Создание системы защиты персональных данных в организациях рф

Предлагаем статью на тему: "Создание системы защиты персональных данных в организациях рф" с комментариями специалистов. В статье собрана полная и всесторонняя информация, позволяющая найти ответ на все вопросы. Если же вы не нашли ответ на вопрос, то в любой момент можно обратиться к нашему дежурному юристу.

Защита персональных данных в кредитно-финансовых организациях в соответствии с требованиями Федерального закона «О персональных данных»

В настоящее время проблема защиты персональных данных является одной из наиболее актуальных для многих российских банков. Это обусловлено тем, что 26 января 2007 года вступил в силу Федеральный закон «О персональных данных», в котором сформулированы требования по защите персональных данных. Необходимо отметить, что требования данного закона являются обязательными как для коммерческих, так и государственных организаций. При этом согласно статье 25, информационные системы должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

В настоящей статье рассматриваются основные положения закона «О персональных данных», а также подходы к приведению информационных систем в соответствие с требованиями по защите персональных данных.

Процесс создания системы защиты персональных данных

Для создания и внедрения системы защиты персональных данных необходимо реализовать комплекс мероприятий, который, как правило, включает в себя следующие основные этапы работ:

  • проведение обследования с целью определения степени оценки соответствия компании требованиям Федерального закона «О персональных данных»;
  • классификация информационных систем, обрабатывающие персональные данные;
  • разработка модели угроз безопасности персональных данных и модели нарушителя;
  • проектирование системы защиты в составе информационной системы, обрабатывающей персональные данные;
  • разработка пакета организационно-распорядительной документации;
  • внедрение системы защиты персональных данных;
  • аттестация информационной системы, обрабатывающей персональных данных.

Процедура обследования информационных систем, обрабатывающих персональные данные (ИСПДн) включает следующие работы:

  • анализ внутренних нормативных документов, регламентирующих порядок обработки и защиты персональные данные (ПДн);
  • определение используемых средств защиты ПДн, и оценка их соответствия требованиям нормативных документов РФ;
  • определение перечня ПДн, подлежащих защите;
  • определение перечня ИСПДн, обрабатывающих ПДн;
  • определение степени участия персонала в обработке ПДн, характера взаимодействия персонала между собой.

По результатам обследования формируется отчет, в котором содержится описание текущего состояния защиты ПДн, а также рекомендации по устранению выявленных недостатков и нарушений.

На втором этапе работ на основе информации, собранной на этапе обследования, проведена классификация ИСПДн. Классификация проводится в соответствии с порядком проведения классификации, описанным в приказе Федеральной службы по техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности (ФСБ) и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20. Результаты классификации ИСПДн оформляются соответствующим актом подписываемым руководителем предприятия.

Информационные системы, обрабатывающие персональные данные, классифицируются по уровням защищенности в зависимости от важности обрабатываемых ПДн, которая зависит от вида и степени ущерба субъекту ПДн, возникающего вследствие реализации угроз безопасности. ИСПДн могут относиться к классу типовых или специальных. К типовым ИСПДн относятся системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные ИСПДн — системы, в которых вне зависимости от необходимости обеспечения конфиденциальности требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). Для типовых ИСПДн определёно четыре возможных класса: К1, К2, К3 и К4. В зависимости от класса типовой ИСПДн определяются соответствующие требования по защите персональных данных.

На следующем этапе разрабатывается модель угроз безопасности ПДн в ИСПДн организации. Модель угроз безопасности определяется на основе перечня угроз безопасности персональных данных при их обработке в ИСПДн, который содержится в «Базовой модели угроз безопасности ПДн при их обработке в ИСПДн», определённой ФСТЭК. При необходимости применения средств криптографических защиты разрабатывается Модель нарушителя в соответствии с нормативными документами ФСБ России. Именно модель угроз и модель нарушителя являются базовыми документами для дальнейшего проектирования системы защиты персональных данных (СЗПДн).

В рамках проектирования СЗПДн выполняются следующие работы: разработка технического задания, макетирование и стендовые испытания средств защиты информации, а также создание технического проекта.

