Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?
Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?
У вашей фирмы есть клиенты – физические лица?

Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных .

ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.

Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Защита персональный данных в организации.

Персональные данные граждан относятся к особо защищаемой законом РФ информации. Законодательством РФ (Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») строго определяются требования к защите ПДн, особенностях и правилах их обработки без использования средств автоматизации и в информационных системах персональных данных.

Ответственность за сбор, обработку, хранение и защиту персональных данных работников, клиентов и других лиц лежит целиком на работодателе. Поэтому на любом предприятии должен быть установлен порядок работы с ПДн и разработаны документы и мероприятия по организации защиты ПДн.

Для этого на предприятии должно быть разработано и утверждено в соответствии с законодательством Положение, которое устанавливает порядок обработки и защиты персональных данных.

ВАЖНО! Статья 19. ФЗ N 152-ФЗ. Меры по обеспечению безопасности персональных данных при их обработке.

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Административная ответственность за разглашение персональных данных.

С 1 июля 2017 г. увеличатся штрафы за нарушение Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ в области порядка сбора, хранения, использования или распространения персональных данных.

Поправки в КоАП РФ внесены Федеральным законом от 07.02.2017 № 13-ФЗ. На основании Федерального закона от 07.02.2017 № 13-ФЗ вводится семь составов правонарушений и размеров штрафов для должностных и юридических лиц, за несоблюдение закона о персональных данных.

Организация защиты персональный данных в организации.

Общий перечень документов, которые должен иметь оператор персональных данных во исполнение требований законодательства в области персональных данных.

Порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах.

Приказ МВД РФ от 6 июля 2012 г. N 678
«Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации»

П. 2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, а также определяет обязанности должностных лиц.

Примерный перечень документов по защите персональных данных.

В ближайшее время в таблице будут представлены шаблоны документов по защите персональных данных.

Порядок оформление доступа к персональным данным лица, осуществляющего обработку персональных данных.

Правовые основы: Трудовой кодекс РФ ст. 85-90, Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных», Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
1. Оформление приказа о назначении ответственного за организацию обработки персональных данных
Согласно ст. 22.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», работодатель обязан назначить лицо, ответственное за организацию обработки персональных данных. Данный приказ не имеет унифицированной формы и составляется в произвольном виде.
2. Оформление дополнительного соглашения к трудовому договору, внесение изменений в должностную инструкцию.
В трудовой договор работника, назначенного ответственным за организацию обработки персональных данных, необходимо внести изменения в связи с установлением новых обязанностей. Данные изменения оформляются в виде дополнительного соглашения, составленного в двух экземплярах и подписанного работодателем и работником.
Приказ о назначении ответственного за организацию обработки персональных данных и дополнительное соглашение лучше оформить одной датой
Если в организации ранее был назначен ответственный за организацию обработки персональных данных, необходимо оформить приказ о снятии с работника этих обязанностей.
3. Оформление или внесение изменений в приказ об установлении списка лиц, имеющих доступ к персональным данным работников.
Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного работодателем. Для установления перечня таких работников необходимо издать приказ.
4. Оформление письменных обязательств о неразглашении персональных данных.
Сотрудники, которые на период исполнения своих должностных обязанностей получили доступ к персональным данным работников организации, должны быть под роспись ознакомлены с обязательством о неразглашении персональных данных.

5. Ознакомление работника, осуществляющего обработку персональных данных, с законодательством РФ о персональных данных, ЛНА, инструкциями или провести его обучение.

Работник оператора, непосредственно осуществляющие обработку персональных данных, должн быть ознакомлен. с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1).

• Подлежат ли исполнению банком обязательства должника-владельца счета по требованиям кредиторов 1-3 очереди?
• Руководитель ООО был осужден по ст. 173.1. УК РФ. Какие последствия для сделок, заключенных данным руководителем?
• Какие особенности приема на работу по совместительству иностранца, с патентом на работу по конкретной профессии?
• Необходимо ли в учреждении утверждать положение о пропускном режиме?
• Вправе ли ГБУ для оказания госуслуг закупать другие услуги, если их использование не предусмотрено техрегламентом?

Вопрос

ООО получило электронное уведомление Россертификации, в котором указано, что все организации обязаны уведомить Роскомнадзор об обработке персональных данных и разработать комплект документации по информационной безопасности. В противном случае, если ООО не зарегистрируется в реестре Роскомнадзора, в т. ч. не разработает комплект документов по охране данных, ей грозит штраф от 45000 до 300 000 руб., кроме того, при отсутствии документов и внедренной системы защиты данных сотрудников и клиентов, общество не может законно продолжать свою деятельность. Вопрос. Предусмотрена ли действующим законодательством обязанность общества с ограниченной ответственностью и/или закрытого акционерного общества (основной вид деятельности - сдача собственного недвижимого имущества в аренду) по разработке такой системы защиты и регистрации в реестре Роскомнадзора? Какая предусмотрена ответственность за отсутствие системы защиты, за невыполнение электронного предписания Россертификации?

Ответ

Все организации, обрабатывающие персональные данные, обязаны создать меры по хранению и защите персональных данных. В некоторых случаях об обработке персональных данных необходимо уведомить Роскомнадзор.

Административная ответственность за нарушение порядка обработки персональных данных установлена в виде штрафа до 10 000 р. (на юрлиц), а уголовная – до 300 000 р.

Ответственность за невыполнение предписания установлена КоАП РФ.

Подробно об этом см. материалы в обосновании.

Обоснование данной позиции приведено ниже в материалах «Системы Кадры» .

«Какие персональные данные сотрудника вправе получить организация

В организации персональные данные сотрудников содержатся в их личных карточках и личных делах (если они ведутся). Все персональные данные сотрудника можно получить только от него самого. Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение. Такой порядок предусмотрен в части 1 статьи 86 Трудового кодекса РФ.

Организация не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника, например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п. Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в части 1 статьи 86 Трудового кодекса РФ и Закона от 27 июля 2006 г. № 152-ФЗ.

Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия на то сотрудника ().

