от 18 февраля 2013 г. N 21

11.12.2022
Нет комментариев

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «от 18 февраля 2013 г. N 21». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Основные этапы защиты ПДн
2. Обработка персональных данных
3. Согласие работника на обработку персональных данных
4. Обеспечение безопасности персональных данных при их обработке
5. Порядок оформления доступа к персональным данным лица, осуществляющего обработку персональных данных
6. Меры по снижению расходов на проведение мероприятий по защите ПДн
7. Основные положения Закона «О персональных данных»
8. Типичные позиции операторов персональных данных
9. Что такое система защиты персональных данных

К личной и конфиденциальной информации обычно относятся такие сведения, как номера банковских карт, адреса электронной почты, телефонные номера, дата рождения, СНИЛС и прочее. К подобной информации также относят данные о поведении (например, о посещенных сайтах и используемых социальных сетях). Эти сведения говорят им о вас намного больше, чем вы можете представить.

Основные этапы защиты ПДн

Мы разделили процесс на 9 этапов, о которых ниже расскажем более подробно:

  1. обследование;

  2. моделирование угроз;

  3. разработка технического задания;

  4. проектирование системы защиты;

  5. реализация технической части системы защиты;

  6. реализация организационных мер;

  7. оценка эффективности принятых мер;

  8. аттестация;

  9. поддержание необходимого уровня защиты в процессе эксплуатации.

Безопасная автоматизированная обработка информации возможна при наличии четко прописанных во внутренней документации правил, а также проведении определенных мероприятий:

  • установление возможных рисков НСД в процессе хранения, корректировки, блокировки и т.д. с последующей разработкой модели угроз;
  • формирование СЗПДн для профилактики и устранения утечек и других опасностей в соответствии с установленным классом ИС;
  • составление списка лиц, допущенных для работы с конкретными БД, организация контроля на каждом этапе;
  • подбор, монтаж средств автоматизированной обработки информации и защиты данных, проверка их работоспособности;
  • ведение учета СЗИ, технической документации, случаев несоблюдения инструкций по их применению;
  • разработка детального описания системы.

Обработка персональных данных

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)

Согласие работника на обработку персональных данных

Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.

Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).

Читайте также:  Индексация пенсий в 2023 году: таблица и график социальных выплат пенсионерам

Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).

Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).

Настоятельно рекомендуем включить в него следующую информацию:

  • цели получения персональных данных работника у третьих лиц;
  • предполагаемые источники информации (лица, у которых будете запрашивать данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.

    Обеспечение безопасности персональных данных при их обработке

    Мероприятия по защите информации трудоемки и могут привести к значительным финансовым затратам, что обусловлено необходимостью:

      – получать (по необходимости) лицензию на деятельность по технической защите конфиденциальной информации ФСТЭК России;

      – привлекать лицензиата ФСТЭК России для осуществления мероприятий по созданию системы защиты ИСПДн и/или ее аттестации по требованиям безопасности информации;

      – отправлять сотрудников, ответственных за обеспечение безопасности информации, на курсы повышения квалификации по вопросам защиты информации и/или нанимать специалистов по защите информации;

      – устанавливать сертифицированные по требованиям ФСТЭК средства защиты информации (СрЗИ), сертифицированные ФСБ средства криптографической защиты информации (СКЗИ) в зависимости от класса ИСПДн.

    Порядок оформления доступа к персональным данным лица, осуществляющего обработку персональных данных

    Во время проверок контролирующие органы уделяют внимание документам, которые регулируют политику компании по обработке ПДн, достаточности мер защиты от неправомерного использования информации, правилам доступа к конфиденциальной информации.

    Поэтому компания должна правильно оформить лицо, ответственное за обработку данных:

    1. Издать приказ о назначении ответственного лица и ознакомить с приказом сотрудника под подпись.
    2. Внести соответствующие дополнения в должностную инструкцию и (или) трудовой договор.
    3. Если до назначения сотрудника за безопасность ПДн отвечали другие работники, издать приказ и снять с них ответственность за организацию обработки информации. При этом обязанность работников не разглашать данные необходимо сохранить.
    4. Составить перечень работников, которые допущены к обработке данных и утвердить перечень приказом.
    5. Со всеми приказами работники должны быть ознакомлены под подпись.

    Меры по снижению расходов на проведение мероприятий по защите ПДн

    В заключение хочется отметить, что в целях повышения класса (от К1 до К2 или от К2 до КЗ) и, соответственно снижения расходов на проведение мероприятий по защите ПДн может быть рекомендовано:

    Читайте также:  Образец искового заявления о расторжении брака

    ■ проведение тщательного анализа и возможное сокращение перечня получаемых и обрабатываемых сведений в отношении субъектов ПДн (далеко не каждый реквизит на самом деле будет необходим для осуществления деятельности);

    ■ осуществление обработки некоторых сведений без ис-пользования средств автоматизации;

    ■ обезличивание части персональных данных с выводом информации, содержащей сведения, позволяющие ус-тановить однозначную связь между личностью и ПДн (стоит отметить, что операция обезличивания персо-нальных данных является необратимой, в ходе выполнения которой утрачивается однозначная связь между субъектом персональных данных и его персональными данными);

    ■ минимизация мест хранения и обработки ПДн, разде-ление/сегментирование информационных систем, снижение требований к части сегментов;

    ■ сокращение числа сотрудников, имеющих доступ к персональным данным;

    ■ выделение рабочих мест, где используются ПДн в от-дельную локальную вычислительную систему и орга-низация защиты только ее;

    ■ отключение ИСПДн от сетей общего пользования;

    ■ обеспечение обмена с другими АРМ с помощью сменных носителей;

    ■ передача по каналам связи только обезличенной ин-формации.