Техническое задание, как правило, содержит следующие разделы:

  • обоснование разработки СЗПДн;
  • исходные данные создаваемой ИСПДн в техническом, программном, информационном и организационном аспектах;
  • класс ИСПДн;
  • ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
  • мероприятия и требования к СЗПДн, которые определяются в соответствии с классом и типом ИСПДн на основе методических документов ФСТЭК России;
  • перечень предполагаемых к использованию сертифицированных средств защиты информации;
  • состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

Далее с учетом исходных данных, полученных на этапе обследования ИСПДн, а также требований, определенных Техническим заданием, проводится анализ применимости, совместимости и внедряемости средств защиты информации в ИСПДн организации. В результате определяется состав средств защиты, удовлетворяющий требованиям по защите ПДн, а также позволяющий реализовать мероприятия по созданию СЗПДн.

На основе технического задания и результатов стендовых испытаний средств защиты информации осуществляется разработка технического проекта, которые содержит детальное описание конкретных программно-технических решений, которые будут использоваться для создания СЗПДн.

В процессе проектирования также осуществляется разработка пакета эксплуатационной и организационно-распорядительной документации, регламентирующей порядок обеспечения безопасности ПДн в организации.

На завершающем этапе проводится разработка проектов документов, необходимых для выполнения аттестационных испытаний. В рамках этапа также осуществляется проведение самих испытаний, а также оформление Аттестата соответствия. Необходимо отметить, что аттестация требуется только для систем класса К1 и К2.

Работы по созданию системы защиты персональных данных могут выполняться силами кредитно-финансовой организации, либо при помощи компаний, специализирующихся на оказании такого рода услуг. В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» организации для проведения мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн классов К1 и К2 и в распределенных информационных системах класса К3 должны получить лицензию ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации.

Заключение

Опыт ЗАО «ДиалогНаука» показывает, что одним из первых шагов к созданию такой системы безопасности, представляющей собой комплекс организационных, программно-технических и организационно-методических мер, должно являться проведение оценки текущего уровня соответствия требованиям Федерального закона «О персональных данных» и разработки плана работ по поэтапному внедрению необходимых мер защиты. С учетом того что информационные системы банков должны быть приведены в соответствие с требованиями Федерального закона уже к 01.01.2010, работы в данном направлении необходимо начать уже сейчас.Б

Читайте так же:  Как составить претензию туроператору за перенос или задержку рейса

Защита персональных данных

Аудит (обследование, оценка соответствия)

Построение систем обеспечения информационной безопасности

Сопровождение

В настоящее время защита персональных данных по-прежнему является одной из наиболее актуальных задач для многих российских компаний. Это обусловлено и участившимися жалобами со стороны субъектов персональных данных, и увеличением числа проверок со стороны органов надзора, и, конечно, изменениями в требованиях нормативных документов, повлекшими усложнение процедур построения систем защиты персональных данных.

Система защиты персональных данных, созданная в соответствии с положениями закона о персональных данных (Федерального закона «О персональных данных») и требованиями соответствующих нормативных документов, позволяет минимизировать правовые и репутационные риски, связанные с несоблюдением законодательства России в области обработки и обеспечения безопасности в информационных системах, обрабатывающих персональные данные (ИСПДн).

Система защиты персональных данных

Эффективная защита персональных данных в организации требует создания и внедрения системы защиты персональных данных. Компания «ДиалогНаука» предлагает услуги по защите персональных данных, которые включают в себя следующие основные работы:

  • проведение обследования процессов обработки и защиты персональных данных для оценки соответствия Компании требованиям закона о персональных данных (ФЗ «О персональных данных»);
  • разработка модели нарушителя и угроз безопасности персональных данных с последующим определением требуемого уровня защищенности персональных данных;
  • проектирование системы защиты в составе информационной системы, обрабатывающей персональные данные (ИСПДн);
  • разработка пакета организационно-распорядительной документации;
  • внедрение системы защиты персональных данных;
  • оценка соответствия информационной системы, обрабатывающей персональные данные (ИСПДн), требования по безопасности информации.

Все работы проводятся на основе требований ФЗ «О персональных данных» (закон о персональных данных) и других нормативных документов по защите персональных данных Российской Федерации.

Обеспечение защиты персональных данных

Внедрение системы защиты персональных данных является одним из последних шагов в обеспечении защиты персональных данных. На этом этапе осуществляется поставка, установка и настройка всего комплекса средств защиты информации, определенного на стадии проектирования. При необходимости на данном этапе может проводиться обучение персонала правилам работы со средствами защиты, а также разработка дополнительных инструкций, руководств и иных эксплуатационных документов.

