Контроль защиты персональных данных

Сегодня мы раскроем тему: "Контроль защиты персональных данных", полностью описав проблематику и сделав выводы. Каждый вопрос индивидуален. Поэтому есть вероятность, что вы не найдете ответ. Поэтому с любым вопросом можно обратиться к дежурному специалисту.

Приложение N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

к Приказу службы финансово-экономического контроля

и контроля в сфере закупок Красноярского края

от 21 марта 2014 г. N 4НП

Правила
осуществления внутреннего контроля соответствия обработки
персональных данных требованиям к защите персональных данных

С изменениями и дополнениями от:

25 декабря 2015 г.

1. Общие положения

1.1. Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края (далее — Правила) определяются процедуры, с целью выявления и предотвращения нарушений законодательства Российской Федерации в сфере персональных данных.

1.2. Правила определяют основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

Информация об изменениях:

Приказом службы финансово-экономического контроля и контроля в сфере закупок Красноярского края от 25 декабря 2015 г. N 6НП в пункт 1.3 настоящего Приложения внесены изменения

1.3. Правила разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21.03.2012 N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.

1.4. В Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

2. Порядок проведения проверки

2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края (далее — Служба) организовывается проведение проверок условий обработки персональных данных.

Проверки проводятся на основании приказа руководителя Службы.

Проверки осуществляются комиссией, образуемой приказом руководителя Службы.

В проведении проверки не может участвовать должностное лицо, прямо или косвенно заинтересованное в её результатах.

Проверки соответствия обработки персональных данных требованиям к защите персональных данных в Службе проводятся 1 раз в 2 года, установленным требованиям (плановые проверки) или на основании поступившего в Службу письменного заявления (обращения), служебной записки о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления (обращения), служебной записки о нарушениях правил обработки персональных данных.

2.2. При проведении проверки соответствия обработки персональных данных установленным требованиям должны полностью, объективно и всесторонне установлены:

порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

порядок и условия применения средств защиты информации;

эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

соблюдение правил доступа к персональным данным;

наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

осуществление мероприятий по обеспечению целостности персональных данных.

2.3. Члены комиссии имеют право:

запрашивать у сотрудников Службы информацию, необходимую для проведения проверки;

требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

вносить руководителю Службы предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

вносить руководителю Службы предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

В отношении персональных данных, ставших известными в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.

2.4. Проверка должна быть завершена не позднее чем через месяц со дня издания приказа о ее проведении. По результатам проведенной проверки составляется и подписывается комиссией заключение, в котором отражаются меры, необходимые для устранения выявленных нарушений. Подписанное заключение не позднее дня, следующего за днем завершения проверки, представляется руководителю Службы.

По результатам проверки руководитель Службы принимает необходимые меры, направленные на предотвращение нарушений, а при необходимости привлекает виновных лиц к установленной ответственности.

>
N 4. Перечень информационных систем персональных данных
Содержание
Приказ службы финансово-экономического контроля и контроля в сфере закупок Красноярского края от 21 марта 2014 г. N 4НП «Об.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Источник: http://base.garant.ru/18681842/3e22e51c74db8e0b182fad67b502e640/

Проверка Роскомнадзора на 2019 год – что проверяют, как подготовиться, виды проверок

Здравствуйте! Сегодня мы обсудим еще один вид проверок, затрагивающий каждого работодателя, а именно инспекции Роскомнадзора. О том, как они проходят, и как к ним подготовиться, читайте в нашей статье.

Содержание

Виды проверок

Процедура проверки во многом зависит от ее вида. Основные типы проверок:

  1. Плановые. Их график составляется заранее, еще в конце предыдущего года, и публикуется на сайте. Кроме того, проверяемого предупредят письмом или лично как минимум за три дня до начала инспекции.
  2. Внеплановые. Они инициируются после поступления жалоб от недовольных клиентов или даже от доноса конкурента. В зависимости от серьезности предполагаемого нарушения о проверке могут предупредить за сутки, а могут и не предупредить вовсе.
  3. Документарные. Проверяется пакет документов, который по запросу предоставляется в контролирующий орган.
  4. Выездные. Осматривается территория предприятия.
Читайте так же:  Приговор на возмещение материального ущерба

Что проверяет Роскомнадзор

Далеко не все знают, за какую область отвечает Роскомнадзор, или иначе Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Роскомнадзор контролирует работу операторов любых персональных данных (сотрудников или клиентов).

Подконтрольными Роскомнадзору субъектами выступают все предприятия, большинство ИП и даже некоторые граждане, которые вне зависимости от объема, обрабатывают и собирают информацию о клиентах, сотрудниках и других гражданах.