    минимальные требования по защите персональных данных будут предъявлены к тем организациям, которые передадут обработку данных специализированным организациям, имеющим соответствующие технические возможности и опыт в построении системы защиты ПДн (аутсорсинг).

    В качестве примера может быть приведена следующая схема структуры ИСПДн, позволяющая снизить затраты на проведение мероприятий по защите персональных данных, так как обработка данных осуществляется сторонней организацией (ЦОД), имеющей лицензию на осуществление деятельности по шщите конфиденциальной информации.

    Основные положения Закона «О персональных данных»

    • Обработка персональных данных должна осуществляться на законной и справедливой основе, в строгом соответствии с установленными целями обработки персональных данных.
    • Недопустимо раскрытие персональных данных третьим лицам или распространение таких данных без соответствующего основания (согласия субъекта либо требований федеральных законов).
    • В ряде случаев обработка персональных данных может осуществляться только с согласия субъекта персональных данных.
    • Информационные системы, обрабатывающие персональные данные, должны быть приведены в соответствие с требованиями законодательства о персональных данных.
    • Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, обжаловав действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
    • Оператор обязан направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных. Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (более известная как Роскомнадзор);
    • Нарушение требований Закона влечет гражданскую, уголовную, административную, дисциплинарную ответственность.

    Типичные позиции операторов персональных данных

    1. ”Наша компания не собирается ничего предпринимать и тратить время и деньги на решение этих вопросов, мы будем ждать развития событий”.

      Такая компания не собирается тратить деньги и время на изменение процессов обработки персональных данных, а также не задумывается о соответствующем обучении своих сотрудников. Она продолжает свою деятельность в привычном режиме, в надежде на то, что проверка Роскомнадзора ее не затронет. Однако, как показывает практика, действия проверяющих органов нельзя предугадать, под проверку может попасть любая организация и в этом случае компания может понести значительные убытки, вплоть до приостановки ее деятельности.

      Стоит также учитывать, что с 2016 года Роскомнадзор на регулярной основе проводит так называемые мероприятия систематического наблюдения, в результате которых на основании мониторинга веб-сайта любой организации может быть направлен запрос на предоставление необходимых сведений об осуществлении обработки и защиты персональных данных. Непредоставление необходимой информации в срок может послужить поводом для проведения внеплановой проверки в организации.

    2. “Мы уверены в том, что действия закона не будут распространяться на нашу компанию”.

      В любой компании, вне зависимости от её организационно-правовой формы, есть информация о сотрудниках, работающих в организации, а иногда и о её клиентах и контрагентах, а значит такая компания является оператором, следовательно, требования ФЗ-152 распространяются на неё в полном объеме.

    Читайте также:  Квартира со льготой: жилищные субсидии в Новосибирской области

    Что такое система защиты персональных данных

    Базовые требования к таким системам устанавливаются Постановлением Правительства РФ № 1119. Оно устанавливает параметры самих систем и определяет необходимые средства и методы обеспечения безопасности персональных сведений, размещенных в информационных базах данных. После изучения этого постановления становится понятно, что системы защиты персональных данных (СЗПД) характеризуются следующими параметрами:

    • представляют собой комплекс мер и мероприятий, носящих как организационный, так и технический характер;
    • эта совокупность призвана предотвратить нелегитимный доступ к персональным данным;
    • система должна быть разработана с учетом актуальности текущих угроз;
    • она разрабатывается операторами персональных данных с учетом уровня их задач и степени ответственности.

    Эту систему компания не всегда может разработать самостоятельно, силами ИТ-отдела. Соответствие требованиям по защите персональных данных предполагает разработку, установку и обслуживание сложных программных комплексов, которые решают следующие задачи:

    • избежать неправомерного доступа к данным как со стороны внешних посягателей, так и со стороны инсайдеров. Для этого применяются межсетевые экраны, различные системы разграничения доступа, используются криптографические и блокировочные средства;
    • предотвратить утечку данных по техническим каналам, например, в виде электромагнитного излучения или звуковой информации. Для этого применяют генераторы шума, экранированные кабели, высокочастотные фильтры.

    Все необходимые средства защиты персональных данных от утечки компания выбирает самостоятельно, предъявляются требования по их возможностям и сертификации, а не по конкретным наименованиям или типам программных продуктов. Расходы на приобретение средств защиты данных компания также несет самостоятельно.


    Похожие записи:

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *