Защита персональных данных в организациях

Защита персональных данных в организациях

Оглавление:

7 шагов к созданию системы защиты персональных данных

Семь шагов к созданию системы защиты персональных данных в организации. — назначается ответственный сотрудник предприятия за осуществление мероприятий, по защите персональных данных; — дается указание о разработке локальной документации, относящейся к защите персональных данных; — создается комиссия по защите и обработке персональных данных в организации; — утверждается и вводится в действие Положение по защите и обработке персональных данных в организации.

2 шаг – проведение обследования информационных систем персональных данных организации. — отчет об обследовании информационных систем персональных данных,; — Приказ

«О создании комиссии по классификации информационных систем персональных данных»

; — Акт классификации типовой информационной системы персональных данных -и, как приложение к Положению о защите и обработке ПДн в организации, «Примерная модель угроз безопасности данных, обрабатываемых в информационных системах персональных данных».

4 шаг — разработка, утверждение и применение документов под названиями: «Согласие на обработку персональных данных» и «Отзыв согласия на обработку ПДн». 5 шаг – внедрение системы защиты персональных данных.

С точки зрения организационных мероприятий этот шаг включает в себя: — составление и утверждение перечня лиц, допущенных к обработке ПДн (здесь очень важно не забыть уведомить самих лиц о то, что они обрабатывают персональные данные!); — создание и утверждение Перечня персональных данных, обрабатываемых в организации; — создание и утверждение документа с названием «Описание системы защиты персональных данных при их обработке в информационных системах персональных данных в организации.

К описанию необходимо приложить: — инструкцию пользователю по соблюдению режима защиты информации при работе в информационных системах персональных данных; — инструкцию администратору безопасности информационных систем персональных данных организации; — инструкцию по резервному копированию и восстановлению данных в информационных системах персональных данных предприятия; — положение о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных в организации. 6 шаг – необходимо определиться с техническими средствами защиты персональных данных.

Технические средства защиты персональных данных бывают от: — перечень средств защиты персональных данных; — журнал учета и хранения носителей персональных данных; — акт установки средств защиты информации; -утвержденная форма акта списания и уничтожения электронных носителей информации; — утвержденная форма акта уничтожения документов; — подписанные соглашения о неразглашении персональных данных с третьими лицами (организациями) или соответствующие оговорки в контрактах и соглашениях (в особенности при трансграничной передаче данных). 7 шаг – создание и подписание

«Заключения о соответствии системы защиты персональных данных, обрабатываемых в информационных системах персональных данных организации»

.

Защита персональных данных в организациях

Практическая защитаперсональных данных Итак, Вы наконец то решили «разобраться» с защитой персональных данных в Вашей организации. С чего же начать?! В первую очередь необходимо назначить ответственных за обеспечение безопасности персональных данных в организации. Их может быть несколько. Например по 1 сотруднику в каждом отделе, обрабатывающем персональные данные в организации.

В небольших организациях ответственным, как правило, назначают начальника отдела кадров или начальника информационного отдела. Основные задачи ответственного — подготовка документов по защите персональных данных, контроль за соблюдением требований по защите.

На следующем этапе необходимо определиться где и в каком виде присутствуют персональные данные в Вашей организации. Напомним, что персональные данные – это любая информация о людях. Это могут быть персональные данные сотрудников, данные пациентов (если речь идет о медучреждении), данные граждан (если речь идет о госучреждении) и т.д. Субъект персональных данных — это человек, персональные данные которого Вы обрабатываете.
Нельзя обрабатывать персональные данные без конкретной цели!

Обрабатываемые персональные данные группируются по целям обработки.

Например: «Сотрудники», «Пациенты», «Граждане».

Согласие в письменной форме требуется в следующих случаях:- обрабатываются специальные категории персональных данных- обрабатываются биометрические персональные данные- будет осуществляться трансграничная передача персональных данных На следующем этапе для каждой группы персональных данных (ПДн) необходимо определить способы обработки: автоматизированный, неавтоматизированный, смешанный. Неавтоматизированная обработка – это обработка персональных данных на бумажных носителях.

Автоматизированная обработка (или обработка в информационных системах персональных данных — ИСПДн) предполагает использование компьютера.

Уведомление отправляется в электронном виде (заполнение формы на сайте http://www.pd.rsoc.ru/operators-registry/notification/form/) и дублируется в бумажном виде с подписью руководителя и печатью. Для персональных данных, обрабатываемых в информационных системах персональных данных (ИСПДн) и обрабатываемых без использования средств автоматизации выдвигаются различные требования по защите. © 2021 «Практическая защита персональных данных»

Персональные данные: а вы готовы к проверке?

Примеры документов из статьи: — ЗАЯВЛЕНИЕ на обработку персональных данных — Положение о персональных данных — ПРИКАЗ о назначении ответственных за обработку персональных данных — ПРИКАЗ о назначении ответственных за обеспечение безопасности персональных данных — ДОГОВОР Об обработке персональных данных Давайте разберемся подробнее.

Ключевыми понятиями, от которых стоит отталкиваться при определении объема работ при использовании персональных данных работников, является само понятие «персональные данные» и понятие «обработка персональных данных».