Как уведомить контролирующее ведомство о начале обработки персональных данных сотрудников

До начала обработки персональных данных сотрудников работодателю необходимо уведомить территориальный орган Роскомнадзора о намерении осуществить обработку. Исключение составляют случаи обработки персональных данных*:

• обрабатываемых в соответствии с трудовым законодательством;
• сделанных сотрудниками общедоступными;

• полученных организацией в связи с заключением договора, стороной которого является сотрудник (при условии, что персональные данные не распространяются, а также не предоставляются третьим лицам без согласия сотрудника и используются работодателем исключительно для исполнения указанного договора и заключения иных договоров с сотрудником);
• относящихся к членам (участникам) общественного объединения или религиозной организации;
• включающих в себя только фамилии, имена и отчества сотрудников;
• необходимых в целях однократного пропуска сотрудника на территорию работодателя и в иных аналогичных целях;
• включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• обрабатываемых без использования средств автоматизации в соответствии с законодательными актами, устанавливающими требования к обеспечению безопасности персональныхданных при их обработке и к соблюдению прав субъектов персональных данных;
• обрабатываемых в случаях, предусмотренных законодательством России о транспортной безопасности.

В случае прекращения обработки персональных данных работодатель также обязан уведомить об этом уполномоченный орган. Сделать это нужно в течение десяти рабочих дней с момента прекращения обработки данных. Типовой бланк уведомления о прекращении обработки данных не утвержден, поэтому работодатель может составить его в произвольной форме ().

Вопрос из практики: что следует понимать под обработкой персональных данных сотрудника

Под обработкой персональных данных следует понимать любое действие или совокупность действий, совершаемых с персональными данными сотрудника, в том числе с использованием средств автоматизации. В частности, к таким действиям можно отнести сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Это следует из положений статьи 3 Закона от 27 июля 2006 г. № 152-ФЗ.

Так, получение от сотрудника сведений, необходимых для заполнения его трудового договора и личной карточки, хранение этих сведений и документов, оформленных на их основании, в полной мере относится к обработке персональных данных.

Персональные данные сотрудников обрабатывают уполномоченные на это представители организации (как правило, сотрудники службы персонала). Лица, осуществляющие обработку персональных данных, должны быть проинформированы о факте такой обработки, категориях обрабатываемых данных, а также об особенностях и правилах такой обработки, установленных нормативно-правовыми актами и локальными актами организации. Об этом говорится в Положения, утвержденного , Закона от 27 июля 2006 г. № 152-ФЗ.

Кроме того, работодатель вправе поручить обработку персональных данных сторонней организации (). Договор между работодателем и такой организацией должен предусматривать обязанность данного лица обеспечить безопасность персональных данных при их обработке ( Требований, утвержденных ).

Защита персональных данных

Как организовать защиту персональных данных сотрудников в организации

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в Положении о работе с персональными данными сотрудников (ст. , ТК РФ, ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации*. Об этом говорится в части 1 статьи 86 Трудового кодекса РФ.

Также в организации необходимо назначить лицо, ответственное по работе с персональными данными (). Как правило, таким сотрудником является работник службы персонала, поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников. Лицо, ответственное за работу с персональными данными, назначьте приказом в произвольной форме.

Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в Закона от 27 июля 2006 г. № 152-ФЗ и , утвержденных . На их основе организация может выработать свою собственную систему защиты персональных данных*.

Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

• уничтожение;
• изменение;
• блокирование;
• копирование;
• предоставление;
• распространение;
• иные неправомерные действия с персональными данными.

Следует отметить, что выбор конкретных средств защиты информации для информационной системы обработки персональных данных осуществляется работодателем в соответствии с нормативно-правовыми актами ФСБ России и ФСТЭК России. Определение типа угроз безопасности персональных данных, актуальных для системы обработки и защиты персональных данных, производится с учетом оценки возможного вреда и в соответствии с нормативными актами упомянутых органов (п. , Требований, утвержденных ).

При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные Требований, утвержденных . Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т. п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены , утвержденными .

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации ( Требований, утвержденных ).

Положение о персональных данных

Вопрос из практики: является ли Положение о работе с персональными данными сотрудников обязательным документом

Да, является.

Порядок хранения, обработки и использования персональных данных сотрудников устанавливает работодатель с учетом требований Трудового кодекса РФ и иных федеральных законов (). Это значит, что работодатель должен самостоятельно определить порядок такой обработки и закрепить его в локальном нормативном акте, в частности, Положении о работе с персональными данными сотрудников. Все сотрудники организации при приеме на работу должны быть ознакомлены с Положением под подпись ().

Исходя из указанного следует, что Положение о работе с персональными данными является обязательным документом организации, а его отсутствие влечет (). На это указывают и суды (см., например, ).

Пример оформления Положения о работе с персональными данными сотрудников

Руководитель организации утвердил Положение о работе с персональными данными сотрудников.

Кадровой службы в организации нет. Ответственным за ведение кадрового учета назначена бухгалтер организации В.Н. Зайцева.

Вопрос из практики: как защитить персональные сведения, находящиеся в компьютерной базе данных

Чтобы предотвратить несанкционированный доступ к персональным сведениям, находящимся в компьютерной базе данных, в Положении закрепите процедуру защиты такой информации. Чем выше риск несанкционированного доступа к персональным данным, тем больше мер нужно предпринять для защиты такой информации. Например, организация может ввести систему индивидуальных паролей, которые будут меняться с определенной периодичностью, ограничить доступ сотрудников к компьютерам, на которых хранятся личные данные, хранить диски и дискеты с такой информацией в запирающихся шкафах.

Обработку персональных данных в информационной системе необходимо осуществлять в соответствии с положениями Требований, утвержденных .

Организация может обеспечивать защиту персональных данных как самостоятельно, так и с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по защите конфиденциальной информации. Такие разъяснения даны в Требований, утвержденных .

Какая ответственность грозит организации и ее должностным лицам за нарушения в работе с персональными данными

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность( , ).

К дисциплинарной ответственности могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их (). Материальная ответственность может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб ().

За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и ее должностных лиц могут оштрафовать. Размер штрафа составляет:

• для должностных лиц (например, руководителя организации) от 500 до 1000 руб.;
• для организации от 5000 до 10 000 руб.

Штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 руб*.

Такие меры ответственности предусмотрены статьями и Кодекса РФ об административных правонарушениях.

Уголовная ответственность для руководителя организации (иного лица, ответственного за работу с персональными данными) может наступить за незаконное:

• собирание или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
• распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

За указанные нарушения предусмотрены следующие меры ответственности:

• штраф в размере до 200 000 руб. (или в размере доходов осужденного за период до 18 месяцев);
• обязательные работы на срок до 360 часов;
• исправительные работы на срок до одного года;
• принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
• арест на срок до четырех месяцев;
• лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются:

• штрафом в размере от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
• лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
• принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
• арестом на срок от четырех до шести месяцев;
• лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

Профессиональная справочная система для юристов, в которой вы найдете ответ на любой, даже самый сложный вопрос.

ЖКХ, ТСЖ и прочие компании обязаны защищать собранные сведения от модификации и разглашения. За соблюдением нормативных требований следит "Роскомнадзор" - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, ведущая реестр операторов персональных данных. Подзаконные акты ФСТЭК и ФСБ требуют от операторов построения современной системы защиты с использованием антивирусных решений, межсетевых экранов, систем предотвращения вторжений, управления идентификацией пользователей и контроля доступа, шифрования, защиты от утечек, системы управления событиями безопасности и других защитных механизмов, перечисленных в руководящем документе ФСТЭК "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" от 18 февраля 2013 г. N 21. На предприятиях ЖКХ используются информационные системы для работы с населением, предприятиями, различными учреждениями и службами. Так же ведется бухгалтерский, управленческий, налоговый учет, как и на других предприятиях, они практически не отличаются от аналогичных задач на других типах предприятий.

Анализируя построение баз данных, используемых для хранения и обработки информации в системах ЖКХ, выделяются два момента: основа построения и территориальное расположение. Наиболее старая и наиболее широко используемая основа для базы данных - это dbf-файлы. Но для сегодняшних комплексных автоматизированных систем они не подходят по двум основным причинам: ограниченное количество записей в одной таблице и недостаточная надежность.

Современные базы данных построены на основе клиент - серверных технологий. Существуют различные системы управления базами данных, обладающими своими достоинствами и недостатками. Каждая из них используется хотя бы в одной системе, предназначенной для автоматизации ЖКХ. Наиболее распространенной является MS SQL 2000. Так как она предназначена для популярной операционной системы персональных компьютеров - Windows. Далее по популярности идет Interbase. Имеются также реализации базы данных ЖКХ под управлением Oracle, одной из наиболее развитых, но дорогих и громоздких систем управления базами данных.

Следует отметить также тенденцию поставщиков систем управления базами данных, направленную на распространение их программных продуктов - предложение бесплатных версий с определенными ограничениями, в которые вписываются не крупные и не богатые пользователи, к которым относятся ЖЭКи и пункты приема платежей. Примером таких систем являются MSDE 2000, MSDE 2005 корпорации Microsoft.

Наиболее простая топология базы данных - это расположение всей информации на одном сервере. Клиенты подключаются по удаленным линиям и решают свои текущие задачи.

Другой вариант реализации - распределенная база данных по всем или по части участников ЖКХ. Недостаток - необходимость синхронизации данных.

Синхронизация данных ведется различными способами. Наиболее распространенный - экспорт / импорт. Данные на носителе или по электронной почте перемещаются между участниками ЖКХ. В этом существенное влияние на работоспособность системы имеет человеческий фактор - все надо делать вовремя и очень аккуратно.

Второй уровень синхронизации - обмен данных между модулями системы путем связи с удаленными серверами. Этот обмен вызывается либо по команде пользователя, либо по заданному расписанию. Он состоит в том, что некоторая процедура на одном из связанных серверов "считывает к себе" или "записывает к нему" необходимые для синхронизации данные.

И, наконец, наиболее высокий уровень - синхронизация базы данных путем репликаций. Эти средства позволяют менять данные как на одной стороне линии связи, так и на другой. По заданному расписанию или по команде пользователя сервера соединяются и выполняют синхронизацию баз данных.

Защиту персональных данных можно обеспечить только в той информационной системе, где злоумышленник не может вмешаться в работу ее базовых элементов - сетевых устройств, операционных систем, приложений и СУБД.

Основные угрозы безопасности персональных данных, а именно уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе. Утечка информации может быть из-за вирусов, вредоносных программ, сетевых атак. Для защиты используют антивирусы, межсетевые экраны, системы предотвращения вторжений (Intrusion Prevention System, IPS) (Они служат для выявления в проходящем трафике признаков нападения и для блокировки обнаруженной наиболее популярной атаки. В отличие от шлюзовых антивирусов, IPS анализируют не только содержимое IP-пакетов, но и используемые протоколы и корректность их использования.), сканеры уязвимостей (Они проверяют информационную систему на наличие различных "брешей" в операционных системах и программном обеспечении. Как правило, это отдельные программы или устройства, тестирующие систему путем посылки специальных запросов, имитирующих атаку на протокол или приложение.). Набор средств для защиты конфиденциальных данных от утечек состоит из трех продуктов: системы контроля над периферийными устройствами, системы защиты от утечек (Data Leak Prevention, DLP) и средства шифрования для полной безопасности имеет смысл сочетать все три типа продуктов. С помощью этих средств ЖКХ и другие управляющие компании могут удовлетворить требования ФСТЭК по защите персональных данных.

Контроль над устройствами. Нередко утечка данных происходит через съемные носители информации и несанкционированные каналы связи: флэш-память, USB-диски, Bluetooth или Wi-Fi, поэтому контроль за использованием USB-портов и другого периферийного оборудования также является одним из способов контроля утечек.

DLP. Системы защиты от утечек позволяют с помощью специальных алгоритмов выделить из потока данных конфиденциальные и заблокировать их несанкционированную передачу. В DLP-системах предусмотрены механизмы контроля разнообразных каналов передачи информации: электронной почты, мгновенных сообщений, Web-почты, печати на принтере, сохранения на съемном диске и др. Причем модули DLP блокируют утечку только конфиденциальных данных, поскольку имеют встроенные механизмы для определения того, насколько та или иная информация является секретной.

Шифрование. Защита данных от утечек так или иначе использует механизмы шифрования, а эта отрасль всегда контролировалась ФСБ, и все требования по сертификации систем шифрования публикуются и проверяются этим ведомством. Следует отметить, что шифровать нужно не только сами базы персональных данных, но и их передачу по сети, а также резервные копии баз данных. Шифрование используется и при передаче персональных данных по сети в распределенной системе. С этой целью можно применять предлагаемые различными разработчиками продукты класса VPN, которые, как правило, базируются на шифровании, однако подобные системы должны быть сертифицированы и тесно интегрированы с базами данных, в которых хранятся персональные данные.

