+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Защита персональных данных на автоматизированном рабючем месте

Содержание

Защита персональных данных в СЭД

Защита персональных данных на автоматизированном рабючем месте

Защита персональных данных, обрабатываемых в системах электронного документооборота, становится самостоятельной технической задачей, иногда не решается силами самого пользователя СЭД.

Программные модули, предназначенные для организации электронного документооборота, не всегда защищены должным образом от внутренних и внешних угроз, а обрабатываемые в них сведения часто относятся к категории конфиденциальной информации.

Особенности обработки персональных данных в СЭД

Любая крупная компания использует в своей деятельности программы электронного документооборота. Они предназначены для совместной работы над документами, осуществления их визирования и согласования.

Часто документы, попадающие для обработки в эти системы, содержат персональные данные сотрудников компании и иных лиц, например, клиентов организации.

Примером может стать визирование договора с клиентом, содержащего его имя, данные паспорта, ИНН и места жительства.

В связи с этим при заказе разработки или доработки СЭД у интеграторов клиенты предъявляют требования по ее соответствию законодательству о защите персональных данных. Для того чтобы на СЭД распространялись эти нормы, необходимо соблюдение следующих условий:

  • она должна иметь в своей структуре справочники, содержащие данные физических лиц;
  • сведения должны давать возможность идентифицировать конкретного субъекта персональных данных.

Кроме справочников в СЭД может храниться и другая информация в текстовом виде или в виде сканированных документов – анкеты, истории болезни, личные дела.

Особенно много таких данных содержится в СЭД компаний, которые работают в секторе B2С, оказывая услуги именно гражданам.

Соответственно, системы документооборота должны защищаться полностью в соответствии с теми требованиями, которые предъявляются к информационным системам персональных данных сообразно уровню их защищенности, установленному постановлением Правительства № 1119.

Как определяются требования к степени защиты СЭД

Нормативно-правовой акт устанавливает четыре уровня, в зависимости от категории данных и количества лиц, сведения о которых обрабатываются в системе. Персональные данные, доверенные компании, делятся на данные сотрудников и клиентов. По классу информации они подразделяются еще на четыре группы:

  • 1 – специальные данные, дополнительная защита которых предусмотрена российским и европейским правом, это сведения о здоровье, интимной жизни, политических и религиозных убеждениях;
  • 2 – биометрическая информация, содержащая сведения о физических особенностях субъекта. Это отпечатки пальцев, фотография, личная подпись;
  • 3 – сведения, переданные субъектом персональных данных, не относящиеся к 1 или 2 группе, но позволяющие получить более подробную информацию о гражданине;
  • 4 – общедоступные данные. 

После определения, к какой именно группе защищенности должна относиться СЭД, для выбора технических средств, необходимых для ее работы в режиме защиты персональных данных, нужно построить актуальную модель угроз. В ее основу лягут угрозы трех типов:

  • угрозы 1-го типа обусловлены присутствием недекларированных (недокументированных) возможностей в системном программном обеспечении, установленном в информационных системах персональных данных;
  • угрозы 2-го типа обусловлены присутствием недекларированных возможностей в прикладном программном обеспечении, установленном в информационных системах персональных данных;
  • угрозы 3-го типа не связаны с наличием неявных возможностей во всех типах ПО.

Как именно определяется тип угроз, нормативные акты не регламентируют, компании могут сделать это самостоятельно или поручить подготовить модель угроз разработчику ПО или его интегратору.

Сертифицированное программное обеспечение

Изучая Постановление Правительства и приказы ФСТЭК России, посвященные вопросам обеспечения безопасности информационных систем, содержащих персональные данные, владельцы электронных систем документооборота не всегда могут определиться с ответом на вопрос, обязательна ли сертификация для используемого программного обеспечения. Она требуется для криптографических средств защиты, но нужно ли сертифицировать, к примеру, 1С Документооборот, если он содержит справочники клиентов – физических лиц.

Ответ будет однозначным. Если в системе находятся персональные данные, которые позволяют однозначно идентифицировать то или иное физическое лицо, она должна быть сертифицирована.

Обязанность эта возлагается на разработчика, который должен обратиться в ФСТЭК России для сертификации своего продукта согласно установленным требованиям безопасности персональных данных.

Следует учитывать, что сертификация имеет особенности:

  • оформляется на конкретную версию программного продукта. При выпуске обновления сертифицировать продукт придется заново;
  • выдается на определенный срок;
  • рассчитана на конкретное количество экземпляров программного продукта;
  • исключает возможность существенной доработки или дописывания программы, что часто делается компаниями применительно к 1С.

Если владелец системы электронного документооборота решит аттестовать систему на ее соответствие требованиям защищенности персональных данных, одной сертификации программного обеспечения может не хватить.

Дополнительно придется пройти ту же процедуру в отношении встроенных в нее технических средств защиты, как антивирусной, так и криптографической, если передача информации производится по телекоммуникационным каналам связи общего или локального использования.

Заказчик должен осознавать, что процесс сертификации программных продуктов и аттестации системы защиты персональных данных очень длителен – иногда занимает несколько месяцев.

По его завершении может выясниться, что появились новые угрозы, не учтенные в модели, или изменились требования контролирующих органов, и проведенная работа по подготовке системы уже не соответствует требованиям текущего момента.

Частично этот вопрос решается тем, что сейчас сертификация разрешена для отдельных поколений программных продуктов.

На практике это означает, что сертифицируется первая версия программного продукта, а после ее обновления вместо сертификации достаточно будет только пройти процедуру инспекционного контроля со стороны ФСТЭК РФ.

Инспекция должна выявить, продолжает ли программа соответствовать требованиям, предъявляемым для обеспечения защиты персональных данных. Она завершится успешно для разработчика, если обновление не касалось таких функций программы, как:

  • механизм разграничений прав доступа;
  • криптографический механизм;
  • способы ведения логов.

Сэд и ее отношения с общей информационной системой

Нельзя забывать, что СЭД является только частью общей информационной системы оператора персональных данных и его задачи не решают только приобретение и установка сертифицированного программного продукта. Необходимо соблюдать определенный перечень требований, относящихся ко всей системе. Среди них:

  • регулярная проверка того, насколько информационная система оператора соответствует актуальным требованиям законодательства. Такая проверка проводится не реже чем раз в три года силами самой компании-оператора или привлеченных лицензированных специалистов;
  • обеспечение физической защиты автоматизированных рабочих мест, на которых размещены модули, содержащие базы персональных данных, и серверов. Физическая защита должна сопровождаться внедрением системы контроля доступа и при возможности учета в журналах всех действий пользователей с персональными данными;
  • обеспечение безопасности материальных носителей данных, например, документов, скан-копии которых переносятся в базу. Вместе с этим необходимо исключить возможность копирования инсайдером информации из СЭД на тот или иной носитель;
  • определение лиц, допущенных к работе с модулями, содержащими персональные данные. В компании, работающей с клиентами, это сделать крайне сложно – даже оформляя контракт на мобильную связь, обычный администратор получает доступ к конфиденциальной информации. Тем не менее остается необходимость разграничить права доступа и приказом определить лицо, отвечающее за защиту персональных данных или, для больших компаний, создать отдельное подразделение, на которое возложить выполнение этих задач;
  • внедрение сертифицированных средств защиты информации, предусмотренных нормативными актами ФСТЭК России.

При этом, если сертификация предусмотрена в отношении всей информационной системы и применяемых средств защиты, отдельная сертифицированная программа для СЭД не требуется.

Судебная практика, связанная с обработкой персональных данных в СЭД

Вопросы, связанные с неправомерной обработкой персональных данных, обрабатываемых в системах электронного документооборота, часто становятся предметом рассмотрения судов.

Обычно эта категория споров развивается между работодателем и сотрудником и является следствием того или иного затянувшегося трудового конфликта, в котором работник использует нарушения законодательства о защите персональных данных, допущенные работодателем, как инструмент для давления на него.

Так, Мосгорсуд в 2017 году рассматривал спор, сутью которого стало размещение работодателем в СЭД переписки с работником.

Произошла эта ситуация не в частной компании, а в Министерстве юстиции РФ, а в систему электронного документооборота попало заявление работника и ответ его руководства на него. Гражданин уволился по собственному желанию.

До этого его руководство, по его мнению, умышленно распространило его персональные данные, в том числе о месте жительства, в системе СЭД Минюста России, о чем он сообщил первому заместителю министра и просил служебную проверку.

Но его просьба удовлетворена не была, поэтому он обратился в суд с иском о понуждении такую проверку провести. В первой инстанции он получил отказ, суд не нашел в действиях Минюста нарушений Федерального закона «О персональных данных». Позиция апелляционной инстанции совпала с позицией первой.

Но так легко для работодателя заканчиваются не все споры. В производстве судов крайне часты иски о возмещении вреда, причиненного разглашением персональных данных работников организации.

Персонал берет из СЭД требуемую ему информацию о других сотрудниках или клиентах и передает ее третьим лицам.

При предъявлении иска к конкретному гражданину, совершившему правонарушение, его работодатель, не обеспечивший надлежащую защиту персональных данных, что входит в его обязанности, может быть привлечен к суду в качестве соответчика и вынужден также компенсировать моральный ущерб.

Забота о надлежащей защите СЭД, если в ней хранятся персональные данные, должна стать задачей, актуальной для всех компаний-операторов. Это позволит избежать рисков привлечения к административной и гражданской ответственности.

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/perechen-personalnyh-dannyh-podlezhashchih-zashchite/zaschita-personalnykh-dannykh-v-sed/

Аттестация АРМ по требованиям безопасности информации в ООО

Защита персональных данных на автоматизированном рабючем месте

Термин «автоматизированное рабочее место» (АРМ) обозначает один компьютер (рабочую станцию), функционирующий самостоятельно как отдельный объект вычислительной техники или как объект вычислительной техники в составе локальной вычислительной сети.

Т.е. автоматизированная система может состоять как из одного автоматизированного рабочего места, так и из нескольких.

По факту термины «автоматизированная система» и «автоматизированное рабочее место» равны, так как второе понятие входит в первое.

Что такое аттестация АРМ?

Аттестация АРМ — это оценка соответствия системы защиты информации, реализованной в составе АРМ, требованиям безопасности информации. Сами требования по безопасности устанавливает регулятор в области защиты информации – ФСТЭК России.

По результатам оценки защищенности АРМ подтверждается или опровергается его соответствие требованиям безопасности информации. В случае положительного заключения выдается аттестат соответствия требованиям безопасности информации.

Обязательными отчетными документами при аттестации являются:

  • программа и методики аттестационных испытаний,
  • протокол аттестационных испытаний,
  • заключение по результатам аттестационных испытаний,
  • аттестат соответствия (в случае положительного заключения).

Порядок процедуры аттестации и требования к ее проведению установлены следующими нормативными документами в области защиты информации:

Есть ли разница между аттестацией автоматизированной системой и автоматизированного рабочего места?

Если относительно порядка аттестации, установленного положением по аттестации и ГОСТ РО 0043-003-2012, то разницы нет.
Если относительно требований, на соответствие которым проводится аттестация, то однозначно сказать нельзя, так как два разных АРМ можно аттестовать совершенно по разным требованиям (см. ниже, по каким требованиям можно проводить аттестацию АРМ).

Но, как правило, если речь идет об аттестации одного АРМ, то это значит, что АРМ аттестуется для соответствия лицензионным требованиям ФСБ и(или) ФСТЭК России с целью получения лицензий указанных регуляторов.

Аттестация АРМ для получения лицензий ФСБ и(или) ФСТЭК России осуществляется по требованиям СТР-К и РД АС по классу защищённости 2Б или 1Г.

Требования по аттестации к АРМ

Как было сказано выше, одно и то же АРМ можно аттестовать по разным требованиям.
Т.е. у ФСТЭК к автоматизированным рабочим местам имеется целый ряд отдельных требований, по большей части определяющих тип самого автоматизированного рабочего места:

Т.е. понимание того, по какому нормативному документу необходимо аттестовать АРМ, говорит о его принадлежности к тому или иному типу автоматизированных систем (АС), но не гарантирует, что данное АРМ нужно аттестовать только по одним требованиям.

Кто проводит аттестацию АРМ?

Аттестацию АРМ может проводить только лицензиат ФСТЭК России на техническую защиту конфиденциальной информации с пунктами «а», «б», «г» в лицензии. Указанные пункты являются обязательными для вида деятельности «аттестация».

У лицензиата ФСТЭК должны быть в наличии собственные средства контроля защищенности, а также контрольно-измерительное оборудование в соответствии с перечнем ФСТЭК России. Это оборудование очень дорогое (около 2,5 млн. руб.) и требует ежегодной поверки (около 250 тыс. руб.), что достаточно затратно и является неким фильтром для нежизнеспособных лицензиатов ФСТЭК.

Полные требования к лицензиатам ФСТЭК устанавливаются постановлением Правительства №79 «О лицензировании деятельности по технической защите конфиденциальной информации».

Скачать коммерческое предложение на аттестацию АРМ

СКАЧАТЬ PDF

Как проводится аттестация АРМ?

Аттестация АРМ проводится в соответствии со следующими нормативно-правовыми актами в области аттестации:

Порядок аттестации в целом выглядит так:

  • предварительное ознакомление с аттестуемым объектом;
  • разработка программы и методики аттестационных испытаний;
  • проведение аттестационных испытаний объекта информатизации;
  • оформление, регистрация и выдача аттестата соответствия.

Стоимость аттестации АРМ

Стоимость аттестации АРМ зависит от требований, по которым нужно его аттестовать.

Так, например, стоимость аттестации одного АРМ по требованиям СТР-К и РД АС на рынке защиты информации составляет 85 тыс. руб. А стоимость аттестации АРМ по требованиям к государственным информационным системам или по требованиям к информационным системам персональных данных составляет от 300 тысяч рублей ввиду трудоемкости работ в соответствии с 17 или 21 приказом ФСТЭК России.

Точную стоимость аттестации можно определить только после определения требований и класса защищенности, по которому нужно АРМ аттестовать.

Для оценки точной стоимости аттестации вашего АРМ вы можете свободно поинтересоваться по телефону:
8(800)-550-44-71

ЗАКАЗАТЬ ОБРАТНЫЙ ЗВОНОК

Источник: https://xn--90ao1ar.xn--p1ai/attestatsiya_fstek/attestatsiya-arm/

Обработка персональных данных: пошаговая инструкция для компаний — Право на vc.ru

Защита персональных данных на автоматизированном рабючем месте

Маршрут, который поможет самостоятельно выполнить требования по защите и обработке персональных данных.

Rawpixel

Меня зовут Андрей Северюхин. Я CEO Sum&Substance. Уже почти три года мы занимаемся онлайн-идентификацией для каршерингов, логистики и финтех-проектов, работа с персональными данными — одна из наших сильных сторон.

Вместе с Павлом Кирилловым, CEO компании Элефус и нашим партнером по работе с персданными, расскажем о том, как обрабатывать такую информацию, не нарушая закон.

Обычно компания задумывается о защите/обработке персональных данных, когда продвинутый клиент спрашивает: «А почему у меня не взяли согласие на обработку? Где на сайте можно посмотреть политику? А вы есть в Реестре операторов?».

Дальше компания начинает быстро собирать информацию, находит ФЗ-152. Но оказывается, что помимо самого закона есть еще куча подзаконных актов, и так, шаг за шагом происходит погружение в кроличью нору.

Окончательно потеряв надежду и увязнув в паутине этой достаточно запутанной темы, компания скачивает из интернета какое-то согласие, вешает на сайт политику по обработке персональных данных и, затаив дыхание, ждет, что им за это будет.

Мы предлагаем маршрут, который поможет выполнить все требования регуляторов и позволит выбраться из кроличьей норы. Следуйте за белым кроликом.

Разберемся с терминами

Персональные данные — любая информация, относящаяся (прямо или косвенно) к определенному или определяемому физическому лицу.

Звучит не очень понятно, попробуем разобраться, что относится к персональным данным, а что — нет. Далее представлена практика, полученная из комментариев Роскомнадзора и общения с регулятором.

Как в этом разобраться? Роскомнадзор предлагает следующий подход — если по совокупности данных можно идентифицировать человека, то мы имеем дело с персональными данными, даже если документов и других точных идентификаторов нет. Если же для идентификации нужна дополнительная информация, такие данные не считаются персональными.

Идентификаторы. Однозначные идентификаторы, по Роскомнадзору, это номер и серия паспорта, СНИЛС, ИНН, биометрические данные, банковский счет, номер банковской карты. Чтобы определить человека было невозможно, данные можно обезличить по методологическим рекомендациям Роскомнадзора.

Не могут рассматриваются как персданные (по крайней мере, по отдельности друг от друга): фамилия, имя, отчество, адрес проживания, email, номер телефона, дата рождения.

При этом, если у вас небольшая компания, и вы не уверены, обрабатываете ли персональные данные. Ответ «да» – всегда =)

  1. Вы нанимаете себе сотрудников или подрядчиков, заключаете договор, заполняете формы Т-2.
  2. Вы собираете данные клиентов для заключения договоров/выполнения заказов.
  3. На вашем сайте есть форма обратной связи с полями: ФИО, телефон, email.

Итак, любая компания автоматически является оператором персональных данных (то есть юридическим лицом, осуществляющим обработку). Давайте поговорим о том, как данные правильно обрабатывать и защищать, и что будет, если этого не делать.

Как обрабатывать ПДн, чтобы клиенты были спокойны, а Роскомнадзор не беспокоил

Во-первых, нужно выяснить, какие информационные системы есть в компании и какие специалисты задействованы в их функционировании. Инициатива должна исходить от руководства и ИТ, которые лучше других знают, какие системы используются. К процессу также привлекаются кадровые специалисты, юристы, продавцы.

Чаще всего компании обрабатывают персональные данные сотрудников (соискателей), клиентов, контрагентов.

Главное, что нужно сделать на этом этапе — понять, какие персональные данные обрабатываются, откуда они приходят и куда передаются. То есть нарисовать информационные потоки, связанные с обработкой персональных данных, причем как с автоматизированной, так и с ручной.

Шаг 2. Модель угроз и классификация информационных систем

Классификация. Здесь нам необходимо будет классифицировать наши информационные системы, обрабатывающие персональные данные, и определить актуальные для них угрозы. По результатам классификации мы определяем уровень защищенности информации.

Уровень защищенности персональных данных — это показатель, отражающий требования для обеспечения базовой защиты информации.

Модель угроз. Параллельно с классификацией мы определяем актуальные угрозы для наших систем, которые отражаем в модели угроз.

Модель угроз — это документ, в котором отражены актуальные угрозы, потенциально влияющие на работу конкретной информационной системы.

Результат этапа. Это полный перечень требований по защите персональных данных (уровень защищенности, базовые требования, модель угроз, требования, учитывающие специфику конкретной информационной системы, обрабатывающей персональные данные).

Шаг 3. Меры защиты персональных данных

После того, как мы определили требования, необходимо эти требования реализовать. Защита персональных данных делится на технические и организационные меры. Рассмотрим их подробнее.

  1. Антивирусная защита
  2. Модули разграничения доступа на уровне прикладных систем или сети.
  1. Назначаем ответственного за защиту персональных данных
  2. Утверждаем перечень обрабатываемых и защищаемых данных.
  3. Составляем регламент для сотрудников и знакомим с ним всех под роспись. Например, предупреждаем, что нельзя отправлять по почте сканы паспортов или заявляем о необходимости регулярно обновлять антивирус на рабочем месте.

На данном этапе мы должны разработать Согласие на обработку персональных данных и Политику по обработке персональных данных. Про них поговорим подробнее.

  1. Письменная форма согласия. Требования к пунктам согласия отражены здесь. Обратите внимание, данные требования предъявляются только к письменной форме, при этом письменная форма требуется далеко не во всех случаях.

    Например, при обработке биометрических данных, специальных категорий персональных данных (подробнее о том, что это такое — здесь), при трансграничной передаче.

  2. Когда согласие не нужно. Если вы заключаете договор с клиентом, в рамках которого вы берете с него персональные данные, то согласие брать не требуется.

    Подробнее о таких случаях — тут.

  3. Электронное согласие. В остальных случаях, достаточно электронного согласия.

Политики по обработке персданных. Рекомендации по разработке выпустил Роскомнадзор. Но это лишь рекомендации. Если они вас по каким-то причинам не удовлетворяют, можете руководствоваться другими подходами. Но, если у вас нет своих идей, возьмите предложения регулятора за основу.

Неавтоматизированная обработка персональных данных. Принимая решение, как и где хранить персональные данные на бумаге, можно ориентироваться на специальное постановление.

Шаг 4. Отправка уведомления в Роскомнадзор

Уведомление отправляется через сайте Роскомнадзора, где вводится вся та информация, которую мы собрали на предыдущих шагах. Заполнить и отправить уведомление можно здесь.

Есть случаи, когда уведомление в Роскомнадзор подавать не надо, они оговорены здесь. Обычно эти условия подходят для небольших и средних компаний. То есть не надо в любой непонятной ситуации отправлять уведомление в Роскомнадзор.

Чем грозит невыполнение требований по обработке персональных данных

Мы потратили уже прилично вашего времени, но не ответили на ключевой вопрос: а что же будет, если этого всего не сделать?

Разберем самые распространенные нарушения:

Нехитрый математический подсчет показывает, что если нарушить все пункты, то можно получить совокупный штраф порядка 300 тыс. рублей, о котором часто пишут в статьях. Но это в совокупности, по каждому конкретному нарушению будет меньшая сумма.

Выводы

Вот такие нехитрые шаги позволят вам спать спокойно и обрабатывать персональные данные. В первую очередь важно понимать, кто, где и зачем обрабатывает персональные данные. Это стержень на который наматывается вся остальная обертка, связанная с разработкой документов и доработкой сведений на сайте. Тот, кто познает эту истину, познает дзен.

Основные нормативные документы, касающиеся обработки персональных данных

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать

Источник: https://vc.ru/legal/52958-obrabotka-personalnyh-dannyh-poshagovaya-instrukciya-dlya-kompaniy

Неавтоматизированная обработка персональных данных в организации

Защита персональных данных на автоматизированном рабючем месте

В этой статье речь пойдёт о правилах обработки персональных данных с участием человека.

Обработка персональных данных бывает:

  • автоматизированная – процесс обработки происходит посредством эксплуатации вычислительных средств;
  • неавтоматизированная – процесс обработки происходит с использованием человеческих ресурсов;
  • смешанная – интеграция в процессе обработки персональных данных вычислительных средств и человеческих ресурсов.

Правила неавтоматизированной обработки персональных данных закреплены в нормативном акте “ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”, утверждённом постановлением Правительства РФ №687 от 15 сентября 2008 г.

В этом положении применяются основные Принципы обработки персональных данных, указанные в статье 5 федерального закона №152-ФЗ от 27.07.2006 г. “О персональных данных”:

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.5. и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Итак, подробнее о правилах неавтоматизированной обработки данных.

Организация неавтоматизированной обработки персональных данных

Обработка персональных данных без использования средств автоматизации (неавтоматизированная обработка) – действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляемые при непосредственном участии человека.

Цитирую части положения о неавтоматизированной обработке ПДн:

4. Персональные данные при их обработке, осуществляемой без
использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).

Здесь указывается правило об особом режиме хранения материальных носителей содержащих персональные данные (ПДн).

5. При фиксации персональных данных на материальных носителях
не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не
совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

Если собираются и обрабатываются ПДн в рамках одной цели, то для этих процессов должна быть предусмотрена отдельная форма на отдельном носителе.

6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

Речь идёт об указании должностных обязанностей и характера выполняемых работ в рамках трудовых отношений, на основании обязанностей трудового договора, должностных инструкций и других внутренних регулирующих документах.

Использование типовых форм документов, содержащих персональные данные

7.

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться следующие условия:а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, – при необходимости получения письменного согласия на обработку персональных данных;в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Ведение журналов, реестров, книг при организации пропускного режима

8.

При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

О несовместимости целей обработки и уничтожении персональных данных

9.

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).11. Правила, предусмотренные пунктами 9 и 10 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.12. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

Обеспечение безопасности обработки персональных данных

13.

Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.14. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Основные термины и определения, используемые при неавтоматизированной обработке персональных данных

Термины и определения содержатся в статье 3 федерального закона “О персональных данных”:

  • персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

В следующих статьях речь пойдёт о мерах по обеспечению сохранности персональных данных, исключении несанкционированного доступа к ПДн, о порядке принятия этих мер, и ответственности за их реализацию.