Завершающий этап работ — оценка соответствия информационной системы, обрабатывающей ПДн (ИСПДн), требованиям законодательных и нормативных документов в области защиты информации. Необходимость проведения такой оценки обусловлена положениями Постановления Правительства Российской Федерации № 1119.

Данные услуги по защите персональных данных могут быть предоставлены как в комплексе, так и по отдельности в зависимости от решаемых задач по обеспечению безопасности персональных данных в информационных системах заказчиков.

Создание системы защиты персональных данных, приведение процессов обработки и обеспечения безопасности персональных данных в соответствие требованиям законодательства

Создание Системы защиты персональных данных (СЗПДн) и приведение процессов обработки и обеспечения безопасности персональных данных (ПДн) в соответствие с положениями Федерального закона № 152-ФЗ «О персональных данных» и требованиями нормативных документов позволяет минимизировать правовые и репутационные риски, связанные с потенциальными утечками ПДн и несоблюдением законодательства РФ. При проведении указанных работ учитываются процессы обработки и защиты ПДн как без использования средств автоматизации (на бумажных носителях), так и в информационных системах персональных данных (ИСПДн).

Для организации эффективной защиты персональных данных в Компании необходимо создать и внедрить комплекс организационных, программно-технических и нормативно-методических мер, которые включают в себя:

  • определение состава обрабатываемых ПДн, угроз безопасности ПДн и требуемого уровня защищенности ПДн (обычно осуществляется на этапе обследования);
  • установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета действий, совершаемых с персональными данными в информационной системе персональных данных;
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • применение мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для обеспечения требуемого уровня защищенности ПДн;
  • оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • контроль над принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных;
  • обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
  • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

Создание системы защиты персональных данных

Работы по построению системы защиты персональных данных начинаются с разработки «Технического задания на создание системы защиты ПДн» и внутренних организационно-распорядительных документов, регулирующих процессы обработки и защиты ПДн. Техническое задание на создание системы защиты персональных данных подготавливается с учетом «Модели нарушителя и угроз безопасности ПДн» и требуемого уровня защищенности ПДн, определенного на этапе обследования, и содержит следующие сведения:

  • обоснование необходимости разработки СЗПДн;
  • исходные данные об ИСПДн в техническом, программном, информационном и организационном аспектах;
  • сведения об актуальных угрозах безопасности ПДн и требуемом уровне защищенности ПДн при их обработке в ИСПДн;
  • ссылки на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
  • перечень необходимых для реализации организационных и технических мер по обеспечению безопасности ПДн, определенный в соответствии с требованиями Приказа ФСТЭК России от 18.02.2013 № 21, путем адаптации, дополнения и уточнения базового набора мер;
  • перечень предполагаемых к использованию сертифицированных средств защиты информации;
  • состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн;
  • требования к составу и содержанию организационно-распорядительной документации и к эксплуатационной документации на СЗПДн.

Зафиксированные в Техническом задании меры по обеспечению безопасности должны обеспечивать как требуемый уровень защищенности персональных данных, так и нейтрализацию актуальных угроз безопасности.

До внедрения средств защиты информации по желанию Заказчика могут быть проведены их макетирование и стендовые испытания с учетом исходных данных, полученных на этапе обследования, а также требований, определенных Техническим заданием на СЗПДн. В рамках макетирования проводится анализ применимости, совместимости и внедряемости СЗИ в ИСПДн организации. В результате определяется состав технических средств защиты информации, удовлетворяющий требованиям по защите ПДн, а также позволяющий реализовать мероприятия по созданию СЗПДн. Проводятся стендовые испытания СЗИ. При необходимости производится уточнение Технического задания на создание СЗПДн.

Следующий рекомендуемый шаг – разработка Технического проекта системы защиты персональных данных, который содержит детальное описание конкретных программно-технических решений для создания СЗПДн, осуществляется на основе Технического задания и результатов стендовых испытаний средств защиты информации.

Более подробную информацию о проектировании систем защиты информации можно получить на странице «Разработка проектной документации на системы защиты информации».

Разработка организационно-распорядительных документов

Как правило, параллельно с разработкой Технического задания на создание СЗПДн осуществляется разработка комплекта внутренних нормативных актов, регулирующих процессы обработки и защиты ПДн. Разрабатываемый комплект документов направлен на реализацию мер по защите, предусмотренных Техническим заданием, а также на выполнение прочих обязанностей Операторов ПДн, предусмотренных законодательством РФ.

На основании опыта выполнения проектов экспертами ЗАО «ДиалогНаука» сформирован и поддерживается в актуальном состоянии типовой комплект организационно-распорядительной документации Операторов ПДн.

При разработке организационно-распорядительной документации эксперты нашей Компании рекомендуют придерживаться приведенной структуры с адаптацией под процессы обработки ПДн Заказчика. В то же время эта структура не является обязательной, возможно как увеличение, так и уменьшение перечня документов с учетом выполнения обязательных требований законодательства, а также внутренних требований Заказчика к построению системы защиты информации, к иерархии и составу организационно-распорядительных документов.

Читайте так же:  Оформление социальной пенсии – необходимые документы!

Внедрение средств защиты и оценка эффективности

Поставка и внедрение технических средств защиты информации осуществляется согласно результатам предыдущих этапов работ, в частности решений, определенных Техническим проектом СЗПДн. После завершения поставки производится установка и настройка СЗИ.

После внедрения СЗПДн целесообразно провести оценку эффективности реализованных мер защиты, подробное описание процедур приведено на странице.

Кроме того, ЗАО «ДиалогНаука» предлагает услуги по сопровождению систем защиты персональных данных и сопровождению при проверках со стороны регулирующих органов.

В случае появления вопросов или интереса к описанной услуге, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи, адресовав вопрос в «Коммерческий отдел».

Создание системы защиты персональных данных в организациях РФ

Cоздание необходимого пакета документов в целях выполнения требований области 152-ФЗ о персональных данных.

Ответственность за несоблюдение требований!

С 1 июля 2017 года вступает новая ответственность за несоблюдение требований по защите персональных данных.

Зачем нужно защищать персональные данные?

В соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» организации обязаны обеспечить защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Контроль выполнения данных требований возложен на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), ФСТЭК и ФСБ России.

Кому нужно защищать персональные данные?

Федеральный закон о персональных данных распространяется на организации любой формы собственности, государственные органы, федеральные и муниципальные учреждения: банки, страховые компании, медицинские учреждения, операторы связи, интернет-магазины, торговые сети, производственные компании и прочие организации, обрабатывающие персональные данные, полученные от работников, клиентов и иных физических и юридических лиц.

Что нужно сделать?

В обязанности оператора входит обеспечение законности обработки персональных данных, построение системы защиты персональных данных в соответствии с требованиями ФСТЭК и ФСБ России, отправка уведомления в Роскомнадзор, разработка внутренней документации, проведение аттестационных испытаний или оценки соответствия. Поддержание системы защиты персональных данных в актуальном состоянии после внедрения также является обязанностью оператора.

Также в рамках требования Федерального закона от 21 июля 2014 г. N 242-ФЗ Оператор обязан провести локализацию процессов обработки персональных данных на территорию Российской Федерации.

Можем ли мы сами сделать?

Оператор может самостоятельно провести работы по обеспечению безопасности персональных данных. Однако построение системы защиты персональных данных должно происходить в соответствии с требованиями законодательства РФ, руководящих документов ФСТЭК и ФСБ России, Роскомнадзора, а также с учетом актуальных ГОСТов по защите конфиденциальной информации и разъяснений регуляторов в области защиты персональных данных (общее количество документов превышает 100 ед.). Если у оператора нет лицензии на техническую защиту конфиденциальной информации, существует риск, что при официальной проверке государственные органы предъявят претензии, так как данный вид деятельности является лицензируемым.

Зачем обращаться в ИСПДн.инфо?

Наша компания имеет все необходимые лицензии на проведение работ по защите персональных данных. В распоряжении наших специалистов находятся все руководящие документы в области защиты персональных данных. При реализации проекта для каждого клиента строится индивидуальная система защиты на основании существующих бизнес-процессов. Затраты на средства защиты максимально оптимизируются, что приводит к заметному снижению общей стоимости проекта.

Мы берем на себя ответственность за соответствие созданной нами системы защиты требованиям законодательства РФ.

Мы обладаем обширным опытом работы по оптимизации процессов обработки персональных данных при их локализации на территории Российской Федерации в соответствии с требованиями ФЗ-242.

Наши преимущества

Все наши сотрудники имеют профильное высшее образование, постоянно проходят курсы повышения квалификации и имеют значительный опыт практической работы по защите информации. Средний стаж специалистов ИСПДн.инфо в области обеспечения информационной безопасности составляет более 7 лет.

