Главная Права потребителей

Выбор средств защиты персональных данных. Что такое система защиты персональных данных? мероприятия по обеспечению безопасности и инструкция по разработке сзпд Организационные меры защиты персональных данных

1. Настоящий документ устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) и уровни защищенности таких данных.

2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19

Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

3. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.

4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".

5. Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.

Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.

Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона "О персональных данных".

Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные в абзацах первом - третьем настоящего пункта.

Информационная система является информационной системой, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора.

6. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".

8. При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.

9. Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

10. Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;

г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

11. Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;

д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

12. Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

Создание Системы защиты персональных данных (СЗПДн) и приведение процессов обработки и обеспечения безопасности персональных данных (ПДн) в соответствие с положениями Федерального закона № 152-ФЗ «О персональных данных» и требованиями нормативных документов позволяет минимизировать правовые и репутационные риски, связанные с потенциальными утечками ПДн и несоблюдением законодательства РФ. При проведении указанных работ учитываются процессы обработки и защиты ПДн как без использования средств автоматизации (на бумажных носителях), так и в информационных системах персональных данных (ИСПДн).

Для организации эффективной защиты персональных данных в Компании необходимо создать и внедрить комплекс организационных, программно-технических и нормативно-методических мер, которые включают в себя:

  • определение состава обрабатываемых ПДн, угроз безопасности ПДн и требуемого уровня защищенности ПДн (обычно осуществляется );
  • установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета действий, совершаемых с персональными данными в информационной системе персональных данных;
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • применение мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для обеспечения требуемого уровня защищенности ПДн;
  • оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • контроль над принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных;
  • обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
  • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

Создание системы защиты персональных данных

Работы по построению системы защиты персональных данных начинаются с разработки «Технического задания на создание системы защиты ПДн» и внутренних организационно-распорядительных документов, регулирующих процессы обработки и защиты ПДн. Техническое задание на создание системы защиты персональных данных подготавливается с учетом «Модели нарушителя и угроз безопасности ПДн» и требуемого уровня защищенности ПДн, определенного , и содержит следующие сведения:

  • обоснование необходимости разработки СЗПДн;
  • исходные данные об ИСПДн в техническом, программном, информационном и организационном аспектах;
  • сведения об актуальных угрозах безопасности ПДн и требуемом уровне защищенности ПДн при их обработке в ИСПДн;
  • ссылки на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
  • перечень необходимых для реализации организационных и технических мер по обеспечению безопасности ПДн, определенный в соответствии с требованиями Приказа ФСТЭК России от 18.02.2013 № 21, путем адаптации, дополнения и уточнения базового набора мер;
  • перечень предполагаемых к использованию сертифицированных средств защиты информации;
  • состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн;
  • требования к составу и содержанию организационно-распорядительной документации и к эксплуатационной документации на СЗПДн.

Зафиксированные в Техническом задании меры по обеспечению безопасности должны обеспечивать как требуемый уровень защищенности персональных данных, так и нейтрализацию актуальных угроз безопасности.

До внедрения средств защиты информации по желанию Заказчика могут быть проведены их макетирование и стендовые испытания с учетом исходных данных, полученных на этапе обследования, а также требований, определенных Техническим заданием на СЗПДн. В рамках макетирования проводится анализ применимости, совместимости и внедряемости СЗИ в ИСПДн организации. В результате определяется состав технических средств защиты информации, удовлетворяющий требованиям по защите ПДн, а также позволяющий реализовать мероприятия по созданию СЗПДн. Проводятся стендовые испытания СЗИ. При необходимости производится уточнение Технического задания на создание СЗПДн.

Следующий рекомендуемый шаг – разработка Технического проекта системы защиты персональных данных, который содержит детальное описание конкретных программно-технических решений для создания СЗПДн, осуществляется на основе Технического задания и результатов стендовых испытаний средств защиты информации.

Более подробную информацию о проектировании систем защиты информации можно получить на .