автор: юрист Демешин С.В.

Источник: https://zen.yandex.ru/media/id/5b1fe8014bf161ea0168ce1f/5bf815edbddd2800abc11f9d

Выполнение требований 152-ФЗ, инструкция

Защита персональных данных на автоматизированном рабючем месте

Отношение Операторов персональных данных к требованиям законодательства разнообразно. Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся.

Кто-то отдает вопросы защиты информации полностью на откуп сторонним организациям. Кто-то находит шаблонные комплекты организационно-распорядительных документов в общедоступных источниках, корректирует их, распечатывает и на этом останавливается.

Каждый из этих подходов имеет свои недостатки.

Бездействие Оператора не спасает его от плановых или внеплановых (например, организованных по жалобе субъекта ПДн) проверок контролирующих органов. На фоне новостей о постоянно растущих штрафах за нарушения требований обработки ПДн такой подход выглядит малопривлекательным.

При полной передаче вопросов защиты информации на аутсорсинг появляется риск значительно переплатить. Это часто выливается в покупку дорогостоящих средств защиты информации с избыточной и не всегда востребованной функциональностью.

Кроме того, созданная и внедренная система защиты без поддержки пользователей и администраторов Оператора в какой-то момент перестает быть актуальной.

Ведь система защиты — это не только реализация технических мер и средств, а еще и организационные мероприятия, направленные на выработку сотрудниками Оператора норм и правил корректного отношения к защищаемой информации.

Шаблонные комплекты из сети позволяют создать лишь видимость защиты информации, при этом информационные системы фактически остаются уязвимы и подвержены угрозам.

Мы предлагаем синтетическую концепцию, когда уполномоченное лицо Оператора самостоятельно проходит определенные шаги построения системы защиты. А на этапе технической реализации системы защиты возможно привлечение специализированных организаций.

Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации. Рассмотрим подход подробнее.

Нормативная база

Каждый оператор, приступая к работе, задается вопросом — с чего начать? Определимся с нормативной базой, на которую будем опираться.

Мы рекомендуем начинать с идентификации систем, в которых осуществляется обработка ПДн, и их детального изучения. Дальнейшие действия будут зависеть от того, какая перед нами система.

Разберем порядок действий на отдельно взятой информационной системе.

Гис или не гис

Сначала необходимо понять, относится ли рассматриваемая система к государственным информационным системам (ГИС) или нет. От этого будет зависеть подход к защите. Как определить, ГИС перед нами или нет, описано в отдельной статье.

Рекомендации для систем обработки ПДн далее по тексту будем называть «для ИСПДн», рекомендации для государственных систем — «для ГИС».

Актуальные угрозы ИБ

Необходимо определить, какие угрозы ИБ актуальны для рассматриваемой информационной системы. Определение актуальных угроз производится в соответствии с «Методикой определения актуальных угроз безопасности персональных данных». В общем случае алгоритм выглядит так:

  1. По совокупности ответов на ряд первичных вопросов делается вывод об исходной защищенности информационной системы.
  2. Формируется перечень рассматриваемых угроз на основании «Базовой модели угроз безопасности персональных данных» и Банка данных угроз безопасности информации (см. выше). Для каждой угрозы экспертным путем определяется вероятность реализации.
  3. На основании вероятности реализации и уровня исходной защищенности определяется коэффициент реализуемости для каждой угрозы.
  4. Для каждой угрозы экспертным путем определяется показатель опасности для ИС и Оператора.
  5. На основании показателей реализуемости и опасности делается вывод об актуальности для каждой угрозы. Формируется перечень актуальных угроз.

Уровень защищенности ИСПДн

Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:

  • связанные с наличием недекларированных возможностей в системном программном обеспечении;
  • связанные с наличием недекларированных возможностей в прикладном программном обеспечении;
  • не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении.

Рассматриваем каждую угрозу в отдельности. Определяем, к какому максимальному типу они относятся.

Следующим шагом необходимо определить категорию обрабатываемых данных. Существуют следующие категории персональных данных:

  • специальные;
  • биометрические;
  • общедоступные;
  • иные.

В одной ИС могут обрабатываться несколько категорий персональных данных. Подробное определение категорий дано в № 152-ФЗ.

Необходимо определить объем обрабатываемых ПДн. Здесь возможны 3 вариации:

  • до 100 тысяч;
  • более 100 тысяч;
  • ПДн сотрудников Оператора (без привязки по объему).

На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119.

Для Определения УЗ можно воспользоваться специальной таблицей:

Класс ГИС

Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013.

Для этого определяются дополнительные к предыдущему разделу показатели:

  1. Масштаб ГИС. Может быть федеральным, региональным и объектовым. Критерии определения зафиксированы в приказе ФСТЭК №17.
  2. Уровень значимости информации — определяется степенью возможного ущерба Оператора от нарушения конфиденциальности, целостности или доступности информации. Имеет три значения по убыванию значимости — УЗ1, УЗ2, УЗ3. Определяется экспертным путем. Критерии определения зафиксированы в приказе ФСТЭК № 17.

На основании уровня значимости и масштаба ИС делается вывод о классе ГИС.

Базовый набор мер

После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС.

Для ИСПДн требования формируются в соответствии с определенным уровнем защищенности на основании № 152-ФЗ, постановления Правительства № 1119, приказа ФСБ РФ № 378 и приказа ФСТЭК № 21.

Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17.

В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС. Назовем его базовый набор мер.

Адаптированный набор мер

Следующим шагом является анализ полученного базового набора мер и его актуализация. То есть удаление из него всех мер, несвойственных рассматриваемой информационной системе. Например, удаляем меру «Защита беспроводных сетей», если беспроводные технологии в ИС не применяются. В итоге  получаем адаптированный базовый набор мер.

Дополненный набор мер

Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ. В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами. В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер. На выходе получаем дополненный адаптированный базовый набор мер.

Система защиты информации

В соответствии с полученным набором мер осуществляется выбор технических средств защиты или организационных мероприятий, направленных на выполнение мер. Происходит формирование проекта системы защиты информации.

Для ИСПДн сертифицированные средства защиты информации применяются для закрытия актуальных угроз ИБ.

Для ГИС применяются только сертифицированные средства защиты информации.

Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты. Разрабатываются политики, положения, инструкции, которые  внедряются в процессы обработки информации.

Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации. На этом этапе привлекаются специализированные организации, оказывающие соответствующие услуги.

При самостоятельном внедрении ознакомьтесь с типичными ошибками при построении СЗПДН.

Контур-Безопасность: Разработка, внедрение и сопровождение систем защиты ПДн.

Заказать услугу

Аттестация

После введения системы защиты в эксплуатацию проводится оценка соответствия принятых мер требованиям законодательства.

Для ИСПДн оценка соответствия в форме аттестации не обязательна. Достаточным является проведение испытаний на соответствие требованиям безопасности с выдачей заключения. Испытания могут быть проведены оператором как самостоятельно, так и с привлечением специализированных организаций.

Для ГИС оценка соответствия в форме аттестации является обязательной процедурой. Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность.

Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации.

Заказать услугу

Что в итоге

В результате данного подхода получаем систему защиты информации. Как видим,  привлечение специализированных организаций происходит только на заключительных этапах. Данный подход позволяет сэкономить организациям значительные средства, так как основную часть работ они выполняют самостоятельно.

Кроме того, последовательно выполняя шаги, уполномоченные лица Операторов напрямую участвуют в работе по защите ИС, что должно положительно сказаться на эффективности полученной системы защиты информации.

А что потом?

Система защиты информации внедрена и принята в эксплуатацию. Можно ли успокоиться и забыть о ней? Конечно нет. Мир информационных систем и технологий очень изменчив. Технологии развиваются и совершенствуются, изменяются информационные системы.

 Возможно,   через какое-то время угрозы ИБ, которые не были актуальны при проектировании системы защиты, станут актуальны.

Для поддержания системы защиты информации в рабочем состоянии рекомендуем проводить аудит информационной безопасности не реже одного раза в год, привлекая для этого специалистов — либо собственными силами.  

Удачи на пути создания собственной эффективной системы защиты информации.

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Источник: https://kontur.ru/articles/1763

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.