Особое внимание необходимо уделить понятию передача персональных данных, так как на работодателя в связи с ним накладывается ряд ограничений 2 .

Так, собственник не имеет права: Кроме этого, работодатель должен соблюдать следующие требования: Помимо положения о персональных данных работодатель должен издать два приказа:

  • о назначении ответственных за обработку персональных данных (см. Пример 3);
  • о назначении ответственных за обеспечение безопасности персональных данных (см. Пример 4).

Примеры бумажных носителей персональных данных: В-третьих, обеспечить в информационной системе следующие возможности: Итак, в организации для работы с персональными данными должны быть следующие документы:

Что нужно знать работодателю о защите персональных данных?

Защита персональных данных сегодня актуальный вопрос не только в отношениях работник-работодатель, но и в любой сфере, в которой собираются и обрабатываются личные данные.

Обязательность применения мер безопасности по защите персональных данных возлагается на сторону, которая занимается их обработкой.

В некоторых случаях согласие на обработку персональных данных работника (соискателя) не требуется, если эта информация получена: В уведомлении необходимо указать: Не следует забывать о том, что работник в любое время имеет право отозвать свое согласие на обработку персональных данных.

  • на граждан – от 300 до 500 руб.;
  • на должностных лиц – от 500 до 1000 руб.;
  • на юридических лиц – от 5000 до 10 000 руб.

Помимо организации ответственность за нарушение несет ее руководитель как должностное лицо.

Защита персональных данных в организациях

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора. Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом: Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации. Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре. В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных. * Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

  • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
  • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа. В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных: Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности. Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.

Организация защиты персональных данных

Сегодня обеспечение безопасности персональных данных (далее – ПД) является одной из острейших проблем в информационной сфере и взаимоотношениях государства, юридических и физических лиц.

Тем не менее, требования законодательства должны исполнить все государственные и частные организации, которые обрабатывают персональные данные, как своих сотрудников, так и ПДн клиентов, абонентов, контрагентов и других типов субъектов. В связи тем, что статья 19 закона в новой редакции (от 25.07.2011) была полностью переписана, были приняты новые подзаконные акты и регламентирующие документы, в частности – Постановление Правительства № 1119 от 01.11.2012 и Приказ ФСТЭК России № 21 от 18.02.2013.
Максимальная мера наказания Репутационные потери организаций, уличенных в нарушении законодательства в сфере персональных данных, не поддаются оценке денежным эквивалентом.

  • КОАП – Кодекс об административных правонарушениях
  • УК – Уголовный Кодекс
  • ТК – Трудовой Кодекс.

Основные составляющие системы государственного контроля и надзора за обеспечением безопасности ПД при их обработке в информационных системах: Таким образом, создается продуманная система государственного контроля операторов, обрабатывающих персональные данные. В целом, в соответствии с новыми руководящими документами, система защиты персональных данных должна строиться следующими этапами:

Организация защиты персональный данных в организации по ФЗ № 152-ФЗ — О персональных данных

организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

Постановление от 1 ноября 2012 г.

N 1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных. 1.

Что такое система защиты персональных данных?
Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах. Приказ ФСТЭК от 18 февраля 2013 года № 21.

Мероприятия по обеспечению безопасности и инструкция по разработке СЗПД

Возросшие технические возможности по копированию и распространению конфиденциальной информации привели к необходимости использования средств по защите персональных данных. В соответствии со статьей 19 Федерального закона «О персональных данных» № 152 от 27.07.2006 года, Правительство РФ устанавливает 4 уровня защищенности:

  1. УЗ-1 – максимальный.
  2. УЗ-2 – высокий.
  3. УЗ-3 – средний.
  4. УЗ-4 – низкий.

Детально выбор средств в соответствии с уровнем защиты и типом угроз освещен в пунктах 4-16 Постановления Правительства РФ от 01.11.2012 N 1119.

СЗПД должна быть выстроена таким образом, чтобы действовать эффективно, но в то же время обеспечивать непрерывность внутренних процессов компании или организации.

Организационные меры включают:

  1. Оповещение Роскомнадзора о начале обработки персональных данных путем отправки в орган соответствующего уведомления.

Внедрение пропускного режима для доступа на объект, где хранятся и обрабатываются данные. Подписание соглашений с третьими лицами, которые участвуют в обработке информации. Составление перечня ограниченного круга лиц, которые имеют право работать с ПД и несут ответственность за конфиденциальность информации.

Рациональное расположение рабочих мест в организации, исключающее несанкционированный доступ к личным сведениям.

  • Внутренний контроль за соблюдением требований к защите ПД в соответствии с законодательством.
  • Технические меры предполагают использование программных и аппаратных средств информационной защищенности.Они направлены на: Средства и способы защиты оператор выбирает самостоятельно с учетом актуальных угроз и особенностями операций, совершаемых с ПД. Техсредства защиты информации должны быть сертифицированы и правильно настроены.

    Со списком сертифицированных средств можно ознакомиться на сайте ФСТЭК России.

    Средства и система защиты ПД – это целый комплекс мероприятий, которые важно не только грамотно разработать и внедрить, но и поддерживать систему в актуальном состоянии.

    Меры по защите персональных даных сотрудников

    № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Есть ли какие-либо ограничения по применению средств защиты для различных уровней защищенности?