Следует отметить, что в подзаконных актах ФСТЭК имеется разделение на небольшие, средние и распределенные базы данных, требования к защите которых сильно различаются. Так, для защиты распределенных баз, как правило, нужны дополнительные инструменты защиты, что и понятно - распределенная база должна иметь каналы связи между своими частями, которые также необходимо защищать

В информационной системе ЖКХ главной проблемой для руководителя является правильная организация доступа сотрудников к различным ресурсам - от корректной настройки прав доступа часто зависит сохранность конфиденциальных данных, поэтому система управления правами доступа должна быть включена в систему защиты крупной информационной системы. Система блокирует попытки изменить права доступа без разрешения оператора безопасности, что обеспечивает защиту от локальных операторов.

Крупная система защиты может генерировать множество сообщений о потенциальных нападениях, которые лишь потенциально способны привести к реализации той или иной угрозы. Часто такие сообщения являются лишь предупреждениями, однако у операторов безопасности большой системы должен быть инструмент, который позволил бы им разобраться в сущности происходящего. Таким инструментом анализа может стать система корреляции событий, позволяющая связать несколько сообщений от устройств защиты в единую цепь событий и комплексно оценить опасность всей цепочки. Это позволяет привлечь внимание операторов безопасности к наиболее опасным событиям.

Системы централизованного управления защитными механизмами позволяют полностью контролировать все события, связанные с безопасностью информационной системы. Продукты этого уровня могут обнаруживать защитные механизмы, установленные на предприятии, управлять ими и получать от них отчеты о происходящих событиях. Эти же продукты могут автоматизировать решение наиболее простых проблем или помогать администраторам быстро разобраться в сложных атаках.

Все три выше перечисленных продукта не являются обязательными для защиты крупных информационных систем, однако они позволяют автоматизировать большинство задач, решаемых операторами безопасности, и минимизировать количество сотрудников, необходимых для защиты большой системы, как информационная система ЖКХ.

Ответственность за нарушение требований по защите персональных данных

Лица, виновные в нарушении требований Закона о персональных данных, несут предусмотренную законодательством Российской Федерации ответственность (например, гражданскую, уголовную, административную, дисциплинарную). На это указывает пункт 1 статьи 24 Закона о персональных данных.

На настоящий момент административная ответственность для операторов (за исключением лиц, для которых обработка персональных данных является профессиональной деятельностью и подлежит лицензированию) предусмотрена:

· за неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации (статья 5.39 КоАП РФ). Исключением из данной нормы являются случаи, предусмотренные статьей 7.23.1 КоАП РФ;

· за нарушение требований законодательства о раскрытии информации организациями, осуществляющими деятельность в сфере управления многоквартирными домами (статья 7.23.1 КоАП РФ);

· за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных (статья 13.11 КоАП РФ);

· за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда ее разглашение влечет за собой уголовную ответственность), лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей (статья 13.14 КоАП РФ).

Преступлениями, влекущими за собой уголовную ответственность, являются:

· незаконные сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующийся произведении или средствах массовой информации (статья 137 УК РФ);

· неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (статья 140 УК РФ);

· неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации (статья 272 УКРФ)

Комплекс мероприятий разного характера, проводимый для активного противодействия возможному несанкционированному доступу к персональным данным, состоящий из управленческих мер, эффективно действующих аппаратных средств защиты, составляет основу эффективно работающей Система защиты персональных данных (СЗПДн).

Целью внедрения надежно работающего комплекса мероприятий является:

Точное соответствие требованиям регулятора о соблюдении положений Федерального закона «О защите персональных данных», положениям утвержденных подзаконных актов, обеспечивающих должный уровень безопасности для используемых персональных данных;

Разработка инструкций, предписывающих выполнение определенных правил при преобразовании используемых ПДн, обеспечивающих их защиту.

• Решаемые задачи
• Используемое оборудование
• Сферы применения

Разработка и внедрение системы защиты персональных данных (СЗПДн) — это ряд мероприятий технического и управленческого характера, ставящих перед собой цель обеспечить комплексную защиту сведений, которые признаются Федеральным Законом от 27.07. 2006 г. N 152-ФЗ персональными данными.

Оператор, которым являются госструктуры и коммерческие предприятия, выполняющие действия по работе с ПДн, заинтересованы в безопасной их обработке, тем самым, признавая необходимость внедрения системы защиты.

Учитывая накопленный при реализации проектов по созданию СЗПДн опыт, представляется возможным определить ряд важных преимуществ от внедрения системы:

На первом месте находится кардинальное снижение как правовых, так и репутационных рисков, возникающих при несоблюдении действующего законодательства относительно сохранности персональных данных.

Вторым важным моментом является тот факт, что научно-обоснованное построение системы защиты позволяет обрабатывать персональные данные сотрудников и клиентов, не опасаясь за их сохранность. Это может стать мощным конкурентным преимуществом при работе с конфиденциальными сведениями частных лиц и информацией, предназначенной лишь для служебного (внутреннего) использования. Грамотно выстроенная СЗПДн легко справляется с наиболее распространенными угрозами - блокирует воздействие вредоносных ПО, предотвращает воровство клиентских баз данных, что часто практикуют уволенные сотрудники.

Третьим фактором, мотивирующим внедрение эффективной СЗПДн, является создание у компании имиджа надежного партнера, которому можно доверять обеспечение конфиденциальности персональных данных.

Как указывают аналитики, частые скандалы, связанные с утечкой конфиденциальной информации, заставляют обращать внимание на систему безопасности при выборе партнера-контрагента. Уже привычными становятся договора о партнерстве либо условия тендера, в которых требуется предоставить задокументированное соответствие СЗПДн действующим нормативным актам.

Не следует забывать, что эффективная СЗПДн обеспечивает непрерывность всех бизнес-процессов в самой компании, устраняет вероятность появления клиентских претензий, обоснованных жалоб со стороны работников, грозных предписания от надзорных органов регулятора.

Этапы выполнения работ по приведению в соответствие 152-ФЗ

1. Инвентаризация, полноценный анализ состояния информационных структур, задействованных в обработке ПДн.

Подобный предпроектный аудит предоставляет объективные сведения о процессах, задействованных при обработке ПДн в компании и мерах по их защите. Специалистами Open Vision в обязательном порядке проводится проверка всей служебной документации, регулярности осуществляемых мероприятий, разработанных для исполнения требований правовой базы относительно безопасности используемых в работе данных ограниченного доступа.

2. Создание концепции системы безопасности, используемой для сохранности персональных данных, предоставление заказчику обоснованных рекомендаций по оптимизации самой обработки ПДн, обеспечению сохранности конфиденциальной информации.

