Обеспечила защиту персональных данных

Защита персональных данных

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152.

Зачем необходимо принимать меры по защите персональных данных?

Несоблюдение требований законодательства становится причиной взысканий (в результате плановых и внеплановых проверок Роскомнадзора и других ведомств), жалоб со стороны клиентов и сотрудников, нападок со стороны конкурентов и потери ценной информации.

Комплекс услуг

Аудит существующей системы защиты персональных данных

• обследование процессов обработки персональных данных
• анализ организационно-распорядительной документации
• рекомендации по доработке системы

Заказать услугу

Доработка имеющейся системы защиты персональных данных в соответствии с актуальными требованиями законодательства

Сопровождение созданной системы в условиях меняющегося законодательства и появления новых угроз

Комплекс услуг по созданию с нуля системы защиты персональных данных

В соответствии с требованиями законодательства (для медучреждений, ВУЗов, средних и крупных компаний, бюджетников).

• оценка текущего состояния обработки ПДн, организационно-распорядительной документации и СЗИ на соответствие актуальным требованиям 152-ФЗ
• моделирование угроз безопасности ПДн, проектирование эффективной работающей системы ИБ

Технические мероприятия по созданию системы защиты персональных данных в соответствии с классом:

• поставка и внедрение технических средств защиты информации (сертифицированные межсетевые экраны, антивирусы, средства защиты каналов связи VPN, системы обнаружения и предотвращения вторжений и т.д.)
• настройка средств и систем защиты информации в соответствии с требованиями

• аттестация информационной системы персональных данных
• помощь в подготовке к прохождению проверки контролирующих органов (Роскомнадзор, ФСТЭК, ФСБ)

Заказать услугу

Источник: http://kontur.ru/security/features/personal-data

Решает ли покупка сертифицированной программы проблему защиты ПДн?

Купить сертифицированную ФСТЭК учетную программу и успокоиться — это ли не мечта кадровика, бухгалтера, ИТ-специалиста! К сожалению, работа в прикладной сертифицированной программе не отменяет выполнения комплекса мер по защите персональных данных при их обработке в информационных системах.

В данном материале разберем теоретическую сторону проблемы. В дальнейшем рассмотрим практические шаги по выполнению требований по защите ПДн без использования сертифицированной программы.

Разберемся с понятиями

Обработку и защиту персональных данных в информационных системах регламентирует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Конкретные меры защиты описывает Приказ ФСТЭК РФ от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Некоторые пользователи ошибочно полагают, что если программа имеет сертификат ФСТЭК, то она позволит решить все технические требования по защите персональных данных. Однако использование сертифицированной программы обработки персональных данных реализует лишь часть из множества требований, описанных в 21-м Приказе ФСТЭК.

Проблема во многом связана с тем, что пользователи объединяют понятия «программа» и «информационная система», из-за чего складывается мнение, что, защитив «программу», можно выполнить требования Закона № 152-ФЗ.

Предлагаем разобраться с понятиями, к которым закон предъявляет требования. А также попытаемся найти компромисс между требованиями закона и реалиями жизни. Ведь иногда буквальное выполнение закона может парализовать реальную деятельность организации.

Чего же хочет закон?

Для того чтобы выявить различие понятий «информационная система» и «программа», обратимся к нормативной документации.

Информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

Программа — данные, предназначенные для управления конкретными компонентами системы обработки информации в целях реализации определенного алгоритма («Обеспечение систем обработки информации программное. Термины и определения. ГОСТ 19781-90»).

Таким образом, информационная система включает в себя базы данных, компьютеры, на которых располагаются эти базы данных, а также программы, обрабатывающие эту информацию. Программа — лишь одна из составляющих всей информационной системы.

Федеральный закон № 152-ФЗ предъявляет требования в первую очередь к защите информационной системы, обрабатывающей персональные данные, а не конкретно к программе.

Обеспечьте защиту персональных данных в вашей компании

Что такое сертифицированная программа и какие требования по защите ПДн она выполняет?

Сертифицированная по требованиям безопасности программа — это программа, прошедшая процедуру проверки соответствия требованиям государственных стандартов и нормативных документов по защите информации ФСТЭК России или ФСБ России, что подтверждается сертификатом соответствия.

Приказ ФСТЭК № 21 в зависимости от необходимого уровня защищенности персональных данных предъявляет различные требования к сертифицированным программам. Так, например, для обеспечения первого уровня защищенности персональных данных применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по четвертому уровню контроля отсутствия недекларированных возможностей. А для обеспечения третьего уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены исключительно угрозы третьего типа, требований к уровню контроля отсутствия недекларированных возможностей не предъявляется.

