Защита персональных данных
Каждая организация должна выполнять обязанности по обработке персональных данных своих работников, клиентов, контрагентов, партнеров и других лиц, а также обеспечивать безопасность обрабатываемых персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных») и иными нормативными правовыми актами. Для обеспечения безопасности персональных данных организация обязана принимать необходимые правовые, организационные и технические меры защиты.

Филиал АО «БИТК» в городе Воронеже оказывает полный комплекс услуг по организации обработки и обеспечению безопасности персональных данных в организациях в соответствии с требованиями Федерального закона «О персональных данных» и иными нормативными правовыми актами, в том числе:
  • аудит процессов обработки и защиты персональных данных;
  • разработку локальных актов организации по обработке и защите персональных данных;
  • проектирование системы защиты персональных данных;
  • поставку и внедрение средств защиты информации;
  • аттестацию информационных систем персональных данных по требованиям безопасности информации;
  • оценку эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных.
Что такое персональные данные и зачем их защищать
В соответствии со ст. 3 Федерального закона «О персональных данных»:

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Любая действующая организация является оператором персональных данных (ПДн), поскольку имеет в своем штате работников, взаимодействует с другими юридическими или физическими лицами. Размеры организации и ее форма собственности значения не имеют.

Организации или должностному лицу, нарушившим требования законодательства о персональных данных, в зависимости от обстоятельств и серьезности деяния может грозить дисциплинарная, материальная, гражданско-правовая, административная или уголовная ответственность. Подробнее см. в разделе «Ответственность за нарушения законодательства».

Предельная сумма штрафа на должностное лицо может составлять до 800 тыс. рублей, а на организацию - до 18 млн. рублей.
Аудит процессов
В ходе аудита процессов происходит ознакомление с документами и материалами, а также имеющейся информационной инфраструктурой оператора:
1) Общие сведения об организации:
  • учредительные документы;
  • территориальное расположение подразделений, зданий, офисов, помещений;
  • контролируемая зона;
  • виды деятельности организации с описанием категорий субъектов ПДн, обрабатываемые категории ПДн, цели обработки, правовое основание, сроки обработки, перечень лиц, допущенных к обработке и другая информация;
  • информация об уведомлении об обработке ПДн или документы, подтверждающие правовые основания обработки ПДн без подачи уведомления;
  • штатное расписание или информация об имеющихся должностях (назначенных работниках), связанных с обработкой и защитой ПДн, обслуживанием и эксплуатацией информационных систем персональных данных (ИСПДн);
  • регламенты (инструкции) указанных работников;
  • документы, определяющие политику оператора в отношении обработки ПДн;
  • локальные акты оператора, связанные с обработкой и защитой ПДн;
  • локальные акты и результаты внутреннего контроля соответствия обработки ПДн требованиям законодательства;
  • образцы и примеры согласий субъектов ПДн;
  • типовые формы обязательств, согласий, разъяснений;
  • сведения о наличии обработки специальных и биометрических ПДн, о принятии решений на основании исключительно автоматизированной обработки ПДн, об осуществлении трансграничной передачи ПДн, правомерности осуществления обработки ПДн в целях продвижения товаров, работ, услуг на рынке, порядке получения Заказчиком согласия субъекта ПДн на предоставление доступа неограниченному кругу лиц к его ПДн, порядке осуществления обработки ПДн в случаях, необходимых для защиты жизни, здоровья и иных жизненно важных интересов субъектов ПДн, об обращениях граждан по вопросам уточнения, удаления, уточнения ПДн и другие сведения.

2) Сведения о кадровой и бухгалтерской деятельности:
  • принятые у Заказчика формы согласий на обработку ПДн работников и членов их семей, соискателей, посетителей, потребителей и иных категорий лиц, при их наличии;
  • состав документов, входящих в личное дело работника;
  • состав документов зарплатного проекта;
  • порядок медицинского страхования работников и их родственников;
  • порядок командирования работников, оформления гостиниц, приобретения билетов;
  • состав документов работников, передаваемых в архив, порядок и сроки передачи;
  • порядок обработки ПДн уволенных работников;
  • поручения третьим лицам на обработку ПДн.