На этом этапе работы квалифицированные специалисты оценивают возможные варианты осуществления проекта, определяют отправные точки для его реализации, устанавливают определенные ограничения по масштабам внедряемого в практику проекта. Определяются основные проблемы, создается обоснование предлагаемых решений. Клиенты получают перечень программно-аппаратных элементов разрабатываемого комплекса защиты информации, с обязательным указанием стоимости по каждому пункту.

3. Уточнение реального уровня защищенности ПДн

В процессе работы определяется возможный тип угроз для защищаемых ПДн, с привязкой к конкретной информационной системе, уточняется предполагаемый состав персональных данных, возможное количество субъектов. Учитывая весь объем полученных сведений, определяется реальное состояние системы безопасности персональных данных.

4. Разработка модели возможных угроз для системы безопасности ПДн, создание модели злоумышленника

Предоставляемый заказчику документ представляет собой систематизированный список возможных угроз для безопасности ПДн при работе с ними в информационных системах персональных данных (ИСПДн). Угрозы безопасности персональных данных (УБПДн) могут возникнуть в результате злонамеренных либо случайных действий физических лиц, деятельности иностранных спецслужб либо специализирующихся на шпионаже организаций, специализированных криминальных группировок, подготавливающих взлом безопасности ПДн, которое затронет права и свободы, как общества, так и государства либо граждан.

5. Разработка Техзадания на строительство СЗПДн

Частное техзадание на построение для определенной информационной структуры СЗПДн определяет ее назначение, преследуемые цели, требования к техническому и организационному обеспечению, план разработки и непосредственного создания СЗПДн.

6. Создание проекта СЗПДн

Создаваемая на этом этапе внедрения СЗПДн проектная документация предусматривает работу, учитывающую предписанные нормативными актами стандарты защищенности данных с ограниченным доступом.

7. Разработка организационно-распорядительной документации

Комплект документов, предписывающих правила обработки, защиты ПДн, состоит из десятков организационно-распорядительных предписаний, которые необходимы для приведения всех процессов по работе и сохранности персональных данных в соответствие с нормативами действующего законодательства.

8. Поставка программно-аппаратных средств информационной защиты

Клиенту поставляются программно-аппаратные элементы для внедрения СЗПДн, прошедшие проверку и соответствующие требованиям законов РФ относительно мер информационной безопасности.

9. Монтаж, настройка СЗИ

На данном этапе внедрения СЗПДн осуществляется монтаж оборудования, инсталлирование программного обеспечения, с соответствующей настройкой. В результате проведенных работ заказчик получает комплект СЗИ, совместимый с применяемой информационной структурой для работы с ПДн.

10. Оценка действенности предпринимаемых мер для создания эффективной защиты персональных данных

Определение эффективности разработанных мер безопасности для данных ограниченного доступа осуществляется до момента запуска СЗПДн в эксплуатацию. Контрольное тестирование системы, работающей в коммерческих структурах, требуется проводить каждые 3 года.

11. Аттестация используемых ИСПДн на соответствие современным требованиям информационной безопасности

Аттестация ИСПДн включает в себя комплекс организационно-технических проверок (аттестационных испытаний), направленных на подтверждение соответствия требованиям информационной безопасности. Предусмотрена для госорганизаций.

Одним из бурно развивающихся сегментов отечественного IT-рынка является интернет торговля, что обусловлено технической простотой внедрения данного проекта, прозрачностью бизнес-процессов. Электронная торговля признана эффективным и перспективным видом предпринимательства.

Вопросы информационной безопасности бизнеса в интернете не утрачивают своей актуальности, напротив, возрастание числа хакерских атак на крупнейшие финансовые учреждения, инвестирующие огромные средства в системы защиты, требует принятия своевременных мер. Вот только как этого добиться, а еще бы и с приемлемым уровнем затрат.

Многие, особенно на начальном этапе, не имеют возможности вырвать с оборота значительные суммы, вложив их в системы информационной безопасности. Бизнес новый, возможные «подводные камни» не известны, да и специфика бизнеса в интернете предполагает постоянные изменения.

В итоге, система безопасности создается, но разрабатывается она «по знакомству» либо делается заказ фрилансеру, в лучшем случае официально оформленной web-студии. Приобретение уже готового решения также нельзя расценивать как обеспечение серьезного уровня безопасности, поскольку возникают вопросы интеграции его в уже существующую IT-инфраструктуру.

А может, следует задуматься, действительно ли подобные системы обеспечивают должный уровень безопасности? Имеет ли сам предприниматель необходимую квалификацию, чтобы определить уровень подготовки «интернет-шабашников»? Может ли такая работа минимизировать возможные риски? К сожалению, в большинстве случаев, ответ отрицательный.

Хоть со стороны потребителя и нет особо жестких требований относительно сохранности тех персональных данных, которые он передает интернет-магазину, совершая покупку, это не может служить основным показателем для выбора способов организации обработки и хранения такой конфиденциальной информации. Покупатель вообще не имеет возможность оценить, насколько эффективно действует защита его персональных данных. Да это, до поры, особенно и не беспокоит, поскольку привлекательные цены, красиво сделанное описание товара, льготная доставка, достигают поставленной цели.

Большая часть покупательской аудитории даже не задается вопросом - куда она отправляет свои персональные данные. То ли это ИП либо частный предприниматель, развивающий свой интернет бизнес. Или это web-подразделение крупного ритейлера бытовой электроники. Естественно, что отношение к информбезопасности в крупной торговой сети более строгое, нежели у предпринимателя, которому иногда приходится самостоятельно заниматься доставкой товара клиентам.

Примечательно, что, несмотря на все возрастающую угрозу хищения конфиденциальной информации, доверие к интернет торговле постоянно растет. Покупатель вводит информацию о себе, заполняя бланк заказа, порой, даже не беспокоясь о том, как с ней будут обращаться сотрудники магазина. А может, она и не настолько востребована для существующих бизнес-процессов?

Возникающая избыточность запрашиваемых данных как раз и подпадает под действие ФЗ-152, поскольку отмечается несоответствие характера и объема получаемой информации существующим задачам ее обработки для предусмотренных в интернет магазине бизнес-процессов.

Технический уровень развития современной интернет торговли дает возможность предположить использование CRM-систем, благодаря чему и можно сохранять данные о клиенте для последующего с ним взаимодействия и предложения нового товара. Вот только необходимо ли это для уровня послепродажного взаимодействия с покупателем?

Согласно ФЗ-152 персональная информация может храниться лишь только тот период времени, который необходим для ее обработки. После того, как совершена покупка либо сделан отказ, все персональные данные должны уничтожаться, так как их хранение не соответствует специфике осуществляемых бизнес-процессов. Стоит ли сомневаться, что этим практически никто и не занимается.

В ФЗ-152 имеются положения, которые ставят под угрозу само существование интернет торговли. Любой проверяющий орган может потребовать от владельца интернет магазина предоставить именно письменное разрешение гражданина на применение его персональных данных в работе. Никто подобного разрешения в письменной форме не предоставляет, максимум ограничиваются отметкой об ознакомлении с правилами магазина.

Поскольку непосредственного контакта в условиях торговли через интернет не предполагается, исключая встречу покупателя с курьером по доставке товара, обеспечить соблюдение норм ФЗ-152 можно лишь путем обезличивания покупательских персональных данных, а это требует корректировки существующих бизнес-процессов.

Несомненно, что удобным инструментом, упрощающим доступ к различным информационным сервисам компании, обоснованно признаются корпоративные порталы. При развитой сети филиалов и отделений, находящихся от головного офиса на большом расстоянии, значительном количестве бизнес-партнеров, оптимальным средством коммуникации является соединение по VPN каналам, имеющим должный уровень защищенности. Выбор подобного высокотехнологичного решения, однако, обходится довольно дорого, доступен не каждой компании. При отсутствии свободных средств для защищенного соединения, более простым способом работы является точка доступа из сети Интернет.

Особенностью корпоративного портала, даже учитывая разный уровень инфраструктуры, является хранение как конфиденциальной информации сотрудников, клиентов фирмы и бизнес-партнеров юридического лица, так и размещение финансовой информации самой компании, разглашение которой может нанести ущерб. Эффективная организация всех процессов работы с персональными данными должна учитывать, что цели и способы обработки данных у каждой подгруппы субъектов отличаются. Именно дифференцированный подход к преобразованию данных ограниченного доступа должен быть заложен в концепцию корпоративной безопасности.

Несомненно, что финансовое положение компании, создающей корпоративный портал, дает возможность привлечь для работы опытных программистов либо приобрести уже готовое и неоднократно обкатанное решение. Следует, однако, не забывать, что безопасность кода является не единственным параметром, на который необходимо обращать внимание, разрабатывая эффективную систему информбезопасности. По большому счету, информационная безопасность должна признаваться руководством компании как неотъемлемая часть общей системы безопасности.

За последние несколько лет количество пользователей популярных соцсетей в Рунете возрастало невиданными темпами, перевалив 50 миллионный рубеж. Колоссальный объем накопленных в соцсетях персональных данных требует соответствующего контроля, что и предполагают нормы ФЗ-152.

Несмотря на первое впечатление, что имеющаяся в соцсетях информация может рассматриваться как «общедоступная», с каждым годом нарастающий объем данных классифицируется законом уже как «конфиденциальные персональные данные».

Факты хищения из соцсетей аккаунтов не редкость за рубежом и в России. Сотни тысяч аккаунтов становятся доступными злоумышленникам. Число хакерских атак на социальные сети не снижается, эксперты отмечают постоянное внимание киберпреступности к этой части Интернета.

Социально-ориентированные мошеннические схемы имеют большой потенциал, используя в своих целях фарминг-атаки, рассылку спама, фишинг. Весь этот набор инструментов современной киберпреступности может привести к хищению данных конфиденциального характера, чему способствует доверчивость и неопытность людей. Администраторам соцсетей требуется осуществлять постоянный мониторинг, выявляя инциденты, устраняя их последствия.

Услуга интернет-банкинга становится все более популярной в российской банковской сфере, несколько десятков финансовых учреждений полноценно предоставляет подобную услугу. Обусловлено это как отсутствием единой интеграционной платформы, так и недостаточным уровнем автоматизации многих учреждений.

Как и распространенные web-приложения, сервис интернет-банкинга, электронные платежные системы, основываются на общей клиент-серверной архитектуре. Признается, что «слабым звеном» такого взаимодействия является именно пользователь и те устройства, используя которые он распоряжается собственным счетом.

К сожалению, потребитель не имеет возможности объективно оценить все риски, неизбежно возникающие при управлении банковским счетом на расстоянии. Не говоря уж о том, чтобы принять соответствующие меры безопасности. Следовательно, восполнить знания клиентов по этим вопросам должны банки.

Примечательно, что злоумышленники уделяют свое внимание интернет-банкингу чаще всего не с целью хищения средств, поскольку финансовые учреждения обеспечивают максимальную безопасность транзакциям, а для того, чтобы получить доступ к персональным данным клиента. Именно благодаря этому и становятся возможны мошеннические схемы с банковскими картами, иные способы хищения финансов. Многие эксперты уверены, что на «черном» рынке простая запись о клиентских счетах имеет свою собственную стоимость.

Статистика наглядно свидетельствует, что создание и работа сервиса интернет-банкинга во многих структурах не соответствует отраслевым нормам и правилам. Чаще всего каждое финансовое учреждение занималось разработкой самостоятельно, а существовавшие стандарты имели лишь рекомендательный характер.

Начало действия ФЗ-152 создало многим банкам существенные проблемы, поскольку ужесточается контроль регулятора за сохранностью персональных данных, что требует усовершенствования существующих систем безопасности. Как ни пыталась ассоциация банков отсрочить начало действия ФЗ-152, выполнять его положения все же стало необходимо.

Многие руководители предприятий до сих пор не вполне ясно представляют себе, что конкретно нужно делать для защиты персональных данных в соответствии с требованиями Федерального закона № 152 от 27.07.2006 года «О персональных данных» . Такая ситуация вызвана отсутствием практики применения норм Закона в проектах по обеспечению защиты персональных данных .

Основные требования по защите персональных данных общеизвестны:

• предписывает в обязательном порядке обеспечить соответствующую защиту персональных данных, обрабатываемых в компании
• вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиями
• за неисполнение требований предусмотрены различные виды ответственности
• перечень организационных и технических мероприятий также определен:
  • уведомление уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных
  • разработка документов, регламентирующих обработку персональных данных в организации (положение по обработке персональных данных, регламенты, положения по защите персональных данных)
  • создание системы защиты персональных данных , в т.ч. выполнение требований по инженерно-технической защите помещений
  • аттестация ИСПДН (аттестация или декларирование соответствия информационных систем персональных данных (ИСПДн) требованиям безопасности информации)
  • повышение квалификации сотрудников в области защиты персональных данных

Вопросы, которые требуется решить каждому предприятию:

• Как обеспечить защиту персональных данных в соответствии с требованиями законодательства?
• Как завершить работы в установленный срок?
• Как минимизировать затраты на создание системы защиты?

Действие 1. С чего начинать?

Вначале нужно ответить на ряд вопросов, от которых зависит дальнейший план действий по выполнению требований законодательства. Для этого предстоит провести предварительный анализ информационных ресурсов предприятия. Это можно сделать самостоятельно или пригласить сторонних специалистов – экспертов в области защиты персональных данных , которые проведут работы на высоком профессиональном уровне.

1.1. Установить перечень персональных данных, обрабатываемых на предприятии

Перечень персональных данных. В первую очередь, необходимо установить перечень персональных данных (ПДн) физических лиц, которые обрабатываются на предприятии. Если кадровый учет и бухгалтерия есть на любом предприятии, то другие направления деятельности, где используются персональные данные, требуется установить: это могут быть данные клиентов, заказчиков, посетителей, партнеров, контрагентов и т.п.

Цели обработки персональных данных. Также нужно определить цели обработки персональных данных: трудовые отношения с работниками; оформление пропусков для входа на территорию предприятия; договор оказания услуг и т.п.

Сроки обработки и хранения. Хранение ПДн должно быть не дольше, чем этого требуют цели их обработки, по достижению которых ПДн подлежат уничтожению. Установить перечень ПДн, по которым цели обработки достигнуты.

1.2. Способы обработки персональных данных?

Обработка персональных данных может осуществляться с использованием средств автоматизации или без использования таких средств.

Обработка ПДн без использования средств автоматизации (неавтоматизированная обработка). Понятие неавтоматизированной обработки персональных данных определено в от 15.09.2008 года «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». На основании данного положения нужно определить перечень персональных данных, обрабатываемых без использования средств автоматизации.

Обработка ПДн с использованием средств автоматизации. В этом случае на предприятии требуется выявить информационные системы, в которых осуществляется обработка персональных данных (ИСПДн) (например, система бухгалтерского учета, система взаимоотношений с клиентами, биллинговая система и т.п).

1.3. Определить состав и объем обрабатываемых персональных данных?

Состав персональных данных. В зависимости от состава персональных данных (например, фамилия, имя, отчество, год, месяц, дата и место рождения, адрес и т.п.) определяется категория, к которой они относятся:

• категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
• категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
• категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
• категория 4 - обезличенные и (или) общедоступные персональные данные.

Объем обрабатываемых ПДн. Установить объем персональных данных (количество субъектов ПДн), обрабатываемых в каждой информационной системе ПДн.

1.4. Провести предварительную классификацию информационных систем ПДн

Информационные системы ПДн (ИСПДн) делятся на:

• Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
• Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

На основании данных, полученных в предыдущих пунктах, провести предварительную классификацию «типовых» информационных систем ПДн. Классификация ИСПДн осуществляется в соответствии с таблицей, рекомендованной регуляторами:

В зависимости от класса зависят требования по обеспечению безопасности информационной системы ПДн. Чем выше класс информационной системы ПДн, тем выше требования по обеспечению ее защиты.

1.5. Полученные результаты и способы защиты персональных данных

После проведения предварительного анализа информационных ресурсов собственного предприятия можно получить представление о состоянии информационных ресурсов в части обработки персональных данных (перечень и характеристики обрабатываемых ПДн), осознать масштаб сложности решаемых задач и определить дальнейшие шаги по выполнению требований Закона «О персональных данных» .

Если в результате предварительной классификации на предприятии оказались информационные системы ПДн 1-го и 2-го классов это значит, что к таким системам предъявляются повышенные требования по обеспечению их безопасности и существенно увеличиваются расходы на проведение работ по созданию системы защиты ПДн.

Способы минимизации затрат на создание системы защиты персональных данных.

• При классификации информационной системы ПДн (ИСПДн) как «специальная» возможно снижение затрат на создание системы защиты ПДн. Классификация «специальной» системы осуществляется на основании разрабатываемой модели угроз безопасности ПДн, что дает возможность в каждом конкретном случае обоснованно выбрать минимальное количество актуальных угроз, от которых требуется защитить персональные данные.
• При разработке требований к системе защиты персональных данных (СЗПДн) проводится логическое структурирование, основанное на анализе возможности сегментирования и (или) объединения ИСПДн. Такой подход позволяет выбрать оптимальное количество ИСПДн в соответствии с бизнес-процессами обработки ПДн.
• Разработка требований с учётом возможностей инфраструктуры Заказчика, при этом максимально используются штатные средства ОС, СУБД и механизмов обеспечения ИБ корпоративной информационной системы

Для проведения таких мероприятий целесообразнее пригласить специализированную организацию с опытом работ по данному направлению.

Действие 2. Подача уведомления в уполномоченный орган

Обработка персональных данных без уведомления.

Закон «О персональных данных» разрешает вести обработку персональных данных без подачи уведомления в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных в следующих случаях:

• если предприятие обрабатывает персональные данные граждан, которых связывают с предприятием трудовые отношения;
• при наличии договора с субъектом персональных данных, на основании которого персональные данные не распространяются и не предоставляются третьим лицам без согласия субъекта персональных данных и используются предприятием исключительно для исполнения указанного договора;
• если персональные данные относятся к членам общественного объединения или религиозной организации, действующими в соответствии с законодательством РФ, при условии, что персональные данные не будут распространяться без письменного согласия субъектов персональных данных;
• если персональные данные являются общедоступными;
• если персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных;
• если персональные данные необходимы для однократного пропуска на территорию предприятия;
• персональные данные включены в информационные системы персональных данных, имеющих статус федеральных автоматизированных информационных систем, а также государственных информационных систем, созданных в целях защиты безопасности государства и общественного порядка;
• персональные данные обрабатываются без использования средств автоматизации.

Если один или несколько из перечисленных пунктов относится к Вашему предприятию, подавать уведомление в Роскомнадзор не нужно.

Подача уведомления в Роскомнадзор.

Во всех остальных случаях предприятие обязано подать уведомление в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. На основании уведомления предприятие регистрируется в реестре операторов, осуществляющих обработку персональных данных.

Форма уведомления утверждена Приказом Роскомнадзора № 8 от 17.07.2008 года и содержит следующие основные положения: наименование и адрес местонахождения предприятия; цель обработки персональных данных; категории персональных данных и субъектов персональных данных; правовое основание и способы обработки персональных данных.

Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Действие 3. Организационные меры защиты персональных данных

Комплекс мероприятий по обеспечению защиты персональных данных состоит из организационных и технических мер защиты информации.

Организационные меры по защите персональных данных включают в себя:

• разработка организационно – распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных (например):
  • Положение об обработке персональных данных;
  • Положение по защите персональных данных;
  • Регламент взаимодействия с субъектами персональных данных;
  • Регламент взаимодействия при передаче персональных данных третьим лицам;
  • Инструкции администраторов безопасности персональных данных;
  • Инструкции пользователей по работе с персональными данными;
• перечень мероприятий по защите персональных данных:
  • определение круга лиц, допущенного к обработке персональных данных;
  • организация доступа в помещения, где осуществляется обработка ПДн;
  • разработка должностных инструкций по работе с персональными данными;
  • установление персональной ответственности за нарушения правил обработки ПДн;
  • определение продолжительности хранения ПДн и т.д.

Меры организационного характера осуществляются на предприятии независимо от того, нужно подавать уведомление в Роскомнадзор или нет, обработка ПДн осуществляется с использованием средств автоматизации или без использования таких средств. В каждой организации перечень мероприятий и документов может варьироваться в зависимости от специфики обработки ПДн, организационной структуры и других особенностей конкретного предприятия. Реализация организационных мер защиты информации осуществляется с учетом категорий персональных данных – чем выше категория, тем выше требования их защиты.

Действие 4. Техническая защита персональных данных

Технические меры защиты информации предполагают использование программно - аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов предприятия.

Технические средства защиты информации делятся на два основных класса:

• средства защиты информации от несанкционированного доступа (НСД) (системы разграничения доступа к информации; антивирусная защита; межсетевые экраны; средства блокировки устройств ввода-вывода информации, криптографические стредства и т.п.);
• средства защиты информации от утечки по техническим каналам (использование экранированных кабелей; установка высокочастотных фильтров на линии связи; установка активных систем зашумления и т.д.).

В отличие от организационных мер, техническая защита информации является сложным и трудоемким делом, при выполнении которого требуется соблюдать определенные условия, а именно:

• для выполнения работ по технической защите конфиденциальной информации (а персональные данные относятся к сведениям конфиденциального характера) на выполнение такого вида деятельности;
• требуется тщательное обследование информационных ресурсов предприятия в соответствии с методическими рекомендациями ФСТЭК (определение перечня ПДн, подлежащих защите; определение состава и структуры каждой информационной системы ПДн (ИСПДн); анализ уязвимых звеньев и возможных угроз безопасности ПДн; оценка ущерба от реализации угроз безопасности ПДн; анализ имеющихся в распоряжении мер и средств защиты ПДн);
• на основании проведенного обследования осуществляется обоснование требований по обеспечению безопасности ПДн (разработка модели угроз и модели нарушителя безопасности ПДн; определение класса информационных систем ПДн; при необходимости обосновывается использование средств шифрования);
• далее проводятся работы по проектированию, созданию и вводу в эксплуатацию системы защиты ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн; согласование документов с регуляторами; разработка технического задания на создание системы защиты ПДн; развертывание и ввод в эксплуатацию системы защиты ПДн);
• аттестация (сертификация) информационных систем ПДн по требованиям безопасности информации (для ИСПДн 1-го и 2-го классов требуется аттестация соответствия требованиям информационной безопасности; сертификация средств защиты информации). Работы по аттестации (сертификации) выполняются при наличии соответствующих лицензий.

Действие 5. Выбор исполнителя

После изучения вопроса и понимания того, что выполнять работы необходимо, каждый руководитель задает себе следующий вопрос: можно ли самостоятельно выполнить требования законодательства или воспользоваться услугами специализированных организаций?

Если обработка персональных данных в компании осуществляется без использования средств автоматизации (неавтоматизированная обработка), обеспечение защиты ПДн вполне реализуемо собственными силами. При обработке ПДн с использованием средств автоматизации необходимо оценить сложность и масштабность работ, взвесить все положительные и отрицательные стороны того или иного подхода и принять оптимальное решение по выбору исполнителя проекта.

Выполнение работ своими силами

Реализовать работы по защите ПДн можно и собственными силами, но их эффективность зависит от наличия следующих ресурсных возможностей:

С учетом временных ограничений (срок завершения работ – 01.01.2010 года) проведение работ собственными силами может растянуться на длительный период, превышающий установленные законом сроки. Соответственно, возникают риски предъявления претензий со стороны регуляторов за неисполнение требовании законодательства.

Привлечение специализированной организации

Воспользовавшись услугами организации, специализирующейся на оказании услуг по обеспечению безопасности информации, заказчик получает следующие выгоды:

• специализированная компания обладает необходимыми ресурсными возможностями: соответствующие лицензии; штат высокопрофессиональных специалистов; практический опыт реализации проектов; знание нормативно – методической базы в сфере обработки ПДн;
• реализации работ в минимальные сроки: выполнение всего комплекса работ одним исполнителем; использование практического опыта ведения аналогичных проектов; минимум времени на подготовку и реализацию технических заданий;
• минимизация затрат: выбор оптимальной конфигурации программно – аппаратных средств защиты, отвечающей требованиям защиты информации; минимизация требований защиты при согласовании документов с регуляторами; отсутствие методических ошибок, что не исключено при проведении работ самостоятельно.

Подробнее об услугах компании Weta в разделе .

Заключение

В любом случае, независимо от размера и организационной структуры предприятия, наличия или отсутствия собственных специалистов по информационной безопасности, своими силами или с привлечением сторонних организаций приступать к решению задачи под названием «Выполнение требований Закона О персональных данных » нужно как можно быстрее. Так как установленный законом срок выполнения требований не за горами, а сложность и масштабность работ по защите ПДн не предполагает быстрого их завершения.

Предприятия, которые уже приступили к реализации проектов по защите ПДн или приступят в ближайшее время имеют следующие преимущества:

• временной запас позволит тщательно изучить задачи и выбрать наиболее оптимальную конфигурацию защиты ПДн, соответствующую требованиям Закона;
• поэтапное выполнение работ обеспечит равномерное распределение затрат на создание системы защиты ПДн;
• выполнить работы в установленные сроки даже в случае возникновения непредвиденных обстоятельств.

Можно занять выжидательную позицию, но в этом случае предприятие рискует испытать на себе жесткость санкций со стороны регуляторов за неисполнение требований законодательства и подвергнуть свой бизнес рискам, влекущим репутационные и финансовые потери.