа к данным – как внешнего, так и внутреннего;
- список сотрудников, имеющих такой доступ;
- порядок работы с данными;
- ответственность за разглашение информации;
- регламент защиты.
Как правило, таким локальным нормативным актом становиться положение о защите персональных данных. Структура такого документа состоит из нескольких разделов, в которых указываются:
- цели создания данного документа, общие моменты, сфера действия;
- используемые определения;
- перечень данных и цели их обработки – то есть, какие из сведений могут использовать операторы;
- условия, обязательные к соблюдению при обработке;
- порядок передачи персональных данных, как внутри предприятия или компании, так и государственным органам и третьим лицам;
- порядок доступа, как внутренний, так и внешний;
- ответственность в случае нарушения действующих норм;
- угрозы безопасности – модель угрозы и ее степени. Помимо этого, указываются меры, предпринимаемые для защиты информации;
- положения, касающиеся самого акта – о вступлении его в силу, периоде действий, порядке внесения изменений.
Защищаем личную информацию сотрудников
Как уже говорилось выше, обязанностью работодателя, прописанной на законодательном уровне, является создание всех условий, необходимых для защиты персональной информации сотрудников. Иными словами, должна быть создана система, способная обеспечить недоступность такой информации, ее конфиденциальность, а также ее безопасность и целостность в процессе работы предприятия или организации.
Нормами российского законодательства предусмотрена внешняя и внутренняя защита. В частности, для того чтобы обеспечить внутреннюю защиту, компания может определить состав сотрудников, функциональные обязанности которых требуют доступа к личным данным их коллег. Одновременно с этим нужно обоснованно и избирательно распределить документы с такой информацией между сотрудниками, уполномоченными на ведение работы с личными данными. Серьезного подхода здесь требуют непосредственно рабочие места – они должны быть оборудованы таким образом, чтобы полностью исключить возможность беспрепятственного несанкционированного проникновения и просмотра.
Для того чтобы обеспечить внешнюю защиту, руководство компании может, например, ввести для всех посетителей пропускной режим. Еще одним вариантом здесь является использование для защиты информации, хранящейся на электронных носителях, специального защитного программно-технического комплекса.
Принимая комплекс мер, направленных на защиту личной информации, следует в первую очередь исходить из уровня реальной угрозы безопасности. Естественно, чем более высоким будет этот уровень, тем большее количество мер для защиты персональных данных нужно предпринять.
Можно выделить 3 типа угроз, создающих реальную опасность незаконного доступа к личной информации. При этом работодатель самостоятельно определяет, какой из этих типов является характерным для возглавляемого им предприятия или организации. Для того чтобы обеспечить безопасность на действительно высоком уровне, есть целый ряд требований, которых следует придерживаться неукоснительно. В частности, для того чтобы обеспечить минимальный, 4-й уровень защиты, нужно предпринять следующие меры:
- обезопасить помещения с находящейся внутри них информационной системой от возможного несанкционированного проникновения;
- обеспечить безопасное хранение носителей, на которых хранится информация;
- защитить информацию, используя прошедшие через процедуру оценки соответствия средств;
- определиться с сотрудниками, имеющими доступ к персональным данным в силу своих трудовых обязанностей.
Следует также определиться и с техническими средствами защиты информации, которые препятствуют несанкционированному доступу. Такими средствами являются, например, криптографические средства, межсетевые экраны и антивирусное программное обеспечение. Следует отметить один очень важный момент: все используемые здесь средства в обязательном порядке сперва должны пройти процедуру сертификации. Ознакомиться с перечнем сертифицированных средств защиты персональных данных можно, зайдя на официальный интернет-сайт ФСТЭК. Но это еще не все. Выбрав средство защиты и установив его, необходимо еще и сделать правильные настройки, в ином случае работа может быть попросту заблокирована из-за неточностей, допущенных на данном этапе.