Разработка организационно-распорядительных документов

Как правило, параллельно с разработкой Технического задания на создание СЗПДн осуществляется разработка комплекта внутренних нормативных актов, регулирующих процессы обработки и защиты ПДн. Разрабатываемый комплект документов направлен на реализацию мер по защите, предусмотренных Техническим заданием, а также на выполнение прочих обязанностей Операторов ПДн, предусмотренных законодательством РФ.

После выхода в свет постановления Правительства РФ № 781 “Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных” от 17 ноября 2007 г. и совместного приказа Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20 “Об утверждении порядка проведения классификации информационных систем персональных данных” (далее "Порядок…") перед службами разработки и эксплуатации информационных систем (ИС), обрабатывающих персональные данные, возникло два почти гамлетовских вопроса:

  • как классифицировать ИС, предназначенные для защиты персональных данных;
  • как выбрать средства защиты информации для защиты персональных данных в этих системах.

"Порядок…" утверждает, что “классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных”. Это означает, что персональные данные (ПД) классифицирует их владелец , что является серьезным подспорьем для объективного выбора методов и средств защиты ПД и создает объективную базу для диалога с проверяющими органами о достаточности принятых в организации мер защиты персональных данных.

При проведении классификации ИС, предназначенной для обработки персональных данных, учитываются следующие исходные данные: ·

  • категория обрабатываемых в информационной системе персональных данных; ·
  • объём обрабатываемых ПД (количество субъектов, персональные данные которых обрабатываются в ИС); ·
  • заданные владельцем информационной системы характеристики безопасности персональных данных, обрабатываемых в ИС; ·
  • структура информационной системы; ·
  • наличие подключений ИС к сетям связи общего пользования и (или) сетям международного информационного обмена; ·
  • режим обработки ПД; ·
  • режим разграничения прав доступа пользователей информационной системы; ·
  • местонахождение технических средств ИС.

В первую очередь определим, что относится к персональным данным. Это сведения различного характера о конкретных физических лицах. Заметим, что мы говорим только о сведениях в электронной форме, вводимых, хранящихся, обрабатываемых и передаваемых в информационной системе. Данные сведения разделяются на четыре основные категории: ·

  • категория 1 — ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; ·
  • категория 2 - ПД, позволяющие идентифицировать субъекта персональных данных и получить о нём дополнительную информацию, за исключением персональных данных, относящихся к категории 1; ·
  • категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; ·
  • категория 4 - обезличенные и (или) общедоступные ПД.

Например, отдельно фамилия является данными 4-й категории, сочетание фамилии и адреса - третьей, фамилия, адрес, номера страховок и карт - второй, а если к этим данным добавлена электронная медкарта, то получившиеся персональные данные относятся исключительно к первой категории.

Исходя из этой классификации можно констатировать, что любые медицинские данные, а также кадровый учет, содержащий графу “национальность” (а таковы почти все действующие анкеты и личные листки по учету кадров, используемые в настоящее время), необходимо относить к первой категории. Понятно также, что фрагменты персональных данных почти всегда имеют меньшую категорию, чем их совокупность. Даже подробные сведения о здоровье физического лица могут быть бессмысленны, если неизвестна его фамилия или другие данные, однозначно привязывающие эти сведения к пациенту.

Объем обрабатываемых ПД может принимать следующие значения: ·

  1. - в ИС одновременно обрабатываются персональные данные более чем 100 000 субъектов или персональные данные субъектов в пределах региона Российской Федерации или Российской Федерации в целом; ·
  2. - в ИС одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов или персональные данные субъектов, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; ·
  3. - в ИС одновременно обрабатываются данные менее чем 1000 субъектов или персональные данные субъектов конкретной организации.

По характеристикам безопасности ПД, обрабатываемых в информационной системе, ИС подразделяются на типовые и специальные. Первые - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Характеристика “конфиденциальность” означает, что обращаться (вводить, хранить, обрабатывать и передавать) с ПД в электронной форме может только тот, для кого они предназначены. Для обеспечения конфиденциальности при передаче персональных данных в сетях, включая Интернет, необходимо использовать шифрование данных.

