1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке , установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Всем организациям в Российской Федерации приходится работать с тем или иным количеством персональных данных, и зачастую руководители даже не имеют понятия о том, сколь много информации о сотрудниках предприятия или компании обрабатывается с нарушением норм действующего законодательства.

Следует отметить, что в большинстве случаев нарушения здесь допускаются вовсе не из-за наличия желания как-то обойти закон. Причина более банальна – это элементарное незнание. Можно привести достаточно распространенный в России пример нарушения – новый сотрудник подает пакет документов согласно определенному списку. Работодатели, принимая такие документы, не берут согласия владельца на обработку его персональных данных, а это уже нарушение требований законодательства, пускай даже непреднамеренное. Впрочем, такого рода рисков можно избежать, обладая определенными знаниями. В частности, нужно знать, что к персональным данным в России относятся:

• Ф. И. О., дата рождения;
• имущественное и семейное положение;
• сведения о полученном образовании;
• информация о месте работы и профессии;
• сведения о членах семьи человека.

В документах, которые являются обязательными к предъявлению при трудоустройстве, есть значительное количество персональных данных. Перечень данных документов можно найти в статье 65 Трудового кодекса, на основании которой работодатель имеет право обрабатывать имеющиеся там персональные данные без получения согласия от их владельца. Однако в данный перечень не входят такие документы, как справка о состоянии здоровья или о составе семьи.

При этом предоставление сотрудником ИНН, запрашиваемого многими компаниями при приеме на работу, требует получения согласия на обработку содержащихся здесь данных. Ряд работодателей, скорее всего, в силу оставшейся с прежних времен привычки, требуют вклеивать в личную карточку Т2 фотографию сотрудника, причем согласия самого работника на такое действие не спрашивается. Согласно достаточно распространенному мнению, фото к персональным данным не относится. Это довольно спорное мнение, поскольку закон гласит, что персональные данные – это сведения, по которым можно идентифицировать человека, без использования его Ф. И. О. и даты рождения. Понятно, что идентифицировать человека по фотографии, конечно же, можно. Между тем работодатели, запрашивая у работника его фото, не берут у него письменного согласия на обработку персональных данных – это неправильный подход.

Работодатель, в соответствии с пунктом 7 статьи 86 ТК, должен обеспечить защиту от утраты или от неправомерного использования персональные данные своих рабочих, причем закон обязует его это делать за собственный счет. Помимо этого, законодательство предусматривает еще и соблюдение определенного порядка хранения таких данных, и их использования.

Для того чтобы соответствовать требованиям закона, руководство предприятия издает локальный нормативный акт. Данным документом осуществляется регулирование всех вопросов, связанных с хранением персональных данных, а также с их использованием. Помимо этого, он еще и обеспечивает защиту данных от утраты или от их неправомерного использования.

Такой локальный нормативный акт должен содержать в себе:

• описание доступа к данным – как внешнего, так и внутреннего;
• список сотрудников, имеющих такой доступ;
• порядок работы с данными;
• ответственность за разглашение информации;
• регламент защиты.

Как правило, таким локальным нормативным актом становиться положение о защите персональных данных. Структура такого документа состоит из нескольких разделов, в которых указываются:

• цели создания данного документа, общие моменты, сфера действия;
• используемые определения;
• перечень данных и цели их обработки – то есть, какие из сведений могут использовать операторы;
• условия, обязательные к соблюдению при обработке;
• порядок передачи персональных данных, как внутри предприятия или компании, так и государственным органам и третьим лицам;
• порядок доступа, как внутренний, так и внешний;
• ответственность в случае нарушения действующих норм;
• угрозы безопасности – модель угрозы и ее степени. Помимо этого, указываются меры, предпринимаемые для защиты информации;
• положения, касающиеся самого акта – о вступлении его в силу, периоде действий, порядке внесения изменений.

Защищаем личную информацию сотрудников

Как уже говорилось выше, обязанностью работодателя, прописанной на законодательном уровне, является создание всех условий, необходимых для защиты персональной информации сотрудников. Иными словами, должна быть создана система, способная обеспечить недоступность такой информации, ее конфиденциальность, а также ее безопасность и целостность в процессе работы предприятия или организации.

Нормами российского законодательства предусмотрена внешняя и внутренняя защита. В частности, для того чтобы обеспечить внутреннюю защиту, компания может определить состав сотрудников, функциональные обязанности которых требуют доступа к личным данным их коллег. Одновременно с этим нужно обоснованно и избирательно распределить документы с такой информацией между сотрудниками, уполномоченными на ведение работы с личными данными. Серьезного подхода здесь требуют непосредственно рабочие места – они должны быть оборудованы таким образом, чтобы полностью исключить возможность беспрепятственного несанкционированного проникновения и просмотра.

Для того чтобы обеспечить внешнюю защиту, руководство компании может, например, ввести для всех посетителей пропускной режим. Еще одним вариантом здесь является использование для защиты информации, хранящейся на электронных носителях, специального защитного программно-технического комплекса.

Принимая комплекс мер, направленных на защиту личной информации, следует в первую очередь исходить из уровня реальной угрозы безопасности. Естественно, чем более высоким будет этот уровень, тем большее количество мер для защиты персональных данных нужно предпринять.

Можно выделить 3 типа угроз, создающих реальную опасность незаконного доступа к личной информации. При этом работодатель самостоятельно определяет, какой из этих типов является характерным для возглавляемого им предприятия или организации. Для того чтобы обеспечить безопасность на действительно высоком уровне, есть целый ряд требований, которых следует придерживаться неукоснительно. В частности, для того чтобы обеспечить минимальный, 4-й уровень защиты, нужно предпринять следующие меры:

• обезопасить помещения с находящейся внутри них информационной системой от возможного несанкционированного проникновения;
• обеспечить безопасное хранение носителей, на которых хранится информация;
• защитить информацию, используя прошедшие через процедуру оценки соответствия средств;
• определиться с сотрудниками, имеющими доступ к персональным данным в силу своих трудовых обязанностей.

Следует также определиться и с техническими средствами защиты информации, которые препятствуют несанкционированному доступу. Такими средствами являются, например, криптографические средства, межсетевые экраны и антивирусное программное обеспечение. Следует отметить один очень важный момент: все используемые здесь средства в обязательном порядке сперва должны пройти процедуру сертификации. Ознакомиться с перечнем сертифицированных средств защиты персональных данных можно, зайдя на официальный интернет-сайт ФСТЭК. Но это еще не все. Выбрав средство защиты и установив его, необходимо еще и сделать правильные настройки, в ином случае работа может быть попросту заблокирована из-за неточностей, допущенных на данном этапе.

Как поступать с персональной информацией, содержащейся в резюме

Хотелось бы остановить внимание на еще одном, достаточно любопытном моменте – речь идет о персональных данных претендентов на получение работы и о действиях, которые можно предпринимать работодателю с такой информацией. Здесь следует напомнить, согласно законодательству, резюме соискателя работы – это общедоступная информация, поэтому письменного согласия на ее обработку от владельца можно не получать. Но если же претенденту на ту или иную должность заполнить анкету, предусматривающую указание персональных данных, или же потенциальным работодателям снимаются копии с документов претендента, таких как диплом, паспорт и так далее, то здесь письменное согласие владельца будет уже обязательным.

Для посетителей нашего сайта действует специальное предложение - вы можете совершенно бесплатно получить консультацию профессионального юриста, просто оставив свой вопрос в форме ниже.

Работа с персональными данными – это очень высокий уровень ответственности, поэтому недооценивать важность создания надежной защиты, получения согласия и пренебрегать установленными правилами явно не стоит. Также следует помнить, что трудовая инспекция в настоящее время очень строго следит за выполнением норм Трудового кодекса, стараясь не упустить ни одну из нынешних нормативных сфер. Поэтому всего лишь один документ – письменное согласие на обработку персональных данных – может в будущем защитить работодателя от многих проблем.

Защита персональных данных – это комплекс мероприятий, позволяющих выполнить требования законодательства РФ, касающиеся обработки, хранения и передачи персональных данных граждан РФ. Согласно требованиям закона о защите персональных данных, оператор обязан применить ряд организационных и технических мер, касающихся процессов обработки персональных данных, а также информационных систем, в которых эти персональные данные обрабатываются.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Правоотношения в сфере персональных данных регулируются федеральным законодательством РФ (Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»), Трудовым кодексом РФ (глава 14), а также Гражданским кодексом РФ.

Основные положения Закона «О персональных данных»

• Обработка персональных данных должна осуществляться на законной и справедливой основе, в строгом соответствии с установленными целями обработки персональных данных.
• Недопустимо раскрытие персональных данных третьим лицам или распространение таких данных без соответствующего основания (согласия субъекта либо требований федеральных законов).
• В ряде случаев обработка персональных данных может осуществляться только с согласия субъекта персональных данных.
• Информационные системы, обрабатывающие персональные данные, должны быть приведены в соответствие с требованиями законодательства о персональных данных.
• Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, обжаловав действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
• Оператор обязан направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных. Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (более известная как Роскомнадзор);
• Нарушение требований Закона влечет гражданскую, уголовную, административную, дисциплинарную ответственность.

Комплекс мероприятий по обеспечению защиты персональных данных

Организационные меры по защите персональных данных включают в себя:

• Назначение лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных;
• Разработку организационно-распорядительных документов, регламентирующих весь процесс получения, обработки, хранения, передачи и защиты персональных данных;
• Внесение изменений в бизнес-процессы организации, ознакомление пользователей, осуществляющих обработку персональных данных с положениями нормативных документов;
• Заключение дополнительных соглашений с контрагентами и третьими лицами, которым передаются персональные данные либо поручается их обработка;
• Определение перечня мероприятий по защите персональных данных и реализация таких мероприятий;
• Осуществление внутреннего контроля соответствия обработки и защиты персональных данных требованиям законодательства.

