Бесплатная горячая линия

8 800 301 63 12
Главная - Другое - Защита персональных данных на предприятии с чего начать

Защита персональных данных на предприятии с чего начать

Защита персональных данных на предприятии с чего начать

Практическое руководство по выполнению требований 152-ФЗ


Закрыть Каждый год компания СКБ Контур проводит конкурс для предпринимателей «», в нем участвуют сотни бизнесменов из разных городов России — от Калининграда до Владивостока. Благодаря конкурсу мы создали вдохновляющую коллекцию бизнес-историй, рассказанных людьми, которые превращают небольшие стартапы в успешные компании.

Их опыт и cоветы будут полезны каждому, кто задумывается об открытии своего дела. Для старта необходимы некоторые предварительные условия: идея, немного денег и, что самое важное, желание начать Фред ДеЛюка Основатель Subway Подписка на уведомления о новых статьях Подписаться Мне не интересно

10 апреля 2015 Каждая организация, обрабатывающая персональные данные (далее — Оператор), сталкивается с вопросом приведения своих информационных систем в соответствие с требованиями законодательства.

Рассмотрим плюсы и минусы распространенных сценариев поведения Операторов и предложим альтернативный подход.

Отношение Операторов персональных данных к требованиям законодательства разнообразно. Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся. Кто-то отдает вопросы защиты информации полностью на откуп сторонним организациям.

Кто-то находит шаблонные комплекты организационно-распорядительных документов в общедоступных источниках, корректирует их, распечатывает и на этом останавливается. Каждый из этих подходов имеет свои недостатки.

Бездействие Оператора не спасает его от плановых или внеплановых (например, организованных по жалобе субъекта ПДн) проверок контролирующих органов. На фоне новостей о постоянно растущих штрафах за нарушения требований обработки ПДн такой подход выглядит малопривлекательным.

При полной передаче вопросов защиты информации на аутсорсинг появляется риск значительно переплатить.

Это часто выливается в покупку дорогостоящих средств защиты информации с избыточной и не всегда востребованной функциональностью.

Кроме того, созданная и внедренная система защиты без поддержки пользователей и администраторов Оператора в какой-то момент перестает быть актуальной.

Ведь система защиты — это не только реализация технических мер и средств, а еще и организационные мероприятия, направленные на выработку сотрудниками Оператора норм и правил корректного отношения к защищаемой информации.

Шаблонные комплекты из сети позволяют создать лишь видимость защиты информации, при этом информационные системы фактически остаются уязвимы и подвержены угрозам. Мы предлагаем синтетическую концепцию, когда уполномоченное лицо Оператора самостоятельно проходит определенные шаги построения системы защиты.

А на этапе технической реализации системы защиты возможно привлечение специализированных организаций.

Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации. Рассмотрим подход подробнее. Каждый оператор, приступая к работе, задается вопросом — с чего начать?

Определимся с нормативной базой, на которую будем опираться.

  • .
  • .
  • .

Мы рекомендуем начинать с идентификации систем, в которых осуществляется обработка ПДн, и их детального изучения. Дальнейшие действия будут зависеть от того, какая перед нами система.

Разберем порядок действий на отдельно взятой информационной системе. Сначала необходимо понять, относится ли рассматриваемая система к государственным информационным системам (ГИС) или нет.

От этого будет зависеть подход к защите. Как определить, ГИС перед нами или нет, описано в отдельной .

Рекомендации для систем обработки ПДн далее по тексту будем называть «для ИСПДн», рекомендации для государственных систем — «для ГИС». Необходимо определить, какие угрозы ИБ актуальны для рассматриваемой информационной системы. Определение актуальных угроз производится в соответствии с

«Методикой определения актуальных угроз безопасности персональных данных»

.

В общем случае алгоритм выглядит так:

  • Формируется перечень рассматриваемых угроз на основании «Базовой модели угроз безопасности персональных данных» и Банка данных угроз безопасности информации (см. выше). Для каждой угрозы экспертным путем определяется вероятность реализации.
  • По совокупности ответов на ряд первичных вопросов делается вывод об исходной защищенности информационной системы.
  • На основании показателей реализуемости и опасности делается вывод об актуальности для каждой угрозы. Формируется перечень актуальных угроз.
  • На основании вероятности реализации и уровня исходной защищенности определяется коэффициент реализуемости для каждой угрозы.
  • Для каждой угрозы экспертным путем определяется показатель опасности для ИС и Оператора.

Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:

  1. не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении.
  2. связанные с наличием недекларированных возможностей в прикладном программном обеспечении;
  3. связанные с наличием недекларированных возможностей в системном программном обеспечении;

Рассматриваем каждую угрозу в отдельности.

Определяем, к какому максимальному типу они относятся. Следующим шагом необходимо определить категорию обрабатываемых данных.
Существуют следующие категории персональных данных:

  1. иные.
  2. биометрические;
  3. специальные;
  4. общедоступные;

В одной ИС могут обрабатываться несколько категорий персональных данных.

Подробное определение категорий дано в № 152-ФЗ. Необходимо определить объем обрабатываемых ПДн.

Здесь возможны 3 вариации:

  1. до 100 тысяч;
  2. более 100 тысяч;
  3. ПДн сотрудников Оператора (без привязки по объему).

На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119.

Для Определения УЗ можно воспользоваться специальной таблицей: Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013.
Для этого определяются дополнительные к предыдущему разделу показатели:

  • Масштаб ГИС. Может быть федеральным, региональным и объектовым. Критерии определения зафиксированы в приказе ФСТЭК №17.
  • Уровень значимости информации — определяется степенью возможного ущерба Оператора от нарушения конфиденциальности, целостности или доступности информации. Имеет три значения по убыванию значимости — УЗ1, УЗ2, УЗ3. Определяется экспертным путем. Критерии определения зафиксированы в приказе ФСТЭК № 17.

На основании уровня значимости и масштаба ИС делается вывод о классе ГИС.

После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС.

Для ИСПДн требования формируются в соответствии с определенным уровнем защищенности на основании № 152-ФЗ, постановления Правительства № 1119, приказа ФСБ РФ № 378 и приказа ФСТЭК № 21. Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17. В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС.
В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС.

Назовем его базовый набор мер.

Следующим шагом является анализ полученного базового набора мер и его актуализация. То есть удаление из него всех мер, несвойственных рассматриваемой информационной системе. Например, удаляем меру «Защита беспроводных сетей», если беспроводные технологии в ИС не применяются.

В итоге получаем адаптированный базовый набор мер.

Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ.

В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами. В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер. На выходе получаем дополненный адаптированный базовый набор мер.

В соответствии с полученным набором мер осуществляется выбор технических средств защиты или организационных мероприятий, направленных на выполнение мер. Происходит формирование проекта системы защиты информации. Для ИСПДн сертифицированные средства защиты информации применяются для закрытия актуальных угроз ИБ.

Для ГИС применяются только сертифицированные средства защиты информации. Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты.

Разрабатываются политики, положения, инструкции, которые внедряются в процессы обработки информации. Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации. На этом этапе привлекаются оказывающие соответствующие услуги. При самостоятельном внедрении . Контур-Безопасность: Разработка, внедрение и сопровождение систем защиты ПДн.

Контур-Безопасность: Разработка, внедрение и сопровождение систем защиты ПДн.

После введения системы защиты в эксплуатацию проводится оценка соответствия принятых мер требованиям законодательства.

Для ИСПДн оценка соответствия в форме аттестации не обязательна. Достаточным является проведение испытаний на соответствие требованиям безопасности с выдачей заключения.

Испытания могут быть проведены оператором как самостоятельно, так и с привлечением специализированных организаций.

Для ГИС оценка соответствия в форме аттестации является обязательной процедурой. Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность.

Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации.

В результате данного подхода получаем систему защиты информации. Как видим, привлечение специализированных организаций происходит только на заключительных этапах. Данный подход позволяет сэкономить организациям значительные средства, так как основную часть работ они выполняют самостоятельно.

Кроме того, последовательно выполняя шаги, уполномоченные лица Операторов напрямую участвуют в работе по защите ИС, что должно положительно сказаться на эффективности полученной системы защиты информации. Система защиты информации внедрена и принята в эксплуатацию.

Можно ли успокоиться и забыть о ней? Конечно нет. Мир информационных систем и технологий очень изменчив.