Как поступать с персональной информацией, содержащейся в резюме
Хотелось бы остановить внимание на еще одном, достаточно любопытном моменте – речь идет о персональных данных претендентов на получение работы и о действиях, которые можно предпринимать работодателю с такой информацией. Здесь следует напомнить, согласно законодательству, резюме соискателя работы – это общедоступная информация, поэтому письменного согласия на ее обработку от владельца можно не получать. Но если же претенденту на ту или иную должность заполнить анкету, предусматривающую указание персональных данных, или же потенциальным работодателям снимаются копии с документов претендента, таких как диплом, паспорт и так далее, то здесь письменное согласие владельца будет уже обязательным.
Для посетителей нашего сайта действует специальное предложение - вы можете совершенно бесплатно получить консультацию профессионального юриста, просто оставив свой вопрос в форме ниже.
Работа с персональными данными – это очень высокий уровень ответственности, поэтому недооценивать важность создания надежной защиты, получения согласия и пренебрегать установленными правилами явно не стоит. Также следует помнить, что трудовая инспекция в настоящее время очень строго следит за выполнением норм Трудового кодекса, стараясь не упустить ни одну из нынешних нормативных сфер. Поэтому всего лишь один документ – письменное согласие на обработку персональных данных – может в будущем защитить работодателя от многих проблем.
Защита персональных данных – это комплекс мероприятий, позволяющих выполнить требования законодательства РФ, касающиеся обработки, хранения и передачи персональных данных граждан РФ. Согласно требованиям закона о защите персональных данных, оператор обязан применить ряд организационных и технических мер, касающихся процессов обработки персональных данных, а также информационных систем, в которых эти персональные данные обрабатываются.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Правоотношения в сфере персональных данных регулируются федеральным законодательством РФ (Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»), Трудовым кодексом РФ (глава 14), а также Гражданским кодексом РФ.
Основные положения Закона «О персональных данных»
- Обработка персональных данных должна осуществляться на законной и справедливой основе, в строгом соответствии с установленными целями обработки персональных данных.
- Недопустимо раскрытие персональных данных третьим лицам или распространение таких данных без соответствующего основания (согласия субъекта либо требований федеральных законов).
- В ряде случаев обработка персональных данных может осуществляться только с согласия субъекта персональных данных.
- Информационные системы, обрабатывающие персональные данные, должны быть приведены в соответствие с требованиями законодательства о персональных данных.
- Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, обжаловав действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
- Оператор обязан направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных. Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (более известная как Роскомнадзор);
- Нарушение требований Закона влечет гражданскую, уголовную, административную, дисциплинарную ответственность.
Комплекс мероприятий по обеспечению защиты персональных данных
Организационные меры по защите персональных данных включают в себя:- Назначение лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных;
- Разработку организационно-распорядительных документов, регламентирующих весь процесс получения, обработки, хранения, передачи и защиты персональных данных;
- Внесение изменений в бизнес-процессы организации, ознакомление пользователей, осуществляющих обработку персональных данных с положениями нормативных документов;
- Заключение дополнительных соглашений с контрагентами и третьими лицами, которым передаются персональные данные либо поручается их обработка;
- Определение перечня мероприятий по защите персональных данных и реализация таких мероприятий;
- Осуществление внутреннего контроля соответствия обработки и защиты персональных данных требованиям законодательства.
Требования к информационным системам персональных данных
Определение уровня защищенности информационных систем персональных данных производится операторами самостоятельно в зависимости от объема и категории обрабатываемых персональных данных, а также типа актуальных угроз в соответствии с Постановлением Правительства № 1119 от 01.11.2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».Данное Постановление Правительства также определяет требования по обеспечению безопасности персональных данных при их обработке в информационных системах в соответствии с их уровнем защищенности.
Помимо этого, детализированные требования по защите персональных данных установлены, в частности:
- приказом ФСТЭК № 21 от 18.02.2013 г;
- приказом ФСБ № 378 от 18.08.2014 г. (в случае необходимости применения для защиты персональных данных шифровальных (криптографических) средств защиты информации).
Контроль
Контроль за выполнением законодательства возложен на следующие органы:- Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) – основной надзорный орган в области персональных данных;
- ФСБ – основной надзорный орган в части использования средств шифрования;
- ФСТЭК – надзорный орган в части использования технических средств защиты информации.