Технические меры по защите персональных данных предполагают внедрение и использование программно - аппаратных средств защиты информации. При осуществлении обработки ПДн с использованием средств автоматизации, применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется исходя из уровня защищенности системы персональных данных.

Требования к информационным системам персональных данных

Определение уровня защищенности информационных систем персональных данных производится операторами самостоятельно в зависимости от объема и категории обрабатываемых персональных данных, а также типа актуальных угроз в соответствии с Постановлением Правительства № 1119 от 01.11.2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Данное Постановление Правительства также определяет требования по обеспечению безопасности персональных данных при их обработке в информационных системах в соответствии с их уровнем защищенности.

Помимо этого, детализированные требования по защите персональных данных установлены, в частности:

• приказом ФСТЭК № 21 от 18.02.2013 г;
• приказом ФСБ № 378 от 18.08.2014 г. (в случае необходимости применения для защиты персональных данных шифровальных (криптографических) средств защиты информации).

Также, согласно требованиям новой редакции Федерального закона №152-ФЗ «О персональных данных» с изменениями, внесенными Федеральным законом от 21.07.2014 г. №242-ФЗ и Федеральным законом от 31.12.2014 г. №526-ФЗ, базы данных информационных систем, в которых осуществляется запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации должны быть расположены на территории РФ.

Контроль

Контроль за выполнением законодательства возложен на следующие органы:

• Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) – основной надзорный орган в области персональных данных;
• ФСБ – основной надзорный орган в части использования средств шифрования;
• ФСТЭК – надзорный орган в части использования технических средств защиты информации.

Уполномоченный орган по защите прав субъектов персональных данных проводит как плановые и внеплановые мероприятия по контролю (надзору) за соответствием обработки персональных данных требованиям законодательства Российской Федерации.

Типичные позиции операторов персональных данных

1. ”Наша компания не собирается ничего предпринимать и тратить время и деньги на решение этих вопросов, мы будем ждать развития событий”.

   Такая компания не собирается тратить деньги и время на изменение процессов обработки персональных данных, а также не задумывается о соответствующем обучении своих сотрудников. Она продолжает свою деятельность в привычном режиме, в надежде на то, что проверка Роскомнадзора ее не затронет. Однако, как показывает практика, действия проверяющих органов нельзя предугадать, под проверку может попасть любая организация и в этом случае компания может понести значительные убытки, вплоть до приостановки ее деятельности.

   Стоит также учитывать, что с 2016 года Роскомнадзор на регулярной основе проводит так называемые мероприятия систематического наблюдения, в результате которых на основании мониторинга веб-сайта любой организации может быть направлен запрос на предоставление необходимых сведений об осуществлении обработки и защиты персональных данных. Непредоставление необходимой информации в срок может послужить поводом для проведения внеплановой проверки в организации.

2. “Мы уверены в том, что действия закона не будут распространяться на нашу компанию”.

   В любой компании, вне зависимости от её организационно-правовой формы, есть информация о сотрудниках, работающих в организации, а иногда и о её клиентах и контрагентах, а значит такая компания является оператором, следовательно, требования ФЗ-152 распространяются на неё в полном объеме.

Классическая ситуация: реализовать своими силами, или приглашать консультантов?

Для того, чтобы ответить на этот вопрос, необходимо определиться со следующими вещами:

• Готов ли руководитель компании взять на себя ответственность за успешную реализацию проекта по защите персональных данных?
• Есть ли у компании квалифицированные сотрудники, обладающие глубоким пониманием требований законодательства, а также необходимыми юридическими и техническими знаниями и навыками?
• Может ли руководство компании оценить сроки и стоимость такого проекта?
• Как выполнить требования закона по защите персональных данных и при этом не нарушить деятельность критических бизнес-процессов компании?
• Каким образом необходимо подавать уведомление в регулирующие органы?

Если вышеперечисленные задачи не могут быть реализованы собственными силами, следует привлекать внешних консультантов.

Компания “Pointlane” оказывает полный цикл услуг по консультационным вопросам в области соответствия требованиям законодательства о персональных данных:

• Консультации по вопросам требований законодательства и определения их действия применительно к Вашей организации (в том числе консультации по вопросам соответствия требованиям новой редакции Федерального закона №152-ФЗ «О персональных данных» с изменениями, внесенными Федеральным законом от 21.07.2014 г. №242-ФЗ и Федеральным законом от 31.12.2014 г. №526-ФЗ, касающимся вопросов обработки ПДн граждан РФ с использованием баз данных, находящихся на территории РФ);
• Обследование процессов и информационных систем обработки персональных данных, формирование рекомендаций по обработке и защите персональных данных;
• Подготовка необходимой организационно – распорядительной документации по вопросам обработки и защиты персональных данных;
• Определение уровня защищенности ИСПДн (информационных систем персональных данных) и формирование необходимых требований к их защите в соответствии с выбранным уровнем защищенности;
• Построение модели угроз и модели нарушителя безопасности персональных данных;
• Проектирование системы защиты персональных данных;
• Закупка и внедрение средств защиты;
• Подготовка ИСПДн к аттестации (для государственных или муниципальных органов) либо декларирование соответствия требованиям законодательства о персональных данных (для всех остальных организаций);
• Подготовка уведомления в Роскомнадзор для регистрации Вашей организации в качестве оператора персональных данных;

А также:

• Сопровождение проверок Роскомнадзора;
• Аутсорсинг обязанностей лица, ответственного за обработку и защиту персональных данных.

Преимущества проведения мероприятий по защите персональных данных

После внедрения системы защиты персональных данных Заказчик получит:

• Защиту от претензий и штрафов со стороны регулирующих органов;
• Преимущества перед конкурентами, т.к декларирование соответствия требованиям законодательства о персональных данных приведет к повышению прозрачности и доверия к компании со стороны потенциальных и существующих контрагентов и клиентов;
• Отсуствие негативных отзывов в прессе и СМИ, связанных с неудовлетворительными результатами прохождения проверок регулирующих органов;
• Возможность продолжать свою деятельность, не опасаясь претензий со стороны клиентов и собственных сотрудников;
• Возможность работы с персональными данными не только внутри компании, но и при передаче их сторонним организациям;
• Защиту от непредвиденной и принудительной остановки бизнеса;
• Защиту от недобросовестных конкурентов;
• Информационные системы, соответствующие всем стандартам и требованиям законодательства в области персональных данных.

Комплекс мероприятий разного характера, проводимый для активного противодействия возможному несанкционированному доступу к персональным данным, состоящий из управленческих мер, эффективно действующих аппаратных средств защиты, составляет основу эффективно работающей Система защиты персональных данных (СЗПДн).

Целью внедрения надежно работающего комплекса мероприятий является:

Точное соответствие требованиям регулятора о соблюдении положений Федерального закона «О защите персональных данных», положениям утвержденных подзаконных актов, обеспечивающих должный уровень безопасности для используемых персональных данных;

Разработка инструкций, предписывающих выполнение определенных правил при преобразовании используемых ПДн, обеспечивающих их защиту.

• Решаемые задачи
• Используемое оборудование
• Сферы применения

Разработка и внедрение системы защиты персональных данных (СЗПДн) — это ряд мероприятий технического и управленческого характера, ставящих перед собой цель обеспечить комплексную защиту сведений, которые признаются Федеральным Законом от 27.07. 2006 г. N 152-ФЗ персональными данными.

Оператор, которым являются госструктуры и коммерческие предприятия, выполняющие действия по работе с ПДн, заинтересованы в безопасной их обработке, тем самым, признавая необходимость внедрения системы защиты.

Учитывая накопленный при реализации проектов по созданию СЗПДн опыт, представляется возможным определить ряд важных преимуществ от внедрения системы:

На первом месте находится кардинальное снижение как правовых, так и репутационных рисков, возникающих при несоблюдении действующего законодательства относительно сохранности персональных данных.

Вторым важным моментом является тот факт, что научно-обоснованное построение системы защиты позволяет обрабатывать персональные данные сотрудников и клиентов, не опасаясь за их сохранность. Это может стать мощным конкурентным преимуществом при работе с конфиденциальными сведениями частных лиц и информацией, предназначенной лишь для служебного (внутреннего) использования. Грамотно выстроенная СЗПДн легко справляется с наиболее распространенными угрозами - блокирует воздействие вредоносных ПО, предотвращает воровство клиентских баз данных, что часто практикуют уволенные сотрудники.

Третьим фактором, мотивирующим внедрение эффективной СЗПДн, является создание у компании имиджа надежного партнера, которому можно доверять обеспечение конфиденциальности персональных данных.

Как указывают аналитики, частые скандалы, связанные с утечкой конфиденциальной информации, заставляют обращать внимание на систему безопасности при выборе партнера-контрагента. Уже привычными становятся договора о партнерстве либо условия тендера, в которых требуется предоставить задокументированное соответствие СЗПДн действующим нормативным актам.

Не следует забывать, что эффективная СЗПДн обеспечивает непрерывность всех бизнес-процессов в самой компании, устраняет вероятность появления клиентских претензий, обоснованных жалоб со стороны работников, грозных предписания от надзорных органов регулятора.

Этапы выполнения работ по приведению в соответствие 152-ФЗ

1. Инвентаризация, полноценный анализ состояния информационных структур, задействованных в обработке ПДн.

Подобный предпроектный аудит предоставляет объективные сведения о процессах, задействованных при обработке ПДн в компании и мерах по их защите. Специалистами Open Vision в обязательном порядке проводится проверка всей служебной документации, регулярности осуществляемых мероприятий, разработанных для исполнения требований правовой базы относительно безопасности используемых в работе данных ограниченного доступа.

2. Создание концепции системы безопасности, используемой для сохранности персональных данных, предоставление заказчику обоснованных рекомендаций по оптимизации самой обработки ПДн, обеспечению сохранности конфиденциальной информации.

На этом этапе работы квалифицированные специалисты оценивают возможные варианты осуществления проекта, определяют отправные точки для его реализации, устанавливают определенные ограничения по масштабам внедряемого в практику проекта. Определяются основные проблемы, создается обоснование предлагаемых решений. Клиенты получают перечень программно-аппаратных элементов разрабатываемого комплекса защиты информации, с обязательным указанием стоимости по каждому пункту.

3. Уточнение реального уровня защищенности ПДн

В процессе работы определяется возможный тип угроз для защищаемых ПДн, с привязкой к конкретной информационной системе, уточняется предполагаемый состав персональных данных, возможное количество субъектов. Учитывая весь объем полученных сведений, определяется реальное состояние системы безопасности персональных данных.

4. Разработка модели возможных угроз для системы безопасности ПДн, создание модели злоумышленника

Предоставляемый заказчику документ представляет собой систематизированный список возможных угроз для безопасности ПДн при работе с ними в информационных системах персональных данных (ИСПДн). Угрозы безопасности персональных данных (УБПДн) могут возникнуть в результате злонамеренных либо случайных действий физических лиц, деятельности иностранных спецслужб либо специализирующихся на шпионаже организаций, специализированных криминальных группировок, подготавливающих взлом безопасности ПДн, которое затронет права и свободы, как общества, так и государства либо граждан.

5. Разработка Техзадания на строительство СЗПДн

Частное техзадание на построение для определенной информационной структуры СЗПДн определяет ее назначение, преследуемые цели, требования к техническому и организационному обеспечению, план разработки и непосредственного создания СЗПДн.

6. Создание проекта СЗПДн

Создаваемая на этом этапе внедрения СЗПДн проектная документация предусматривает работу, учитывающую предписанные нормативными актами стандарты защищенности данных с ограниченным доступом.

7. Разработка организационно-распорядительной документации

Комплект документов, предписывающих правила обработки, защиты ПДн, состоит из десятков организационно-распорядительных предписаний, которые необходимы для приведения всех процессов по работе и сохранности персональных данных в соответствие с нормативами действующего законодательства.

8. Поставка программно-аппаратных средств информационной защиты

Клиенту поставляются программно-аппаратные элементы для внедрения СЗПДн, прошедшие проверку и соответствующие требованиям законов РФ относительно мер информационной безопасности.

9. Монтаж, настройка СЗИ

На данном этапе внедрения СЗПДн осуществляется монтаж оборудования, инсталлирование программного обеспечения, с соответствующей настройкой. В результате проведенных работ заказчик получает комплект СЗИ, совместимый с применяемой информационной структурой для работы с ПДн.

10. Оценка действенности предпринимаемых мер для создания эффективной защиты персональных данных

Определение эффективности разработанных мер безопасности для данных ограниченного доступа осуществляется до момента запуска СЗПДн в эксплуатацию. Контрольное тестирование системы, работающей в коммерческих структурах, требуется проводить каждые 3 года.

11. Аттестация используемых ИСПДн на соответствие современным требованиям информационной безопасности

Аттестация ИСПДн включает в себя комплекс организационно-технических проверок (аттестационных испытаний), направленных на подтверждение соответствия требованиям информационной безопасности. Предусмотрена для госорганизаций.

Одним из бурно развивающихся сегментов отечественного IT-рынка является интернет торговля, что обусловлено технической простотой внедрения данного проекта, прозрачностью бизнес-процессов. Электронная торговля признана эффективным и перспективным видом предпринимательства.

Вопросы информационной безопасности бизнеса в интернете не утрачивают своей актуальности, напротив, возрастание числа хакерских атак на крупнейшие финансовые учреждения, инвестирующие огромные средства в системы защиты, требует принятия своевременных мер. Вот только как этого добиться, а еще бы и с приемлемым уровнем затрат.

Многие, особенно на начальном этапе, не имеют возможности вырвать с оборота значительные суммы, вложив их в системы информационной безопасности. Бизнес новый, возможные «подводные камни» не известны, да и специфика бизнеса в интернете предполагает постоянные изменения.

В итоге, система безопасности создается, но разрабатывается она «по знакомству» либо делается заказ фрилансеру, в лучшем случае официально оформленной web-студии. Приобретение уже готового решения также нельзя расценивать как обеспечение серьезного уровня безопасности, поскольку возникают вопросы интеграции его в уже существующую IT-инфраструктуру.

А может, следует задуматься, действительно ли подобные системы обеспечивают должный уровень безопасности? Имеет ли сам предприниматель необходимую квалификацию, чтобы определить уровень подготовки «интернет-шабашников»? Может ли такая работа минимизировать возможные риски? К сожалению, в большинстве случаев, ответ отрицательный.

Хоть со стороны потребителя и нет особо жестких требований относительно сохранности тех персональных данных, которые он передает интернет-магазину, совершая покупку, это не может служить основным показателем для выбора способов организации обработки и хранения такой конфиденциальной информации. Покупатель вообще не имеет возможность оценить, насколько эффективно действует защита его персональных данных. Да это, до поры, особенно и не беспокоит, поскольку привлекательные цены, красиво сделанное описание товара, льготная доставка, достигают поставленной цели.

Большая часть покупательской аудитории даже не задается вопросом - куда она отправляет свои персональные данные. То ли это ИП либо частный предприниматель, развивающий свой интернет бизнес. Или это web-подразделение крупного ритейлера бытовой электроники. Естественно, что отношение к информбезопасности в крупной торговой сети более строгое, нежели у предпринимателя, которому иногда приходится самостоятельно заниматься доставкой товара клиентам.

Примечательно, что, несмотря на все возрастающую угрозу хищения конфиденциальной информации, доверие к интернет торговле постоянно растет. Покупатель вводит информацию о себе, заполняя бланк заказа, порой, даже не беспокоясь о том, как с ней будут обращаться сотрудники магазина. А может, она и не настолько востребована для существующих бизнес-процессов?

Возникающая избыточность запрашиваемых данных как раз и подпадает под действие ФЗ-152, поскольку отмечается несоответствие характера и объема получаемой информации существующим задачам ее обработки для предусмотренных в интернет магазине бизнес-процессов.

Технический уровень развития современной интернет торговли дает возможность предположить использование CRM-систем, благодаря чему и можно сохранять данные о клиенте для последующего с ним взаимодействия и предложения нового товара. Вот только необходимо ли это для уровня послепродажного взаимодействия с покупателем?

Согласно ФЗ-152 персональная информация может храниться лишь только тот период времени, который необходим для ее обработки. После того, как совершена покупка либо сделан отказ, все персональные данные должны уничтожаться, так как их хранение не соответствует специфике осуществляемых бизнес-процессов. Стоит ли сомневаться, что этим практически никто и не занимается.

В ФЗ-152 имеются положения, которые ставят под угрозу само существование интернет торговли. Любой проверяющий орган может потребовать от владельца интернет магазина предоставить именно письменное разрешение гражданина на применение его персональных данных в работе. Никто подобного разрешения в письменной форме не предоставляет, максимум ограничиваются отметкой об ознакомлении с правилами магазина.

Поскольку непосредственного контакта в условиях торговли через интернет не предполагается, исключая встречу покупателя с курьером по доставке товара, обеспечить соблюдение норм ФЗ-152 можно лишь путем обезличивания покупательских персональных данных, а это требует корректировки существующих бизнес-процессов.

Несомненно, что удобным инструментом, упрощающим доступ к различным информационным сервисам компании, обоснованно признаются корпоративные порталы. При развитой сети филиалов и отделений, находящихся от головного офиса на большом расстоянии, значительном количестве бизнес-партнеров, оптимальным средством коммуникации является соединение по VPN каналам, имеющим должный уровень защищенности. Выбор подобного высокотехнологичного решения, однако, обходится довольно дорого, доступен не каждой компании. При отсутствии свободных средств для защищенного соединения, более простым способом работы является точка доступа из сети Интернет.

Особенностью корпоративного портала, даже учитывая разный уровень инфраструктуры, является хранение как конфиденциальной информации сотрудников, клиентов фирмы и бизнес-партнеров юридического лица, так и размещение финансовой информации самой компании, разглашение которой может нанести ущерб. Эффективная организация всех процессов работы с персональными данными должна учитывать, что цели и способы обработки данных у каждой подгруппы субъектов отличаются. Именно дифференцированный подход к преобразованию данных ограниченного доступа должен быть заложен в концепцию корпоративной безопасности.

Несомненно, что финансовое положение компании, создающей корпоративный портал, дает возможность привлечь для работы опытных программистов либо приобрести уже готовое и неоднократно обкатанное решение. Следует, однако, не забывать, что безопасность кода является не единственным параметром, на который необходимо обращать внимание, разрабатывая эффективную систему информбезопасности. По большому счету, информационная безопасность должна признаваться руководством компании как неотъемлемая часть общей системы безопасности.

За последние несколько лет количество пользователей популярных соцсетей в Рунете возрастало невиданными темпами, перевалив 50 миллионный рубеж. Колоссальный объем накопленных в соцсетях персональных данных требует соответствующего контроля, что и предполагают нормы ФЗ-152.

Несмотря на первое впечатление, что имеющаяся в соцсетях информация может рассматриваться как «общедоступная», с каждым годом нарастающий объем данных классифицируется законом уже как «конфиденциальные персональные данные».

Факты хищения из соцсетей аккаунтов не редкость за рубежом и в России. Сотни тысяч аккаунтов становятся доступными злоумышленникам. Число хакерских атак на социальные сети не снижается, эксперты отмечают постоянное внимание киберпреступности к этой части Интернета.

Социально-ориентированные мошеннические схемы имеют большой потенциал, используя в своих целях фарминг-атаки, рассылку спама, фишинг. Весь этот набор инструментов современной киберпреступности может привести к хищению данных конфиденциального характера, чему способствует доверчивость и неопытность людей. Администраторам соцсетей требуется осуществлять постоянный мониторинг, выявляя инциденты, устраняя их последствия.

Услуга интернет-банкинга становится все более популярной в российской банковской сфере, несколько десятков финансовых учреждений полноценно предоставляет подобную услугу. Обусловлено это как отсутствием единой интеграционной платформы, так и недостаточным уровнем автоматизации многих учреждений.

Как и распространенные web-приложения, сервис интернет-банкинга, электронные платежные системы, основываются на общей клиент-серверной архитектуре. Признается, что «слабым звеном» такого взаимодействия является именно пользователь и те устройства, используя которые он распоряжается собственным счетом.

К сожалению, потребитель не имеет возможности объективно оценить все риски, неизбежно возникающие при управлении банковским счетом на расстоянии. Не говоря уж о том, чтобы принять соответствующие меры безопасности. Следовательно, восполнить знания клиентов по этим вопросам должны банки.

Примечательно, что злоумышленники уделяют свое внимание интернет-банкингу чаще всего не с целью хищения средств, поскольку финансовые учреждения обеспечивают максимальную безопасность транзакциям, а для того, чтобы получить доступ к персональным данным клиента. Именно благодаря этому и становятся возможны мошеннические схемы с банковскими картами, иные способы хищения финансов. Многие эксперты уверены, что на «черном» рынке простая запись о клиентских счетах имеет свою собственную стоимость.

Статистика наглядно свидетельствует, что создание и работа сервиса интернет-банкинга во многих структурах не соответствует отраслевым нормам и правилам. Чаще всего каждое финансовое учреждение занималось разработкой самостоятельно, а существовавшие стандарты имели лишь рекомендательный характер.

Начало действия ФЗ-152 создало многим банкам существенные проблемы, поскольку ужесточается контроль регулятора за сохранностью персональных данных, что требует усовершенствования существующих систем безопасности. Как ни пыталась ассоциация банков отсрочить начало действия ФЗ-152, выполнять его положения все же стало необходимо.

Аннотация: Цель лекции: определить содержание этапов организации обеспечения безопасности ПД, а также необходимые организационные и технические мероприятия в рамках построения СЗПД.

9.1. Основные этапы при построении системы защиты персональных данных

Система защиты ПД может быть как отдельной системой, так и подсистемой в составе системы защиты информации организации в целом. Как правило, выполнение работ по построению СЗПД происходит поэтапно и включает в себя следующие стадии:

1. предпроектная стадия или оценка обстановки;
2. стадия проектирования;
3. ввод в действие СЗПД.

Предпроектная стадия или оценка обстановки. В самом начале построения СЗПД производится оценка обстановки. На данном этапе производятся следующие работы:

1. разрабатывается перечень информационных систем организации, которые работают с ПД;
2. определение состава ПД и необходимость их обработки;
3. определение перечня ПД, которые необходимо защищать;
4. определение контролируемой зоны и расположения компонентов ИСПД относительно границ этой зоны;
5. строится модель корпоративной сети;
6. определение топологии и конфигурации ИСПД, программ и технических средств, которые используются или предполагаются к использованию для обработки ПД;
7. установление связей ИСПД с другими системами организации;
8. определение режимов обработки ПД;
9. определение угроз безопасности;
10. определение класса ИСПД;
11. уточняется степень участия персонала в обработке ПД.

Важным пунктом данного этапа является построение частной модели угроз и предварительная классификация ИСПД данной организации. Классификация ИСПД производится в соответствии с приказом " Об утверждении Порядка проведения классификации информационных систем персональных данных" от 13 февраля 2008 года. Результатом данного этапа является формирование частного технического задания (ТЗ) к СЗПД.

Техническое задание должно содержать:

• обоснование разработки СЗПД;
• исходные данные создаваемой (модернизируемой) ИСПД в техническом, программном, информационном и организационном аспектах;
• класс ИСПД;
• ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПД и приниматься в эксплуатацию ИСПД;
• конкретизацию мероприятий и требований к СЗПД;
• перечень предполагаемых к использованию сертифицированных средств защиты информации;
• обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
• состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПД.

1. стадия проектирования. На данном этапе разрабатывается задание и проект проведения работ в соответствии с ТЗ, выполняются все требуемые работы, в том числе закупка технических средств защиты и их сертификация в случае необходимости. Разрабатывается система доступа к ПД должностных лиц и определяются ответственные за эксплуатацию средств защиты информации.

   Важным подэтапом является разработка эксплуатационной документации на ИСПД и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов).

   Этап проектирования является наиболее важным и трудоемким, так как при реализации СЗПД необходимо учесть множество факторов, таких как масштабирование, совместимость средств защиты со штатным программным обеспечением, возможность периодического тестирования системы защиты и замены отдельных компонентов системы в случае необходимости.

2. ввод в действие СЗПД. Данный этап включает в себя:
   • генерация пакета прикладных программ в комплексе с программными средствами защиты информации;
   • опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами;
   • приемо-сдаточные испытания;
   • организация охраны и физической защиты помещений ИСПД;
   • оценка соответствия ИСПД требованиям безопасности ПД.

В случае если в процессе опытной эксплуатации выявляются недостатки разработанной СЗПД, проводится ее доработка.

Для ИСПД, находящихся в эксплуатации до введения ФЗ №152 "О персональных данных" от 27 июля 2006 года, должны быть проведены работы по их модернизации в соответствии с требованиями Федерального закона и "Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" №781.

9.2. Комплекс организационных и технических мероприятий в рамках СЗПД

Для обеспечения безопасности персональных данных организации требуется провести комплекс технических и организационных мероприятий в рамках построения СЗПД и ее эксплуатации.

Организационные меры носят административный и процедурный характер и регламентируют процессы функционирования ИСПД, обработку ПД и действия персонала. Организационные меры включают в себя:

1. разработка организационно-распорядительных документов, предназначенных для регламентации процессов хранения, обработки, сбора и накопления персональных данных, а также их защиту;
2. уведомление уполномоченного органа (Роскомнадзора) о намерении обрабатывать ПД;
3. получение письменного согласия на обработку ПД от субъектов ПД;
4. определение должностных лиц, которые будут работать с ПД;
5. организация доступа в помещения, где будет вестись обработка ПД;
6. разработка должностных инструкций по работе с ПД;
7. определение сроков хранения ПД;
8. планирование мероприятий по защите ПД;
9. обучение персонала.

Организационные меры индивидуальны для каждой организации и в первую очередь определяются классом ИСПД, которые обрабатывают персональные данные . Чем выше класс ИСПД, тем больше мероприятий организационного характера требуется для ее защиты. Организационные меры необходимы для регламентации функционирования системы в целом, но явно не достаточны. Для обеспечения безопасности они должны быть подкреплены использованием технических средств защиты.

Техническое мероприятие – это мероприятие по защите информации, предусматривающее применение специальных технических средств, а также реализацию технических решений. Техническая защита по своей структуре и содержанию является более сложным и трудоемким процессом в отличие от организационных мероприятий и предусматривает выполнение следующих условий:

1. для выполнения работ по технической защите требуется лицензия;
2. для выбора адекватных и достаточных средств защиты необходимо тщательное обследование ИСПД, построение модели угроз и классификация ИСПД;
3. на основе данного обследования формируется перечень требований по обеспечению безопасности;
4. требуется провести работы по проектированию, созданию и вводу в эксплуатацию СЗПД;
5. для проведения аттестации(сертификации) на соответствие ИСПД требованиям законодательства необходимо наличие соответствующих лицензий.

Согласно Указу Президента РФ "Об утверждении перечня сведений конфиденциального характера" персональные данные относятся к категории сведений конфиденциального характера. На основании Федерального закона от 8 августа 2001 г. №128-ФЗ "О лицензировании отдельных видов деятельности" техническая защита конфиденциальной информации (в нашем случае персональных данных) относится к лицензированному виду деятельности. Таким образом, для проведения мероприятий по защите персональных данных необходимо привлекать организации, имеющие соответствующие лицензии ФСТЭК. Деятельность по защите информации без наличия соответствующих лицензий влечет за собой как административную, так и уголовную ответственность.

Помимо вышеперечисленного, средства технической защиты согласно п.6 Положения №781 " "Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" должны проходить процедуру соответствия. Другими словами, можно применять только те средства защиты, которые имеют сертификат соответствия ФСТЭК или ФСБ в зависимости от назначения средства.

9.3. Уведомление Роскомнадзора об обработке персональных данных

До начала обработки персональных данных оператор обязан уведомить Роскомнадзор о своем намерении в соответствии с ФЗ "О персональных данных".Уведомление должно быть в письменной форме с подписью уполномоченного лица или в электронной форме с ЭЦП . Уведомление должно содержать:

• наименование (фамилия, имя, отчество), адрес оператора;
• цель обработки персональных данных;
• категории персональных данных;
• категории субъектов, персональные данные которых обрабатываются;
• правовое основание обработки персональных данных;
• перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
• описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
• дата начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных.

В поле цель обработки персональных данных указываются цели обработки персональных данных, указанные в учредительных документах оператора, либо фактические цели обработки.