Специальные информационные системы - это такие ИС, в которых вне зависимости от необходимости обеспечения конфиденциальности ПД требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (например, целостность или доступность). Характеристика “целостность” означает, что персональные данные должны меняться только регламентированным образом, например изменения в файл электронной медкарты может вносить только уполномоченный врач, а в любых других случаях информация в медкарте не должна меняться. При передаче по сетям целостность обеспечивается применением электронной цифровой подписи.

Характеристика “доступность” означает, что работа с ПД должна обеспечиваться для заданного количества данных и пользователей с соблюдением установленных временных регламентов. Иначе говоря, “доступность” - другая формулировка надежности системы. Заметим также, что говорить о доступности в открытых сетях практически бессмысленно - ни один провайдер не обеспечит гарантированного доступа к данным или их бесперебойной передачи.

К специальным информационным системам относятся: ·

  • ИС, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов; ·
  • ИС, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта или иным образом затрагивающих его права и законные интересы.

По структуре информационные системы для обработки ПД подразделяются: ·

  • на автономные (не подключенные к иным ИС), предназначенные для обработки персональных данных (автоматизированные рабочие места); ·
  • на комплексы автоматизированных рабочих мест, объединенных в единую ИС средствами связи без использования технологии удаленного доступа (локальные информационные системы); ·
  • на комплексы автоматизированных рабочих мест и (или) локальных ИС, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределённые информационные системы).

По наличию подключений к сетям связи общего пользования и (или) международного информационного обмена ИС подразделяются на системы, имеющие подключения не имеющие подключений.

Исходя из того, что в обязательном порядке требуется обеспечение конфиденциальности данных, можно выделить необходимые элементы информационной системы для обработки персональных данных.

В первую очередь информационная система обязана идентифицировать пользователей и иметь возможность устанавливать индивидуальные полномочия по доступу пользователей к ПД, т. е. обладать системами идентификации и аутентификации и разграничения доступа.

Во-вторых, необходимо обеспечивать защиту персональных данных, которые могут отчуждаться из системы. Например, следует контролировать перенос информации на съёмные носители. Весьма вероятно, что в ряде случаев надо учитывать возможность хищения и утраты (потери) компьютерной техники с персональными данными. В этом случае также обязательно шифрование хранимых на носителях компьютера ПД.

Если система имеет подключения к открытым сетям или предусматривает обмен данными, обязательно применение шифрования данных и электронной цифровой подписи, а также обеспечение защиты от атак из внешних сетей, включая антивирусную защиту.

Для шифрования и электронной подписи используются ключи и сертификаты, которые генерируются самими пользователями и регистрируются в так называемых удостоверяющих центрах.

Весьма важный момент - регистрация действий с ПД, которая, с одной стороны, позволяет выявить виновных в их утечке, а с другой - создает психологическую мотивацию для корректной работы с ними.

Информационной системе для обработки ПД может быть присвоен один из следующих классов: ·

  • класс 1 (К1) - ИС, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных; ·
  • класс 2 (К2) - ИС, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; ·
  • класс 3 (К3) - ИС, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; ·
  • класс 4 (К4) - ИС, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Таблица 1

Категория

Во-первых, из “Порядка…” следует существование категорий персональных данных. Логично осуществить агрегирование базы данных в ИС, содержащей ПД, на непересекающиеся части, содержащие данные различных категорий. Также ИС для обработки ПД должна быть разделена на контуры , содержащие данные только одной категории. Это вполне возможно сделать, поскольку физические лица однозначно идентифицируются номером паспорта или ИНН либо номером полиса медицинского страхования, который позволяет индексировать базы медицинских данных и другие массивы однозначно. Таким образом, необходимо следовать принципу, что в каждом контуре ИС для обработки персональных данных необходимо использовать сертифицированные средства одного класса , а контуры должны быть изолированы друг от друга.

Можно констатировать, что большинство информационных систем для обработки ПД (особенно медицинского назначения) будут специальными , т. е. в них необходимо обеспечивать не только конфиденциальность, но и целостность в обязательном порядкеи другие характеристики безопасности и надежности.

В случае распределённой ИС для обработки персональных данных даже при необходимости обеспечения только конфиденциальности в соответствии с "Порядком…" в обязательном порядке потребуется защита передаваемых и хранимых ПД . Это полностью соответствует действующим требованиям ФСБ РФ к автоматизированным ИС, предназначенным для защиты конфиденциальной информации, не составляющей государственной тайны, а именно - положению, что “должна осуществляться защита всей конфиденциальной информации, передаваемой по каналам связи; информация, передаваемая по каналам связи, должна быть зашифрована с использованием средств криптографической защиты информации (СКЗИ), или для ее передачи должны использоваться защищенные каналы связи. Должна осуществляться защита информации, записываемой на отчуждаемые носители”.

Последнее требование безусловно применимо для изолированных ИС ПД, не имеющих каналов для передачи ПД, т. е. для отдельных рабочих мест, обрабатывающих персональные данные.

Это означает, что для обработки персональных данных ИС должны быть аттестованы по классу не ниже АК2 в классификации ФСБ РФ. Например, такому классу соответствует защищенная Windows XP c пакетом обновления Secure Pack Rus. В состав средств защиты должны входить средства криптографической защиты информации (СКЗИ) класса не ниже КС2.

Исходя из этого для любой ИС ПД, обрабатывающей ПД категорий выше 4-й (к которой безусловно будут отнесены все системы обработки медицинских ПД), потребуется выполнение всех требований класса АК2 в классификации ФСБ РФ.

Из архитектуры ИС ПД при достаточно большом количестве обрабатываемых ПД (показатель 1 или 2) однозначно будет выделяться серверный компонент, который также потребует защиты. В этом случае должна осуществляться защита всей конфиденциальной информации хранимой на магнитных носителях рабочих станций и серверов, что соответствует требованиям класса АК3.

Таким образом, можно предложить вполне обоснованную стратегию защиты ПД, состоящую в том, что табл. 1 заполняется в следующей редакции (см. табл. 2).

Таблица 2

Категория ИС Класс ИС в зависимости от объема обрабатываемых ПД

Не ниже АК3

Не ниже АК3

Не ниже АК3

Примечание. “-” - означает, что требования не предъявляются.

Таким образом, для защиты ПД первой категории, к которой относятся все медицинские данные, необходимо использовать средства защиты классов не ниже АК3 и средств криптографической защиты классов не ниже КС3.

Для практического оснащения ИС средствами защиты можно рекомендовать продукты, специально адаптированные для защиты персональных данных и имеющие необходимые разрешительные документы (сертификаты и заключения). Это в первую очередь Secure Pack Rus и средства криптографической защиты семейства CryptoPro.

Попробуем теперь оценить затраты на оснащение одного рабочего места для обработки ПД. Без учета скидок цена пакета Secure Pack Rus составляет приблизительно 2000 руб., при этом средства криптографической защиты семейства CryptoPro уже включены в этот пакет. Далее, для защиты хранимой на компьютере персональной информации целесообразно докупить один из пакетов защиты данных CryptoPro EFS, Secure Pack Explorer либо "Криптопроводник". Цена каждого из этих продуктов составляет от 600 до 1000 руб. Итого защита одного рабочего места без учета установки и настройки обойдется примерно в 3000 руб., а установка и адаптация программ традиционно добавит 10--15% к стоимости

Условно можно выделить “мистические десять шагов на пути” к защищенной системе для обработки ПД.

  1. Определите те элементы вашей ИС, которые необходимо защитить в первую очередь. Сначала выясните, какие именно персональные данные нуждаются в защите и где в вашей системе они находятся в настоящее время. Затем проверьте, действительно ли нуждаются в защите данных рабочие места всех без исключения сотрудников. Может быть, проще выделить отдельные компьютеры для работы с персональной информацией, которую необходимо защищать особенно надежно? Помните, что компьютер, подключенный к Интернету, - не самое удачное место для хранения ПД!
  2. Оцените текущее состояние информационной безопасности. Насколько оно удовлетворительно? Если есть возможность, проведите внешний аудит защищенности вашей системы. Классифицируйте вашу ИС в соответствии с приведенными выше рекомендациями. Сравните ваши выводы с выводами внешнего аудита.
  3. Определите, кто в данное время отвечает за обеспечение защиты ИС. Нельзя ли сузить круг лиц, от которых зависит надежность этой защиты? В то же время помните - безопасность не может зависеть от одного человека! Обязательно назначьте аудиторов, например, главный врач может контролировать работу специалистов по заполнению и перемещению ПД.
  4. Критически относитесь к требованиям специалистов, если они настаивают на установке аппаратных средств обеспечения безопасности. Учтите также, что применение криптографических средств - довольно серьезная работа. Важно понять: не помешает ли обслуживание средств шифрования и использование цифровой подписи основной деятельности вашей компании? Учтите также, что далеко не каждый сотрудник может и должен заниматься шифрованием данных.
  5. Наведите порядок в сфере безопасности вашей клиники. Установите режим, который позволит обеспечить требуемый уровень информационной безопасности, однако не перегните палку. Например, нельзя лишать людей возможности пользоваться мобильными телефонами. Нецелесообразно также запрещать сотрудникам обращаться к электронной почте и Интернету в личных целях. В то же время вполне целесообразно регламентровать порядок внесения на территорию компании флэш-носителей и собственных ноутбуков, либо использовать имеющуюся в Secure Pack Rus функцию отключения не разрешенных к использованию администратором USB-накопителей
  6. Потребуйте от ИТ-специалистов составить чёткий план работы по созданию и настройке системы безопасности. Попросите обосновать необходимость закупок дополнительных средств обеспечения безопасности. Настаивайте на гарантиях того, что настройка системы безопасности не скажется на основной работе системы.
  7. Контролируйте выполнение плана по созданию системы безопасности.
  8. Выслушайте мнения врачей и сотрудников - не мешают ли меры безопасности их работе и основной деятельности?
  9. Поддерживайте и проверяйте состояние защищенности ПД, а также укрепляйте лояльность сотрудников, занимающихся безопасностью.
  10. Спокойно относитесь к инновациям в области безопасности - здоровый консерватизм позволить сэкономить ваши деньги.

Защита персональных данных – это комплекс мероприятий, позволяющих выполнить требования законодательства РФ, касающиеся обработки, хранения и передачи персональных данных граждан РФ. Согласно требованиям закона о защите персональных данных, оператор обязан применить ряд организационных и технических мер, касающихся процессов обработки персональных данных, а также информационных систем, в которых эти персональные данные обрабатываются.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Правоотношения в сфере персональных данных регулируются федеральным законодательством РФ (Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»), Трудовым кодексом РФ (глава 14), а также Гражданским кодексом РФ.

Основные положения Закона «О персональных данных»

  • Обработка персональных данных должна осуществляться на законной и справедливой основе, в строгом соответствии с установленными целями обработки персональных данных.
  • Недопустимо раскрытие персональных данных третьим лицам или распространение таких данных без соответствующего основания (согласия субъекта либо требований федеральных законов).
  • В ряде случаев обработка персональных данных может осуществляться только с согласия субъекта персональных данных.
  • Информационные системы, обрабатывающие персональные данные, должны быть приведены в соответствие с требованиями законодательства о персональных данных.
  • Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, обжаловав действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
  • Оператор обязан направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных. Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (более известная как Роскомнадзор);
  • Нарушение требований Закона влечет гражданскую, уголовную, административную, дисциплинарную ответственность.

Комплекс мероприятий по обеспечению защиты персональных данных

Организационные меры по защите персональных данных включают в себя:
  • Назначение лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных;
  • Разработку организационно-распорядительных документов, регламентирующих весь процесс получения, обработки, хранения, передачи и защиты персональных данных;
  • Внесение изменений в бизнес-процессы организации, ознакомление пользователей, осуществляющих обработку персональных данных с положениями нормативных документов;
  • Заключение дополнительных соглашений с контрагентами и третьими лицами, которым передаются персональные данные либо поручается их обработка;
  • Определение перечня мероприятий по защите персональных данных и реализация таких мероприятий;
  • Осуществление внутреннего контроля соответствия обработки и защиты персональных данных требованиям законодательства.
Технические меры по защите персональных данных предполагают внедрение и использование программно - аппаратных средств защиты информации. При осуществлении обработки ПДн с использованием средств автоматизации, применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется исходя из уровня защищенности системы персональных данных.

Требования к информационным системам персональных данных

Определение уровня защищенности информационных систем персональных данных производится операторами самостоятельно в зависимости от объема и категории обрабатываемых персональных данных, а также типа актуальных угроз в соответствии с Постановлением Правительства № 1119 от 01.11.2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Данное Постановление Правительства также определяет требования по обеспечению безопасности персональных данных при их обработке в информационных системах в соответствии с их уровнем защищенности.

Помимо этого, детализированные требования по защите персональных данных установлены, в частности:

  • приказом ФСТЭК № 21 от 18.02.2013 г;
  • приказом ФСБ № 378 от 18.08.2014 г. (в случае необходимости применения для защиты персональных данных шифровальных (криптографических) средств защиты информации).
Также, согласно требованиям новой редакции Федерального закона №152-ФЗ «О персональных данных» с изменениями, внесенными Федеральным законом от 21.07.2014 г. №242-ФЗ и Федеральным законом от 31.12.2014 г. №526-ФЗ, базы данных информационных систем, в которых осуществляется запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации должны быть расположены на территории РФ.

Контроль

Контроль за выполнением законодательства возложен на следующие органы:
  • Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) – основной надзорный орган в области персональных данных;
  • ФСБ – основной надзорный орган в части использования средств шифрования;
  • ФСТЭК – надзорный орган в части использования технических средств защиты информации.
Уполномоченный орган по защите прав субъектов персональных данных проводит как плановые и внеплановые мероприятия по контролю (надзору) за соответствием обработки персональных данных требованиям законодательства Российской Федерации.

Типичные позиции операторов персональных данных

  1. ”Наша компания не собирается ничего предпринимать и тратить время и деньги на решение этих вопросов, мы будем ждать развития событий”.

    Такая компания не собирается тратить деньги и время на изменение процессов обработки персональных данных, а также не задумывается о соответствующем обучении своих сотрудников. Она продолжает свою деятельность в привычном режиме, в надежде на то, что проверка Роскомнадзора ее не затронет. Однако, как показывает практика, действия проверяющих органов нельзя предугадать, под проверку может попасть любая организация и в этом случае компания может понести значительные убытки, вплоть до приостановки ее деятельности.

    Стоит также учитывать, что с 2016 года Роскомнадзор на регулярной основе проводит так называемые мероприятия систематического наблюдения, в результате которых на основании мониторинга веб-сайта любой организации может быть направлен запрос на предоставление необходимых сведений об осуществлении обработки и защиты персональных данных. Непредоставление необходимой информации в срок может послужить поводом для проведения внеплановой проверки в организации.

  2. “Мы уверены в том, что действия закона не будут распространяться на нашу компанию”.

    В любой компании, вне зависимости от её организационно-правовой формы, есть информация о сотрудниках, работающих в организации, а иногда и о её клиентах и контрагентах, а значит такая компания является оператором, следовательно, требования ФЗ-152 распространяются на неё в полном объеме.

Классическая ситуация: реализовать своими силами, или приглашать консультантов?

Для того, чтобы ответить на этот вопрос, необходимо определиться со следующими вещами:
  • Готов ли руководитель компании взять на себя ответственность за успешную реализацию проекта по защите персональных данных?
  • Есть ли у компании квалифицированные сотрудники, обладающие глубоким пониманием требований законодательства, а также необходимыми юридическими и техническими знаниями и навыками?
  • Может ли руководство компании оценить сроки и стоимость такого проекта?
  • Как выполнить требования закона по защите персональных данных и при этом не нарушить деятельность критических бизнес-процессов компании?
  • Каким образом необходимо подавать уведомление в регулирующие органы?
Если вышеперечисленные задачи не могут быть реализованы собственными силами, следует привлекать внешних консультантов.

Компания “Pointlane” оказывает полный цикл услуг по консультационным вопросам в области соответствия требованиям законодательства о персональных данных:

  • Консультации по вопросам требований законодательства и определения их действия применительно к Вашей организации (в том числе консультации по вопросам соответствия требованиям новой редакции Федерального закона №152-ФЗ «О персональных данных» с изменениями, внесенными Федеральным законом от 21.07.2014 г. №242-ФЗ и Федеральным законом от 31.12.2014 г. №526-ФЗ, касающимся вопросов обработки ПДн граждан РФ с использованием баз данных, находящихся на территории РФ);
  • Обследование процессов и информационных систем обработки персональных данных, формирование рекомендаций по обработке и защите персональных данных;
  • Подготовка необходимой организационно – распорядительной документации по вопросам обработки и защиты персональных данных;
  • Определение уровня защищенности ИСПДн (информационных систем персональных данных) и формирование необходимых требований к их защите в соответствии с выбранным уровнем защищенности;
  • Построение модели угроз и модели нарушителя безопасности персональных данных;
  • Проектирование системы защиты персональных данных;
  • Закупка и внедрение средств защиты;
  • Подготовка ИСПДн к аттестации (для государственных или муниципальных органов) либо декларирование соответствия требованиям законодательства о персональных данных (для всех остальных организаций);
  • Подготовка уведомления в Роскомнадзор для регистрации Вашей организации в качестве оператора персональных данных;
А также:
  • Сопровождение проверок Роскомнадзора;
  • Аутсорсинг обязанностей лица, ответственного за обработку и защиту персональных данных.

Преимущества проведения мероприятий по защите персональных данных

После внедрения системы защиты персональных данных Заказчик получит:
  • Защиту от претензий и штрафов со стороны регулирующих органов;
  • Преимущества перед конкурентами, т.к декларирование соответствия требованиям законодательства о персональных данных приведет к повышению прозрачности и доверия к компании со стороны потенциальных и существующих контрагентов и клиентов;
  • Отсуствие негативных отзывов в прессе и СМИ, связанных с неудовлетворительными результатами прохождения проверок регулирующих органов;
  • Возможность продолжать свою деятельность, не опасаясь претензий со стороны клиентов и собственных сотрудников;
  • Возможность работы с персональными данными не только внутри компании, но и при передаче их сторонним организациям;
  • Защиту от непредвиденной и принудительной остановки бизнеса;
  • Защиту от недобросовестных конкурентов;
  • Информационные системы, соответствующие всем стандартам и требованиям законодательства в области персональных данных.

Федеральный закон № 152-ФЗ и подзаконные акты (Приказ ФСТЭК № 21 от 18.02.2013, Постановление Правительства РФ №1119 от 01.11.2012), устанавливают ряд обязательных требований, в том числе технического характера, которые должны выполняться организациями, осуществляющими обработку персональных данных (операторами персональных данных) с использованием информационных систем, включая меры защиты персональных данных от случайного или неправомерного доступа к ним, изменения, копирования, блокирования, уничтожения, распространения и других неправомерных действий.

Мероприятия по защите персональных данных

АМТЕЛ-СЕРВИС предоставляет услуги защиты персональных данных для организаций различных отраслей, в т.ч. хранящих и обрабатывающих данные в корпоративном или публичном облаке, осуществляющих трансграничную передачу персональных данных россиян. Наша компания работает с проектами в области защиты ПДн среднего и крупного масштаба, стоимостью от 250 тыс. рублей. Всю документацию мы разрабатываем индивидуально и учитываем всю специфику процессов вашей компании, а не просто адаптируем универсальные шаблоны, как это делают многие ИТ-поставщики в целях экономии.

АМТЕЛ-СЕРВИС реализует весь комплекс организационных и технических мероприятий для обеспечения защиты персональных данных (ИСПДн):

  • Аудит на соответствие требованиям 152-ФЗ, 242-ФЗ, разработку детального отчета
  • Разработку модели угроз, классифицирование информационных систем персональных данных (ИСПДн)
  • Разработку комплекта организационно-распорядительной документации
  • Разработку технического задания на создание системы защиты
  • Проектирование системы защиты ИСПДн
  • Внедрение системы безопасности ИСПДн, включая поставку, монтаж, настройку оборудования и ПО, проведение пуско-наладочных работ, разработку эксплуатационной документации, опытную эксплуатацию системы, проведение приемочных испытаний
  • Аттестационные испытания
  • Консультационную поддержку и сопровождение, включая консультации при проведении проверок Регуляторами (Роскомнадзор, ФСТЭК России, ФСБ России).

Альтернативой построению ИСПДн для небольших компаний может стать облачный сервис «Облако ФЗ-152». Это позволит сэкономить на обслуживании и гарантировать обеспечение защиты персональных данных за разумные деньги.

Преимущества сотрудничества с нами

Защита ПДн, включая аттестацию, аудит защиты персональных данных, а также внедрение системы защиты, — одна из самых востребованных услуг АМТЕЛ-СЕРВИС в сфере ИБ. Заказывая услуги по обеспечению защиты ИСПДн предприятия из Москвы и регионов получают:

  • Полный комплекс мероприятий - от проверки на соответствие требованиям 152-ФЗ до проектирования и внедрения системы ЗПДн и прохождения аттестационные испытаний
  • Доступ к глубокой экспертизе в области информационной безопасности для полной и всесторонней оценки эффективности работы системы ИБ - в АМТЕЛ-СЕРВИС работают квалифицированные специалисты с многолетним опытом работы
  • Решение, реализованное на передовых технологиях и средствах защиты информации, обеспечивающее комплексную и надежную защиту ИТ-систем при оптимальном бюджете.

Качество услуг АМТЕЛ-СЕРВИС подтверждено международными сертификатами, большим опытом работы и многочисленными клиентами. Мы входим в ТОП-30 ведущих компаний в сфере защиты информации. У нас в наличии есть все необходимые для проведения работ лицензии ФСТЭК и ФСБ России. Позаботьтесь о защите ПДн: обращайтесь в нашу компанию.



Последние материалы раздела:

Промокоды летуаль и купоны на скидку
Промокоды летуаль и купоны на скидку

Только качественная и оригинальная косметика и парфюмерия - магазин Летуаль.ру. Сегодня для успешности в работе, бизнесе и конечно на личном...

Отслеживание DHL Global Mail и DHL eCommerce
Отслеживание DHL Global Mail и DHL eCommerce

DHL Global Mail – дочерняя почтовая организация, входящая в группу компаний Deutsche Post DHL (DP DHL), оказывающая почтовые услуги по всему миру и...

DHL Global Mail курьерская компания
DHL Global Mail курьерская компания

Для отслеживания посылки необходимо сделать несколько простых шагов. 1. Перейдите на главную страницу 2. Введите трек-код в поле, с заголовком "...