Типичные позиции операторов персональных данных
- ”Наша компания не собирается ничего предпринимать и тратить время и деньги на решение этих вопросов, мы будем ждать развития событий”.
Такая компания не собирается тратить деньги и время на изменение процессов обработки персональных данных, а также не задумывается о соответствующем обучении своих сотрудников. Она продолжает свою деятельность в привычном режиме, в надежде на то, что проверка Роскомнадзора ее не затронет. Однако, как показывает практика, действия проверяющих органов нельзя предугадать, под проверку может попасть любая организация и в этом случае компания может понести значительные убытки, вплоть до приостановки ее деятельности.
Стоит также учитывать, что с 2016 года Роскомнадзор на регулярной основе проводит так называемые мероприятия систематического наблюдения, в результате которых на основании мониторинга веб-сайта любой организации может быть направлен запрос на предоставление необходимых сведений об осуществлении обработки и защиты персональных данных. Непредоставление необходимой информации в срок может послужить поводом для проведения внеплановой проверки в организации.
- “Мы уверены в том, что действия закона не будут распространяться на нашу компанию”.
В любой компании, вне зависимости от её организационно-правовой формы, есть информация о сотрудниках, работающих в организации, а иногда и о её клиентах и контрагентах, а значит такая компания является оператором, следовательно, требования ФЗ-152 распространяются на неё в полном объеме.
Классическая ситуация: реализовать своими силами, или приглашать консультантов?
Для того, чтобы ответить на этот вопрос, необходимо определиться со следующими вещами:- Готов ли руководитель компании взять на себя ответственность за успешную реализацию проекта по защите персональных данных?
- Есть ли у компании квалифицированные сотрудники, обладающие глубоким пониманием требований законодательства, а также необходимыми юридическими и техническими знаниями и навыками?
- Может ли руководство компании оценить сроки и стоимость такого проекта?
- Как выполнить требования закона по защите персональных данных и при этом не нарушить деятельность критических бизнес-процессов компании?
- Каким образом необходимо подавать уведомление в регулирующие органы?
Компания “Pointlane” оказывает полный цикл услуг по консультационным вопросам в области соответствия требованиям законодательства о персональных данных:
- Консультации по вопросам требований законодательства и определения их действия применительно к Вашей организации (в том числе консультации по вопросам соответствия требованиям новой редакции Федерального закона №152-ФЗ «О персональных данных» с изменениями, внесенными Федеральным законом от 21.07.2014 г. №242-ФЗ и Федеральным законом от 31.12.2014 г. №526-ФЗ, касающимся вопросов обработки ПДн граждан РФ с использованием баз данных, находящихся на территории РФ);
- Обследование процессов и информационных систем обработки персональных данных, формирование рекомендаций по обработке и защите персональных данных;
- Подготовка необходимой организационно – распорядительной документации по вопросам обработки и защиты персональных данных;
- Определение уровня защищенности ИСПДн (информационных систем персональных данных) и формирование необходимых требований к их защите в соответствии с выбранным уровнем защищенности;
- Построение модели угроз и модели нарушителя безопасности персональных данных;
- Проектирование системы защиты персональных данных;
- Закупка и внедрение средств защиты;
- Подготовка ИСПДн к аттестации (для государственных или муниципальных органов) либо декларирование соответствия требованиям законодательства о персональных данных (для всех остальных организаций);
- Подготовка уведомления в Роскомнадзор для регистрации Вашей организации в качестве оператора персональных данных;
- Сопровождение проверок Роскомнадзора;
- Аутсорсинг обязанностей лица, ответственного за обработку и защиту персональных данных.
