ITS Системная Интеграция
рус / eng
На главную Написать письмо
Тел: +7(495) 640-08-68
  • УСЛУГИ
  • РЕШЕНИЯ
  • КОМПАНИЯ
  • ВАКАНСИИ
  • СТАТЬИ
  • КОНТАКТЫ

Порядок обеспечения защиты персональных данных в соответствие с Законом № 152-ФЗ. Рекомендации.

ЧАСТЬ I

Закон «О персональных данных»

Как известно, с 1 января 2011 года полностью вступает в силу (начинают действовать санкции за неисполнение требований) Федеральный закон от 27.07.2006 года № 152-ФЗ «О персональных данных». Основная цель закона - защитить права и свободы человека при обработке его личной информации, в том числе право на неприкосновенность частной жизни, личную и семейную тайну.

Цель замечательная, но поручено обеспечить ее достижение ФСБ, ФСТЭК и Роскомнадзору РФ, которые с использованием своего опыта защиты гостайны, разработали ряд нормативных документов, предъявляющих серьезные дополнительные требования ко всем органам или лицам, которые в соответствии с данным законом являются операторами информационных систем.

Разберемся с некоторыми основными понятиями, указанными в Законе:

 

Информационные системы персональных данных (ИСПДн):

Информационная система ПДн (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств.

 

Что понимается под персональными данными:

ПЕРСОНАЛЬНЫЕ ДАННЫЕ - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Организации,использующие в своих информационных системах персональные данные, будут являться операторами ИСПДн.

ОПЕРАТОР – государственный либо муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

 

Необходимость получения согласия субъекта на обработку ПДн:

В соответствии со статьей 9 Федерального закона № 152-ФЗ субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.

ВНИМАНИЕ!

Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на ОПЕРАТОРА.

 

Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

  • фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие, а также порядок его отзыва.

 

Всем операторам нужно закрепить документально основные понятия обработки конкретных персональных данных субъектов, так как:

  • У оператора есть обязанность представить субъекту ПДн на основании обращения или запроса информацию, касающуюся обработки его ПДн.
  • Необходимость анализа всех обрабатываемых организацией ПДн и аккумулирования этой информации в едином документе «Положение о ПДн» обусловлена требованием законодательства к технической защите обрабатываемых оператором ПДн.
  • Формулирование в «Положении» понятия цели обработки ПДн поможет оператору обосновать в спорных случаях отсутствие согласия субъекта ПДн.
  • Проверяющий уполномоченный орган, выясняя причину нарушения тех или иных положений законодательства в сфере ПДн, будет ориентироваться на соблюдение принципов ФЗ № 152-ФЗ (ст.5), которые могут быть проверены только на основании документа по организации защиты ПДн.

 

Глава 14 ТК РФ «Защита персональных данных работника»

  • Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
  • Обработка ПДн работника – получение, хранение, комбинирование, передача или любое другое использование ПДн работника.
  • Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки ПДн, а также об их правах и обязанностях в этой области (п. 8 ст. 86 ТК РФ)

Еще до момента вступления Закона в силу, компании, оперирующие ПДн, должны отправить в Россвязькомнадзор уведомление о том, что они обрабатывают персональные данные и делают это в защищенной информационной системе:

«В соответствии с пунктом 1 статьи 22 Федерального закона № 152-ФЗ оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Россвязькомнадзор) о своем намерении осуществлять обработку персональных данных.   

Исключения (п. 2 статьи 22 Федерального закона № 152-ФЗ) :

  1. Трудовые отношения
  2. Договорные отношения
  3. Общедоступные данные
  4. Только фамилия, имя, отчество
  5. Однократный пропуск

Форма уведомления утверждена Приказом Россвязькомнадзора РФ от 17.07.2008 № 08».

 

ЧАСТЬ II

Итак, более-менее стало понятно, что такое персональные данные, кто является их оператором, кто попадает под действие закона 152-ФЗ и какие требования предъявляют регуляторы. Требования к компаниям разного уровня предъявляются различные. Жесткость требований определяется классом, под который попадает ИСПДн, существующая в компании.