Немаловажным является тот факт, что, согласно 21-му Приказу ФСТЭК России, использование сертифицированных программ является лишь одной из мер по обеспечению безопасности персональных данных и реализуется лишь в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

На практике сертифицированные программы имеют ряд ограничений:

• сертифицируются отдельные экземпляры или ограниченная партия программного обеспечения;
• сертификат выдается только на конкретную версию/платформу программного обеспечения;
• при переходе на новую версию программного обеспечения сертификат становится недействительным;
• необходимо устанавливать ТОЛЬКО сертифицированные обновления, полученные из определенного источника;
• сертификат действует не более трех лет.

Это означает, что каждое обновление, связанное с улучшением интерфейса или с внесением изменений со стороны законодательства, будет требовать сертификации. Следовательно, установить критически важное обновление будет невозможно, пока новая версия не получит всех разрешительных документов. В ситуации, когда ПФР выпускает новые формы в период текущей отчетности, это может быть весьма неудобно. Кроме того, сертифицированное решение всегда будет стоить дороже несертифицированного, так как в его стоимость включены затраты на сертификацию.

Итак, использование сертифицированных программных продуктов закрывает лишь часть технических требований по защите персональных данных. Для выполнения всех необходимых организационных и технических мер по обеспечению безопасности персональных данных потребуется установка дополнительных средств защиты информации, разработка организационно-распорядительной, проектной и эксплуатационной документации.

Как выполнить требования и не парализовать работу предприятия

Оптимальным решением может быть выбор качественного лицензионного программного обеспечения, в котором учтены основные требования к организации обработки персональных данных в соответствии с Федеральным законом № 152-ФЗ «О персональных данных», в сочетании с применением необходимых организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе.

Алгоритм действий по приведению информационной системы в соответствие ФЗ № 152

Для приведения информационных систем в соответствие с требованиями законодательства и нормативных документов регуляторов необходимо:

1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных.
4. Определение требуемого уровня защищенности персональных данных обрабатываемых в информационной системе персональных данных.
5. Разработка технического проекта на создание системы защиты персональных данных.
6. Приобретение средств защиты персональных данных.
7. Внедрение системы защиты персональных данных.
8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что реализованные в рамках системы защиты персональных данных меры по обеспечению безопасности персональных данных достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Источник: http://kontur.ru/articles/1641

Защита персональных данных сотрудников — как обеспечить?

Защита персональных данных сотрудников — прямая обязанность каждого работодателя. Читайте — как организовать правильное хранение данных своих сотрудников, чтобы не бояться штрафов.

В 7 статье Федерального закона от 27.07.2007 № 152 ФЗ «О персональных данных» (далее — 152-ФЗ), ст. 88 Трудового кодекса РФ, указано, что работодатель обязан не допускать раскрытия персональных данных (не сообщать персональные данные) своих сотрудников третьим лицам. За нарушение этого требования предусмотрены:

• Дисциплинарная ответственность. Применяется к сотрудникам, которые нарушили правила работы с личными данными (ст. 192 Трудового Кодекса). Вплоть до увольнения;
• Материальная ответственность. Если нарушение правил работы с персональными данными привело к причинению прямого ущерба (ст. 233 ТК РФ);

Административная ответственность. Штрафы, накладываемые контролирующим органом (ч.1ст.13.11. КоАП РФ):

• 5000-10000 рублей для ответственного должностного лица;
• 30000-50000 рублей для организации.

Штраф может быть разным в зависимости от состава правонарушения (ст.13.11 КоАП РФ из 7-ми частей. Размер штрафа приведёт по части 1). За соблюдением требований законодательства в области защиты персональных данных следит Роскомнадзор (ст.23.44 КоАП РФ, Постановление Правительства РФ от 16.03.2009 N 228), поэтому, чтобы не было проблем с проверками из этого ведомства, нужно позаботиться о защите персональных данных сотрудников вашей организации.

Какие сведения относятся к персональным данным сотрудников?

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Точного перечня 152-ФЗ не содержит.

Исходя из определения 152-ФЗ это, в частности:

• ФИО;
• Дата и место рождения;
• Адрес (прописки и фактического проживания);
• Образование;
• Социальное, семейное и имущественное положение;
• Профессия;
• Доходы;
• Прочая информация (например, сведения о здоровье).

Что нужно сделать, чтобы не было проблем с Роскомнадзором?

Вам нужно будет проследить за следующими основными моментами:

1. Соблюдение законодательства в области персональных данных

В первую очередь, помимо 152-ФЗ, это положения гл. 14 ТК РФ.

2. Документы, устанавливающие нормы работы с персональными данными

Согласно статье 87 Трудового Кодекса, в организации должны быть локальные нормативные акты, регулирующие порядок хранения и использования персональных данных работников. Это Положение об обработке и защите персональных данных» – документ, в котором указаны цели и законные основания работы с персональными данными, ваши права и обязанности, права и обязанности сотрудников, предоставляющих данные.

Также сотрудники, так или иначе имеющие доступ к персональным данным работников организации должны подписать обязательство о неразглашении персональных данных.

Также нужно назначить администратора безопасности персональных данных (сотрудника, отвечающего за техническую безопасность) и ответственного за организацию обработки данных (организационная нагрузка). Назначаются они приказом руководителя организации, особое внимание уделяйте точности формулировок – сверяйтесь с законодательством.

ВАЖНО: В каждом кабинете, где ведётся работа с персональными данными на бумажных носителях, должно быть чётко установленное место хранения этих данных. Это может быть сейф, стеллаж, шкаф. Также должен быть ответственный за хранение персональных данных именно в этом кабинете. Издаётся соответствующий приказ руководителя: «В кабинете №1 ответственным за хранение персональных данных назначить ФИО, место хранения утвердить стеллаж инв. Номер 00000».

3. Журналы

При проверке сотрудники Роскомнадзора – для того, чтобы убедиться, что деятельность по защите персональных данных ведётся на постоянной основе – требуют:

• Журнал учёта мероприятий по контролю над обеспечением защиты персональных данных;
• Журнал инструктажа по информационной безопасности (за технической стороной следит ФСТЭК России, Роскомнадзор больше будет интересоваться документами и организационными вопросами);
• Журнал учёта проверок юридических лиц контролирующими органами;
• Журнал учёта обращений граждан-субъектов персональных данных о выполнении их законных прав.

4. Получение согласия работников на обработку персональных данных

Поэтому мы рекомендуем при приёме на работу предлагать сотруднику заполнить анкету с пунктом «Не возражаю против получения данных обо мне в…» и список организаций, в которые можно обратиться. Не лишним будет также указать «Не возражаю против проверки предоставленных данных».

Общие рекомендации по защите персональных данных сотрудников

Следите за тем, чтобы:

• Сотрудники организации – например, отдела кадров – получали доступ только к тем данным, которые необходимы для выполнения их должностных обязанностей;
• Данные использовались строго в соответствии с целями, указанными в «Положении»;
• Каждый сотрудник организации подписал согласие на обработку персональных данных (при договорных отношениях оно не требуется, но остаётся актуальным для специальных категорий персональных данных, а также снимает многие вопросы у проверяющих).

Следуйте советам, указанным в этой статье, аккуратно оформляйте все документы, и проблем с проверками Роскомнадзора у вас не будет.

Источник: http://osnova.capital/blog/zashchita-personalnyh-dannyh-sotrudnikov-kak-obespechit

Защита персональных данных

Персональные данные каждого гражданина РФ находятся под защитой российского законодательства. Как не допустить распространения информации о персональных данных, какая существует ответственность за нарушения требований закона – об этом мы расскажем в нашей статье.

Если у вас возникнут вопросы, можете бесплатно проконсультироваться в чате с юристом внизу экрана или позвонить по телефону +7 (499) 288-21-46 (консультация бесплатно), работаем круглосуточно.

Персональные данные (далее — ПДн) — это любая информация о физическом лице, в частности, ФИО, место и дата рождения, место проживания и регистрации, социальное, имущественное и семейное положение, профессия, образование, доходы, и другое (п. 1 ст.3 ФЗ «О персональных данных»).

Защита персональных данных – правовая система, на основе которой выполняются требования законодательства РФ относительно хранения, обработки и передачи персональных данных граждан. Оператором персональных данных может выступать государственный или муниципальный орган, а также, юридическое или физическое лицо, имеющие правомочия на определение цели и содержание, а также выполнение ряда организационных и технических мероприятий, касающихся защиты персональных данных от блокирования, уничтожения, копирования и иных неправомерных действий (ФЗ №152 от 27 июля 2006 г. «О персональных данных»).

В декабре 2014 года Государственной думой в третьем чтении был принят законопроект о хранении персональных данных граждан, обработанных в интернете, на серверах в России. По словам члена комитета по информполитике Романа Чуйченко, главной целью законопроекта является усиление информационной безопасности страны и ее граждан. Такая мера был принята в связи с усложнением международной ситуации. Данный законопроект вступил в силу 1 сентября 2015 года.

Вступление в силу нового положения о защите персональных данных предполагает обеспечение операторами персональных данных:

Категории персональных данных

В российском законодательстве определены различные категории персональных данных, в число которых входят:

1. Общедоступные ПДн – данные, не обладающие условиями конфиденциальности, либо с согласия субъекта РФ являются доступными неограниченному кругу лиц (справочники, адресные книги и т.д.). Могут быть исключены из источников по требованию суда или самого субъекта.

2. Специальные категории ПДн – данные, касающиеся национальной и расовой принадлежности, состояния здоровья, убеждений в области философии и религии, политических взглядов. Обработка данной категории персональных данных допускается только при письменном согласии на то субъекта (доверенность не допускается), в случаях общедоступности данных и невозможности получения согласия субъекта в связи с состоянием его здоровья, а также в случаях обработки ПДН в целях оперативно-розыскной деятельности или в соответствии с требованием уголовно-исполнительного законодательства РФ

3. Категории ПДн, обрабатываемые в информационных системах (ИСПДн).

4. Биометрические персональные данные – информация о физиологических особенностях человека, позволяющих установить его личность.Биометрические ПДн обрабатываются в соответствии со статьей 11 ФЗ Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и при наличии письменного согласия субъекта ПДн (за исключением случаев обеспечения правосудия, выполнения оперативно-розыскной деятельности, связанных с государственной службой, уголовно-исполнительным законодательством). К биометрическим персональным данным относятся фото- и видеоизображения субъектов.

Персональные данные работника

В гражданском законодательстве РФ существует понятие о персональных данных работника, которое предполагает общие сведения о физическом лице, необходимые работодателю в связи с возникновением трудовых правоотношений. Также, как и защита чести, достоинства и деловой репутации, защита персональных данных работника регулируется статьями действующего ГК РФ, и может рассматриваться несколькими аспектами:

1. Гарантии – совокупность норм и правил, которыми регулируются отношения, касающиеся персональных данных работника.
2. Комплекс организационно-правовых мероприятий, направленных на реализацию законодательных актов в целях выражения политики работодателя.
3. Обеспечение субъективного права работника на защиту личных персональных данных.

Право на защиту своих персональных данных имеет каждый работник (п. 9 ст. 86 ТК РФ).

В соответствии со ст. 89 Трудового кодекса РФ свое право на охрану и защиту ПДн каждый работник может реализовать посредством следующих действий:

• свободный бесплатный доступ к своим персональным данным, в том числе получение копии любой записи, в которой содержатся ПДн работника;
• определение личного представителя для защиты своих персональных данных;
• получение полной информации о ПДн и их обработке;
• выставление требований об исключении или исправлении персональных данных, содержащих неверную информацию либо, если они были обработаны с нарушением требований законодательства;
• обжалование в суде неправомерных действий работодателя, а также его бездействии при обработке и защите ПДн.

Состав персональных данных работника

На основании п. 2 ст. 86 ТК РФ объем и содержание персональных данных работника определяются работодателем в соответствии с Конституцией РФ, Трудового кодекса и иными федеральными законами. Как правило, деятельность любой организации предполагает использование работодателем в документообороте два основных вида документов:

Если у вас возникнут вопросы, можете бесплатно проконсультироваться в чате с юристом внизу экрана или позвонить по телефону +7 (499) 288-21-46 (консультация бесплатно), работаем круглосуточно.

1. Документы, которые предоставляются работником при заключении трудового договора (ст. 65 ТК РФ). К данной категории относятся документы, содержащие фотоизображение работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности (паспорт, страховое свидетельство государственного пенсионного страхования, военный билет и т.д.).
2. Документы, которые формируются работодателем самостоятельно (первичная учетная документация по учету труда и его оплаты). Данная категория включает в себя приказы или распоряжения о приеме работника, расторжении трудового договора, поощрении работника, личная карточка, документы по оплате труда.

Защита персональных данных, ответственность за нарушение законодательства

Также, как и патентное право, персональные данные каждого российского гражданина защищены действующей законодательной базой РФ, которая предусматривает несколько видов ответственности за нарушение требований законов в сфере защиты персональных данных, в частности существует гражданско-правовая, дисциплинарная, материальная, административная и уголовная ответственность.

Отметим, что некоторые санкции за нарушение отдельных составов правонарушений распространяются как на физических и должностных лиц, так и на юридических.

В соответствии со ст. 150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под защитой действующих законов.

Гражданско-правовая ответственность имеет прямую связь с категорией морального вреда, то есть, если гражданину был причинен моральный вред, выраженный в действиях, нарушающих его личные неимущественные права, он вправе выставить правонарушителю требования о выплате денежной компенсации в судебном порядке. Размер компенсации морального вреда определяется судом с учетом всех заслуживающих внимания обстоятельств. Компенсация осуществляется в денежной форме.

В соответствии с п. 7 ст. 243 ТК РФ материальная ответственность работника за разглашение информации, которая напрямую связана с персональными данными других лиц, возлагается на правонарушителя в полном размере причиненного ущерба.

На работника, распространившего персональные данные другого работника, может возлагаться дисциплинарная ответственность в виде увольнения. На основании ст.1 92 ТК РФ работодатель обладает правом привлечь работника, нарушившего закон, к ответственности. При этом, в зависимости от степени и тяжести совершенного правонарушения, увольнение может быть заменено иным дисциплинарным наказанием, например, в виде выговора или замечания.

Отметим, что права и обязанности работника, имеющие прямое отношение к ПДн других работников, определяются условиями трудового договора и составом локальных нормативно-правовых актов, устанавливающих трудовые функции работника и перечень его должностных обязанностей.

Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных влечет за собой предупреждение или штраф в размере: от 1000 до 3000 рублей — для физических лиц; от 5000 до 10000 рублей — должностных лиц, от 20 тысяч до 50 тысяч рублей – для юридических лиц (ст. 13.11 КоАП РФ). Административная ответственность за распространение информации, охраняемой законом, при исполнении служебных и профессиональных обязанностей, влечет за собой штраф в размере: от 500 до 1000 рублей – для физических лиц, от 4 до 5 тысяч рублей – для должностных лиц (ст. 13.14 КоАП РФ).

Уголовная ответственность за нарушение неприкосновенности частной жизни, в частности персональных данных, регулируется ст. 137 УК РФ и предусматривает наказание в виде:

• штрафа в размере 200 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 18 месяцев;обязательных работ на срок от 120 до 180 часов;
• исполнительных работ на срок до 12 месяцев;
• ареста на срок до 4-х месяцев.

Нарушение неприкосновенности частной жизни, в частности персональных данных, лицом при использовании своего служебного положения предусматривает наказание в виде:

• штрафа в размере от 100 до 300 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 1-2 лет;
• лишения права занимать определенные должности на срок от 2 до 5 лет;
• ареста на срок от 4 до 6 месяцев.

Источник: http://pravovedus.ru/practical-law/civil/zashhita-personalnyih-dannyih/

Практика. Создание системы защиты персональных данных

Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
5. Разработка технического задания на создание системы защиты персональных данных.
6. Приобретение средств защиты информации.
7. Внедрение системы защиты персональных данных.
8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Модель угроз безопасности ПДн: пример

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

• внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
• внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Определение уровня защищенности ПДн

В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Построение системы защиты персональных данных

В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Выводы

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.

Рекомендации по защите персональных данных

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

Источник: http://kontur.ru/articles/1723

Усилена защита персональных данных

В июле в трудовое законодательство были внесены некоторые изменения, которые касаются Защиты персональных данных.

Защита персональных данных

Порядок использования персональных данных был определён Федеральным законом 152 — ФЗ от 27.07.2006 г. Согласно этому документу до 1 января 2011 г. все организации должны были привести информационную систему персональных данных в соответствие с требованиями закона. Компании должны были обеспечить защиту персональных данных своих сотрудников и партнёров, чтобы избежать кражи, копирования или разглашения персональной информации. Однако конечный срок был продлён, и изменения вступили в силу лишь с 1 июля 2011 г.

Как же должна осуществляться защита персональных данных?

• В документах, регулирующих трудовые отношения и затрагивающих персональные данные сотрудников, необходимо предусматривать порядок использования персональных данных.
• Трудовой договор (либо дополнительное соглашение к нему) должен содержать согласие на обработку персональных данных и их хранение в информационной системе организации.
• Работник должен подтвердить своё согласие на предоставление его персональных данных в государственные органы (пенсионный фонд, налоговая инспекция и т.д.)
• Важно определить круг лиц, имеющих доступ к персональным данным и установить защиту (пароль) доступа в информационную систему персональных данных.

Пример 2. При получении устного запроса о доходе сотрудника, его должности, и т.д. по телефону (это практикуют работники банков и кредитных компаний), организация может предоставлять запрашиваемую информацию только с письменного согласия работника.
Таким образом, работник организации, подавая заявку на получение кредита, должен заблаговременно уведомить кадровика о возможном запросе и своём на это согласии.

C уважением отношусь к этому сайту, но очень бы хотелось, чтобы публикации были корректными, желательно со ссылками на конкретные статьи закона.
Зачем нагородили лишнего?
Не лучше ли обратитья к закону!
Закон о персональных данных — это не трудовое законодательство, хотя и затрагивает интересы рабтникоов и работодателей!
Вот выдержки из него:
Статья 6. Условия обработки персональных данных

1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Согласия субъекта персональных данных, предусмотренного частью 1 настоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора…
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных…

Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных

1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Т.е. не нужно согласие работника на обработку его персональных данных самим работодателем, т.к. эта обработка и хранение ведется во исполнение обязанностей по этому самому трудовому договору. И согласие на передачу данных в ГНИ или ПФР тоже не требуется, работодатель это делает, исполняя федеральные законы. А вот передавать данные в банк без согласия работника действительно нельзя.
Иметь документ, например Положение о работе с персональными данными работников, работодатель должен. Он должен взять на себя обязательства собирать, обрабатывать, хранить персональные данные таким образом, чтобы обеспечить их защиту от распространения и утраты. Сертифицированная программа обработки данных с защитой от взлома, определенный круг лиц, имеющих доступ к этим данным, пароли, ключи, ответственность и т.п. Но лишнего не надо.
В одной организации я даже видела согласие работника на хранение и обработку его персональных данных на период действия трудового договора! Представьте, человек уволился и тут же его данные все уничтожили! А как сдавать отчет в ПФР, в ГНИ, как выдать справку бывшему работнику о периодах работы в данной организации .

Вот мнение еще одного человека, думаю она не будет против, т.к. статья была опубликована (точно не помню, кажется насайте КАДРОВИК.РУ ):

Статья 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» определяет, что субъект персональных данных принимает решение о представлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе. Исключением являются случаи, предусмотренные указанным Федеральным законом и другими федеральными законами, когда представление субъектом своих персональных данных обязательно в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Работодатели, в соответствии с ФЗ от 24.07.1998 № 125-ФЗ «Об обязательном социальном страхо-вании от несчастных случаев на производстве и профессиональных заболеваний» осуществляющие прием на работу граждан, подлежащих обязательному социальному страхованию от несчастных случаев на производстве и профессиональных заболеваний, обязаны собирать и представлять ФСС РФ в установленные Фондом сроки документы (их заверенные копии), являющиеся основанием для начисления и уплаты страховых взносов, назначения обеспечения по страхованию, и иные сведения, необходимые для осуществления обязательного социального страхования от несчастных случаев на производстве и профессиональных заболеваний.

В соответствии с ФЗ от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе», Положе-нием о воинском учете, утв. постановлением Правительства РФ от 27.11.2006 № 719, Положением о военных комиссариатах, утв. Указом Президента РФ от 01.09.2007 № 1132, воинский учет граждан ведется военными комиссариатами; в населенных пунктах, где нет военных комиссариатов, первичный воинский учет ведут органы местного самоуправления. Организации также ведут воинский учет рабо-тающих, обучающихся граждан, пребывающих в запасе или подлежащих призыву на военную службу.

Обязанности по ведению воинского учета граждан, работающих в организациях (обучающихся в образовательных учреждениях), возложены на работодателей, которые должны: проверять при приеме на работу документы об отношении к военной службе, обеспечивать полноту и качество воинского учета; сверять не реже одного раза в год имеющиеся сведения о воинском учете с документами военных комиссариатов и органов местного самоуправления.

Собирание информации, составляющей персональные данные работников, предусматривается, в частности, Уголовнопроцессуальным кодексом Российской Федерации, Законом РФ от 18.04.1991 № 1026-1 «О милиции», ФЗ от 03.04.1995 № 40-ФЗ «О федеральной службе безопасности», Федеральным законом от 12.08.1995 № 144-ФЗ «Об оперативно-розыскной деятельности».

Татьяна Коршунова, канд. юрид. наук, доцент, ведущий научный сотрудник Института законодательства и сравнительного правоведения при Правительстве РФ, Москва

Источник: http://hr-portal.ru/news/usilena-zashchita-personalnyh-dannyh