Режимы обработки персональных данных

Глава 2. Принципы и условия обработки персональных данных (ст.ст. 5 — 13)

Глава 2. Принципы и условия обработки персональных данных

> Принципы обработки персональных данных

Содержание Закон «О персональных данных»

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Источник: http://base.garant.ru/12148567/948c9c0734b6e944a4727660f2d5a027/

Классификация информационных систем персональных данных

Классификация ИСПДн осуществляется непосредственно операто­ром на основании следующих руководящих и методических документов, подлежащих исполнению при проведении работ:

• приказ ФСТЭК России, ФСБ России, Мининформсвязи Рос­сии от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка прове­дения классификации информационных систем персональных данных»;
• методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ России, 21 февраля 2008 г., № 149/5-144.

Классификация ИСПДн проводится на этапе создания ИСПДн или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) мо­дернизируемых ИСПДн) с целью установления методов и способов защи­ты информации, необходимых для обеспечения безопасности ПДн.

Проведение классификации ИСПДн включает в себя следующие этапы:

• сбор и анализ исходных данных по информационной системе;
• присвоение информационной системе соответствующего клас­са и его документальное оформление.

Для проведения классификации оператор создает комиссию по клас­сификации ИСПДн, состав комиссии утверждается руководителем опера­тора (Проект приказа).

На первом этапе комиссия проводит сбор и анализ исходных данных по каждой информационной системе, обрабатывающей сведения, указан­ные в Перечне персональных данных, подлежащих защите, а именно:

Состав и структура ПДн

Перечислить какие ПДн обрабатываются в ИСПДн

Категория ПДн, обрабатываемых в ИСПДн

Объем ПДн, обрабатываемых в ИСПДн

Количество рабочих станций, входящих в состав ИСПДн

Автоматизированное рабочее место/Локальная ИСПДн / Распределенная ИСПДн

Количество пользователей, допущенных к работе в ИСПДн

Режим обработки ПДн в ИСПДн

Однопользовательская ИСПДн / многопользовательская ИСПДн с равными правами доступа/ многопользовательская ИСПДн с разными правами доступа

Подключение ИСПДн к локальным (распределенным) сетям общего пользования

Имеется / не имеется

Подключение ИСПДн к сетям международного информационного обмена

Имеется / не имеется

Местонахождение технических средств ИСПДн

Все технические средства ИСПДн находятся в пределах Российской Федерации / технические средства ИСПДн частично или целиком находятся за пределами Российской Федерации

1. ПДн обрабатываемые в ИСПДн. Должен быть определен пере­чень ПДн, обработка которых ведется в ИСПДн.
2. Категория ПДн, обрабатываемых в ИСПДн (Х_пд). Исходя из особенностей ПДн определяются следующие категории обрабатываемых в информационной системе ПДн:

• категория 1 — ПДн, касающиеся расовой, национальной при­надлежности, политических взглядов, религиозных и философских убеж­дений, состояния здоровья, интимной жизни;
• категория 2 — ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1;
• категория 3 — ПДн, позволяющие идентифицировать субъекта

• категория 4 — обезличенные и (или) общедоступные ПДн.

К ПДн позволяющим идентифицировать человека относятся такие данные, которые позволяют установить личность человека.

Например, на основании только фамилии, имени и отчества нельзя точно установить личность, т.к. существуют полные однофамильцы. Но если в ИСПДн помимо ФИО обрабатываются также данные об адресе проживания, биометрические данные (фотографическое изображение), данные о месте работы и т.д., то уже на основании их можно выделить конкретного человека.

Обезличенными данными являются данные, на основании которых нельзя идентифицировать субъекта ПДн.

Если в ИСПДн все пользователи (администраторы, операторы, раз­работчики) обладают одинаковым набором прав доступа или осуществля­ют вход под единой учетной записью и вход под другими учетными запи­сями не осуществляется, то эта ИСПДн с равными правами доступа (пол­номочиями) ко всей информации ИСПДн разных пользователей, в против­ном случае с разными правами доступа (полномочиями) ко всей информа­ции ИСПДн разных пользователей.

