2. В начало
  3. Продукция
  4. Общие
  5. Безопасность
  6. Защита персональных данных

Защита персональных данных

В России федеральный закон 152 «О персональных данных» был принят еще в далеком 2006 году. В соответствии с последними изменениями статьи 25 этого закона определен крайний срок, до которого компании хранящие у себя в информационных системах(ИС) персональные данные должны привести свои ИС в соответствие требованиям закона не позднее 1 июля 2011 года.

Вопросов по поводу этого закона масса, в данной статье будут разобраны основные из них и предложен путь получения заветной аттестации информационной системы персональных данных.

 

Кто будет проводить проверки?

Роскомнадзор - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — федеральный орган исполнительной власти России в ведении Минкомсвязи России. (сайт http://www.rsoc.ru/)

ФСТЭК России - федеральная служба по техническому и экспортному контролю - федеральный орган исполнительной власти России, осуществляющий реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности. (http://www.fstec.ru/)

ФСБ России- федеральная служба безопасности Российской Федерации — единая централизованная система органов федеральной службы безопасности, осуществляющая решение в пределах своих полномочий задач по обеспечению безопасности Российской Федерации. Руководство деятельностью ФСБ России осуществляется Президентом Российской Федерации (http://www.fsb.ru/)

Ответственность за несоблюдение закона

Статья 24 Закона № 152-ФЗ: «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность».

Наказание грозит в первую очередь руководителю организации, максимально это до 2-ух лет лишения свободы

Тезисы закона

Если нет времени вчитываться в сам текст 152 закона, ниже будут приведены его основные тезисы.

  • необходимо обеспечить соответствующую защиту персональных данных
  • крайний срок выполнения, назначенный законом, для уже существующих информационных систем 1 июля 2011 года
  • новые информационные системы создаваемы в организациях должны соответствовать закону
  • за несоблюдение требований закона предусмотрены различные виды ответственности
  • организация осуществляющие обработку персональных данных должны уведомить об этом Роскомнадзор
  • в организациях должны быть разработаны документы регламентирующие работу по обработке персональных данных
  • в организациях должны быть созданы системы защиты персональных данных, соответствующие классу информационной системы и уровню персональных данных (подробнее ниже)
  • обязательно должна быть проведена аттестация информационной системы персональных данных (ИСПДН)
  • должны быть проведены мероприятия по повышению квалификации сотрудников в области защиты персональных данных

 

С чего начать?

Закон есть, исполнять его нужно, а с чего начать движение к цели не понятно большинству руководителей. Сразу хочу отметить, что провести свою информационную систему в надлежащее состояние можно при большом желании и самому, но финальную аттестацию проводят только компании, у которых на это есть лицензия. Сейчас услугу аттестации можно назвать эксклюзивной, сложно найти компанию, которая проведет проверку вашей системы с ее дальнейшей аттестацией. Время таких компаний стоит дорого, поэтому мы советуем обратиться к нам. Мы преобразуем вашу ИС в соответствии с требованиями закона, а наши проверенные партнеры проведут аттестацию. Так вы сэкономите немало средств.

Первый этап

Необходимо определить перечень персональных данных. Как правило, это данные сотрудников компании, которые хранятся в бухгалтерии и отделе кадров. Еще персональные данные могут содержаться в базах данных контрагентов, клиентов и т.п.

Необходимо определить цели обработки персональных данных, т.е. ответить на вопрос для чего в том или ином отделе хранятся персональные данные, где они дублируются.

Определить сроки хранения персональных данных. Если уже какие-то сроки определены внутренними положениями, то проверить соблюдаются ли они в организации.

Необходимо разделить персональные данные на обрабатываемые без использования средств автоматизации и обрабатываемые с использованием средств автоматизации. Средства автоматизации для обработки персональных данных будут выделены в информационные системы, которые и будут проходить аттестацию.

Разделить персональные данные на категории:

  • 1 категория (К1) - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
  • 2 категория (К2) - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
  • 3 категория (К3) - персональные данные, позволяющие идентифицировать субъекта персональных данных;
  • 4 категория (К4) - обезличенные и (или) общедоступные персональные данные.

 

Второй этап

У нас есть персональные данные разделенные на категории, теперь их следует разделить на классы.