Высокий профессионализм специалистов и успешный опыт реализации крупных проектов являются залогом качественного выполнения поставленных задач по обеспечению безопасности данных в информационных системах.

Мы соблюдаем правила профессиональной этики и гарантируем полную конфиденциальность сведений, полученных в процессе сотрудничества с клиентами.

Мы берем на себя полную ответственность за ведение проекта любой сложности и всегда тщательно планируем каждый этап реализации проекта, таким образом обеспечивая достижение качественных результатов в установленные сроки. Наша компания имеет сертификат соответствия системы менеджмента качества ISO 9001:2008.

Документация, разработанная нами, соответствует требованиям законодательных актов, методик руководящих документов ФСТЭК и ФСБ России, а также требованиям ГОСТ.

На счету сотрудников нашей компании более 130 успешно выполненных проектов за 7 лет работы. Среди наших клиентов как небольшие компании, так и крупные мировые бренды.

В последствии с большинством наших клиентов мы продолжаем активно сотрудничать в рамках сопровождения реализованных проектов по защите персональных данных.

7 шагов к созданию системы защиты персональных данных

Семь шагов к созданию системы защиты персональных данных в организации.

1 шаг – издание Приказа по организации о начале работ по созданию системы защиты персональных данных в организации. Этот шаг оформляется приказом по предприятию «Об организации работ по обеспечению безопасности ПДн». Приказ состоит минимум из 5 пунктов, в которых:

— назначается ответственный сотрудник предприятия за осуществление мероприятий, по защите персональных данных;

— дается указание о разработке локальной документации, относящейся к защите персональных данных;

— создается комиссия по защите и обработке персональных данных в организации;

— утверждается и вводится в действие Положение по защите и обработке персональных данных в организации.

2 шаг – проведение обследования информационных систем персональных данных организации.

Главный смысл проведения обследования — принятие решения о том, является ли организация оператором персональных данных или нет. Если принято решение, что организация является оператором по обработке персональных данных, то проводится процедура определения класса информационной системы персональных данных на предприятии. По результатам реализации этого шага в организации появляются следующие документы:

— отчет об обследовании информационных систем персональных данных,;

— Приказ «О создании комиссии по классификации информационных систем персональных данных»;

— Акт классификации типовой информационной системы персональных данных

-и, как приложение к Положению о защите и обработке ПДн в организации, «Примерная модель угроз безопасности данных, обрабатываемых в информационных системах персональных данных».

3 шаг – направление Уведомления об обработке (о намерении осуществлять обработку) персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Санкт — Петербургу и Ленинградской области (или соответствующей территории). Бланк Уведомления можно скачать на сайте Управления или получить в дирекции СЗРО РСТ, но отправить документ нужно обязательно по почте, электронного вида недостаточно. При заполнении имеет смысл пользоваться Рекомендациями по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных.

[1]

4 шаг — разработка, утверждение и применение документов под названиями: «Согласие на обработку персональных данных» и «Отзыв согласия на обработку ПДн».

Читайте так же:  Упрощенная система налогообложения для ип

5 шаг – внедрение системы защиты персональных данных. С точки зрения организационных мероприятий этот шаг включает в себя:

— составление и утверждение перечня лиц, допущенных к обработке ПДн (здесь очень важно не забыть уведомить самих лиц о то, что они обрабатывают персональные данные!);

— создание и утверждение Перечня персональных данных, обрабатываемых в организации;

-создание и утверждение Положения об обработке и защите персональных данных в организации с обязательным листом ознакомления сотрудников с этим Положением и еще, как минимум, двумя документами к ним — Обязательством об обеспечении конфиденциальности персональных данных сотрудниками предприятия, Приказом о выделении помещений для обработки персональных данных;

— создание и утверждение документа с названием «Описание системы защиты персональных данных при их обработке в информационных системах персональных данных в организации. К описанию необходимо приложить:

— инструкцию пользователю по соблюдению режима защиты информации при работе в информационных системах персональных данных;

— инструкцию администратору безопасности информационных систем персональных данных организации;

— инструкцию по резервному копированию и восстановлению данных в информационных системах персональных данных предприятия;

— положение о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных в организации.

