Организационные вопросы защиты персональных данных

20.01.2010
В том, что персональные данные защищать необходимо, уже никто не сомневается, но дискуссии об организации такой защиты не стихают. И причин для возникновения споров, связанных с реализацией требований Федерального закона от 27.07.2006 № 152-ФЗ, предостаточно: неоднозначность требований законодательства, существенные финансовые расходы, которые не предусмотрены бюджетами организаций, и др. Хотя окончательное вступление в силу названного закона перенесено (см. Федеральный закон от 27.12.2009 № 363-ФЗ), требования, предъявляемые в части уведомления Роскомнадзора, получения согласия субъектов ПДн, проведения классификация ИСПДн, уже действуют, поэтому без изучения основных положений закона и проведения мероприятий по защите ПДн не обойтись. Специалисты фирмы "1С" знакомят с основными положениями Федерального закона № 152-ФЗ, подзаконными актами и дают некоторые рекомендации по организации защиты персональных данных при осуществлении обработки данных с использованием средств автоматизации.

Содержание

В соответствии со статьей 3 Федерального закона от 27.07.2006 № 152-ФЗ (далее - Федеральный закон № 152-ФЗ) оператором информационной системы персональных данных признается любая организация или предприниматель, обрабатывающие данные в отношении физических лиц.

Причем требования законодательства о защите персональных данных (далее - ПДн) предусматривают не только необходимость создания системы защиты ПДн с учетом технических решений с последующей аттестацией или декларированием соответствия информационной системы ПДн (далее - ИСПДн) требованиям безопасности информации, но и разработку системы документооборота, предусматривающую возможность получения согласия у субъектов ПДн на обработку ПДн, уведомление Роскомнадзора о своем намерении осуществлять обработку ПДн, разработку документов, регламентирующих получение, обработку и передачу ПДн, и т. п. Для организации и проведения работ по защите ПДн следует познакомиться не только с нормами Федерального закона № 152-ФЗ, Положением об обеспечении персональных данных при их обработке в ИСПДн, утвержденного Постановлением Правительства РФ от 17.11.2007 № 781 (далее - Положение), но и нормативными правовыми актами, разработанными "регуляторами" исполнения данного закона, с которыми можно ознакомиться на сайтах ФСТЭК РФ, ФСБ РФ, Роскомнадзора.

Необходимо защитить персональные данные

В соответствии со статьей 3 Федерального закона от 27.07.2006 № 152-ФЗ (далее - Федеральный закон № 152-ФЗ) оператором информационной системы персональных данных признается любая организация или предприниматель, обрабатывающие данные в отношении физических лиц.

Причем требования законодательства о защите персональных данных (далее - ПДн) предусматривают не только необходимость создания системы защиты ПДн с учетом технических решений с последующей аттестацией или декларированием соответствия информационной системы ПДн (далее - ИСПДн) требованиям безопасности информации, но и разработку системы документооборота, предусматривающую возможность получения согласия у субъектов ПДн на обработку ПДн, уведомление Роскомнадзора о своем намерении осуществлять обработку ПДн, разработку документов, регламентирующих получение, обработку и передачу ПДн, и т. п. Для организации и проведения работ по защите ПДн следует познакомиться не только с нормами Федерального закона № 152-ФЗ, Положением об обеспечении персональных данных при их обработке в ИСПДн, утвержденного Постановлением Правительства РФ от 17.11.2007 № 781 (далее - Положение), но и нормативными правовыми актами, разработанными "регуляторами" исполнения данного закона, с которыми можно ознакомиться на сайтах ФСТЭК РФ, ФСБ РФ, Роскомнадзора.

Получение согласия на обработку данных

Статьей 9 Федерального закона № 152-ФЗ предусмотрено, что субъект персональных данных принимает решение о предоставлении своих ПДн и дает согласие на их обработку своей волей и в своем интересе.

Под ПДн в соответствии со статьей 3 Федерального закона № 152-ФЗ понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его ФИО, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Как видим, перечень такой информации является открытым.

Предоставление данных может быть обязательным и добровольным. Например, обязательное предоставление данных предусмотрено пунктом 2 статьи 9 Федерального закона № 152-ФЗ в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

В большинстве же случаев мы предоставляем персональные данные в добровольном порядке, при этом согласие субъектов ПДн на обработку ПДн требуется не всегда.

Без получения согласия субъекта ПДн может осуществляться обработка персональных данных в целях исполнения договора, одной из сторон которого является субъект ПДн, либо в случае, если обработка ПДн необходима для доставки почтовых отправлений и т. п. Полный перечень таких исключений приведен в пункте 2 статьи 6 Федерального закона № 152-ФЗ (например, не требуется получения согласия в целях исполнения договора с субъектом ПДн).

Следует принимать во внимание, что обеспечение конфиденциальности ПДн не требуется в отношении общедоступных ПДн. При использовании таких данных рекомендуется источник их получения.

Перечень сведений, подлежащих отражению в согласии субъекта персональных данных на обработку данных, приведен в пункте 4 статьи 9 Федерального закона № 152-ФЗ.

Уведомление Роскомнадзора

С 1 января 2008 операторы, осуществляющие обработку персональных данных, обязаны направлять уведомление в Роскомнадзор. Такое уведомление в соответствии с требованием пункта 1 статьи 22 Федерального закона № 152-ФЗ оператор должен направлять до начала обработки персональных данных.

Без уведомления Роскомнадзора можно осуществлять обработку ПДн, относящихся к субъектам ПДн, которых связывают с оператором трудовые отношения либо полученные оператором в связи с заключением договора, стороной которого является субъект ПДн (например, при заключении договора бытового подряда). Полный список исключений приведен в пункте 2 статьи 22 Федерального закона № 152-ФЗ.

Форма уведомления утверждена приказом Федеральной службы по надзору в сфере связи и массовых коммуникаций РФ от 17.07.2008 № 08.

Проведение классификации

Еще одним обязательным мероприятием, которое обязаны осуществить все без исключения операторы информационных систем является проведение классификации и присвоение класса ИСПДн.

При проведении классификации необходимо исходить в первую очередь из перечня сведений, подлежащих обработке в информационной системе, а уже затем учитывать применяемые технические средства, прикладные программы, средства антивирусной защиты, сетевые экраны и т. п.

Основной целью проведения классификации является установление методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.

В соответствии с пунктом 2 Порядка проведения классификации информационных систем, утвержденного совместным Приказом ФСТЭК РФ (Федеральной службы по техническому и экспортному контролю), ФСБ РФ и Министерства информационных технологий и связи РФ от 13.02.2008 № 55/86/20 классификация проводится самой организацией - оператором информационной системы персональных данных. Необходимо оговориться, что класс информационной системы ПДн варьируется от К4 до К1.

При этом наименьшие требования к защите ПДн предъявляются к классу К4, а максимальные - к классу К1, т. е., говоря о повышении класса информационной системы, подразумеваем снижение требований по защите информации.

При определении класса информационной системы ПДн, необходимо определить в какой диапазон попадает ИСПДн вашей организации исходя из объема обрабатываемых данных:

  • менее 1 000 субъектов;
  • от 1 000 до 100 000 субъектов;
  • более 100 000 субъектов.

При расчете данного показателя стоит учитывать содержащуюся в базе информацию о работниках, бывших работниках, акционерах (учредителях), клиентах, контактных лицах в различных организациях (поставщиках, покупателях) и т. п.

При этом при обработке данных в рамках одной организации (независимо от численности) следует исходить из порядка, предусмотренного для ИСПДн, в которой обрабатываются ПДн не более чем 1 000 субъектов.

Таким образом, в особую "группу риска" попадают те операторы, в информационных базах которых содержится информация о деятельности нескольких организаций и соответственно сведения о субъектах ПДн, имеющих отношения к нескольким операторам ПДн.

К перечню обрабатываемой информации необходимо подойти с особой тщательностью, ведь от этого напрямую зависит класс и, соответственно, сумма расходов на проведение мероприятий по защите ПДн.

С учетом изложенного можно попытаться предварительно определить класс информационной системы в соответствии с таблицей.

В случае если рассматриваемую ИСПДн можно признать типовой, то такой системе присваивается один из следующих классов:

  • класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов ПДн;
  • класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к негативным последствиям для субъектов ПДн;
  • класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПДн;
  • класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПДн.

Возьмем для примера сведения, подлежащие учету в программе "1С:Бухгалтерия 8". Например, при внесении записи в Справочник Физические лица подлежат указанию следующие сведения: ФИО, дата рождения, пол, место рождения, паспортные данные, гражданство, инвалидность, страховой номер свидетельства в ПФР, ИНН.

Кроме того, в базе данных будет также содержаться информация об адресе места жительства физического лица, телефоне, должности и другие сведения, в том числе финансового характера.

В ряде случаев могут возникнуть вопросы по поводу таких сведений как гражданство и инвалидность.

Но ведь мы понимаем, что гражданство не является синонимом национальной принадлежности, а понятия состояние здоровья и инвалидность не тождественны.

Данные сведения необходимы для правильного исчисления налогов с учетом требований законодательства.

Соответственно, можно говорить, что персональные данные, вводимые и обрабатываемые в "1С:Бухгалтерии 8", соответствуют классу К3.

Необходимо учитывать, что в случае дополнения базы дополнительными реквизитами, организация рискует понизить класс и соответственно повысить требования по защите этой информации.

Например, в случае внесения в информационную систему данных о состоянии здоровья (например, о заболеваниях) класс информационной системы будет К1, а требования, предъявляемые по защите таких данных максимальными.

Дополнительно стоит отметить, что в настоящее время нет четкого разграничения между ПДн, относящимися к классу 2 (ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением ПДн, относящихся к классу 1) и ПДн класса 1 (ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни).

Присвоение системе соответствующего класса подтверждается актом, утверждаемым руководителем организации.

Кроме того, среди факторов, подлежащих анализу, необходимо учитывать:

  • структуру информационной системы (автономные, локальные вычислительные системы с и без удаленного доступа);
  • наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;
  • режим обработки персональных данных (однопользовательский или многопользовательский);
  • наличие системы с разграничением прав доступа пользователей информационной системы или без;
  • местонахождение технических средств информационной системы - целиком в России или нет.

С учетом проведенного обследования информационной системы и присвоения класса следует определить перечень необходимых мер.

Пунктом 1 статьи 19 Федерального закона № 152-ФЗ предусмотрено, что оператор при обработке ПДн обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий.

К таким мерам могут быть отнесены следующие мероприятия:

  • разработка документов, регламентирующих обработку персональных данных в организации;
  • создание системы защиты ПДн, в том числе разработка мер по защите информации от несанкционированного доступа (система разграничения доступа к информации; регистрация и учет; обеспечение целостности; контроль отсутствия недекларируемых возможностей; антивирусная защита; межсетевые экраны; средства блокировки устройств ввода-вывода информации, анализ защищенности; криптографические средства; обнаружение вторжений) и меры по защите информации от утечки по техническим каналам (организация режима и контроля доступа в помещения; защита от ПЭМИН (экранирование, зашумление и т. д.); защита от утечки акустической и видовой информации);
  • обязательная сертификация (аттестация) по требованиям безопасности информации - для ИСПДн классов 1 и 2 или декларирование соответствия для ИСПДн класса 3.

Деятельность по обязательной сертификации (аттестации) по требованиям безопасности информации может осуществляться исключительно организациями, имеющими соответствующую лицензию ФСТЭК РФ.

Особо стоит подчеркнуть, что для обеспечения требования по защите ПДн при эксплуатации ИСПДн класса 1 и 2 операторы ПД также должны получить лицензию на деятельность по технической защите конфиденциальной информации или заключить соответствующий договор с организацией, имеющей такую лицензию.

Документы по защите ПДн

Особое внимание необходимо уделить разработке соответствующих документов по защите ПДн, в которых необходимо отразить перечень обрабатываемых данных, перечень ИСПДн, перечень сотрудников, имеющих право доступа к ПДн и вид доступа, используемое оборудование, средства защиты, антивирусные программы и т. п.

Основными документами, подлежащими разработке, являются:

  • Положение о персональных данных и их защите;
  • Инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные;
  • Приказы о возложении персональной ответственности за защиту ПДн;
  • Регламент допуска сотрудников к обработке персональных данных;
  • Перечень сотрудников, допущенных к обработке персональных данных (с правом записи и без такого права);
  • Должностные инструкции сотрудников, имеющих отношение к обработке ПДн и т. д.

Рекомендации по защите ПДн

Важно отметить, что в целях снижения расходов на проведение мероприятий по защите ПДн может быть рекомендовано:

  • проведение тщательного анализа и возможное сокращение перечня получаемых и обрабатываемых сведений в отношении субъектов ПДн (далеко не каждый реквизит на самом деле будет необходим для осуществления деятельности);
  • осуществление обработки некоторых сведений без использования средств автоматизации;
  • обезличивание части ПДн;
  • минимизация мест хранения и обработки ПДн, разделение/сегментирование информационных систем, снижение требований к части сегментов;
  • сокращение числа сотрудников, имеющих доступ к ПДн;
  • выделение рабочих мест, где используются ПДн, в отдельную локальную вычислительную систему и организация защиты только ее;
  • передача по каналам связи только обезличенной информации.

Экспресс-опрос по защите ПДн

Определим место вашей организации в правовом поле защиты персональных данных.

Экспресс-опрос по определению минимального набора необходимых мероприятий в рамках выполнения требований по защите ПДн:
Шаг 1 - определяем класс ИСПДн - см. схему 1.
Шаг 2 - определяем комплекс необходимых мероприятий - см. схему 2.

Схема 1

Схема 2

* * *

Федеральный закон "О персональных данных" предъявляет дополнительные требования и к разработчикам программных продуктов, в первую очередь к организациям, являющимися производителями средств защиты информации.

Ряд дополнительных требований предъявляется и к программному обеспечению, не признаваемому средством защиты информации. Именно к данной категории относятся программные продукты, разрабатываемые фирмой "1С". В связи с чем, фирмой "1С" проводятся работы по направлениям:

  • проведение добровольной сертификации программных продуктов фирмы "1С";
  • доработка технологической платформы;
  • доработка прикладных программных продуктов, в том числе "1С:Зарплата и управление персоналом" (реализовано в версии 2.5.19, 16.12.2009) и "1С:Зарплата и кадры бюджетного учреждения";
  • разработка методических рекомендаций для пользователей и партнеров фирмы "1С" с целью организации и проведения работ по защите персональных данных.

Читайте также статью "Обработка персональных данных в "зарплатных" конфигурациях "1С:Предприятия 8".

Нашли ошибку на сайте? Отправьте нам!
Выделите ее мышкой и нажмите Ctrl + Enter
Ваша оценка:
Комментарии

Рекомендуем материалы

Трудовые споры: может ли работодатель разделить отпуск работника на части по своему усмотрению

Судебный вердикт: облагаются ли НДС бесплатные обеды для работников

Как применять НДС, когда комиссионер ввозит из ЕАЭС товары и для комитента, и для себя

Какие уведомления подавать в Роскомнадзор в 2024 году: виды, сроки и новые штрафы

6

Новые штрафы за неправомерную обработку персональных данных с 23 декабря 2023 года

3

Как обрабатывать персональные данные: новые рекомендации Роскомнадзора

5