Технологии развиваются и совершенствуются, изменяются информационные системы. Возможно, через какое-то время угрозы ИБ, которые не были актуальны при проектировании системы защиты, станут актуальны. Для поддержания системы защиты информации в рабочем состоянии рекомендуем проводить аудит информационной безопасности не реже одного раза в год, привлекая для этого специалистов — либо собственными силами.

Удачи на пути создания собственной эффективной системы защиты информации. Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур» Загрузить ещё

Практика.

Создание системы защиты персональных данных


Traffic Inspector Next Generation Team 30.04.2021 Поделиться

807 Вне зависимости от того, принадлежит ли компания к большому, малому или среднему бизнесу, состоявшаяся это организация или пока еще стартап — вопрос защиты персональных данных актуален для всех.

Эта статья посвящена особенностям и средствам такой защиты, а также рекомендациям, которые помогут упростить эту работу и сделать ее более эффективной. Сфера защиты данных юридически регулируется информационным правом (одной из подотраслей административного права), нормы которого прописаны в нескольких законодательных актах.

Один из основных — Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных», цель которого заявлена как «общее обеспечение защиты конституционных прав и свобод человека и гражданина при обработке персональных данных», таких как право на неприкосновенность частной жизни, личную и семейную тайну. Реализация мер по защите персональных данных — это зона ответственности оператора, т.

е. субъекта, осуществляющего сбор и обработку данных в информационной системе. Как правило, таким субъектом выступает компания, владеющая базами данных своих сотрудников и клиентов либо сторонняя организация, уполномоченная компанией-владельцем.

При невыполнении мер защиты оператор несет законодательно установленную ответственность.

Наблюдением и проверками компаний в данном случае занимается Роскомнадзор. В случае если требования законодательства нарушены, оператор несет административную ответственность и обязан заплатить штраф.

С 2021 года его размер повысился до сотен тысяч (для юридических лиц — миллионов) рублей — в соответствии с недавними поправками, внесенными в Кодекс РФ об административных правонарушениях.

Общая сумма штрафов, выписанных по итогам проверок, составила более пяти миллионов за предыдущий год. Начнем с вопроса терминологии. Персональные данные представляют собой любую информацию, относящуюся прямо или косвенно к физическому лицу, который в законе прописан как субъект персональных данных.

Наиболее распространенные разновидности такой информации:

  1. адрес электронной почты.
  2. мобильный телефон;
  3. паспортные данные;
  4. точное место жительства;

Фамилия, имя и отчество сами по себе тоже могут являться персональными данными. Попадание этой информации к любым третьим лицам должно быть исключено. Кроме того, необходимо понимать, что оператор имеет право на обработку данных лишь в некоторых случаях:

  1. планируется заключение договора с субъектом (даже в случае оферты на веб-сайте);
  2. если им получено согласие на обработку (необязательно письменное);
  3. обрабатываются персональные данные своих сотрудников;
  4. в особых случаях, когда обработка нужна для защиты жизни, здоровья и прочих важных интересов человека.

Если компания-оператор не смогла доказать ни одно из перечисленных оснований обработки, на нее также налагается штраф и сбор данных считается незаконным.

Самый важный пункт здесь — само согласие на обработку. Простейший способ, которым пользуются большинство компаний — реализованная тем или иным образом форма быстрого выражения согласия. Обычно это знакомая многим «галочка» под сопровождающим ее текстом о собственно согласии.

Еще один параметр, который нужно учитывать — не стоит обрабатывать персональную информацию, не имеющую непосредственного отношения к предмету договора (скажем, для классического договора купли-продажи не имеют значения профессия, уровень образования или воинская обязанность покупателя).

Излишний интерес может быть истолкован надзорными органами как нарушение.

Поскольку время от времени Роскомнадзор проводит внеплановые проверки (чаще всего, если есть жалобы конкретного лица — бывшего сотрудника, конкурирующей компании или клиента, считающего, что его права нарушены), во избежание претензий компании-оператору нужно удостовериться, что:

  1. Форма сбора персональных содержит разъясняющую информацию о том для чего они собираются (когда ввод персональных данных необходим для заключения договора, его текст также обязательно должен быть опубликован).
  2. Политика в отношении персональных данных задокументирована и находится в публичном доступе.
  3. Уже собранные специальные данные человека, включая биометрические (те сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых может быть установлена его личность) не могут быть переданы заграничным компаниям.
  4. Запросы и требования субъектов персональных данных (в том числе об уточнении, удалении, блокировании) всегда удовлетворяются.

Чаще всего проверки Роскомнадзора выявляет нарушения из этого списка.

Другая распространенная претензия — недостаточный внутренний контроль за осуществлением обработки и слабая осведомленность сотрудников, которые за нее отвечают о правилах и требованиях ее проведения. Перечисленные нами условия — это некая база, фундамент, поскольку защита персональных данных основывается не только на соблюдении юридической стороны дела — что, в целом, не так уж и сложно и требует лишь внутренней дисциплины в компании, — но и куда более сложной технической организации.

Когда обработка происходит с использованием информационных систем (а значит, и электронных устройств), появляются новые потенциальные угрозы, которые нужно свести к минимуму, а лучше и вовсе исключить. Рассмотрим их. Угрозой информации считают возможное влияние или воздействие на автоматизированную систему обработки изнутри или извне, которое влечет за собой любые негативные последствия для субъектов этой информации. Обычно информационные системы становятся особо уязвимыми, когда:

  1. усложнены условия эксплуатации и хранения информации.
  2. программное обеспечение компании несовершенно, давно не обновлялось и содержит уязвимости;
  3. некоторые процессы системы (в частности, защитные) функционируют не в полную силу;

Угрозы принято делить на несколько групп (в основе классификации лежит природа угрозы):

  1. Объективная.

    Она напрямую зависит от того, насколько грамотно подобрано оборудование для хранения и обработки, работает ли должным образом защитное ПО.

Типичные проблемы:

  1. слабые антивирусы, отсутствие шлюзов безопасности,
  2. невозможность зрительного контроля за серверами и доступом к ним.
  3. неисправность технических средств,

Предусмотреть все возможные сбои и неполадки невозможно, но важно знать где и почему они могут потенциально произойти — и подстраховаться.

  1. Субъективная. Как правило, под такими угрозами понимают неправильные действия сотрудников, осуществляющих техническую обработку, хранение и защиту информации. Они могут ошибаться в соблюдении правил безопасности и допускать утечки при загрузке программного обеспечения или в момент активного использования системы, при различных манипуляциях с базами данных, при включении и выключении аппаратуры. Также к этой группе относятся неправомерные действия бывших сотрудников, у которых остался несанкционированный доступ к данным.
  2. Случайная. Эта группа включает в себя непредвиденные обстоятельства, различные ЧП и системные сбои. В данном случае важно быть готовыми оперативно их устранить (любые неисправности технических средств на всевозможных уровнях системы, в том числе тех, которые отвечают за контроль доступа, устаревание и износ отдельных микросхем, носителей данных, линейных соединений, неисправность в работе антивирусных, сервисных и прикладных программ).

Специалисты компании-оператора должны учитывать все типы угроз.

Во внимание следует принять критерии, которые помогут понять, какова реальная возможность угрозы того или иного типа (а также вероятность поломки или успешного обхода защитных алгоритмов):

  1. Доступность. Этот критерий демонстрирует, насколько просто злоумышленник может получить доступ к нужной ему информации или к инфраструктуре организации, где хранятся эти данные.
  2. Количество. Это параметр, подразумевающий собой определение количества потенциально уязвимых деталей системы хранения и обработки данных.
  3. Фатальность. Эта характеристика предполагает оценку степени глубины влияния угрозы на общее функционирование системы и способность специального персонала компании справиться с последствиями от влияния этого фактора.

Точный расчет вероятности воздействия той или иной угрозы производится математически — это могут сделать аналитические эксперты компании. Такой самоанализ позволяет объективно оценить риски и предпринять дополнительные меры защиты: закупить более совершенное оборудование, провести дополнительное обучение работников, перераспределить права доступа и т.

д. Существует несколько других, более подробных классификаций внутренних и внешних угроз, которые будут полезны для систематизации всех факторов. Рассмотрим и их. Преднамеренность вмешательства:

  1. угроза, вызванная небрежностью сотрудников, работающих с информационной системой;
  2. угроза, инициируемая субъектами извне с целью получения личной выгоды.

Характеристики появления:

  1. искусственная угроза, созданная при участии человека;
  2. природная, неподконтрольная человеку (чаще всего — стихийные бедствия).

Непосредственная причина угрозы:

  1. природный фактор (вне зависимости от масштаба);
  2. удаление данных случайным путем из-за отказа техники.

  3. специализированное вредоносное программное обеспечение, нарушающее работу системы;
  4. человек, разглашающий строго конфиденциальные сведения;

Момент воздействия угрозы на информационные ресурсы:

  1. при получении системой новой информации;
  2. в момент обработки информации (обычно это происходит из-за рассылок вирусных утилит);
  3. независимо от степени активности работы системы (например, при направленном взломе шифров или криптозащиты).

Существуют и другие классификации, учитывающие среди параметров возможность доступа работников к самой системе или ее элементам, способ доступа к основным частям системы и конкретные способы размещения информации.

Значительную часть всех угроз эксперты связывают с объективными внешними факторами и информационным вторжением со стороны конкурентов, злоумышленников и бывших сотрудников.

Особую опасность представляют те из них, кто знаком с правилами функционирования конкретной системы, обладает знаниями на уровне разработчика программ и имеет сведения о том или ином уязвимом месте в системе. Информационная безопасность подразумевает четыре уровня защиты от угроз:

  1. Первый уровень. Наиболее высокий, предполагает полную защиту специальных персональных данных (национальная и расовая принадлежность, отношение к религии, состояние здоровья и личная жизнь).
  2. Второй уровень. Предполагает защиту биометрических данных (в том числе фотографии, отпечатки пальцев).
  3. Третий уровень. Представляет собой защиту общедоступных данных, то есть тех, к которым полный и неограниченный доступ предоставлен самим человеком.
  4. Четвертый уровень. Это сборная группа, в которую включают все данные, не упомянутые в предыдущих трех пунктах.

Таким образом, все данные, собранные в информационной базе компании, могут быть четко распределены по уровням защиты. Защита информации по уровням в каждом случае состоит из цепочки мер.

  1. Первый уровень. Кроме всех требований, которым необходимо следовать на втором уровне, включает обеспечение автоматической регистрации в электронном журнале безопасности полномочий сотрудников, имеющих доступ к данным, в случае изменения этих полномочий, а также возложение ответственности за информационную безопасность на специально созданное подразделение.
  2. Второй уровень. Помимо выполнения требований предыдущего уровня, включает в себя ограничение доступа к электронному журналу безопасности.
  3. Третий уровень. Подразумевает выполнение всех требований, предусмотренных для предыдущего уровня, и назначение ответственного за информационную безопасность должностного лица.
  4. Четвертый уровень. Означает исключение из помещения, где находится информационное оборудование, посторонних лиц, обеспечение сохранности носителей данных, утверждение четкого списка работников, которые имеют допуск к обработке данных, а также использование специальных средств защиты информации.

Должное выполнение прописанных в законодательстве мер защиты персональных данных в соответствии с уровнями обеспечивает максимальную эффективность общей стратегии защиты информации, принятой в компании-операторе. Подробный список технических и организационных мер по обеспечению безопасности также определен юридически. К ним относятся процедура идентификации и аутентификации субъектов и объектов доступа, цепочка управления доступом, ограничение программной среды, надежная защита машинных носителей информации, антивирусная защита, предотвращение и обнаружение вторжений, аналитика степени защищенности среды наряду с обеспечением доступности данных и выявлением событий, которые потенциально приведут к сбоям в работе системы.

Кроме того, закон обязывает в случае технической невозможности реализации каких-либо мер разрабатывать другие, компенсирующие меры по нейтрализации угроз. Технические средства защиты также имеют отдельную классификацию и должны выбираться в зависимости от требуемого уровня защиты. Средства определены официальным документом, составленным Федеральной службой по техническому и экспортному контролю (орган исполнительной власти, занимающийся защитой информации).

Документ доступен на. Каждый из классов имеет минимальный набор требований по защите.

Одним из наиболее действенных способов защиты персональных данных является использование средств криптографии.

Если упростить, то речь идет о шифровании текста с помощью цифрового кода.

К криптографическим средствам относятся аппаратные, программные и комбинированные устройства и комплексы, способные реализовывать алгоритмы криптографического преобразования информации. Они предназначены одновременно для защиты информации при передаче по каналам связи и защиты ее от неразрешенного доступа при обработке и хранении.

Логика проста: злоумышленник, который не знает кода, не сможет воспользоваться данными, даже если получит к ним доступ, поскольку не прочтет их. Для него они остануться бессмысленным набором как будто случайных цифр. Регламент использования криптографических средств определяется Федеральной службой безопасности и документирован в соответствующем.

Как видим, поддержание системы информационной безопасности силами отдельной компании представляется довольно трудоемкой задачей.

Далеко не каждый бизнес или государственная компания могут позволить себе штат профильных специалистов.

Во многих случаях проще отдать эту задачу на аутсорс, нанять сторонних специалистов, которые помогут подобрать и установить подходящее оборудование, проконсультирую персонал, окажут поддержку с написанием политики конфиденциальности и внутренних регламентов по обращению с засекреченной информацией. Такое сотрудничество всегда требует большой вовлеченности со стороны руководящего звена компании и всех ее сотрудников.

Невнимательность и недостаточно серьезное отношение к соблюдению мер защиты могут закончиться кражей данных, крупными штрафами, судебными разбирательствами и репутационными потерями. Регулярно проводите оценку эффективности выбранных мер защиты, оперативно вносите коррективы, следите за изменениями в законодательстве.

Предупредить угрозу в разы проще (и дешевле), чем бороться с ее последствиями. Попробовать бесплатно Теги Поделиться Рекомендуем почитать 12.11.2019 2080 Теги: UTM-решения, Traffic Inspector Next Generation, советы, локальная компьютерная сеть 28.04.2021 1982 Теги: бета-тестирование, Смарт-Софт, Traffic Inspector Next Generation 18.05.2021 61 Теги: Информационная безопасность, Средства защиты информации, Traffic Inspector Next Generation Traffic Inspector Next Generation подойдет и вашему бизнесу вне зависимости от его размеров. Убедитесь! Заказать тестирование

Защита персональных данных в организациях

Copyright: фотобанк Лори Система защиты персональных данных в организации – это комплекс различных мероприятий, необходимых для сохранения от несанкционированного доступа личных данных сотрудников, о которых стало известно работодателю в связи с их трудоустройством.

Компания или ИП-работодатель считается оператором персональных данных, так как занимается их обработкой, хранением, определяет состав предоставляемой информации и может совершать с ней определенные действия, например, передавать в банк ( закона «О персональных данных» № 152-ФЗ от 27.07.2006). Неисполнение обязанности юрлица по защите персональных данных влечет административную, материальную и дисциплинарную ответственность.

Должностное лицо, умышленно занимающееся незаконным сбором и распространением конфиденциальной информации, может понести уголовное наказание в соответствии со ст.

УК РФ «Нарушение неприкосновенности частной жизни». Многие организации собирают, обрабатывают и хранят персональные сведения не только о своих работниках. Например, банки требуют их от клиентов, интернет-магазины – от покупателей, государственные ведомства – от заявителей.

И в любых случаях персональные данные (сокращенно – ПД) нуждаются в защите. Но ПД работников собирают и обрабатывают все организации, где есть хотя бы один сотрудник, независимо от того, чем занимается фирма.

Защита конфиденциальной информации о работниках регулируется следующими нормативными актами:

  1. Законом № 152-ФЗ «О персональных данных» от 27.07.2006 – ст. , 19, 22.1;
  2. Правительственным постановлением № 1119 от 01.11.2012 – содержит требования к защите ПД при их обработке в информационной системе;
  3. Приказом ФСТЭК (аббревиатура Федеральной службы по техническому и экспортному контролю) № от 18.02.2013 – в документе перечислены технические и управленческие средства для защиты персональных данных в организации, содержащихся в информационных системах.
  4. Трудовым кодексом РФ – ст. -90;

Административная ответственность предусмотрена за различные правонарушения, связанные с несоблюдением законодательства о персональных данных. В частности, она может наступить за обработку ПД гражданина без его согласия, или обработку данных, несовместимую с целями их сбора, либо проводимую в случаях, не предусмотренных российским законодательством ( КоАП РФ). Читайте также: Чтобы наладить надлежащую работу по защите персональных данных, организации необходимо подготовить ряд внутренних документов:

  1. Положение о персональных данных (в нем должен быть раздел, посвященный их защите от посторонних лиц – с перечислением мер по ее обеспечению);
  2. Должностные инструкции, детально регламентирующие, как обеспечивается защита персональных данных в организациях конкретными сотрудниками.
  3. Приказ о допуске работников к персональным данным – со списком уполномоченных подчиненных, где указывается их ФИО и должность;
  4. Приказ о назначении сотрудника, ответственного за работу с ПД — на него возлагается обязанность обеспечивать и их защиту (это может быть любой сотрудник, так как требований к его квалификации в данном случае не установлено);
  5. Расписки о неразглашении ПД – заранее разрабатывается их форма и дается на подпись сотрудникам (другой вариант – включать пункт о неразглашении ПД в трудовой договор с работником);

Кроме того, нужно заручиться письменным согласием работников или иных лиц, если их персональные данные будут передаваться сторонним организациям.

Брать такие согласия следует и в случае, если обработка осуществляется работодателем в рамках трудового законодательства. В этом случае письменно уведомлять Роскомнадзор об осуществлении обработки ПД сотрудников не нужно (ст. закона «О персональных данных»).

Но оно обязательно, если юридическое лицо обрабатывает ПД сторонних лиц – покупателей, клиентов, получателей государственных услуг и т.д. Читайте также: Чтобы соблюсти требования закона, установленные в отношении ПД, организация должна:

  1. Подготовить образцы расписок о неразглашении ПД.
  2. Разработать Положение о персональных данных, включив раздел об их защите.
  3. Определить в соответствующем протоколе тип угрозы безопасности ПД в информационных системах, то есть риск их утечки и серьезность последствий, если они станут доступными для посторонних лиц. Всего существуют 3 типа угрозы. Условия их присвоения определены Правительственного Постановления № 1119 от 01.11.2012.
  4. Издать иные локальные акты, регламентирующие правила обработки персональных данных, защиты ПД.
  5. Определить в протоколе уровень защищенности ПД при их обработке в информационной системе. В зависимости от вида персональных данных и других факторов определены 4 градации. Например, обработка биометрии человека относится к первому (высшему) уровню защищенности, а обработка персональных данных сотрудников – это обычно 3-й уровень.
  6. Назначить сотрудника, который будет отвечать за работу с ПД.
  7. Реализовать мероприятия, способные защитить персональные данные – установить антивирус, разграничить доступ к ПД, поставить оборудование, на котором невозможно использование съемных носителей информации и т.д.

Один раз в три года следует проводить контроль выполнения требований о защите ПД и оценивать эффективность предпринятых мер, фиксируя данные в специальном протоколе. Полные тексты нормативных документов в актуальной редакции вы всегда сможете посмотреть в Рубрики: Tags: Понравилась статья?

Подпишитесь на рассылку Кадровое делопроизводство Кадровое делопроизводство Кадровое делопроизводство | 13:50 19 июня 2021 Кадровое делопроизводство Кадровое делопроизводство Кадровое делопроизводство Кадровое делопроизводство | 15:02 23 января 2017 Кадровое делопроизводство Кадровое делопроизводство Кадровое делопроизводство Кадровое делопроизводство Кадровое делопроизводство Кадровое делопроизводство Кадровое делопроизводство Кадровое делопроизводство Декретный отпуск Пенсионеры Бухгалтерский учет Бухгалтерская отчетность Трудовые отношения УСН Командировки НПД Прием на работу Кадровое делопроизводство ЕНВД Кадровое делопроизводство УСН Больничный лист Декретный отпуск Современный предприниматель Налоги и учет для малого бизнеса © 2006 — 2021 Все права защищены.

Последние новости по теме статьи

Важно знать!
  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов.
  • Знание базовых основ желательно, но не гарантирует решение именно вашей проблемы.

Поэтому, для вас работают бесплатные эксперты-консультанты!

Расскажите о вашей проблеме, и мы поможем ее решить! Задайте вопрос прямо сейчас!

  • Анонимно
  • Профессионально

Задайте вопрос нашему юристу!

Расскажите о вашей проблеме и мы поможем ее решить!

+