6 шаг – необходимо определиться с техническими средствами защиты персональных данных. Технические средства защиты персональных данных бывают от:

Все применяемые средства должны быть сертифицированы. Реестр сертифицированных средств защиты информации можно найти на сайте ФСТЭК России. После выбора, приобретения и установки средства необходимо правильно настроить! Документами, подтверждающими реализацию шестого шага, являются:

— перечень средств защиты персональных данных;

Видео удалено.
Видео (кликните для воспроизведения).

— журнал учета и хранения носителей персональных данных;

— акт установки средств защиты информации;

-утвержденная форма акта списания и уничтожения электронных носителей информации;

— утвержденная форма акта уничтожения документов;

— подписанные соглашения о неразглашении персональных данных с третьими лицами (организациями) или соответствующие оговорки в контрактах и соглашениях (в особенности при трансграничной передаче данных).

7 шаг – создание и подписание «Заключения о соответствии системы защиты персональных данных, обрабатываемых в информационных системах персональных данных организации».

Если Вы сделали все эти шаги и завели в организации «Журнал учета обращений субъектов персональных данных о выполнении их законных прав в области выполнения требований действующего законодательства (в части обеспечения безопасности персональных данных)», то требования Закона Российской Федерации от 27.07.2006 № 152 – ФЗ «О персональных данных» Вы, в основном, выполняете. Важно помнить, что когда Вы приобретаете новой оборудование (железо), ставите новые программы, расширяетесь о плане площадей в офисе или структурно – нужно не забывать вносить изменения в весь комплекс вышеперечисленных документов.

Создание системы защиты персональных данных

Создание системы защиты персональных данных (СЗПДн) — это комплекс мер технического и организационного характера, направленных на защиту сведений, отнесенных в соответствии с Федеральным Законом от 27 июля 2006 г. N 152-ФЗ к персональным данным.

Каждая компания, обрабатывающая персональные данные, заинтересована в обеспечении безопасности их обработки. Необходимость построения систем защиты признают в равной степени и коммерческие организации, и государственные структуры.

На основании уже реализованных проектов по внедрению СЗПДн, можно выделить следующие преимущества:

Во-первых, это минимизация правовых и репутационных рисков, связанных с несоблюдением существующего законодательства в области персональных данных.

Во-вторых, грамотно построенная система защиты обеспечивает сохранность при обработке персональных данных клиентов и работников, что особенно важно при работе с частными лицами и информацией для служебного пользования. К наиболее распространенным угрозам, которые нейтрализует СЗПДн, относятся воздействия вредоносных программ и воровство клиентских баз бывшими сотрудниками.

В-третьих, обеспечение конфиденциальности персональных данных в компании положительно сказывается на ее имидже, повышая доверие у клиентов и партнеров.

Многие компании при заключении партнерских отношений придают высокое значение мерам защиты информации, принятым в компаниях-контрагентах. Нередко одним из условий договора или тендера является документированное соответствие системы защиты персональных данных требованиям нормативных актов.

Система защиты персональных данных является средством поддержания непрерывности бизнеса, позволяющее компаниям продолжать свою деятельность, не опасаясь претензий со стороны клиентов, сотрудников и регулирующих органов.

Создание системы защиты персональных данных состоит из трех стадий, которые выполняются в несколько этапов:

Техническая защита персональных данных в информационных системах. Создание системы защиты персональных данных в организациях рф

Жаропонижающие средства для детей назначаются педиатром. Но бывают ситуации неотложной помощи при лихорадке, когда ребенку нужно дать лекарство немедленно. Тогда родители берут на себя ответственность и применяют жаропонижающие препараты. Что разрешено давать детям грудного возраста? Чем можно сбить температуру у детей постарше? Какие лекарства самые безопасные?

Практика. Создание системы защиты персональных данных

Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

[2]

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

  1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
  2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
  4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
  5. Разработка технического задания на создание системы защиты персональных данных.
  6. Приобретение средств защиты информации.
  7. Внедрение системы защиты персональных данных.
  8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

[3]

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Читайте так же:  Налоговый вычет для разных категорий пенсионеров

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Модель угроз безопасности ПДн: пример

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

  • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
  • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Определение уровня защищенности ПДн

В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Построение системы защиты персональных данных

В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.

Рекомендации по защите персональных данных

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

Что такое защита персональных данных физических лиц в РФ и из каких аспектов состоит?

Персональные данные человека являются тем не многим, что находится под жесткой защитой государства.

Осуществление деятельности организации, которая ведет работу с хранением и обработкой личной информации, должно быть сопряжено с соблюдением их защиты.

Читайте далее о том, что такое персональные данные и какие меры используются против утечки информации.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Теоретические аспекты

    Права субъектов.

Права субъектов – это все предложенные государством возможности, которые субъект или владелец информации может реализовать в полной мере. То есть эти возможности дают полное право субъекту распоряжаться своей информацией на свое личное усмотрение.

Так, например, субъект имеет полное право на требование к обеспечению безопасности своих ПД, а так же на возмещение причиненных убытков и возмещение морального вреда.
Обработки.

Защита обработки личной информации определяется как определенного рода комплекс действий, которые оператор обязуется выполнять для защиты ПД субъекта. В любом случае защита обработки характеризуется как охрана личных данных, что регулируется государством, и нарушения в рассматриваемом аспекте наказываются в соответствии с законодательством РФ.

Законодательные сведения

ПД Основополагающим нормативным документом в осуществлении безопасности ПД человека является Конституция Российской Федерации. Самый главный документ страны прямо указывает на право человека в своей личной жизни. Так же хранение, передача, обработка информации могут совершаться только с согласия лица-владельца информации.

Не менее важным законодательным документом является Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981 EST № 108. Конвенция обязывает стороны принимать все необходимые меры для охраны ПД, накопленных в автоматизированных базах, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения.

Данная Конвенция была ратифицирована, что свидетельствует Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД». ПД, а именно их несанкционированный доступ и разглашение регламентируется законодательством РФ и, следовательно, использовать их любая организация может лишь с согласия правообладателя.

Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» регулирует основные понятия, связанные с передачей, хранением и обработкой сведений, так же регулирует право на доступ и ограничение к доступу информации. Так же данный пункт регулирует Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных«.

Согласно этому закону дается определение ПД и устанавливается ограничение в их использовании. С принятием рассматриваемого закона важно учитывать, что обработка их третьими лицами может осуществляться только лишь с согласия этого лица.

Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении Положения об обеспечении безопасности персональных данных» при их обработке в информационных системах персональных данных» характеризует актуальные угрозы ПД в соответствии с их уровнем (подробнее о составлении Положения о защите персональных данных мы рассказываем тут).

На основании четырех типов угроз устанавливается четыре типа защищенности персональной информации. Приказ Роскомнадзора от 5 сентября 2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных» характеризует принятием мер для формирования охраны данных путем их обезличивания. Так, на основании законодательства, субъект ПД имеет полное право на получение информации.

При этом он имеет право требовать от оператора предоставление ему необходимой информации. Так же субъект определяет регулирование, то есть он определяет степень ее устаревания, незаконность получения сведений, что может указать на данный факт оператору.

Читайте так же:  Виды дивидендов какие бывают дивиденды

При этом владелец может обратиться повторно к оператору для предоставления ему сведений, однако, повторный запрос должен быть выполнен в соответствии с указанным сроком не ранее чем через тридцать дней после первого запроса. В настоящее время начальник на работе обязан не только осуществлять обеспечение охраны ПД работника, но так же и нести ответственность за разглашение.

Все отношения, которые связаны с обработкой ПД субъекта трудовых отношений, регулируются законодательством, а именно:

Рассматриваемый аспект относится к правовой системе, которая непосредственно опирается на законодательство РФ в соответствующей области. Основой разработки многочисленных правовых актов является усиление информационной безопасности в стране.

В настоящее время это является необходимостью. Развитие технических способностей обеспечивает порой несанкционированное вмешательство и использование личных сведений человека или субъекта ПД. Государство в полной мере разрабатывает законопроекты на обеспечение безопасности личных данных гражданина, а так же регулирует его соблюдение.

В соответствии со ст. 150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под контролем действующих законов. Согласно п.2 ст. 17 №152-ФЗ «О защите персональных данных» субъект имеет право на защиту своих ПД.

Статья 17 ФЗ №152. Право на обжалование действий или бездействия оператора

  1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
  2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

При этом субъект вправе требовать от оператора, коим является как работодатель, так и другая организация, предоставления необходимых сведений о нем и отчет об их обработке. Субъект так же вправе требовать изменение существующей информации или ее удаление. В любом случае нарушение законодательства полагается уголовная ответственность.

Требования

Защита ПД имеет множество требований в рассматриваемом ключе. Информация является единицей, которая может стать основой для ее получения и использования с преступной целью.

Возникновение многочисленных технических средств, которые являются средством для получения сведений, способствует осуществлению кражи, использования и уничтожения ПД. Так же человеческий фактор может стать причиной утечки. Защита информации в организации является, а так же преследует одноименную цель.

Защита ПД включает в себя:

  1. Проведение анализа на возможный канал утечки.
  2. Формирование системы учета и регистрации всей поступающей информации.
  3. Организация технических средств безопасности. Так же сформированы меры и способы действия безопасности ПД сотрудника.

Какие используются меры?

Среди практических мер защиты информации выделяют:

  1. Ограничение доступа лиц к информационной системе.
  2. Идентификация субъекта и объекта доступа.
  3. Использование антивирусов.
  4. Использование межсетевых экранов.
  5. Осуществление контроля передвижения информации.
  6. Криптографические методы.
  7. Предотвращение вторжений. Все рассмотренные меры должны исключать полностью несанкционированное вторжение в систему.

Как реализовать?

Реализация осуществления защиты персональных данных человека осуществляется на основании действующего законодательства и определяется как комплексная система мер. Реализовать ее на предприятии необходимо путем формирования всех необходимых действий, которые будут воздействовать на несанкционированное вторжение.

Как реализовывается защита ПД в организациях и различных учреждения мы рассказываем в отдельном материале.

Существуют различного рода документы по защите персональных данных:

  • приказ по работе с персональными данными;
  • приказ о назначении ответственных;
  • приказ об организации обработки и охране информации;
  • приказ о проверке;
  • приказ о классификации ПД;
  • акт о результатах проведения проверки осуществления безопасности информации;
  • инструкции администратора;
  • инструкции пользователя;
  • журналы учета о работе с ПД;
  • положения о работе с ПД;
  • согласия субъектов;
  • модели угроз безопасности;
  • перечень используемых средств.

Узнать о том, какие документы нужны для организации защиты персональных данных, а также ознакомиться с их образцами, можно в нашей специальной статье, а ознакомиться с их полным перечнем и главными нюансами их оформления можете тут.

Информационные системы

Среди основных информационных систем защиты ПД следует указать:

  1. Физическая защита базы данных и носителя.
  2. Распознавание пользователей.
  3. Архивация данных, криптографическая защита.
  4. Разграничение доступа к системе.
  5. Регистрация всех обращений.

Так же обеспечением безопасности могут стать специальные блоки-приставки, контрольные суммы.

Гос. органы и обеспечение безопасности

Вся информация, которая может быть общедоступной о государственных органах РФ, устанавливается и регулируется Правительством РФ с учетом законодательства. ПД госслужащего могут находиться в общедоступном пользовании только в соответствии с законодательством.

Если действующими нормативными актами установлено о предоставлении сведений о заработной плате и доходах государственного служащего населению, то они относятся к общедоступной в отличие от сотрудника другой организации, где его заработная плата является его ПД.

С 1 июля 2017 года усилена административная ответственность за нарушение законодательства в области персональных данных. Основными законодательным актами, которые регулируют наказание за нарушение защиты ПД являются следующие документы:

Таким образом, осуществление безопасности личных сведений человека является аспектом, который регулируется государством. В настоящее время стремительное развитие технических средств требует создание дополнительных мер защиты от доступа, а так же созданию мер для жесткого наказания несанкционированной обработки ПД и их использования без согласия владельца.

Подробнее о том, какие уполномоченные органы по защите прав субъектов персональных данных существуют в РФ и какую роль они играют, мы рассказываем в специальном материале.

Видео по теме

Далее смотрим видео о защите персональных данных:

Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

Видео удалено.
Видео (кликните для воспроизведения).

+7 (499) 938-47-92 (Москва)
+7 (812) 467-38-62 (Санкт-Петербург)

Источники


  1. Решетников, В.И. Экологическое право. Курс лекций; М.: Щит-М, 2011. — 331 c.

  2. Хргиан, А.Х. История и методология естественных наук. Выпуск 03. Физика / А.Х. Хргиан. — Москва: СПб. [и др.] : Питер, 2012. — 292 c.

  3. Десницкий, С. Е. Слово о прямом и ближайшем способе к научению юриспруденции. Юридическое рассуждение о вещах священных, святых и принятых в благочестие, с показанием прав, какими оные у разных народов защищаются… и др. / С.Е. Десницкий. — Москва: Гостехиздат, 2016. — 193 c.
Создание системы защиты персональных данных в организациях рф
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here