У вас есть наемные работники? Если ответ положительный, то будьте уверены, вы уже точно попадаете под проверки Роскомнадзора по персональным данным.

Трудовой Кодекс РФ дает нам такое толкование термина: персональные данные сведения, которые необходимо передать работодателю для осуществления служебных обязанностей. Например , это паспортные данные, номер телефона, адрес и даже факты биографии (образование, опыт работы, семейное положение).

  1. Документы, включающие в себя персональные данные. Если проверка выездная – еще и условия их хранения, организацию места хранения. Собственно хранение данных на предприятии может быть физическим или электронным, Роскомнадзор проверяет оба метода;
  2. Обрабатывающие их системы (компьютеры и программы);
  3. Внутренние нормативные акты, касающиеся обработки и хранения персональных данных, и их практическое соблюдение;
  4. Сайт компании в интернете. Например, предприятие могут оштрафовать, если на его сайте производится сбор персональных данных (для регистрации нужно вводить свое имя, номер телефона), но не размещены подробности дальнейшей работы компании с персональными данными.

Единого перечня документов, которые подвергаются проверке, не существует, но приблизительный список такой:

Как подготовиться к проверке Роскомнадзора

Перед любой проверкой важна правильная подготовка. Давайте рассмотрим, какие мероприятия помогут не ударить в грязь лицом перед инспектором.

Проверка Роскомнадзора одна из самых сложных в плане подготовки. Данные – вещь нематериальная, для обеспечения безопасности их недостаточно положить в сейф под ключ. Нужно привести в порядок огромный пакет документов, и не удивительно, что сделать это самостоятельно, не упустив ничего из виду, задача не из легких.

Крупные операторы обычно не скупятся на содержание в штате фирмы специально обученного сотрудника, который следил бы за всеми бумагами, информационными системами и руководил подготовкой к проверке.

Для предприятий поменьше есть другой, но тоже недешевый вариант – нанять стороннего эксперта. Он поможет единожды систематизировать хранение и обработку персональных данных на фирме.

Если эти два варианта предпринимателю не по карману, придется все делать собственными силами.

Основной план подготовительных мероприятий выглядит так:

Как проходит проверка Роскомнадзора

Начинается проверка с уведомления проверяемого. В нем указываются сроки и реквизиты инициирующего приказа. Прилагаются, кроме того, копия самого приказа, план контрольных мероприятий.

Сначала проверяют документы. На предприятие отправляется запрос, на который необходимо ответить в течение 10 дней. Предприниматель предоставляет копии документов, заверенные подписью и печатью. Свидетельство нотариуса не требуется. Если в документах содержится вся необходимая для разъяснения ситуации информация, то до выездной инспекции дело не дойдет.

Но если в бумагах будут обнаружены ошибки или у инспектора останутся вопросы, то тогда он лично навестит предпринимателя. Посетителей должно быть минимум двое, они обязаны предъявить удостоверения и копии приказа о проведении проверки.

Длится выездная проверка 20 рабочих дней, и еще на 20 дней она может быть продлена, если требуется провести дополнительные исследования.

Итогом проверки становится акт. Если были обнаружены нарушения – в акт включат предписания по их устранению и отведенные на исправление ошибок сроки.
Результат проверки можно обжаловать. Сделать это можно как письменно, так и устно (например, в ходе личного приема или по телефону – подробности можно найти на сайте территориального органа Роскомнадзора). Рассматривается жалоба в течение месяца.

Советы предпринимателям

Во время проверки:

  1. Вы имеете право ознакомиться с документами, относящимися к проверке, с положениями и регламентом;
  2. Не экономьте на помощи профессионалов. Даже присутствие юриста придаст вам уверенности и поможет не упустить из виду важных мелочей в переговорах и оформлении документов;
  3. Не паникуйте;
  4. Тщательно проверяйте документы, прежде чем передать их инспектору. По возможности снимайте со всего копии;
  5. Выездной осмотр может проводиться только в присутствии понятых. Если их нет, вы имеете право обжаловать результаты проверки через суд;
  6. Инспекторы не имеют права изымать документы, не имеющие отношения к предмету проверки;
  7. Не предоставляйте требуемые документы мгновенно. Вы имеете право на некоторое время для обработки запроса. Не торопитесь, проверьте все еще раз перед передачей инспектору.

Источник: http://kakzarabativat.ru/pravovaya-podderzhka/proverka-roskomnadzora/

Защита персональных данных

Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152.

Зачем необходимо принимать меры по защите персональных данных?

Несоблюдение требований законодательства становится причиной взысканий (в результате плановых и внеплановых проверок Роскомнадзора и других ведомств), жалоб со стороны клиентов и сотрудников, нападок со стороны конкурентов и потери ценной информации.

Комплекс услуг

Аудит существующей системы защиты персональных данных

  • обследование процессов обработки персональных данных
  • анализ организационно-распорядительной документации
  • рекомендации по доработке системы

Заказать услугу

Доработка имеющейся системы защиты персональных данных в соответствии с актуальными требованиями законодательства

Сопровождение созданной системы в условиях меняющегося законодательства и появления новых угроз

Комплекс услуг по созданию с нуля системы защиты персональных данных

В соответствии с требованиями законодательства (для медучреждений, ВУЗов, средних и крупных компаний, бюджетников).

  • оценка текущего состояния обработки ПДн, организационно-распорядительной документации и СЗИ на соответствие актуальным требованиям 152-ФЗ
  • моделирование угроз безопасности ПДн, проектирование эффективной работающей системы ИБ

Технические мероприятия по созданию системы защиты персональных данных в соответствии с классом:

  • поставка и внедрение технических средств защиты информации (сертифицированные межсетевые экраны, антивирусы, средства защиты каналов связи VPN, системы обнаружения и предотвращения вторжений и т.д.)
  • настройка средств и систем защиты информации в соответствии с требованиями
  • аттестация информационной системы персональных данных
  • помощь в подготовке к прохождению проверки контролирующих органов (Роскомнадзор, ФСТЭК, ФСБ)

Заказать услугу

Источник: http://kontur.ru/security/features/personal-data

Приложение. Акт проведения проверки соответствия обработки персональных данных требованиям к защите персональных данных

ГАРАНТ:

См. данную форму в редакторе MS-Word

Читайте так же:  Организация судебно психиатрической экспертизы

к Правилам осуществления внутреннего контроля

соответствия обработки персональных данных

требованиям к защите персональных данных

Возможные нарушения требований к защите персональных данных (ПДн)

Соблюдение пользователями информационных систем ПДн антивирусной политики (работа с ПДн на рабочем месте, не защищенном антивирусной программой)

Обработка ПДн сотрудниками, не включенными в перечень допущенных к обработке ПДн

Отсутствие или неактуальность перечня сотрудников, допущенных к обработке ПДн

Обработка ПДн после достижения цели обработки ПДн

Отсутствие записей в журнале учета электронных носителей ПДн при использовании самих носителей

Отсутствие подписанных обязательств о неразглашении ПДн

Хранение файлов на рабочей станции сотрудника, содержащих ПДн

Соблюдение пользователями информационных систем персональных данных парольной политики (доступность логина, пароля для доступа в информационные системы ПДн для посторонних)

Возможность считывания информации с экрана монитора для посторонних

Видео (кликните для воспроизведения).

Соблюдение порядка доступа в помещение, в котором ведется обработка ПДн

Отсутствие записей в журнале учета уничтожения ПДн

>
N 4. Правила работы с обезличенными данными в случае обезличивания персональных данных в службе архитектуры Иркутской области
Содержание
Приказ Службы архитектуры Иркутской области от 23 июля 2019 г. N 82-7-спр «О принятии мер, направленных на обеспечение.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Источник: http://base.garant.ru/72360130/6d3817b76f7c7d3dbacd5d714146a107/

Кто контролирует защиту персональных данных

Защита персональных данных
с помощью DLP-системы

З ащита персональных данных становится задачей каждой компании, которая получает их в соответствии со своими уставными целями. На эти компании ложатся определенные обязанности – от разработки документации до установки соответствующего программного обеспечения. На определенные государственные ведомства возложены задачи по контролю над соблюдением законодательства, действующего в этой сфере.

Основные регуляторы и их полномочия

Основные предложения и термины в сфере защиты персональных данных определены Федеральным законом № 154-ФЗ. Он же определяет государственные организации, уполномоченные осуществлять контроль в этой сфере. Закон указывает на три ведомства Российской Федерации, на которые возложена обязанность контролировать выполнение юридическими лицами того, что требует от них закон, чтобы эффективно защищать персональные данные граждан. Это такие государственные органы, как:

Виды контроля

Федеральный закон о защите прав юридических лиц № 294-ФЗ назвал основной вид контрольных мероприятий, которые осуществляются в отношении лиц, направивших уведомление о начале занятия бизнесом, связанным с обработкой персональных данных. Это проверки, которые в рамках своих полномочий проводят государственные органы. Согласно законодательству, они могут быть плановыми и внеплановыми. Плановая проверка может быть назначена не ранее чем по прохождении трех лет с момента регистрации или подачи уведомления о работе с персональными данными. Она назначается в год, предшествующий проверке. Сведения о ней, ее срок и проверяемые объекты обязательно вносятся в общегосударственный реестр, который затем размещается на сайте Генеральной прокуратуры. Каждый оператор всегда может знать, будут ли в отношении него производиться плановые проверочные мероприятия.

Внеплановая проверка соблюдения правил защиты персональных данных может быть назначена только при наличии веских причин. Это:

  • наличие заявления гражданина о нарушении его прав или противоправной деятельности, которую ведет компания;
  • сообщение об этом правоохранительного органа;
  • сообщение СМИ;
  • неисполнение предписания, выданного проверяющей организацией по результатам предыдущей плановой проверки;
  • истечение срока предписания и необходимость проверки его выполнения;
  • нарушение законодательства, регулирующего сферу защиты персональных данных;
  • несоответствие данных, внесенных в уведомление, реальной предпринимательской деятельности.

Важно, что внепланово проверяющие ведомства могут прийти в компанию только при наличии согласия органов прокуратуры. Если обращение гражданина, которое могло бы стать основой для проведения проверки, не содержит данных, которые могли бы помочь установить его личность, например, в нем проставлена неразборчивая подпись или отсутствует почтовый адрес, такое заявление не может быть положено в основу проведения проверки.

Если о плановых проверках соблюдения предписаний или требований закона по защите персональных данных компании чаще всего узнают в конце декабря, когда их список появляется на сайте Генпрокуратуры, то о внеплановых проверяющие ведомства обязаны их уведомить не позднее чем за 24 часа. Это делается любым доступным способом, включая электронную почту, факс или телефон. Но есть одно исключение. Если деятельность оператора вышла за рамки закона и таким нарушением был причинен вред человеку, его здоровью или жизни (например, утечка данных стала причиной нападения), то в этом случае уведомлять о проверке не требуется, она проводится незамедлительно после установления такого факта.

Любая проверка не может продолжаться больше 20 дней. Если обстоятельства требуют, она продляется, для малых предприятий – не более чем на 15 часов. Она может быть приостановлена с обязательным письменным уведомлением об этом оператора, если:

  • требуется проведение экспертизы;
  • вынесено мотивированное решение руководителя подразделения ведомства, проводящего проверку.

Завершается проверка несколькими способами:

  • составление акта по результатам проверки, направление его оператору;
  • выдача предписания о необходимости прекращения нарушения закона с перечнем действий, позволяющих устранить недостатки;
  • привлечение оператора к административной ответственности по различным основаниям, предусмотренным КоАП РФ;
  • направление материалов в правоохранительные органы с постановкой вопроса о привлечении к уголовной ответственности.

На практике чаще всего проверки соблюдения законодательства по хранению и обработке персональных данных проводятся Роскомнадзором. Все три уполномоченные организации достигли взаимопонимания и в порядке межведомственного взаимодействия иногда проводят совместные контрольные мероприятия в отношении одного и того же субъекта, распределяя между собой зоны ответственности и объекты проверок. Роскомнадзор отвечает за общее соблюдение законодательства, ФСТЭК и ФСБ контролируют соблюдение специальных лицензионных требований.

Роскомнадзор

Ведомство отвечает за большой круг правоотношений, связанных с информационными технологиями и использованием сети Интернет. Оно проверяет, насколько точно организации выполняют требования, связанные с обработкой и хранением персональных данных, защитой прав субъектов. Ведомство вправе проверить те данные, которые компания указала в уведомлении о начале занятия видом деятельности, связанным с обработкой персональных данных. Эта форма заполняется на портале организации и одновременно направляется по почте. Требование касается всех организаций, кроме тех, которые обрабатывают только сведения о своих сотрудниках.

Читайте так же:  Судебно психологическая экспертиза в уголовном процессе

Основываясь на законе о персональных данных, ведомство вправе:

ФСТЭК и его полномочия

ФСТЭК отвечает за техническое обеспечение системы защиты персональных данных. Среди его полномочий:

  • запрос у оператора отчета по контролируемым видам деятельности и его проверка;
  • требование копий документов, подтверждающих соответствие используемой компьютерной техники и сертификатов на применяемое программное обеспечение;
  • запрос документации на помещения, подтверждающей то, что они оборудованы должным образом и гарантируют надлежащую защиту персональных данных;
  • выезд на объект и контроль того, насколько эффективно применяются организационные меры, гарантирующие сохранность хранящихся там данных.

Проверка не может длиться более 20 дней. Инспекторы проверяют документы, которые подтверждают соблюдение организацией условий предоставления лицензий, а также ранее направленных компании обязательных для выполнения предписаний ФСТЭК.

Существует 2 типа проверок:

  • документальная (аналог налоговой камеральной). Она происходит в ФСТЭК России или его управлении по тому или иному российскому федеральному округу на основании запрошенных документов и находящихся в них данных. Такой тип контрольных мероприятий может назначаться и в плановом, и во внеочередном, инициативном порядке;
  • выездная. В ее рамках контролируется правильность выполнения требований, поставленных перед компанией в качестве условия выдачи лицензии. Она всегда происходит в офисе самой организации. Назначается этот тип проверочных мероприятий в том случае, когда документарную проверку провести не получается. Такая ситуация возникает тогда, когда те документы, которые есть у ФСТЭК, не позволяют достоверно проконтролировать соблюдение условий лицензии.

Начинается проверка на основании приказа, а завершается выдачей акта или предписания об устранении нарушений.

ФСБ и ее полномочия

Федеральная служба безопасности также проводит контрольные мероприятия, призванные обеспечить точность и правильность соблюдения законодательства о работе с персональными данными, но применительно к используемым субъектом проверки средствам криптографической защиты информации (СКЗИ). В сфере ее компетенции оказываются:

  • запрос у операторов отчета по ведущимся им лицензируемым видам деятельности. Перечень вопросов и глубина контроля не ограничиваются нормативно, оператору нужно быть готовым дать полный отчет по всем аспектам выполнения лицензионных условий;
  • запрос копий документов, выдаваемых в качестве удостоверения соответствия используемых оператором технических средств защиты персональных данных, в структуре которых находятся СКЗИ, установленным нормативными актами требованиям безопасности;
  • проверки точности и правильности выполнения предусмотренных лицензионными условиями организационных мер по обеспечению безопасности объектов, в которых происходит работа организации.

Нарушение требований по охране и обработке персональных данных, защите прав субъектов персональных данных станет основанием для приостановления или прекращения действия лицензии. Проверка может быть назначена только на основании приказа руководителя Центра 8 ФСБ России. В приказе должны быть отражены следующие данные:

  • состав лиц, участвующих в проведении проверки, сотрудников ведомства и привлеченных к участию в проверочных мероприятиях экспертов;
  • данные о проверяемом объекте;
  • параметры проверки, ее цели и задачи, предмет;
  • правовые нормы, на которые опиралось ведомство, назначая проверку;
  • перечень тех проверочных мероприятий, которые предполагается осуществить (запрос документов, опрос свидетелей, осмотр помещений);
  • период проведения проверки.

Важно, что полномочия ведомства законодательно ограничены. В ходе проведения проверок соблюдения законодательства по защите персональных данных оно не вправе:

  • проверять правильность выполнения тех требований закона, которые к компетенции ведомства не относятся;
  • проводить мероприятия, если в этот период в компании отсутствует его директор или иное лицо, уполномоченное им на основании доверенности на взаимодействие с ведомством;
  • требовать передать копии документов, не имеющих отношения к предмету проверки, или изымать оригиналы документов;
  • распространять информацию, полученную в ходе проверки, если она относится к охраняемой законом категории тайн, например, банковской или коммерческой;
  • затягивать проверку без вынесения мотивированного решения;
  • проводить контрольные мероприятия за счет компаний, выдавая им предварительно предписания об этом.

В ходе мероприятий ФСБ проверяет несколько видов требований, в основном технических. К первой группе относятся требования по правильности применения организационных мер. Это:

  • наличие документов, регламентирующих защиту оператором персональных данных с использованием СКЗИ;
  • выполнение ранее выданных рекомендаций ведомства, направленных на правильную организацию связи при передаче персональных данных с применением СКЗИ.

Ко второй группе относятся требования по правильности организации системы мер по криптографической защите персональных данных. Это:

  • наличие в организации модели угроз с указанием потенциальных нарушителей;
  • релевантность этой модели, соответствие ее ранее представленным вводным;
  • соответствие применяемых средств защиты угрозам, освещенным в модели;
  • существование документов, подтверждающих легитимную поставку СКЗИ, обеспечивающих защиту персональных данных, оператору.

К третьей группе проверяемых объектов относится наличие на предприятии разрешительных документов, опосредующих методику защиты персональных данных. Это:

  • проверка существования лицензий, необходимых для использования СКЗИ;
  • наличие сертификатов соответствия на приобретенные и используемые средства защиты персональных данных;
  • наличие документации по эксплуатации этих средств, различных руководств оператора, инструкций, правил работы;
  • проверка соблюдения правил учета СКЗИ;
  • выявление средств, не имеющих необходимых сертификатов.

К четвертой группе проверяемых объектов относятся требования к лицам, допущенным к обслуживанию СКЗИ, обеспечивающих защиту персональных данных. Это:

  • наличие должностных инструкций;
  • порядок кадрового учета;
  • наличие сотрудников на всех предусмотренных штатным расписанием должностях;
  • порядок проведения обучения персонала, работающего с СКЗИ.

К пятой группе объектов относятся способы эксплуатации средств защиты персональных данных. Это:

  • оценка технического состояния;
  • правильность их ввода в эксплуатацию;
  • оценка правильности выбора применяемого программного обеспечения.

К шестой группе объектов относятся организационные меры, которые обязан применять оператор персональных данных. Это:

  • наличие инструкций;
  • наличие криптоключей;
  • режимные меры.

Полномочия контролирующих органов достаточно широки. Но любое их решение, в случае нарушения ими норм права, можно оспорить в суде: как вынесенное предписание, так и протокол о привлечении к административной ответственности. Однако только скрупулезное соблюдение законодательства о защите персональных данных гарантирует успешное взаимодействие с контролирующими органами.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/kto-kontroliruet-zashchitu-personalnyh-dannyh/

Техническая защита персональных данных

Защита персональных данных
с помощью DLP-системы

Б ольшинство компаний в стране являются операторами персональных данных, так как обрабатывают большие объемы информации, прямо относящейся к личности граждан, которую они получают в ходе выполнения свих уставных задач. Существующие модели угроз требуют адекватных уровню угроз технических средств защиты данных от утечек, неправомерного доступа и использования, утраты при передаче по каналам связи. Перечень таких мер устанавливается нормативными актами ФСТЭК России. Это же ведомство вместе с ФСБ РФ контролирует правомерность их выбора и правильность применения. Требования ФСТЭК обязательны для применения, в противном случае организация может лишиться права на обработку персональных данных.

Читайте так же:  Возмещение ущерба виновником дтп без осаго

Для чего требуется техническая защита персональных данных

По своей правовой природе персональные данные относятся к конфиденциальной, охраняемой законом информации. Федеральный закон «О персональных данных» причисляет к ним любую информацию, которая прямо относится к тому или иному человеку. После того, как она доверена операторам-компаниям, осуществляющим ее обработку, сведения, переданные физическими лицами при условии оформления согласия на их обработку определенными способами и в определенных целях, получают охраняемый статус. В отличие от коммерческой тайны, способы защиты персональных данных устанавливаются государством. Перечень конкретных технических средств определяется ФСТЭК России в Приказе № 21. Рекомендации вводят 15 групп технических мер, в каждой группе прописаны базовые, обязательные для применения, меры и рекомендуемые, которые оператор может использовать по своему усмотрению, сравнивая с актуальной на текущий момент моделью угроз безопасности персональных данных.

Этапы создания системы защиты персональных данных

До направления уведомления о начале осуществления деятельности, связанной с защитой персональных данных, оператор должен позаботиться о том, чтобы его информационная система соответствовала установленным требованиям, и о выборе технических средств. Процесс внедрения делится на несколько последовательных этапов, их количество зависит от выбранного способа защиты, который, в свою очередь, зависит от типа информации, класса защищенности, определяемого по параметрам, устанавливаемым Постановлением Правительства РФ № 1119, наличия или отсутствия подключения системы к телекоммуникационным каналам связи.

Первичные организационные меры

Прежде чем переходить к реализации системы технических мер по защите персональных данных, необходимо осуществить некоторые организационные меры, относящиеся к классификации угроз и оценке имеющихся в наличии технических средств. Это потребуется для оценки необходимости установки и выбора антивирусных средств и средств криптографической защиты.

В рамках такого анализа устанавливаются:

  • перечень персональных данных, имеющихся в распоряжении организации, и требуемая степень их защиты. Усиленная потребуется при обработке данных, составляющих врачебную тайну, и тех сведений, на основании которых будут приниматься решения, имеющие юридические последствия;
  • цели обработки данных. Это может быть сбор кадровой информации, оказание услуг, связанных с обработкой, услуги по передаче сведений;
  • сроки работы с данными. Закон устанавливает, что они являются ограниченными. Необходимо определить объемы данных, которые должны быть уничтожены, сроки, средства и порядок такого уничтожения.

После определения объекта технической защиты надо перейти к определению технических средств, необходимых для обеспечения защиты персональных данных.

Способы обработки персональных данных

На практике персональные данные на первом этапе обрабатываются вручную, и от оператора требуется только физическая защита материальных носителей, для которой используются такие средства, как пропускная система и оборудование помещений согласно определенному классу безопасности, и только на следующем этапе они поступают в автоматизированные информационные системы. В рамках ручного и технического методов обработки выделяется несколько отдельных способов, при автоматизированной обработке необходимо определить те элементы конфигурации системы, в которых происходит обработка. Это могут быть кадровый и бухгалтерский модуль, модуль по работе с клиентами.

Определение характеристик технических систем

Следующим этапом работы по обеспечению технической защиты персональных данных становится определение основных характеристик автоматизированных систем обработки, их конфигурации, потребности в генерации электронной подписи, установлении сертифицированных средств антивирусной или криптографической защиты. Далее проводится классификация системы в зависимости от качества данных. Выделяются такие группы, как:

  • категория 1. Это сведения, касающиеся здоровья, личной жизни, политических взглядов;
  • категория 2. Любые данные, позволяющие идентифицировать человека и получить о нем в дальнейшем дополнительную информацию;
  • категория 3. Сведения, которые только позволяют идентифицировать субъекта персональных данных;
  • категория 4. Обезличенные данные.

При обработке данных 1-й категории автоматизированная система, в которой хранятся персональные данные, должна быть оборудована техническими средствами защиты как специальная, для остальных будет достаточно базовой модели. Кроме категории данных, на параметры системы влияет количество человек, чьи сведения обрабатываются. Исходя из этого, устанавливается четыре уровня защищенности системы – от максимального до низкого.

Оценка соответствия системы требованиям ФСТЭК России

После определения класса данных и требований к системе нужно установить, какие именно требования ФСТЭК России предъявляет в целях оценки соответствия применяемых для обеспечения безопасности персональных данных технических средств своим требованиям. Они выглядят следующим образом:

  • если система относится к 1-му или 2-му классу, то ее соответствие требованиям, предъявляемым к уровню защищенности, подтверждается обязательной сертификацией (в ряде нормативных документов эта процедура называется аттестацией). Она проводится ФСТЭК России;
  • если система относится к 3-му классу, то от оператора потребуется декларирование соответствия ее параметров предъявляемым требованиям;
  • для систем 4-го класса выбор метода защиты и применяемых технических средств остается на волеизъявление оператора.

После того, как определено, каким параметрам должна отвечать система и какие технические средства для ее работоспособности и надлежащей защиты персональных данных необходимы, начинается построение ее конфигурации. Оценку правильности применяемых решений раз в три года проводит оператор, также соответствие системы требованиям может контролировать ФСТЭК РФ в рамках документарных или выездных проверок.

Установка технических средств защиты

После того, как параметры системы определены, начинается выбор необходимых программных и технических средств, соответствующих заявленному классу безопасности. При выборе базовых и компенсирующих средств необходимо соблюдать баланс между уровнем безопасности и финансовой целесообразностью. Иногда для такой оценки правильным решением будет привлечь специализированную организацию.

Качество средств, требования к их сертификации определяются согласно нормативным документам ФСТЭК Российской Федерации. Все технические средства делятся на две группы:

  • защищающие персональные данные и другую конфиденциальную информацию от несанкционированного доступа. К ним относятся средства антивирусной и криптографической защиты, межсетевые экраны, средства блокировки устройств ввода-вывода информации, системы, ограничивающие возможности вывода информации из защищаемого периметра;
  • средства защиты информации, отвечающие за исключение утечек сведений по техническим каналам связи. Это генераторы шумов, экранированные кабели, исключающие перехват электромагнитного излучения, высокочастотные фильтры на линии связи.
Читайте так же:  Право подписи заместителя генерального директора

При привлечении специализированной организации для создания технической системы защиты персональных данных необходимо проконтролировать наличие у нее соответствующих лицензий, а также то, чтобы все применяемые средства были сертифицированы в установленном порядке.

Выбор технических средств защиты должен обусловливаться классом защищенности системы, тем, относится она к категории обычных или специальных, собственными возможностями.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/tekhnicheskaya-zashchita-personalnyh-dannyh/

Персональные данные: кто придёт вас проверить?

Закон «О персональных данных» действует с 2006 года, но вопросов о порядке его применения до сих пор остаётся множество. Они возникают из-за нечётких формулировок, неполных определений, запутанных норм и т. д.