 

До 1000 субъектов ПДн

1000 – 100 000 субъектов ПДн

Более 100 000 субъектов ПДн

Категории ПДн

Класс системы

4

К4

К4

К4

3

К3

К3

К3

2

К2

К2

К2

1

К1

К1

К1

 

Чем выше класс системы, тем более жесткими будут требования к информационной системе. В свою очередь информационные системы делятся на

  • Типовые информационные системы – ИС, в которых требуется только обеспечение конфиденциальности ПДн
  • Специальные информационные системы - ИС, в которых вне зависимости от необходимости обеспечения конфиденциальности ПДн требуется обеспечить хотя бы одну из характеристик безопасности ПДн, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

В конце второго этапа нужно уже четко понимать, какие персональные данные обрабатываются в организации (категории, классы) и в каких типах информационных системах они должны обрабатываться. Отталкиваясь от этой информации можно выстраивать дальнейший план действий по модернизации ИТ инфраструктуры и ее документированию. Чем выше класс защиты ПДн требуется в организации, тем дороже будет стоить работы по созданию ИС.

У нашей компании есть способы по снижению затрат при создании ИС.

Третий этап

В некоторых случаях организация обрабатывающая ПДн (или у нее есть такое намерение) сама должна подавать уведомление в уполномоченный орган (Роскомнадзор). В основном это случаи, когда обрабатываются ПДн физических лиц, которые не давали на это согласия или вообще не знают об этом.

Ниже будут представлены случаи, когда организация может вести обработку ПДн без подачи уведомления

  • если организация обрабатывает ПДн граждан, которых связывают с организацией трудовые отношения;
  • при наличии договора с субъектом ПДн, на основании которого ПДн не распространяются и не предоставляются третьим лицам без согласия субъекта персональных данных и используются предприятием исключительно для исполнения указанного договора;
  • если ПДн относятся к членам общественного объединения или религиозной организации, действующими в соответствии с законодательством РФ, при условии, что ПДн не будут распространяться без письменного согласия субъектов ПДн;
  • если ПДн являются общедоступными;
  • если ПДн включают в себя только фамилии, имена и отчества субъектов ПДн;
  • если ПДн необходимы для однократного пропуска на территорию организации;
  • ПДн включены в ИС ПДн, имеющих статус федеральных автоматизированных информационных систем, а также государственных информационных систем, созданных в целях защиты безопасности государства и общественного порядка;
  • ПДн обрабатываются без использования средств автоматизации.

 

Четвертый этап

Организация должна провести ряд действий для защиты персональных данных. Эти действия делятся на организационные и технические.

Организационные меры:

  • разработка организационно – распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты ПДн (вот некоторые из них):
  • Положение об обработке ПДн;
  • Положение по защите ПДн;
  • Регламент взаимодействия с субъектами ПДн;
  • Регламент взаимодействия при передаче ПДн третьим лицам;
  • Инструкции администраторов безопасности ПДн;
  • Инструкции пользователей по работе с ПДн;
  • перечень мероприятий по защите ПДн:
  • определение круга лиц, допущенного к обработке ПДн;
  • организация доступа в помещения, где осуществляется обработка ПДн;
  • разработка должностных инструкций по работе с ПДн;
  • установление персональной ответственности за нарушения правил обработки ПДн;
  • определение продолжительности хранения ПДн.

Технические меры защиты информации:

  • для выполнения работ по технической защите конфиденциальной информации (ПДн) требуются лицензии на выполнение такого вида деятельности, т.е. если вы решите создавать ИС своими силами, необходимо будет сначала получить лицензию ФСТЭК на проведение работ;
  • требуется тщательное обследование информационных ресурсов предприятия в соответствии с методическими рекомендациями ФСТЭК (определение перечня ПДн, подлежащих защите; определение состава и структуры каждой информационной системы ПДн (ИСПДн); анализ уязвимых звеньев и возможных угроз безопасности ПДн; оценка ущерба от реализации угроз безопасности ПДн; анализ имеющихся в распоряжении мер и средств защиты ПДн);
  • на основании проведенного обследования осуществляется обоснование требований по обеспечению защиты ПДн (разработка модели угроз и модели нарушителя безопасности ПДн; определение класса информационных систем ПДн; при необходимости обосновывается использование средств шифрования);
  • проектирование, создание и ввод в эксплуатацию системы защиты ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн; согласование документов с регуляторами; разработка технического задания на создание системы защиты ПДн; развертывание и ввод в эксплуатацию системы защиты ПДн);
  • аттестация информационных систем ПДн по требованиям безопасности информации (для ИСПДн 1-го и 2-го классов требуется аттестация соответствия требованиям информационной безопасности; сертификация средств защиты информации). Работы по аттестации выполняются при наличии соответствующих лицензий, т.е. если у вы получили лицензию на проведение работ, то для аттестации ее будет не достаточно.

Даже если у вас большой штат ИТ, и на первый взгляд достаточно ресурсов для получения аттестации, нужно взвесить все за и против. Задача не является тривиальной и достаточно сложной в проектировании и исполнении, а без наличия опыта ее решение может затянуться на несколько лет.

Получить консультацию

 

Консультация специалиста

ИТ-аутсорсинг