3) Сведения об информационной инфраструктуре:
  • схема и описание информационной инфраструктуры;
  • описание физических мер защиты помещений и оборудования;
  • перечень и расположение компонентов ИСПДн, включая базы данных, содержащие ПДн;
  • сведения об ИСПДн: аппаратное и программное обеспечение, средства защиты информации, группы пользователей и другая информация;
  • порядок обработки информации (эксплуатационные документы на ИСПДн или перечень и описание операций, действий, совершаемых с ПДн);
  • регламенты, инструкции по защите информации (лицензионная политика, парольная политика, антивирусная защита, резервное копирование, межсетевое экранирование, криптографическая защита и т.д.);
  • описание технологического и информационного сопровождения ИСПДн (порядка поддержки пользователей, регламентов обслуживания);
  • описание интернет-сайтов и сервисов, мобильных приложений, опросников, форм обратной связи с помощью которых оператор собирает данные о посетителях и пользователях;
  • договоры с третьими лицами, на основании которых оказываются услуги рекламного характера, осуществляется передача данных посетителей, пользователей сайтов, клиентов (физических лиц) оператора;
  • договоры, на основании которых осуществляется передача статистических обезличенных данных.

Приведенный перечень документов и материалов будет изменяться в зависимости от особенностей организации, целей аудита и многих других факторов.
Разработка локальных актов организации
В зависимости от результатов аудита и имеющихся у оператора процессов обработки ПДн, разрабатываются новые и (или) актуализируются имеющиеся локальные акты по обработке и защите персональных данных.

Представленный далее перечень документов организации является "примерным" и будет отличаться в каждой организации.

Приказы:
  • о назначении ответственного за организацию обработки персональных данных;
  • о назначении комиссии по определению уровня защищенности информационных систем персональных данных;
  • об утверждении документов, определяющих политику в отношении обработки персональных данных в организации;
  • о назначении администратора информационной безопасности (уполномоченного по защите информации);
  • о назначении лица, обеспечивающего функционирование информационной системы;
  • о назначении комиссии по проведению внутреннего контроля соответствия обработки персональных данных установленным требованиям;
  • об утверждении мест хранения материальных носителей персональных данных.

Акты:
  • акт определения уровня защищенности персональных данных информационной системы персональных данных;
  • акт оценки вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона «О персональных данных»;
  • акты с результатами внутреннего контроля соответствия обработки персональных данных установленным требованиям и мерами, необходимыми для устранения выявленных нарушений.

Перечни:
  • перечень персональных данных, обрабатываемых в организации;
  • перечень должностей служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных (в случае обезличивания персональных данных);
  • перечень должностей служащих, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
  • перечень информационных систем персональных данных;
  • перечень разрешенного к использованию программного обеспечения и его компонентов в информационных системах персональных данных.

Политики, положения, правила, регламенты, инструкции:
  • политика в отношении обработки ПДн (опубликована на официальном сайте организации в течение 10 дней после утверждения);
  • правила обработки персональных данных;
  • положение о защите персональных данных;
  • правила рассмотрения запросов субъектов персональных данных или их представителей;
  • положение о порядке доступа в контролируемую зону или порядок доступа сотрудников в помещения, в которых ведется обработка персональных данных;
  • регламент управления конфигурацией;
  • правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;
  • правила работы с обезличенными данными (в случае обезличивания персональных данных);
  • регламент обучения (повышения квалификации);
  • план внутренних проверок режима защиты персональных данных;
  • должностной регламент (должностные обязанности) или должностная инструкция лица, ответственного за организацию обработки персональных данных;
  • инструкция администратору информационной безопасности;
  • инструкции лица, обеспечивающего функционирование информационной системы;
  • инструкция пользователя информационных систем персональных данных;
  • инструкция об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации;
  • инструкция по организации парольной защиты;
  • инструкция по организации антивирусной защиты;
  • инструкция по организации резервного копирования и восстановления защищаемой информации;
  • инструкция по порядку учета и хранению съемных носителей персональных данных;
  • инструкция по уничтожению (стиранию) или обезличиванию конфиденциальной информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации.

  • Журналы:
    • журнал учета машинных носителей информации;
    • журнал учета смены паролей;
    • журнал учета событий информационной безопасности;
    • журнал учета обращений субъектов персональных данных;
    • журнал учета инструктажей по информационной безопасности;
    • журнал приема (сдачи) под охрану кабинетов и ключей от них;
    • журнал учета сейфов, металлических шкафов, специальных хранилищ и ключей от них.