 

Классификация ИСПДн

Порядок проведения классификации утвержден совместным Приказом ФСТЭК РФ (Федеральной службы по техническому и экспортному контролю), ФСБ РФ и Министерства информационных технологий и связи РФ от 13.02.2008 № 55/86/20.

Цель проведения классификации - установление методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных (п. 3 Порядка, утв. Приказом № 55/86/20).

Классификация информационных систем может проводиться:

  • на этапе созданияинформационных систем;
  • в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем) (п. 3 Порядка, утв. Приказом № 55/86/20).

 

Классы ИСПДн

  • Класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных
  • Класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных
  • Класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных
  • Класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных

Более наглядно, классы можно разложить в таблице:

  Менее че 1000 субъектов ПДн или ПДн субъектов ПДн в пределах конкретной организации От 1000 до 100000 субъектов ПДн или раб. в отрасли эк-ки. РФ, в орагне гос. власти, проживающих в пределах Муниципальных Образований Более чем 100000 субъектов ПДн или ПДн субъектов ПДн в пределах субъекта РФ или РФ в целом
Обезличенные и (или) общедоступные данные K4 K4 K4
ПДн, позволяющие идентифицировать субъекта ПДн K3 K3 K2
ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем доп. информацию K3 K2 K1
Пдн, касающиеся расовой, нац. принадлежности, полит. взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. K1 K1 K1

 

Ключевой момент минимизации расходов на защиту ПД – правильная классификация и очерчивание границ ИСПДн.

Очень важно не забыть про выполнение требований, не связанных напрямую с программно-техническими средствами защиты информации – пропускной режим, должностные инструкции, внесение требований о соблюдении режима конфиденциальности в трудовой договор с сотрудниками, правильное размещение средств вычислительной техники, мероприятия по физической безопасности информационных ресурсов и носителей (решетки, запоры, сейфы, охрана).

 

ЧАСТЬ III

Теперь разберемся с тем, что нужно сделать, чтобы соответствовать требованиям 152-ФЗ и как подойти к выполнению требований максимально эффективно и безболезненно.

Работы по приведению ИСПДн в соответствие закону, можно разделить на три основных этапа:

  • Предпроектное обследование и классификация ИСПДн, разработка регламентирующей документации, разработка модели угроз, разработка ТЗ на модернизацию системы.
  • Модернизация ИСПДн в соответствие ТЗ (если требуется)
  • Сертификация (аттестация) ИСПДн в аккредитованном аттестационном центре (по желанию оператора).

Наибольший и наиболее сложный объем работ ложится на первый этап.

Он включает в себя большой объем разрабатываемой документации. Часть этой работы компания может выполнить собственными силами.

 

Какие документы разрабатывать?

  • Положение о персональных данных и их защите;
  • Инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные;
  • Приказы о возложении персональной ответственности за защиту ПД;
  • Нормативный документ (перечень), аккумулирующий информацию о персональных данных, обрабатываемых оператором (в том числе их категория, объем и сроки хранения);
  • Перечень информационных систем, обрабатывающих персональные данные;
  • Регламент допуска сотрудников к обработке персональных данных;
  • Перечень допущенных сотрудников к обработке персональных данных;
  • Должностные инструкции сотрудников, имеющих отношение к обработке ПД.

 

Что необходимо определить в документах:

  • Перечень обрабатываемых данных;
  • Перечень ИСПДн;
  • Перечень сотрудников, имеющих право доступа, вид доступа и т.п. (соответственно, внесение Изменений в должностные инструкции);
  • Используемое оборудование, СЗИ, антивирусные программы,   межсетевые экраны и т.п.;
  • Порядок учета носителей информации, содержащих защищаемые данные;
  • Порядок контроля доступа лиц в помещения, наличие надежных препятствий для несанкционированного проникновения в помещения ИСПДн и хранилище носителей информации, в том числе в ночное время;
  • Сроки и порядок проведения внутренних проверок защиты ПДн.

Теперь, рассмотрим полный цикл действий по реализации требований регуляторов:

 

Действия по реализации требований 152-ФЗ:

  1. Инвентаризация всех систем, обрабатывающих ПДн
  2. Оценка законности обработки ПДн и наличия согласия субъектов на обработку их персональных данных
  3. Контроль и корректировка договорных отношений с субъектами
  4. Формирование перечня ПДн и проведение категорирования
  5. Определение сроков и условий прекращения обработки ПДн
  6. Разграничение доступа пользователей к ПДн в ИСПДн
  7. Формирование документов, регламентирующих работу с ПДн
  8. Формирование модели угроз, содержащей актуальные угрозы информационной безопасности ПДн при их обработке в информационной системе
  9. Определение класса ИСПДн
  10. Оценка приемлемости результата с точки зрения расходов на создание системы защиты и выработка решений по понижению класса системы*

Меры по снижению класса ИСПДн

Творческий подход к классификации ИСПДн позволит увидеть пути отступления от К1 и К2 на К3, ведь для ИСПДн класса К3 можно самим провести мероприятия по защите, и это будет на два порядка дешевле. Поэтому может быть дешевле переделать систему и попасть в К3, чем защищать К2.

Например, к понижению класса ИСПДн и снижению затрат приведут:

  • Обезличивание части персональных данных
  • инимизация мест хранения и обработки ПД, разделение/сегментирование ИС, снижение требований к части сегментов
  • Выведение части данных из ИСПДн
  • Тщательный анализ каждого реквизита (не исключено, что без него можно обойтись)
  • Сокращение числа сотрудников, имеющих доступ к персональным данным
  • Проанализировать, не дешевле ли выделить рабочие места, где используются ПДн в отдельную ЛВС и защищать только ее

Передавать по каналам связи только обезличенную информацию и т.п

  1. Повторять пп.4-10 до получения приемлемого результата классификации или исчерпания возможности его улучшить.
  2. Утвердить акт классификации
  3.  Подготовить и направить уведомление об обработке ПД в уполномоченный орган по защите прав субъектов персональных данных (если не попадаете в исключения)
  4. Приведение системы защиты ПДн в соответствие требованиям регуляторов
  5. Если у вас К3, сами (после проведения доступных вам мероприятий и   утверждения орг.документов) декларируйте соответствие ИПДн требованиям безопасности и утверждайте это актом
  6. Далее эксплуатация ИС – мониторинг, выявление и реагирование на инциденты ИБ.

При выполнении всех указанных действий, Вы получаете ИСПДн, действующую в полном соответствии с требованиями Закона №152-ФЗ «О персональных данных» и избавляйтесь от пристального внимания регулирующих органов.

Часто, нам приходится сталкиваться с мнением, что неисполнение закона №152-ФЗ не является чем-то критичным для бизнеса компании и проще заплатить штраф, чем привести информационную систему в соответствие.

Происходит это по той причине, что ответственность за неисполнение закона указана просто ссылками на различные статьи трудового, административного, либо уголовного Кодексов РФ. Некоторые из этих статей действительно не выглядят угрожающе. Но есть несколько, способные нанести существенный вред компании, а часто поставить под вопрос вообще ее дальнейшее существование.

Вот краткая выдержка наиболее «неприятных» последствий для бизнеса:

 

Что грозит за неисполнение закона (краткая выдержка):

  • Нарушение условий, предусмотренных законодательством при осуществлении деятельности в области защиты информации - нарушение установленного законом порядка сбора, хранения, использования или распространения информации влечет наложение административного штрафа на должностных лиц - от одной тысячи до одной тысячи пятисот рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей, а также приостановку деятельности организации (или ее подразделения) на срок до 90 суток.
  • Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации, на должностных лиц – от одной тысячи до двух тысяч рублей, а на юридических лиц – от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств.
  • Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, которое имело к ней доступ по служебным или профессиональным обязанностям, влечет наложение административного штрафа на должностных лиц - от четырех тысяч до пяти тысяч рублей.
  • Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - наказывается штрафом, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет... 


Адрес: 105082, г. Москва, ул. Большая Почтовая, д. 18, стр. 2

Почта: info@sysonline.ru

Тел./факс: +7 (495) 640-08-68

Услуги | Решения | Компания | Вакансии | Статьи | Контакты

ITS - Системная интеграция © 2009 - 2011 г.