Защита персональных данных Главная
Регистрация
Вход

Каталог статей

Главная » Статьи » Эксперт
Алгоритм построения системы защиты персональных данных

Требования Закона «О персональных данных» распространяются на все государственные и коммерческие организации, обрабатывающие персональные данные физических лиц (сотрудников, клиентов, партнеров и т.п.), независимо от размера и формы собственности.

Наиболее остро вопрос защиты персональных данных стоит в сферах здравоохранения, образования, финансов, и в государственных органах.

Эти обстоятельства предъявляют повышенные требования к системе защиты персональных данных и являются приоритетными для проведения проверок контролирующими органами.

Статья 1 Закона № 152-ФЗ «О персональных данных» устанавливает сферу действия Закона: «Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации». 


 Сроки выполнения требований законодательства

 

Закон «О персональных данных» был принят 27.07.2006г., вступает в силу с 1 января 2011 года. Регуляторы предоставили время для приведения своих систем в соответствие с требованиями законодательства. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июня 2011 года.

Вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиями Закона «О персональных данных». 

Организационные меры защиты персональных данных включают в себя комплекс мероприятий по разработке организационно-распорядительных документов, регламентирующих весь процесс получения, обработки, хранения, передачи и защиты персональных данных.

Первое с чего нужно начать это создать специальную комиссию по защите персональных данных или назначить ответственного за обеспечение информационной безопасности.

В зависимости от величины организации целесообразно назначить либо одного человека, ответственного за обеспечение информационной безопасности, либо создать специальную комиссию по защите персональных данных. В качестве председателя комиссии целесообразно назначить кого – либо из первых заместителей руководителя организации, начальника службы безопасности организации или руководителя кадровой службы организации. В состав комиссии рекомендуется включить главного бухгалтера, руководителей подразделений организации обрабатывающих персональные данные, так как они знают структуру обрабатываемых персональных данных, задачи проводимой обработки, а также сотрудников организации, ведущих обработку персональных данных. В качестве лиц, обладающих специальным образованием в области защиты информации и необходимыми познаниями.

Далее произвести инвентаризацию информационной системы, обрабатывающей персональные данные.

Часто проведение этого этапа предпроектного обследования считают неразумным или нерациональным, но для построения сбалансированной системы защиты информации он необходим. На этом этапе составляется перечень всех информационных и аппаратных ресурсов организации. Данный перечень будет использоваться в дальнейшем для классификации и выявления систем в которых обрабатываются персональные данные.

Классифицировать ИСПДн необходимо  согласно приказа ФСТЭК/ФСБ/Мининформсвязи от 13.02.2008 №55/86/20 «Об утверждении порядка проведения классификации ИСПДн».

На основании закона «О персональных данных» любая информационная система персональных данных должна быть классифицирована. Процесс классификации - это процесс отнесения информационной системы персональных данных к одному из четырех классов, определенных Приказом Мининформсвязи/ФСТЭК/ФСБ от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

Класс присваивается в зависимости от количества субъектов, персональные данные которых обрабатываются в ИСПДн, а также с учетом категории обрабатываемых данных. Категории персональных данных установлены приказом Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных".

Выявляется топология локальной сети, ее архитектура и технологические связи внутренней сети, а также основные информационные потоки.

Также на данном этапе осуществляется определение физической и логической структуры будущей системы защиты информационной системы персональных данных. Устанавливается наличие средств защиты и существующей системы разграничения доступа к информационным ресурсам. Также изучаются имеющиеся сертификаты на средства защиты информации.

 

После чего происходит пересмотр договоров с субъектами и контрагентами

Пересмотреть договоры с работниками и клиентами. Необходимо выяснить, содержаться ли в них пункты, касающиеся обработки и защиты персональных данных. В случае отсутствия подготовить дополнительные соглашения, ознакомить сотрудников и контрагентов. Подписать их.

На каждую информационную систему обрабатывающих персональные данные необходимо сформировать перечень персональных данных.

В первую очередь, необходимо установить перечень персональных данных (далее ПДн) физических лиц, которые обрабатываются в учреждении. Если кадровый учет и бухгалтерия есть в любом учреждении, то другие направления деятельности, где используются персональные данные, требуется установить: это могут быть данные  посетителей, партнеров, контрагентов и т.п.

Также нужно определить цели обработки персональных данных: трудовые отношения с работниками; договор оказания услуг и т.п.

Сроки обработки и хранения. Хранение ПДн должно быть не дольше, чем этого требуют цели их обработки, по достижению которых ПДн подлежат уничтожению. Установить перечень ПДн, по которым цели обработки достигнуты.

Необходимо так же составить и направить в Управление Роскомнадзора "Уведомление об обработке персональных данных".

Начав деятельность, организация обязана подать уведомление о начале обработки персональных данных в Управление Роскомнадзора. На основании уведомления организация регистрируется в реестре операторов, осуществляющих обработку персональных данных.

Уведомление должно быть направлено в письменной форме и подписано руководителем или направлено в электронной форме и подписано электронной цифровой подписью.

Одной из самых распространенных ошибок операторов, не желающих выполнять требования Закона, является ссылка на начало п. 2 ст. 22 Закона:

Операторы ссылаются на оформление договорных отношений с субъектами и размышляют так: «Уведомление подавать не обязательно, значит, работы по созданию системы защиты персональных данных проводить излишне».

«Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных…»

Ссылаясь на этот пункт статьи, забывают о том, что персональные данные сами отправляют в Управление Федеральной налоговой службы, Управление Пенсионного фонда России, в страховые компании, в аутсорсинговые компании и т.д., то есть третьим лицам.

Завершается п. 2 ст. 22 Закона словами:

«… если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных»

Таким образом, все юридические лица обязаны подавать уведомление в Управление Роскомнадзора субъекта Федерации и создавать систему защиты персональных данных.

В результате работы с субъектами требуется брать  согласие субъектов на обработку их персональных данных.

Необходимо разработать "Согласие субъекта на обработку персональных данных", в котором обязательными полями будут перечень персональных данных, цель их обработки, а также методы и способы обработки персональных данных и получить подписи каждого субъекта, персональные данные которого обрабатывает Ваша организация.

Чтобы Документально регламентировать работу с персональными данными в учреждении необходимо утвердить «Положение об обработки персональных данных».

Ограничить доступ своих сотрудников и пользователей информационных систем к персональным данным.

Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании «Перечня лиц, допущенных персональным данным», а также необходимо взят с данных лиц обязательство о неразглашении персональных данных ставших известными им,  в следствии выполнения служебных обязанностей .

Следующие что необходимо сделать операторам обрабатывающим персональные данные сформировать модель угроз персональным данным.

Частная модель угроз организации – оператора составляется в соответствии с руководящим документом ФСТЭК России.

Квалифицированное составление частной модели угроз имеет важное значение для организации - оператора. Именно от этого зависит выбор необходимых и достаточных способов защиты информационной системы, подбор оборудования, а, следовательно, конечная стоимость всех работ по обеспечению безопасности персональных данных.

 

Продолжение следует…

 

Категория: Эксперт | Добавил: Эксперт (08.02.2011)
Просмотров: 5503 | Рейтинг: 1.5/2
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]

Категории раздела

Эксперт [46]

Форма входа

Поиск

Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

РЕКЛАМА
Андрей © 2025

Сделать бесплатный сайт с uCoz