К сожалению, закон — это только вершина айсберга. К нему прилагается очень много других документов, изданных разными ведомствами. И если вы каким-то образом используете персональные данные, эти ведомства могут вас проверить.

В этой статье мы расскажем о том, кто к вам может прийти, и что проверить.

Правительственной организацией, проверяющей исполнение закона «О персональных данных», назначена Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). На практике, она проверяет лишь «бумажную» сторону дела: внутренние документы, которые должны быть у вас по действующему закону.

Если для обработки данных вы используете компьютеры и компьютерные сети, кроме организационных и административных регламентов, вам неизбежно потребуются технические средства защиты. В некоторых случаях они должны быть сертифицированными.

Техническими средствами защиты данных занимается Федеральная служба по техническому и экспортному контролю (ФСТЭК). Список сертифицированных средств защиты данных опубликован на сайте ФСТЭК.

Если в применённых вами средствах защиты данных использована криптография, к надзору подключается Федеральная служба безопасности РФ (ФСБ). Сертифицированные средства криптографической защиты перечислены на сайте ФСБ.

Кто и что может проверить?

  • Роскомнадзор

— Необходимость и наличие уведомления об операторской деятельности

— Наличие «Политики оператора в отношении обработки персональных данных»

— Опубликована ли Политика на сайте или иным способом?

Имеется ли приказ о назначении лица, ответственного за осуществление Политики?
ФСТЭК

— Правильно ли определен тип угроз?

— Правильно ли определена категория обрабатываемых данных?

— Правильно ли определен требующийся уровень защищённости?

— Правильно ли применены выбранные технические средства защиты?

— Используются ли криптографические средства защиты?

— Сертифицированы ли средства, которые должны быть сертифицированы?

— Правильно ли применены криптографические средства защиты?

Никакие другие ведомства проводить проверки по обработке персональных данных не уполномочены и, соответственно, заниматься такими проверками не могут.

Непосредственно для обработки персональных данных никакие лицензии не нужны, но для обеспечения их безопасности могут потребоваться сертифицированные технические средства.

Как выполнить нормы обработки персональных данных?

  • Ознакомиться с текстом федерального закона № 152 «О персональных данных»
  • Понять, какого рода данные вы планируете обрабатывать, и распространяется ли на вас действие указанного закона
  • Осознать угрозы, которые могут возникать в отношении обрабатываемых вами данных
  • Определить способы и инструменты защиты данных
  • Составить и должным образом оформить внутренние регламентирующие документы
  • Получить согласия лиц, персональные данные которых вы намерены обрабатывать
  • Применить выбранные вами способы и инструменты защиты данных
  • Уточнить, нет ли других норм, относящихся к вашему случаю

В большинстве случаев утечка персональных данных — результат безалаберности и игнорирования элементарных правил информационной безопасности сотрудниками компании, а не каких-то серьёзных технических просчётов.

Если к вам придут с проверкой, а вы не соответствуете ФЗ-152, вы отделаетесь штрафом. И такое случается крайне редко. А вот если произойдёт утечка данных, скорее всего, вы потеряете бо́льшую часть клиентов, причём, навсегда.

Именно поэтому нужно начинать с внутренних правил и организации работы сотрудников, имеющих доступ к персональным данным ваших клиентов.

Какие нормативные акты относятся обработке персональных данных?

  • Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006
  • Постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012
  • Рекомендации Роскомнадзор по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»
  • Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК)№ 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 11.02.2013
  • Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013
  • Приказ Федеральной службы безопасности России (ФСБ) № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости» от 10.07.2014
  • Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006
  • Федеральный закон № 99-ФЗ «О лицензировании отдельных видов деятельности» от 04.05.2011
  • Ряд государственных стандартов

Здесь перечислены лишь основные документы по этому вопросу. Полный список связанных нормативов намного больше.

Как подстраховаться?

Организации или индивидуальные предприниматели, вынужденные в рамках своей деятельности использовать персональные данные, столкнувшись с ворохом норм, часто теряют уверенность в том, что сумеют полностью и правильно исполнить эти нормы.

В этом случае можно обратиться к сторонней организации, имеющей лицензии в области защиты информации, чтобы она провела аттестацию вашей информационной системы на предмет её соответствия российскому законодательству.

Список организаций, лицензированных ФСТЭК, опубликован на сайте федеральной службы.

Стоит ли тратить ресурсы на аттестацию по обработке персональных данных, решать каждому самому.

Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Видео (кликните для воспроизведения).

Источник: http://vc.ru/legal/47605-personalnye-dannye-kto-pridet-vas-proverit

Контроль защиты персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here