    Типовые формы:
    • типовая форма обязательства служащего, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
    • типовая форма согласия на обработку персональных данных сотрудников, иных субъектов персональных данных;
    • типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные.

    Уведомления:
    • уведомление уполномоченного органа по защите прав субъектов ПДн о начале обработки персональных данных;
    • уведомление уполномоченного органа по защите прав субъектов ПДн обо всех произошедших изменениях (не позднее 15 числа следующего месяца).
    Проектирование системы защиты персональных данных
    Работы по проектированию системы защиты персональных данных включают в себя:

    1) Предварительное обследование (аудит) в ходе которого уточняются:
    • тип ИСПДн;
    • уровень защищенности ПДн при их обработке в ИСПДн;
    • объекты защиты информации ИСПДн;
    • перечень ПДн, обрабатываемых в ИСПДн;
    • технологический процесс обработки ПДн;
    • состав основных технических средств, участвующих в обработке ПДн;
    • состав программного обеспечения, используемого для обработки ПДн;
    • режимы функционирования ИСПДн;
    • применяемые меры и средства защиты информации.

    2) Формирование требований к защите информации, содержащейся в ИСПДн:
    • определение уровня защищенности ПДн при их обработке в ИСПДн;
    • определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в ИСПДн, и разработку на их основе модели угроз безопасности информации;
    • определение требований к системе защиты персональных данных, включаемых в техническое задание (частное техническое задание).

    3) Разработка системы защиты персональных данных:
    • создание технического задания на создание (модернизацию) ИСПДн или систему защиты персональных данных;
    • проектирование системы защиты персональных данных отдельно или в составе ИСПДн.

    При разработке системы защиты персональных данных:
    • определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
    • определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в ИСПДн;
    • выбираются меры защиты информации, подлежащие реализации;
    • определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
    • определяется структура системы защиты персональных данных, включая состав (количество) и места размещения ее элементов;
    • осуществляется выбор средств защиты информации, сертифицированных при необходимости, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также уровня защищенности персональных данных ИСПДн;
    • определяются параметры настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, приводящих к возникновению угроз безопасности информации;
    • определяются меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями.

    В зависимости от потребностей заказчика работы по проектированию могут выполняться в один или несколько этапов.
    По результатам работы возможна разработка следующих документов:
    • акт определения уровня защищенности ПДн;
    • модель угроз безопасности информации;
    • аналитическое обоснование создания системы защиты персональных данных и (или) техническое задание, и (или) технический проект.
    Поставка и внедрение средств защиты информации
    Поставка средств защиты информации и внедрение системы защиты персональных данных включает следующие этапы:

    1. Поставка средств защиты информации.
    2. Установка и настройка средств защиты информации.
    3. Разработка документов, определяющих правила и процедуры, реализуемые для обеспечения защиты информации в ИСПДн в ходе ее эксплуатации (организационно-распорядительные документы по защите информации).
    4. Внедрение организационных мер защиты информации.
    5. Опытная эксплуатация системы защиты персональных данных.
    6. Анализ уязвимостей ИСПДн и принятие мер защиты информации по их устранению.

    Пункты 1-4, 6 может реализовать как оператор, так и исполнитель, имеющий лицензию на осуществление деятельности по технической защите конфиденциальной информации.

    Пункт 5 реализует оператор самостоятельно, исполнитель может оказывать услуги по сопровождению (технической поддержке) установленных средств защиты информации.
    Аттестация информационных систем
    Аттестация ИСПДн может быть проведена по решению оператора исполнителем, имеющим лицензию на осуществление деятельности по технической защите конфиденциальной информации, в соответствии с программой и методиками аттестационных испытаний.

    По результатам аттестационных испытаний оформляются протоколы аттестационных испытаний, заключение по результатам аттестационных испытаний. В случае положительных результатов аттестационных испытаний выдается аттестат соответствия требованиям по защите информации.
    Оценка эффективности реализованных мер
    Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе исполнителей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.
    Указанная оценка должна проводиться не реже одного раза в 3 года.
    Ответственность за нарушения законодательства
    Лицам, нарушившим требования законодательства о персональных данных, в зависимости от обстоятельств и серьезности деяния может грозить дисциплинарная, материальная, гражданско-правовая, административная или уголовная ответственность.
    Made on
    Tilda