deHack.ru » Статьи по безопасности » Защита ПДн: Вопросы и ответы

Защита ПДн: Вопросы и ответы



Что такое «персональные данные»?
Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.


Персональные данные неразрывно связанны с личностью их обладателя. В состав персональных данных подлежат включению также сведения о трудовой деятельности, данные о членах семьи, сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность.


Деятельность ВСЕХ организаций и учреждений связана с обработкой и хранением большого количества персональных данных. Федеральный закон «О персональных данных» № 152-ФЗ от 27.07.2006г. требует, чтобы каждая организация, владеющая персональными данными своих сотрудников, клиентов, партнеров обеспечила конфиденциальность этой информации.




Какие нормативные акты (помимо ФЗ «О персональных данных») регулируют оборот персональных данных?

  • Конституция РФ
  • Федеральный закон от 19 декабря 2005 г. N 160-ФЗ “О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных”
  • Трудовой кодекс РФ от 30.12.2001г. № 197-ФЗ
  • Кодекс РФ об административных правонарушениях от 30 декабря 2001 г. N 195-ФЗ
  • Уголовный кодекс РФ
  • ФЗ «Об информации, информационных технологиях и защите информации» № 149-ФЗ от 27.07.2006г.
  • ФЗ «О лицензировании отдельных видов деятельности» № 128-ФЗ от 08.08.2001г.
  • ФЗ «Об актах гражданского состояния» № 143-ФЗ от 15.11.1997г.
  • ФЗ «Об оперативно-розыскной деятельности» № 144-ФЗ от 12.08.1995г.
  • ФЗ «О банках и банковской деятельности» № 395¬I от 02.12.1990г.
  • ФЗ «Об архивном деле в РФ» № 125-ФЗ от 22.10.2004г.
  • Постановление Правительства РФ от 17.11.2007г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
  • Постановление Правительства РФ от 15 августа 2006 г. N 504 “О лицензировании деятельности по технической защите конфиденциальной информации”
  • Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), Гостехкомиссия России, 2002 г.

Для исполнения требований закона необходимы: внедрение новых ИТ-продуктов, принятие ряда организационных и технических мер, модернизация бизнес-процессов организаций.




На кого распространяется закон?
Закон распространяется на ВСЕХ без исключения юридических и физических лиц.




Каковы обязанности оператора по защите персональных данных?
Обязанностью оператора является обеспечение безопасности персональных данных при их обработке: принятие необходимых организационных и технических мер, в том числе использование шифровальных (криптографических) средств для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.


Организации-оператору желательно заранее разработать и закрепить в нормативных документах все организационные и технические меры информационной безопасности, предпринимаемые для защиты персональных данных, содержащихся в информационных системах организации.


Деятельность организаций, не принявших подобных мер в части сбора, хранения и передачи персональной информации о гражданах де-юре является незаконной.




Какова ответственность за несоблюдение требований закона?
Лица, виновные в несоблюдении требований закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.


Более того, закон предоставляет гражданам право в судебном порядке требовать возмещения убытков и/или компенсацию морального вреда в случаях, когда оператор нарушает требования закона. Очевидно, что утечка персональных данных способна повлечь череду гражданских исков и судебных разбирательств, что приведет к серьезным юридическим издержкам, имиджевым потерям и материальным затратам.




Кто осуществляет функции надзора и контроля за выполнением требований закона?
В пределах предоставленных им полномочий:

  • федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности - ФСБ
  • федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации - ФСТЭК
  • федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи - Россвязьохранкультура



Какие требования предъявляются к обработке персональных данных?
Согласно действующему законодательству РФ, все сведения конфиденциального характера (к которым относятся и персональные данные) должны обрабатываться с использованием защищенных систем и средств информатизации и связи или с использованием сертифицированных технических и программных средств защиты.