1. Подключение ИСПДн к локальным (распределенным) сетям общего пользования. Если ИСПДн или ее элементы имеет подключение к локальным (распределенным) сетям общего пользования, вне зависимости обусловлено ли это служебной необходимостью или нет, то ИСПДн имеет подключение.
2. Подключение ИСПДн к сетям международного информацион­ного обмена. Если ИСПДн или ее элементы имеет подключение к сети Интернет или другим сетям международного информационного обмена, вне зависимости обусловлено ли это служебной необходимостью или нет, то ИСПДн имеет подключение.
3. Тип ИСПДн. Все ИСПДн подразделяются на типовые и специ­альные. К типовым системам относятся системы, в которых требуется обеспечить только свойство конфиденциальности ПДн. Специальные ИСПДн — ИСПДн, в которых вне зависимости от необходимости обеспе­чения конфиденциальности ПДн требуется обеспечить хотя бы одну из ха­рактеристик безопасности ПДн, отличную от конфиденциальности (защи­щенность от уничтожения, изменения, блокирования, а также иных не­санкционированных действий). Характеристики безопасности задаются по решению оператора.

К специальным ИСПДн должны быть отнесены:

• ИСПДн, в которых обрабатываются ПДн, касающиеся состоя­ния здоровья субъектов ПДн;
• ИСПДн, в которых предусмотрено принятие на основании ис­ключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.

1. Местонахождение технических средств ИСПДн. Все техниче­ские средства ИСПДн находятся в пределах Российской Федерации или технические средства ИСПДн частично или целиком находятся за преде­лами Российской Федерации.

На втором этапе комиссия по результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов:

• класс 1 (К1) — информационные системы, для которых нару­шение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к значительным негативным последствиям для субъ­ектов ПДн;
• класс 2 (К2) — информационные системы, для которых нару­шение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к негативным последствиям для субъектов ПДн;
• класс 3 (К3) — информационные системы, для которых нару­шение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПДн;
• класс 4 (К4) — информационные системы, для которых нару­шение заданной характеристики безопасности ПДн, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПДн.

Класс типовой ИСПДн определяется в соответствии с таблицей:

Источник: http://itsec2012.ru/klassifikaciya-informacionnyh-sistem-personalnyh-dannyh

Персональные данные: классификация ИСПДн

Одним из первоочередных мероприятий, которое требуется осуществить при создании информационной системы обработки персональных данных (ИСПДн) является классификация ИСПДн.

Это необходимо для того, чтобы определить класс системы и соответствующие требования, предъявляемые ФСТЭК и ФСБ при обработке персональных данных (ПДн). В этой статья я опишу общую процедуру проведения классификации ИСПДн.

В соответствии с Приказом ФСТЭК/ФСБ/Мининформсвязи от 13.02.2008 № 55/86/20 о «Порядке проведения классификации информационной системы персональных данных», который можно скачать здесь, требуется проведение классификации включает в себя следующие этапы:

При проведении классификации информационной системы необходимо ответить на следующие вопросы:

1. 1К какой категории принадлежат персональные данные обрабатываемые в информационной системе – Xпд?
2. Какой объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) – Xнпд?
3. Какие заданы характеристики безопасности персональных данных, обрабатываемых в информационной системе?
4. Какая структура информационной системы?
5. Имеется ли подключение информационной системы к сетям связи общего пользования и/или сети Internet?
6. Какой режим обработки персональных данных?
7. Какой режим разграничения прав доступа пользователей информационной системы?
8. Местонахождение технических средств информационной системы?

Исходные данные и вспомогательная информация

Определяются следующие категории обрабатываемых в информационной системе персональных данных (Xпд):

1. категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
2. категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
3. категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
4. категория 4 — обезличенные и (или) общедоступные персональные данные.

Xнпд может принимать следующие значения:

• 1 — в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
• 2 — в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
• 3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

Характеристики безопасности персональных данных

Для ИСПДн определяют характеристики безопасности персональных данных, которые делятся на основные и дополнительные:

ОСНОВНЫЕ:

• конфиденциальность
• целостность
• доступность

ДОПОЛНИТЕЛЬНЫЕ:

• неотказуемость
• учетность (подконтрольность)
• аутентичность (достоверность)
• адекватность

Структура информационной системы подразделяется на:

• автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
• комплекс автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
• комплекс автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

Режим обработки

При организации ИСПДн определяют следующие режимы обработки:

• однопользовательский;
• многопользовательский.

Режим разграничения прав доступа

В ИСПДн система разграничения доступа подразумевается:

• без разграничения прав доступа;
• с разграничением прав доступа.

Информационные системы делятся на типовую и специальную.
К типовой информационной системе относятся системы, которые требуют только конфиденциальность ПДн.

К специальной информационной системе относятся системы, которые помимо конфиденциальности требуют:

• Информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
• Информационные системы, в которых на основании исключительно автоматизированной обработки персональных данных предусмотрено принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Классификация информационной системы

Согласно Приказа ФСТЭК/ФСБ/Мининформсвязи № 55/86/20, ИСПДн может принимать один из четырех классов, определенных в данном приказе:

1. класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
2. класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
3. класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
4. класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

В соответствии с данными определениями классов, для удобства классификации, построена следующая таблица:

Источник: http://zetblog.ru/personalnye-dannye-klassifikatsiya-ispdn.html

Уведомление об обработке (о намерении осуществлять обработку) персональных данных

Руководителю Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Калужской области

Угловой штамп организации

Данный образец носит рекомендательный характер и содержит варианты заполнения формы уведомления. Заполнение уведомления должно осуществляться с учетом положения дел ИП

УВЕДОМЛЕНИЕ
об обработке (о намерении осуществлять обработку) персональных данных

Полное наименование оператора: Индивидуальный предприниматель

Адрес местонахождения: Кирова ул., д. 0, г. Калуга, Калужская обл., 248000(Указывается местонахождение в соответствии с учредительными документами и свидетельством о постановке юридического лица, на учет в налоговом органе, контактная информация)
Почтовый адрес: Кирова ул., д. 0, г. Калуга, Калужская обл., 248000

Регионы: Калужская область

Правовое основание обработки персональных данных

руководствуясь: (Указываются не только Федеральный закон «О персональных данных», но и иные нормативно-правовые акты, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных) Конституцией Российской Федерации; Федеральным законом от 01.01.2001 «О персональных данных»; ст. ст. 85-90 Трудового кодекса Российской Федерации; Федеральным законом от 01.01.2001 «О бухгалтерском учете»; Налоговым кодексом Российской Федерации (часть первая от 01.01.2001 и часть вторая от 01.01.2001 ); Свидетельство о государственной регистрации физического лица в качестве индивидуального предпринимателя № 000 от 01.01.2001 г.

Цель обработки персональных данных

с целью: (указываются цели, определенные учредительными документами оператора, а так же цели, фактически осуществляемой оператором деятельности по обработке персональных данных) регистрации сведений, необходимых для оказания услуг, предусмотренных договором.

осуществляет обработку следующих категорий персональных данных:
фамилия, имя, отчество; доходы; профессия; образование; имущественное положение; социальное положение; семейное положение; адрес; место рождения; дата рождения; месяц рождения; год рождения; ИНН, свидетельство об образовании, данные паспорта, военного билета, медицинского полиса, страхового свидетельства, сведений из личных карточек, сведения воинского учета, пол, гражданство, сведения о близких родственниках, контактные телефоны
специальные категории персональных данных: (если такие категории обрабатываются) состояние здоровья;

биометрические персональные данные: (если такие категории обрабатываются) фотография;

Категории субъектов, персональные данные которых обрабатываются(Данный перечень может быть дополнен оператором самостоятельно).

принадлежащих: работникам (субъектам), состоящих в трудовых отношениях с индивидуальным предпринимателем, физическим лицам (при наличии указать нужное, например – абонентам, пассажирам, заемщикам, вкладчикам, страхователям, заказчикам), состоящим в договорных и иных гражданско-правовых отношениях с индивидуальным предпринимателем (оператором).

Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных

Сбор, систематизация, накопление, хранение, уточнение, (обновление, изменение), использование, распространение, (в том числе и передача), обезличивание, блокирование, уничтожение

обработка вышеуказанных персональных данных будет осуществляться путем: (из представленного перечня действий выбирается только один способ обработки персональных данных, также указывается наличие передачи информации по внутренней сети или сети интернет)

с передачей по внутренней сети юридического лица; с передачей по сети Интернет; (без передачи по внутренней сети юридического лица; без передачи по сети Интернет)

осуществление трансграничной передачи персональных данных: не осуществляется (осуществляется)

Соблюдение конфиденциальности при обработке персональных данных. Хранение персональных данных на бумажных носителях в сейфах, в закрытых помещениях. Использование парольной защиты на компьютерах, содержащих персональные данные.

Ответственный за организацию обработки персональных данных: (указывается ФИО или наименование юридического лица, ответственных за организацию обработки ПД, номера контактных телефонов, почтовые адреса и адреса электронной почты)

Фамилия Имя Отчество:

Номера контактных телефонов, почтовые адреса и адреса электронной почты:

Сведения об обеспечении безопасности персональных данных:

В соответствии с постановлением Правительства от 01.01.2001 № 781 производится учет лиц, допущенных к работе с персональными данными в информационной системе; разграничен доступ пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации; технические средства, позволяющие осуществлять обработку персональных данных, размещены в пределах охраняемой территории; организована защита помещений и технических средств, позволяющих осуществлять обработку персональных данных. В соответствии с постановлением Правительства от 01.01.2001 № 687 лица, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы об особенностях и правилах осуществления такой обработки, локальными актами установлены места хранения персональных данных и перечень лиц осуществляющих обработку персональных данных.

средства обеспечения безопасности: (указывается в случае использования данных средств) используется криптографические средства марки «cisco»; криптомаршрутизатор; программное обеспечение VipNet;

использование шифровальных (криптографических) средств: не используется (В случае использования оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств указываются следующие сведения:

наименование, регистрационные номера и производители используемых криптографических средств: криптомаршрутизатор «cisco» серийный номер: ; VipNet Client № 000; и т. д. уровень криптографической защиты персональных данных:уровень специальной защиты от утечки по каналам побочных излучений и наводок:уровень защиты от несанкционированного доступа:

Предоставление данной информации осуществляется в соответствии с Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации ( утв. ФСБ РФ 21.02.2008г. № 000/54-144)

класс информационной системы: : к1; к2; к3; к4 (классификация информационной системы определяется специализированной организацией или специально обученным сотрудником; пункт 14 приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 01.01.2001 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»)

Дата начала обработки персональных данных: 01.01.1985 (указывается дата регистрации ИП или дата начала осуществления уставной деятельности)

Срок или условие прекращения обработки персональных данных: Прекращение деятельности как индивидуального предпринимателя.

Источник: http://pandia.ru/text/79/113/87896.php

Режимы обработки персональных данных

Типичные ошибки при заполнении уведомления

Проблемные вопросы и часто допускаемые ошибки

при заполнении уведомлений (информационных писем).

Дополнительные разъяснения для практического применения

Чтобы не пропустить поля, обязательные для заполнения, заполняйте уведомление (информационное письмо) с помощью портала персональных данных .

Предварительно рекомендуем ознакомиться с примерами для заполнения уведомления – Как заполнить уведомление .

Разница между уведомлением и информационным письмом заключается в том, что в информационном письме обязательными для заполнения являются поля:

— «Сокращенное наименование оператора»,

— «Адрес оператора» (адрес местонахождения и почтовый адрес),

Далее заполняются лишь те поля, в содержание которых вносятся изменения. При этом поля необходимо заполнять ПОЛНОСТЬЮ, то есть информация не ДОБАВЛЯЕТСЯ в поле, а содержание поля в реестре ЗАМЕНЯЕТСЯ на новое.

Ошибка 1. Документ оформлен не на бланке организации

Правильно: Уведомление должно быть оформлено на бланке оператора или заверено печатью организации (на подписи руководителя или уполномоченного лица). По правилам делопроизводства, документ должен быть зарегистрирован и иметь исходящий номер и дату.

Ошибка 2. В поле «Наименование (фамилия, имя, отчество), адрес оператора»

Не указывается или не полно указывается адрес оператора (отсутствует почтовый индекс, муниципальный район (для организаций районов области), улица, номер дома, корпус – если имеются).

Наименования организации в уведомлении не соответствует указанному на бланке и (или) печати, сведениям в ЕГРЮЛ.

Правильно: Почтовый адрес – это адрес, по которому организация (ИП, физическое лицо) зарегистрирована в ЕГРЮЛ (ЕГРИП, адрес по прописке), адрес местонахождения – это адрес, по которому фактически осуществляется деятельность.

Затруднения в заполнении поля «Филиалы»

Имеются в виду отделения, корпуса учреждения, другие территориально обособленные отделы, магазины и иные подразделения, филиалы, имеющие отношение к Оператору и входящие в его состав.

Затруднения в заполнении поля «Правовое основание обработки персональных данных»

Не указываются соответствующие статьи, дата принятия и номер закона или иного нормативно-правового акта, регулирующего осуществляемый вид деятельности и касающегося обработки персональных данных.

Часто операторы указывают только Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных» (далее – Закон). Закон не дает правовых оснований операторам для обработки персональных данных. Законом регулируются отношения, связанные с обработкой персональных данных.

Правильно: Необходимо указать все отраслевые нормативно-правовые акты, которыми руководствуется Оператор, обрабатывая персональные данные с указанием реквизитов: дата, номер и название.

Устав ООО ____ от ___ №, Положение об ______ от ____ № ____, лицензия на ___ от ____ № _____ и т. д. (см. примеры для заполнения).

Затруднения в заполнении поля «Цель обработки персональных данных»

Необходимо обратиться к уставу организации, а также не забывать, что каждое юридическое лицо в обязательном порядке осуществляет бухгалтерский и кадровый учет, в рамках которого обрабатываются персональные данные работников, а также членов их семьи (в личных делах хранятся копии свидетельств о рождении детей, свидетельств о браке, справки с места учебы ребенка и пр.).

ИП представляют отчеты в налоговые органы, пенсионный фонд и пр., для них может иметь место формулировка «подача отчетности в федеральные органы исполнительной власти».

— «осуществление полномочий органа власти по ….»

— «выполнение государственных функций по ….»

— «оказание государственных (муниципальных) услуг по …»

— «оказание (предоставление) услуг по ….»

— «выполнение работ по ….»

Ошибка 3. В поле «Категории персональных данных»

Указываются персональные данные конкретных физических лиц – работников, клиентов, абонентов и др.; используются фразы и др.», «и т.п.», «другая информация», «анкетные данные».

Перечень категорий персональных данных должен быть полный и исчерпывающий, сокращения недопустимы.

Информация, относящаяся к физическому лицу, то есть, документы: паспорт, водительские права, удостоверение, свидетельство о рождении, военный билет, документ об образовании и пр., принадлежащие физическому лицу, не могут быть категориями персональных данных. Они являются материальными носителями персональных данных.

Правильно: указывать конкретно, например: фамилия, имя, отчество, дата рождения, место рождение, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни.

При заполнении поля для начала необходимо перечислить категории персональных данных, заполняемые в форме кадрового учета Т2, затем добавить другие категории, обрабатываемые в организации в рамках иных видов деятельности.

После того, как предложенные системой позиции в поле «Категории персональных данных» закончились (если уведомление или информационное письмо заполняется на портале персональных данных), а категории персональных данных еще остались (например, данные документа, удостоверяющего личность; ИНН; СНИЛС и пр.), необходимо перейти к заполнению поля «Другие категории персональных данных», где эти категории и перечислить (указать).

Ошибка 4. В поле «Категории субъектов, персональные данные которых обрабатываются».

Указываются не все категории субъектов персональных данных, применяются фразы «и др.», «и т.п.», «другая информация», упоминаются сторонние юридические лица.

Если есть работники, работающие по договору, то к ним справедлива формулировка «физические лица, состоящие в иных договорных отношениях»

Категория «члены семьи работника» указывается, если например в бухгалтерии хранятся справки с места учебы ребенка, копии свидетельств о рождении, свидетельств о браке; в отделе кадров хранятся анкеты, содержащие информацию о супругах, родителях, детях, иных родственниках работника и другие документы, содержащие персональные данные членов семьи.

Затруднения в заполнении поля «Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных»

Из перечня действий, указанных в требованиях ч. 3 ст. 3 Федерального Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», необходимо выбрать только те действия, которые оператор непосредственно совершает с персональными данными.

У подавляющего большинства операторов это как минимум — сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача, уничтожение.

Ошибка 5. В поле «Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»»

Копируется текст, приведенный в примерах для заполнения.

Правильно: проанализировать предложенное в примере, и если применять какие-либо слова, то только те, которые относятся к деятельности Оператора.

Подраздел «средства обеспечения безопасности» — это технические меры по обеспечению безопасности персональных данных при их обработке. Содержание подраздела «правовые меры» может быть отнесено как в Поле «Правовое основание обработки персональных данных», так и находиться здесь (либо там, либо тут, дублировать не нужно).

Необходимо указать конкретные организационные и технические меры, в том числе использование шифровальных (криптографических) средств, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.

Если используется электронная цифровая подпись (ЭЦП), необходимо заполнить раздел «использование шифровальных (криптографических) средств», где обязательно указать наименование, регистрационные номера и производителей используемых криптографических средств (ЭЦП), а также сведения об уровнях защиты (см. Методические рекомендации по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденные руководством 8 Центра Федеральной службы безопасности Российской Федерации 21.02.2008 года № 149/5-144).

Если проведена классификация информационных систем персональных данных, то необходимо в уведомлении так же указать к какому классу они относятся (см. Приказ от 13.02.2008 №55, №86, №20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»)

К техническим мерам можно отнести:

1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применение технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учет машинных носителей персональных данных;

6) обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

Затруднения в заполнении поля «Дата начала обработки персональных данных»

Фактически это дата, которая указана в свидетельстве ИНН.

Ошибка 6. Уведомление подписано неуполномоченным лицом

Уполномоченным лицом является:

— единоличный исполнительный орган, действующий на основании устава (генеральный директор, директор, президент, управляющий);

— руководитель или начальник, действующий на основании положения;

— представитель юридического лица, действующий на основании доверенности, в которой содержится соответствующее полномочие. В этом случае к уведомлению необходимо приложить документ, подтверждающий полномочия лица на подписание документов.

Ошибка 7. Не указан исполнитель, контактная информация исполнителя

Поле необходимо заполнить для обратной связи с исполнителем документа.

Время публикации: 22.07.2013 15:24
Последнее изменение: 25.07.2013 12:47

© 2009-2020, Версия 2.15.18

Официальный интернет-ресурс Федеральной службы по надзору

в сфере связи, информационных технологий и массовых коммуникаций

Источник: http://32.rkn.gov.ru/personal-data/p13325/

Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 г. Москва «Об утверждении Порядка проведения классификации информационных систем персональных данных»

Изменения и поправки

Зарегистрирован в Минюсте РФ 3 апреля 2008 г.

Регистрационный N 11462

В соответствии с пунктом 6 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2007, N 48, часть II, ст. 6001), приказываем:

Утвердить прилагаемый Порядок проведения классификации информационных систем персональных данных.

по техническому и экспортному контролю

Директор Федеральной службы безопасности

Министр информационных технологий и связи Российской Федерации

Порядок проведения классификации информационных систем персональных данных

1. Настоящий Порядок определяет проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее — информационные системы)1.

2. Классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее — оператор)2.

3. Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.

4. Проведение классификации информационных систем включает в себя следующие этапы:

сбор и анализ исходных данных по информационной системе:

присвоение информационной системе соответствующего класса и его документальное оформление.

5. При проведении классификации информационной системы учитываются следующие исходные данные:

категория обрабатываемых в информационной системе персональных данных — Х пд ;

объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) — Х нпд ;

заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;

структура информационной системы;

наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;

режим обработки персональных данных;

режим разграничения прав доступа пользователей информационной системы;

местонахождение технических средств информационной системы.

6. Определяются следующие категории обрабатываемых в информационной системе персональных данных (Х пд ):

категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;

категория 4 — обезличенные и (или) общедоступные персональные данные.

7. Х нпд может принимать следующие значения:

1 — в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;

2 — в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных.данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;

3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

8. По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.

Типовые информационные системы — информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Специальные информационные системы — информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

К специальным информационным системам должны быть отнесены:

информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;

информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

9. По структуре информационные системы подразделяются:

на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);

на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);

на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

10. По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения, и системы, не имеющие подключений.

11. По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские.

12. По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.

13. Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.

14. По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:

класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

15. Класс типовой информационной системы определяется в соответствии с таблицей.

16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»3.

17. В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.

18. Результаты классификации информационных систем оформляются соответствующим актом оператора.

19. Класс информационной системы может быть пересмотрен:

по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;

по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.

1Абзац первый пункта 1 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г.

N 781 (Собрание законодательства Российской Федерации, 2007, N 48, часть II,

ст. 6001) (далее — Положение).

2Абзац первый пункта 6 Положения.

3Собрание законодательства Российской Федерации 2007, N 48, часть II, ст. 6001.

Источник: http://rg.ru/2008/04/12/informaciya-doc.html