Преимущества проведения мероприятий по защите персональных данных
После внедрения системы защиты персональных данных Заказчик получит:- Защиту от претензий и штрафов со стороны регулирующих органов;
- Преимущества перед конкурентами, т.к декларирование соответствия требованиям законодательства о персональных данных приведет к повышению прозрачности и доверия к компании со стороны потенциальных и существующих контрагентов и клиентов;
- Отсуствие негативных отзывов в прессе и СМИ, связанных с неудовлетворительными результатами прохождения проверок регулирующих органов;
- Возможность продолжать свою деятельность, не опасаясь претензий со стороны клиентов и собственных сотрудников;
- Возможность работы с персональными данными не только внутри компании, но и при передаче их сторонним организациям;
- Защиту от непредвиденной и принудительной остановки бизнеса;
- Защиту от недобросовестных конкурентов;
- Информационные системы, соответствующие всем стандартам и требованиям законодательства в области персональных данных.
Предъявляет особые требования к информсистемам, содержащим персональные данные, и предполагает создание особых средств и систем защиты информации.
Система защиты персональных данных (СЗПД) – это комплекс мер и мероприятий организационного и технического характера , направленных на противодействие несанкционированному доступу к закрытой информации с учетом актуального типа угроз безопасности(п. 2 Постановления Правительства РФ от 01.11.2012 N 1119).
Любое физическое или юридическое лицо, подпадающее под определение “оператор ПД”, обязано создать условия и предпринять меры по охране ПД от непредумышленных или преступных покушений.
СЗПД должна быть выстроена таким образом, чтобы действовать эффективно, но в то же время обеспечивать непрерывность внутренних процессов компании или организации.
Какие существуют уровни защищенности?
Важно! Контролировать выполнение требований по защищенности информации, оператор может самостоятельно либо привлечь лицензированную организацию, которая специализируется на создании и реализации СЗПД.
Какие предпринимаются меры и мероприятия?
Мероприятия по защите ПД – это комплекс мер, направленных на надежную охрану конфиденциальной информаци и, которую субъект предоставляет оператору организации.
Организационные меры включают:
- Оповещение Роскомнадзора о начале обработки персональных данных путем отправки в орган соответствующего уведомления.
- Внутренний контроль за соблюдением требований к в соответствии с законодательством.
Разработка пакета документации для внутреннего пользования , которой регламентируются операции с ПД, их обработка и хранение, в частности это , Приказ о назначении ответственного за обработку ПД лица, должностные инструкции и пр. Больше информации о пакете документов, необходимых для создания защиты персональных данных, найдете , а про документы, необходимые для защиты ПД работников в организациях, мы рассказываем .
Внедрение пропускного режима для доступа на объект, где хранятся и обрабатываются данные.
Подписание соглашений с третьими лицами , которые участвуют в обработке информации.
Составление перечня ограниченного круга лиц , которые имеют право работать с ПД и несут ответственность за конфиденциальность информации.
Рациональное расположение рабочих мест в организации , исключающее несанкционированный доступ к личным сведениям.
Технические меры предполагают использование программных и аппаратных средств информационной защищенности.Они направлены на:
- предупреждение неправомерного доступа – внедрение системы разграничения доступа, установка антивирусных программ, межсетевых экранов, криптографических и блокировочных средств;
- предотвращение технической информационной утечки – применение экранированных кабелей, высокочастотных фильтров, систем зашумления и пр.
Средства и способы защиты оператор выбирает самостоятельно с учетом актуальных угроз и особенностями операций, совершаемых с ПД.
Пошаговая инструкция по разработке СЗПД
Процессы обработки и защиты ПД должны строго соответствовать законодательным актам РФ, прежде всего положениям Федерального закона № 152-ФЗ «О персональных данных» . Это можно реализовать только при помощи грамотно выстроенной системы. Создание системы – процесс сложный, который выполняется поэтапно:
- Издание внутреннего приказа , в соответствии с которым начинаются процессы подготовки и реализации мер по защите ПД и построение защитной системы. В приказе обязательно должен быть указан сотрудник, который несет ответственность за выполнением соответствующих мероприятий, перечисляются локальные документы, в том числе Положение по защите и обработке данных и состав специальной комиссии.
- Обследование внутренних систем , содержащих конфиденциальную информацию. На этом этапе нужно определить, является ли организация оператором ПД. Если да, то к какой категории относятся обрабатываемые данные. Составляется отчет о диагностических мероприятиях, создается акт о классификации системы информации, уровне ее защищенности и модели угроз, которым могут подвергаться личные сведения на объекте.
- Если в ходе обследования выяснилось, что организация является оператором ПД, направляется Уведомление в Роскомнадзор о намерении производить обработку ПД (ст. 22 Закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»).
- Разработка и утверждение документов согласия субъекта на обработку ПД и отзыва согласия (ст. 9 Закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»).
- Внедрение защитной системы.
На этом этапе создается ряд документов, которые регламентируют внутренний порядок работы, хранения, передачи и уничтожения ПД. Составляется перечень лиц, которые допущены к обработке данных и перечень сведений, с которыми осуществляются операции.
Необходимо разработать специальное Положение об обработке и защите ПД в организации, разработать инструкции пользователям и администраторам для работы с информацией, для резервного копирования и восстановления.
- Определение содержания технических защитных мер. В частности, они должны оберегать информацию от несанкционированного доступа, включать антивирусные и криптографические средства и пр. (Приказ ФСТЭК России от 18.02.2013 № 21).
- Подписание «Заключения о соответствии системы защиты данным , обрабатываемым в информационных системах организации».
Подробную инструкцию по реализации защиты ПД в различных организациях найдете .
Для учета и хранения данных заводится специальный журнал. При списании и уничтожении носителей информации бумажного и электронного типа составляется соответствующий акт. Информация об изменениях технического оснащения, структуры организации, расширении площадей или принятии новых защитных мер должна быть внесена в весь комплекс внутренней документации.
Техсредства защиты информации должны быть сертифицированы и правильно настроены. Со списком сертифицированных средств можно ознакомиться на сайте ФСТЭК России .
Средства и система защиты ПД – это целый комплекс мероприятий, которые важно не только грамотно разработать и внедрить, но и поддерживать систему в актуальном состоянии.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter .
Многие руководители предприятий до сих пор не вполне ясно представляют себе, что конкретно нужно делать для защиты персональных данных в соответствии с требованиями Федерального закона № 152 от 27.07.2006 года «О персональных данных» . Такая ситуация вызвана отсутствием практики применения норм Закона в проектах по обеспечению защиты персональных данных .
Основные требования по защите персональных данных общеизвестны:
- предписывает в обязательном порядке обеспечить соответствующую защиту персональных данных, обрабатываемых в компании
- вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиями
- за неисполнение требований предусмотрены различные виды ответственности
- перечень организационных и технических мероприятий также определен:
- уведомление уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных
- разработка документов, регламентирующих обработку персональных данных в организации (положение по обработке персональных данных, регламенты, положения по защите персональных данных)
- создание системы защиты персональных данных , в т.ч. выполнение требований по инженерно-технической защите помещений
- аттестация ИСПДН (аттестация или декларирование соответствия информационных систем персональных данных (ИСПДн) требованиям безопасности информации)
- повышение квалификации сотрудников в области защиты персональных данных
Вопросы, которые требуется решить каждому предприятию:
- Как обеспечить защиту персональных данных в соответствии с требованиями законодательства?
- Как завершить работы в установленный срок?
- Как минимизировать затраты на создание системы защиты?
Действие 1. С чего начинать?
Вначале нужно ответить на ряд вопросов, от которых зависит дальнейший план действий по выполнению требований законодательства. Для этого предстоит провести предварительный анализ информационных ресурсов предприятия. Это можно сделать самостоятельно или пригласить сторонних специалистов – экспертов в области защиты персональных данных , которые проведут работы на высоком профессиональном уровне.
1.1. Установить перечень персональных данных, обрабатываемых на предприятии
Перечень персональных данных. В первую очередь, необходимо установить перечень персональных данных (ПДн) физических лиц, которые обрабатываются на предприятии. Если кадровый учет и бухгалтерия есть на любом предприятии, то другие направления деятельности, где используются персональные данные, требуется установить: это могут быть данные клиентов, заказчиков, посетителей, партнеров, контрагентов и т.п.
Цели обработки персональных данных. Также нужно определить цели обработки персональных данных: трудовые отношения с работниками; оформление пропусков для входа на территорию предприятия; договор оказания услуг и т.п.
Сроки обработки и хранения. Хранение ПДн должно быть не дольше, чем этого требуют цели их обработки, по достижению которых ПДн подлежат уничтожению. Установить перечень ПДн, по которым цели обработки достигнуты.
1.2. Способы обработки персональных данных?
Обработка персональных данных может осуществляться с использованием средств автоматизации или без использования таких средств.
Обработка ПДн без использования средств автоматизации (неавтоматизированная обработка). Понятие неавтоматизированной обработки персональных данных определено в от 15.09.2008 года «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». На основании данного положения нужно определить перечень персональных данных, обрабатываемых без использования средств автоматизации.
Обработка ПДн с использованием средств автоматизации. В этом случае на предприятии требуется выявить информационные системы, в которых осуществляется обработка персональных данных (ИСПДн) (например, система бухгалтерского учета, система взаимоотношений с клиентами, биллинговая система и т.п).
1.3. Определить состав и объем обрабатываемых персональных данных?
Состав персональных данных. В зависимости от состава персональных данных (например, фамилия, имя, отчество, год, месяц, дата и место рождения, адрес и т.п.) определяется категория, к которой они относятся:
- категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
- категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
- категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
- категория 4 - обезличенные и (или) общедоступные персональные данные.
Объем обрабатываемых ПДн. Установить объем персональных данных (количество субъектов ПДн), обрабатываемых в каждой информационной системе ПДн.
1.4. Провести предварительную классификацию информационных систем ПДн
Информационные системы ПДн (ИСПДн) делятся на:
- Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
- Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
На основании данных, полученных в предыдущих пунктах, провести предварительную классификацию «типовых» информационных систем ПДн. Классификация ИСПДн осуществляется в соответствии с таблицей, рекомендованной регуляторами:
В зависимости от класса зависят требования по обеспечению безопасности информационной системы ПДн. Чем выше класс информационной системы ПДн, тем выше требования по обеспечению ее защиты.
1.5. Полученные результаты и способы защиты персональных данных
После проведения предварительного анализа информационных ресурсов собственного предприятия можно получить представление о состоянии информационных ресурсов в части обработки персональных данных (перечень и характеристики обрабатываемых ПДн), осознать масштаб сложности решаемых задач и определить дальнейшие шаги по выполнению требований Закона «О персональных данных» .
Если в результате предварительной классификации на предприятии оказались информационные системы ПДн 1-го и 2-го классов это значит, что к таким системам предъявляются повышенные требования по обеспечению их безопасности и существенно увеличиваются расходы на проведение работ по созданию системы защиты ПДн.
Способы минимизации затрат на создание системы защиты персональных данных.
- При классификации информационной системы ПДн (ИСПДн) как «специальная» возможно снижение затрат на создание системы защиты ПДн. Классификация «специальной» системы осуществляется на основании разрабатываемой модели угроз безопасности ПДн, что дает возможность в каждом конкретном случае обоснованно выбрать минимальное количество актуальных угроз, от которых требуется защитить персональные данные.
- При разработке требований к системе защиты персональных данных (СЗПДн) проводится логическое структурирование, основанное на анализе возможности сегментирования и (или) объединения ИСПДн. Такой подход позволяет выбрать оптимальное количество ИСПДн в соответствии с бизнес-процессами обработки ПДн.
- Разработка требований с учётом возможностей инфраструктуры Заказчика, при этом максимально используются штатные средства ОС, СУБД и механизмов обеспечения ИБ корпоративной информационной системы
Для проведения таких мероприятий целесообразнее пригласить специализированную организацию с опытом работ по данному направлению.
Действие 2. Подача уведомления в уполномоченный орган
Обработка персональных данных без уведомления.
Закон «О персональных данных» разрешает вести обработку персональных данных без подачи уведомления в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных в следующих случаях:
- если предприятие обрабатывает персональные данные граждан, которых связывают с предприятием трудовые отношения;
- при наличии договора с субъектом персональных данных, на основании которого персональные данные не распространяются и не предоставляются третьим лицам без согласия субъекта персональных данных и используются предприятием исключительно для исполнения указанного договора;
- если персональные данные относятся к членам общественного объединения или религиозной организации, действующими в соответствии с законодательством РФ, при условии, что персональные данные не будут распространяться без письменного согласия субъектов персональных данных;
- если персональные данные являются общедоступными;
- если персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных;
- если персональные данные необходимы для однократного пропуска на территорию предприятия;
- персональные данные включены в информационные системы персональных данных, имеющих статус федеральных автоматизированных информационных систем, а также государственных информационных систем, созданных в целях защиты безопасности государства и общественного порядка;
- персональные данные обрабатываются без использования средств автоматизации.
Если один или несколько из перечисленных пунктов относится к Вашему предприятию, подавать уведомление в Роскомнадзор не нужно.
Подача уведомления в Роскомнадзор.
Во всех остальных случаях предприятие обязано подать уведомление в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. На основании уведомления предприятие регистрируется в реестре операторов, осуществляющих обработку персональных данных.
Форма уведомления утверждена Приказом Роскомнадзора № 8 от 17.07.2008 года и содержит следующие основные положения: наименование и адрес местонахождения предприятия; цель обработки персональных данных; категории персональных данных и субъектов персональных данных; правовое основание и способы обработки персональных данных.
Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Действие 3. Организационные меры защиты персональных данных
Комплекс мероприятий по обеспечению защиты персональных данных состоит из организационных и технических мер защиты информации.
Организационные меры по защите персональных данных включают в себя:
- разработка организационно – распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных
(например):
- Положение об обработке персональных данных;
- Положение по защите персональных данных;
- Регламент взаимодействия с субъектами персональных данных;
- Регламент взаимодействия при передаче персональных данных третьим лицам;
- Инструкции администраторов безопасности персональных данных;
- Инструкции пользователей по работе с персональными данными;
- перечень мероприятий по защите персональных данных:
- определение круга лиц, допущенного к обработке персональных данных;
- организация доступа в помещения, где осуществляется обработка ПДн;
- разработка должностных инструкций по работе с персональными данными;
- установление персональной ответственности за нарушения правил обработки ПДн;
- определение продолжительности хранения ПДн и т.д.
Меры организационного характера осуществляются на предприятии независимо от того, нужно подавать уведомление в Роскомнадзор или нет, обработка ПДн осуществляется с использованием средств автоматизации или без использования таких средств. В каждой организации перечень мероприятий и документов может варьироваться в зависимости от специфики обработки ПДн, организационной структуры и других особенностей конкретного предприятия. Реализация организационных мер защиты информации осуществляется с учетом категорий персональных данных – чем выше категория, тем выше требования их защиты.
Действие 4. Техническая защита персональных данных
Технические меры защиты информации предполагают использование программно - аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов предприятия.
Технические средства защиты информации делятся на два основных класса:
- средства защиты информации от несанкционированного доступа (НСД) (системы разграничения доступа к информации; антивирусная защита; межсетевые экраны; средства блокировки устройств ввода-вывода информации, криптографические стредства и т.п.);
- средства защиты информации от утечки по техническим каналам (использование экранированных кабелей; установка высокочастотных фильтров на линии связи; установка активных систем зашумления и т.д.).
В отличие от организационных мер, техническая защита информации является сложным и трудоемким делом, при выполнении которого требуется соблюдать определенные условия, а именно:
- для выполнения работ по технической защите конфиденциальной информации (а персональные данные относятся к сведениям конфиденциального характера) на выполнение такого вида деятельности;
- требуется тщательное обследование информационных ресурсов предприятия в соответствии с методическими рекомендациями ФСТЭК (определение перечня ПДн, подлежащих защите; определение состава и структуры каждой информационной системы ПДн (ИСПДн); анализ уязвимых звеньев и возможных угроз безопасности ПДн; оценка ущерба от реализации угроз безопасности ПДн; анализ имеющихся в распоряжении мер и средств защиты ПДн);
- на основании проведенного обследования осуществляется обоснование требований по обеспечению безопасности ПДн (разработка модели угроз и модели нарушителя безопасности ПДн; определение класса информационных систем ПДн; при необходимости обосновывается использование средств шифрования);
- далее проводятся работы по проектированию, созданию и вводу в эксплуатацию системы защиты ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн; согласование документов с регуляторами; разработка технического задания на создание системы защиты ПДн; развертывание и ввод в эксплуатацию системы защиты ПДн);
- аттестация (сертификация) информационных систем ПДн по требованиям безопасности информации (для ИСПДн 1-го и 2-го классов требуется аттестация соответствия требованиям информационной безопасности; сертификация средств защиты информации). Работы по аттестации (сертификации) выполняются при наличии соответствующих лицензий.
Действие 5. Выбор исполнителя
После изучения вопроса и понимания того, что выполнять работы необходимо, каждый руководитель задает себе следующий вопрос: можно ли самостоятельно выполнить требования законодательства или воспользоваться услугами специализированных организаций?
Если обработка персональных данных в компании осуществляется без использования средств автоматизации (неавтоматизированная обработка), обеспечение защиты ПДн вполне реализуемо собственными силами. При обработке ПДн с использованием средств автоматизации необходимо оценить сложность и масштабность работ, взвесить все положительные и отрицательные стороны того или иного подхода и принять оптимальное решение по выбору исполнителя проекта.
Выполнение работ своими силами
Реализовать работы по защите ПДн можно и собственными силами, но их эффективность зависит от наличия следующих ресурсных возможностей:
С учетом временных ограничений (срок завершения работ – 01.01.2010 года) проведение работ собственными силами может растянуться на длительный период, превышающий установленные законом сроки. Соответственно, возникают риски предъявления претензий со стороны регуляторов за неисполнение требовании законодательства.
Привлечение специализированной организации
Воспользовавшись услугами организации, специализирующейся на оказании услуг по обеспечению безопасности информации, заказчик получает следующие выгоды:
- специализированная компания обладает необходимыми ресурсными возможностями: соответствующие лицензии; штат высокопрофессиональных специалистов; практический опыт реализации проектов; знание нормативно – методической базы в сфере обработки ПДн;
- реализации работ в минимальные сроки: выполнение всего комплекса работ одним исполнителем; использование практического опыта ведения аналогичных проектов; минимум времени на подготовку и реализацию технических заданий;
- минимизация затрат: выбор оптимальной конфигурации программно – аппаратных средств защиты, отвечающей требованиям защиты информации; минимизация требований защиты при согласовании документов с регуляторами; отсутствие методических ошибок, что не исключено при проведении работ самостоятельно.
Подробнее об услугах компании Weta в разделе .
Заключение
В любом случае, независимо от размера и организационной структуры предприятия, наличия или отсутствия собственных специалистов по информационной безопасности, своими силами или с привлечением сторонних организаций приступать к решению задачи под названием «Выполнение требований Закона О персональных данных » нужно как можно быстрее. Так как установленный законом срок выполнения требований не за горами, а сложность и масштабность работ по защите ПДн не предполагает быстрого их завершения.
Предприятия, которые уже приступили к реализации проектов по защите ПДн или приступят в ближайшее время имеют следующие преимущества:
- временной запас позволит тщательно изучить задачи и выбрать наиболее оптимальную конфигурацию защиты ПДн, соответствующую требованиям Закона;
- поэтапное выполнение работ обеспечит равномерное распределение затрат на создание системы защиты ПДн;
- выполнить работы в установленные сроки даже в случае возникновения непредвиденных обстоятельств.
Можно занять выжидательную позицию, но в этом случае предприятие рискует испытать на себе жесткость санкций со стороны регуляторов за неисполнение требований законодательства и подвергнуть свой бизнес рискам, влекущим репутационные и финансовые потери.