В настоящее время для проверки достигнутого уровня защищенности объектов информатизации принята процедура аттестации. Аттестация объектов информатизации, предназначенных для обработки и хранения конфиденциальной информации, является обязательной. Необходимость проведения аттестации и ее порядок регламентируется руководящими и методическими документами ФСТЭК России.




Что такое аттестация?
Аттестация -это процесс, осуществляемый в отношении такой категории, как «объект информатизации». В результате аттестации уполномоченным (аккредитованным) органом удостоверяется возможность обработки на конкретном объекте информатизации информации с ограниченным доступом определенной категории.


При проведении аттестации оцениваются в совокупности все средства защиты информации, а также конкретные условия эксплуатации рассматриваемого объекта.


Процесс аттестационных испытаний включает в себя ряд последовательных этапов, которые направлены на получение «Аттестата соответствия» на объект информатизации.




Является ли процедура аттестация объекта информатизации обязательной?
Аттестация как процедура не обязательна, а вот комплекс организационно-технических мер по защите персональных данных обязателен. И технической защитой Ваших данных может заниматься только уполномоченная на это организация.




Для чего это нужно организации, имеющей отличную систему защиты информации?
Процедура аттестации необходима для проверки и удостоверения достигнутого уровня защищенности объектов информатизации. Аттестация объектов информатизации, в которых циркулирует коммерческая информация, носит добровольный характер, в то время как аттестация объектов информатизации, предназначенных для обработки и хранения персональных данных, является обязательной.


Уровень защищенности информации в организации может быть сколь угодно высоким. Однако государство в лице уполномоченных (аккредитованных) органов путем аттестации реализует функцию защиты интересов субъектов персональных данных (физических лиц).


Аттестация – это метод и результат проверки и контроля, а не способ защиты.




Что же делать?
Прежде всего, придти к пониманию того, что рано или поздно будет необходимо исполнить все требования, предъявляемые законом.


Деятельность по технической защите персональных данных подлежит обязательному лицензированию в соответствии с Федеральным законом от 08.08.2001г. № 128-ФЗ «О лицензировании отдельных видов деятельности». Лицензирование деятельности по технической защите конфиденциальной информации осуществляет Федеральная служба по техническому и экспортному контролю (ФСТЭК России).


Требования для получения лицензии ФСТЭК России достаточно жесткие, поэтому далеко не каждая организация сможет получить такую лицензию. То есть, самостоятельное исполнение организацией работ по технической защите информации и получению аттестата в подавляющем большинстве случаев невозможна.


Для многих организаций единственным способом выполнения требований законодательства является привлечение для выполнения этих работ специализированных фирм, имеющих лицензию ФСТЭК России.




С чего начать?
Пригласить специализированную организацию для проведения предварительного обследования объектов. По результатам анализа предварительного обследования специализированная организация выдаст рекомендации по проведению мероприятий, направленных на организацию системы защиты информации (персональных данных).


Далее специализированной фирмой проводятся специальные исследования технических средств и проводных коммуникаций, информационных систем, средств и систем защиты информации аттестуемого объекта на соответствие требованиям по безопасности информации, а также анализ документации по защите информации на этом объекте с точки зрения её соответствия требованиям нормативной и методической документации (а при ее отсутствии – следует разработка такой документации).


По результатам проведения исследований и испытаний оформляются протоколы специальных исследований и предписания на эксплуатацию.


Затем производятся аттестационные испытания объекта информатизации или выделенного помещения. Итогом работы является выдача «Аттестата соответствия».




Кому доверить эту работу?
Экономически целесообразным, эффективным и быстрым представляется механизм привлечения для исполнения работ по аттестации объектов информатизации организации, обладающей необходимыми лицензиями, опытом работы и квалифицированным персоналом.




Как должна выглядеть форма согласия?
Согласно части 2, статье 9 ФЗ «О персональных данных»:
«Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

  • фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе
  • наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных
  • цель обработки персональных данных
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных
  • срок, в течение которого действует согласие, а также порядок его отзыва

Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительного согласия не требуется.


В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.


В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни».

Читайте еще

Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе