Основы защиты персональных данных

Информационная поддержка по теме: "Основы защиты персональных данных" с подробным описанием. В статье мы постарались полностью раскрыть тему. В случае возникновения вопросов, вы всегда можете их задать дежурному юристу.

Правовые основы информационной безопасности

Базовым документом, определяющим критерии оценки безопасности информационных технологий, является международный стандарт 1БО/ ЕЭС 15408 «Общие критерии оценки безопасности информационных технологий». В январе 2004 г. начал применяться один из базисных стандартов в сфере информационной безопасности России ИСО 15408—2002 (общие критерии).

К законам и правовым актам, обеспечивающим информационную безопасность в России, относятся:

  • • ст. 23 Конституции РФ, обеспечивающая право граждан на тайну переписки, телефонных, телеграфных и иных сообщений;
  • • ст. 139 ГК РФ, устанавливающая право на возмещение убытков от утечки информации, относящейся к служебной и коммерческой тайне;
  • • ст. 272 УК РФ, устанавливающая ответственность за неправомерный доступ к компьютерной информации;
  • • ст. 273 УК РФ, устанавливающая ответственность за использование и распространение вредоносных программ для ЭВМ;
  • • ст. 274 УК РФ, устанавливающая ответственность за нарушение правил эксплуатации ЭВМ, систем и сетей;
  • • Федеральный закон «Об информации, информатизации и о защите информации». Статья 10 закона регламентирует категории информации (открытая информация, государственная тайна, конфиденциальная информация), а ст. 21 определяет порядок защиты информации;
  • • Федеральный закон «О персональных данных»;
  • • ГОСТ Р ИСО/МЭК 9594-8—98 «Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации»;
  • • Международные конвенции об охране информационной собственности, промышленной собственности, авторском праве защиты информации в Интернете.

Защита персональных данных

Основными участниками ЭК являются продавцы и покупатели (субъекты сделок), К неосновным участникам относятся операторы (провайдеры) связи, операторы платежных систем, организаторы электронных торгов, конкурсов и аукционов, информационные, рекламные, транспортные и иные посредники. При совершении сделки в электронном виде они:

  • • вправе требовать от потребителей только те персональные данные, без которых они не смогут исполнить свои обязательства по электронной сделке;
  • • не вправе запрашивать персональные данные, не соответствующие цели заключения электронных сделок;
  • • обязаны обеспечить охрану и защиту персональных данных субъектов сделки, которые стали известными в ходе совершения электронной сделки. Эти данные могут быть получены из электронных документов или сообщений. Должна быть обеспечена и защита документов, содержащих персональные данные;
  • • не должны использовать персональные данные субъектов электронной сделки в каких-либо целях, выходящих за рамки их обязательств по сделкам;
  • • обязаны уничтожить электронные документы (сообщения) по совершенным электронным сделкам, содержащие персональные данные, после истечения сроков хранения. Сроки устанавливаются действующим законодательством РФ для определенных видов документов и срока исковой давности для всех оставшихся документов по сделке;
  • • несут гражданскую, административную и уголовную ответственность за несанкционированное использование и (или) распространение персональных данных в соответствии с законодательством РФ.

КОНСУЛЬТАЦИЯ ЮРИСТА


УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

8 800 350 84 37

Доступ к электронным документам (сообщениям), содержащим персональные данные субъектов сделки, передача их третьим лицам допускается только с согласия субъектов сделки либо по требованию уполномоченных лиц, имеющих право на получение такой информации в соответствии с действующим законодательством РФ. Участникам электронных сделок запрещается незаконный сбор, обработка, накопление, хранение персональных данных и их использование, если они не связаны с исполнением служебных обязательств. Это влечет ответственность, установленную гражданским, административным и уголовным законодательством РФ. Согласно ст. 9 Федерального закона «О персональных данных», согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

  • 1) ФИО, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • 2) ФИО, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  • 3) наименование или ФИО и адрес оператора, получающего согласие субъекта персональных данных;
  • 4) цель обработки персональных данных;
  • 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • 6) наименование или ФИО и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • 7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  • 9) подпись субъекта персональных данных.

Согласно Закону «О персональных данных» информация о персональных данных потребителя в электронной торговле может содержать следующие данные:

  • • ФИО;
  • • контактный телефон;
  • • электронный адрес (e-mail);
  • • адрес (доставки, проживания);
  • • реквизиты лицевого банковского счета, кредитной карты или иных средств платежа;
  • • идентификационный номер налогоплательщика;
  • • другие сведения, необходимые для исполнения обязательств по сделке.

Информация об операторе платежной системы дополнительно должна содержать:

  • • лицензионные сведения или ее репродуцированную электронную копию (номер лицензии, срок ее действия, наименование выдавшего ее лицензирующего органа и иные сведения) на право осуществлять банковские операции;
  • • перечень оказываемых финансовых услуг, условия их предоставления;
  • • порядок регистрации пользователей;
  • • правила проведения финансовых расчетов.

Информация об организаторе электронных торгов, конкурсов или аукционов дополнительно должна содержать:

  • • правила проведения конкурсов, торгов и аукционов;
  • • порядок регистрации участников.

Информация о государственных и иных не государственных учреждениях, и организациях, оказывающих услуги сторонам сделок по обеспечению электронных процедур, дополнительно должна содержать порядок и правила пользования услугами.

Читайте так же:  Встречный иск о разделе совместно нажитого имущества

С 1 сентября 2015 г. компании обязаны хранить персональные данные о своих сотрудниках в базах данных, расположенных только на территории РФ. О месте хранения таких баз данных нужно уведомлять Роскомнадзор.

Примечание. С 1 сентября 2013 г. вступил в силу Федеральный закон от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации». В соответствии со ст. 29 этого закона, образовательные организации формируют открытые и общедоступные информационные ресурсы. Доступ к ним обеспечивается посредством информационно-телекоммуникационных сетей, в том числе с помощью сайта в сети Интернет. На сайте, в том числе, помещается информация о персональном составе педагогических работников с указанием уровня образования, квалификации и опыта работы.

Источник: http://studme.org/84327/ekonomika/pravovye_osnovy_informatsionnoy_bezopasnosti

Порядок организации защиты персональных данных. Организационно-распорядительная документация

5.1.Общий порядок организации обеспечения безопасности персональных данных в информационных системах персональных данных

Основные принципы и правила обеспечения безопасности ПД в информационных системах регулируются «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным Постановлением Правительства Российской Федерации от 17.11.2007 № 781. (Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 настоящее постановление признано утратившим силу.)

При защите персональных данных должно быть обеспечено:

  1. предотвращение несанкционированного доступа к ПД и передачи их лицам, не имеющим соответствующих прав;
  2. своевременное обнаружение фактов НСД к ПД;
  3. предотвращение воздействия на технические средства обработки ПД, которое может нарушить их функционирование;
  4. возможность немедленного восстановления ПД в случае их модификации или уничтожения в результате НСД.
  5. постоянный контроль уровня защищенности персональных данных[18].

Организация безопасности ПД в ИСПД происходит в порядке, который предусматривает следующие этапы:

  1. оценка обстановки;
  2. обоснование требований безопасности ПД и постановка задач защиты;
  3. разработка замысла обеспечения безопасности;
  4. выбор мер и способов защиты в соответствии с требованиями безопасности и замыслом защиты;
  5. решения вопросов управления защитой;
  6. реализация замысла защиты;
  7. планирование мероприятий по защите;
  8. создание СЗПД;
  9. разработка документов для эксплуатации СЗПД и организации обеспечения безопасности ИСПД.

Прежде всего, необходимо ограничить физический доступ к защищаемой информации. В основе защиты от физического доступа лежат организационные мероприятия. Для организации физической защиты помещений и технических средств обработки ПД в первую очередь документально заверяются границы контролируемой зоны, ограничивается доступ в помещения, где обрабатываются ПД, производится их охрана в нерабочее время, определяется порядок и специальное место хранения материальных носителей с ПД, опечатываются корпуса ПЭВМ.

5.2. Оценка обстановки и формирование замысла защиты персональных данных

Оценка обстановки является этапом, во многом определяющим эффективность решения задач обеспечения безопасности ПД. В ее основе лежит комплексное обследование организации и ИСПД, использующихся для обработки ПД. Прежде всего, определяется информация , которую необходимо защищать, производится ее категорирование и оценивается необходимость защиты от таких угроз, как уничтожение или хищение аппаратных средств или носителей с ПД, утечки информации по техническим каналам, от НСД и прочих рассмотренных ранее угроз.

При оценке обстановки учитывается степень ущерба в случае успешной реализации одной из угроз. Рассмотрим основные подэтапы оценки обстановки:

  1. Анализ информационных ресурсов:
    • Определение состава, содержания и местонахождения ПД, подлежащих защите;
    • Категорирование ПД;
    • Оценка выполнения обязанностей по обеспечению безопасности ПД оператором в текущий момент времени.

В зависимости от объекта, причинение ущерба которому, в конечном счете, вызывается неправомерными действиями с ПД, рассматриваются два вида ущерба: непосредственный и опосредованный.

Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПД. Он возникает за счет незаконного использования (в том числе распространения) ПД или за счет несанкционированной модификации этих данных и может проявляться в виде:

  • нанесения вреда здоровью субъекта ПД;
  • незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта;
  • потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПД;
  • нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то согласия (например – рассылка персонифицированных рекламных предложений и т.п.).

Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПД.

Разработка замысла защиты является важным этапом построения СЗПД, в ходе которого определяются основные направления защиты персональных данных , и производится выбор способов защиты. К способам защиты относятся как технические средства, так и организационные меры. В качестве технических средств защиты следует использовать сертифицированные средства защиты. Основные этапы формирования замысла защиты показаны на рисунке 5.1.

К основным вопросам управления относятся:

  1. распределение функций управления доступом к данным и их обработкой между должностными лицами;
  2. определение порядка изменения правил доступа к защищаемой информации;
  3. определение порядка изменения правил доступа к резервируемым информационным и аппаратным ресурсам;
  4. определение порядка действий должностных лиц в случае возникновения нештатных ситуаций;
  5. определение порядка проведения контрольных мероприятий и действий по его результатам.

Для поддержания эффективного уровня защиты персональных данных необходимо своевременно решать вопросы по управлению защитой, а также основные вопросы, такие как подготовка кадров, финансирование и закупка необходимого оборудования. Только комплексный подход может гарантировать достаточность принятых мер защиты персональных данных .

Источник: http://www.intuit.ru/studies/courses/697/553/lecture/12448

Особенности защиты персональных данных

Защита персональных данных
с помощью DLP-системы

З акон «О персональных данных» № 152-ФЗ от 27.07.2006 года регулирует отношения государства, физических и юридических лиц в области сбора, хранения, обработки и защиты персональных данных (ПД) с помощью средств автоматизации или без них. Цель закона состоит в защите прав граждан по сохранению тайны их личной жизни. Любая организация, собирающая и обрабатывающая ПД, является оператором ПД.

Читайте так же:  Разрыв задней поверхности бедра срок восстановления

Работа оператора с ПД сотрудников и других физических лиц

Для эффективной работы каждой организации-оператора всегда требуется определять набор персональных данных граждан, работников, клиентов, посетителей. Эти сведения постоянно собираются у субъектов персональных данных или выбираются из иных законных источников. При этом оператор должен уведомить субъекта о целях сбора информации о нем и получить его письменное согласие на сбор.

Обработка персональной информации граждан является законной в следующих случаях:

  • если получено письменное разрешение лица на обрабатывание его личных данных;
  • если это необходимо для надлежащего исполнения оператором своих функций;
  • для осуществления правосудия;
  • для получения государственной услуги;
  • с целью оформления и исполнения договора;
  • для защиты жизни и здоровья физлица;
  • с целью реализации легитимных требований операторов или их клиентов, в случае ненарушения прав субъектов ПД;
  • профессиональной работы журналистов, СМИ при соблюдении законных прав субъекта этой информации;
  • статистических и других исследований, с обязательным соблюдением условия по обезличиванию собранной информации;
  • если ПД стали общедоступными благодаря самому субъекту;
  • когда ПД подлежат публикации или непременному открытию ввиду требований закона.

Долгом оператора является обеспечение конфиденциальности личной информации, если другое не предусмотрено законом.

Принципы и условия обрабатывания оператором личных данных

  1. Обрабатывание ПД реализовывается на законной основе.
  2. Должны быть определены точные цели обрабатывания личных данных и перечисление необходимых данных для реализации этих целей.
  3. Для каждой цели или совместимой группы целей нужно создавать отдельную базу данных (БД). Объединять базы данных, если их цели несовместимы, недопустимо.
  4. ПД должны быть точными, полными и актуальными для данных целей.
  5. Когда эти данные больше не нужны, они уничтожаются операторами в течение пяти лет или отдаются в архив, если это предусмотрено законом.

Обязанности оператора

  • Зарегистрироваться в Реестре операторов персональных данных Роскомнадзора, заявив о целях собирания и обрабатывания ПД.
  • Получить письменное разрешение субъекта на обрабатывание его персональной информации, если другое не предусмотрено законом.
  • Обеспечить должную защиту обрабатываемых и хранимых ПД.
  • Давать ответ на запрос субъекта о составе его персональных данных в предусмотренный законом срок.
  • Уничтожать ПД или передавать в архив в течение пяти лет, если надобность в них исчезла.
  • Информировать субъекта о причине отказа от предоставления персональных данных.

Особенности работы с ПД при оформлении личных дел работников предприятия

Порядок оформления личных дел сотрудников действующим законодательством не нормирован. Работодатель имеет право на хранение в личном деле сотрудников копии его документов, если соблюдены такие условия:

  • службой кадров принято согласие от сотрудника на хранение и обработку его персональных данных;
  • персональные данные обрабатываются в целях лучшей организации производства, соблюдения требований нормативных актов, помощи работникам при трудоустройстве, определения уровня их специальных знаний, повышения квалификации, обеспечения надлежащей сохранности персональных данных;
  • объем ПД не избыточен для должной работы данного учреждения.

Обработка ПД, которые не предусмотрены законодательством, сбор нецелевых личных данных, работа с персональными данными без письменного согласия гражданина влекут за собой предупреждение проверяющих органов или штраф.

Применение фотографий зачислено в категорию обрабатывания биометрических ПД, поэтому на такие действия нужно письменное согласие субъекта персональных данных.

Порядок оформления личного дела и возможный состав персональных данных:

  • содержание личного дела;
  • заявление о приеме на работу;
  • приказ о приеме на работу;
  • анкета;
  • автобиография и резюме;
  • копии дипломов;
  • трудовой договор;
  • представления к переводам на другую должность;
  • приказы о переводах;
  • внесение изменений персональных данных;
  • документация об аттестации сотрудника;
  • заявления персонала;
  • документы о здоровье;
  • фото;
  • приказ о поощрении и взыскании;
  • копии паспортных данных;
  • копии карточек ПФР;
  • индивидуальные налоговые номера;
  • копии военных билетов;
  • документы о заключении брака;
  • документы о рождении детей;
  • списки научных работ, изобретений;
  • характеристики и отзывы.

Контроль деятельности операторов ПД

Проверку законных оснований для обработки ПД проводит Роскомнадзор. Плановая проверка проводится один раз в три года и в точные сроки, подготовленные Роскомнадзором и утвержденные прокуратурой. Плановая проверка оператора осуществляется в начале его деятельности и далее через каждые три года.

Основаниями для внеплановой проверки являются:

  • контроль исполнения предписания о ликвидации нарушения, выявленного в ходе предыдущей проверки;
  • требование прокуратуры из-за поступивших обращений и жалоб на действия оператора;
  • бездействие операторов, из-за которых были нарушены интересы субъектов РФ;
  • приказ Роскомнадзора, изданный на выполнение поручений Президента или Правительства РФ.
  • Проверка проводится не больше 20 рабочих дней, но при надобности может быть продолжена еще на такой же срок.
  • выезд на место обработки персональных данных;
  • проверка предоставленной по запросу документации;
  • систематическое наблюдение инспекторами-специалистами, на основе которого вырабатываются выводы о соблюдении норм законов по работе с персональными данными.

Ответственность за незаконную обработку персональных данных

Оператору нельзя собирать, хранить, использовать и распространять информацию о личной жизни, переписке, телефонных разговорах и т. п., если нет судебного постановления или других законных оснований для этой деятельности.

Оператор не вправе причинять материальный и моральный урон людям, ущемлять их права и свободы, используя персональные данные.
Нарушение закона «О персональных данных» может повлечь за собой дисциплинарную, административную и уголовную ответственность.

Требования к защите персональных данных

Нормы законодательства о защите личной информации являются необходимыми для исполнения. Оператору вменяется в обязанность принимать нужные меры для защиты ПД от незаконного или просто случайного доступа к ним, удаления, фальсификации, блокировки, несогласованного копирования, размножения ПД, а также от других незаконных шагов в отношении личных сведений.

Читайте так же:  Как оформить генеральную доверенность на пенсию

Для надлежащей защиты ПД необходимо:

  • установить актуальные угрозы безопасности при обрабатывании информации в информационных системах персональных данных (ИСПДн);
  • принять адекватные меры организационного и технического характера;
  • применять сертифицированные средства информационной защиты;
  • перед вводом в эксплуатацию провести аттестацию ИСПДн на соответствие защитных систем правовым нормам;
  • вести учет машинных носителей ПД;
  • обнаруживать факты незаконного доступа к этой информации и выполнять соответствующие действия по улучшению их защиты;
  • восстанавливать поврежденную информацию;
  • установить режим доступа к ПД только строго установленных лиц;
  • регистрировать все действия, совершаемые при работе с ПД.

Защита от несанкционированного доступа

  • Разрешительная система допусков к информсистеме.
  • Ограничение возможности входа в помещения с техническими средствами обработки персональных данных.
  • Регистрация действий при работе с ПД.
  • Строгий учет и хранение съемных носителей данных.
  • Создание резервных копий и дублирование баз данных и носителей информации.
  • Использование сертифицированных средств защиты информации.
  • Защищенные каналы связи.
  • Нахождение технических средств обработки персональных данных в пределах охраняемой территории.
  • Борьба с вредоносными программами и вирусами с помощью сертифицированных антивирусных программ и других методов защиты.
  • Межсетевое экранирование.
  • Анализ защищенности информационных систем сканерами безопасности.
  • Ограждение каналов связи от считывания данных.
  • Использование смарт-карт, электронных замков для правильной идентификации пользователей.
  • Систематическое испытание межсетевого экрана имитацией атак извне.
  • Аутентификация дружественных информсистем и обеспечение целостности пересылаемых данных.

Особенности защиты персональных данных в ЕС

25 мая 2018 года вступил в силу Регламент о защите персональных данных. Его действие распространяется на все компании, которые обрабатывают персональные сведения о лицах, находящихся в ЕС.

На что стоит обратить внимание:

  • расширился список персональных данных (добавлены данные о местонахождении, IP-адреса, cookies);
  • увеличились правовые возможности субъектов ПД (право на перемещение данных из одной компании в другую, право на ликвидацию всех сведений о себе из БД компании);
  • появились новые обязательства для операторов (доказательство законности обрабатывания данных, защита ПД по умолчанию, назначение для компаний-нерезидентов представителя в ЕС, определение ответственного лица по защите данных);
  • детально прописано согласие субъекта на обрабатывание ПД (согласие выражается активным действием: письменным сообщением, в том числе, и через электронные средства, или же устно);
  • описано, какие должны быть приняты меры, если утеряны ПД либо к ним произошел несанкционированный доступ (компания должна послать уведомление контролирующему органу на протяжении 72 часов после произошедшего инцидента, а если утечка данных является существенной, то проинформировать об этом и субъекта ПД для предупреждения о возможной опасности);
  • расширена территория действия Регламента за границы ЕС.

Таким образом, европейскими законодателями ставится важная цель по созданию единой действующей правовой базы, которая будет распространяться на все государства, являющиеся членами ЕС, и даже за его пределы.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/osobennosti-zashchity-personalnyh-dannyh/

Меры по обеспечению защиты персональных данных в организации

Видео (кликните для воспроизведения).

Защита персональных данных
с помощью DLP-системы

Л юбая организация, занимающаяся работой с персональными данными (ПД) и их передачей, считается оператором ПД. Операторы ПД должны руководствоваться в своей деятельности законом РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года и другими правовыми нормами.

Оператор должен пройти регистрацию в Реестре операторов ПД в Роскомнадзоре на официальном сайте регулятора и указать, с какой целью он применяет собранные и запрашиваемые ПД. Если использование ПД служащих предусмотрено трудовым законодательством, то организация имеет право работать с ними без извещения Роскомнадзора.

Обязанностью оператора является принятие необходимых мер для защиты ПД от несанкционированного использования: фальсификации, копирования, удаления, блокировки, распространения и других противозаконных действий.

Регламентация содержания ПД, связанных с трудовой деятельностью

В ПД входят практически все сведения о человеке. Содержание ПД определяется самими операторами. Но имеют место случаи, когда их содержание четко регламентируется нормативно-правовыми актами, и отступление от этих требований является незаконным.
На любом предприятии в форму учета кадров заносятся следующие сведения (персональные данные) о каждом работнике:

  • ФИО;
  • информация о дате рождения;
  • гражданство;
  • СНИЛС;
  • индивидуальный налоговый номер;
  • владение иностранными языками;
  • полученное образование;
  • приобретенные профессии, специальности;
  • сведения о составе семьи;
  • место проживания;
  • контакты;
  • отношение к военной обязанности;
  • трудовая деятельность.

Защита персональных данных

Юридические и физические лица, работающие с ПД, обязаны организовать надлежащую защиту этих сведений. Предусматривается внутренняя и внешняя защита ПД на предприятии и в любой организации.

К внутренней защите ПД относятся такие действия:

Внешняя защита ПД предполагает следующие действия:

  • пропускной режим;
  • соблюдение установленных правил приема посетителей и их учета;
  • использование приборов для охраны;
  • программная защита данных.

Информационные системы персональных данных (ИСПД)

Информационные системы персональных данных – это функционирующий набор информационных, аппаратных и программных составляющих.

В состав ИСПД входят:

  • обрабатываемые ПД;
  • технология работы с информацией средствами вычислительной техники;
  • техсредства и приспособления (серверы, рабочие терминалы, сети передачи данных, принтеры, сканеры и т. п.);
  • средства защиты информации.

Защитные мероприятия при работе в ИСПД

Чтобы уберечь персональные данные от несанкционированного распространения, необходимо выполнение следующих мероприятий по их защите:

  • определение актуальных угроз безопасности;
  • формирование моделей угроз;
  • разработка систем защиты ПДн (СЗПДн);
  • проверка работоспособности средств защиты информации (СЗИ);
  • заключение о пригодности к эксплуатации;
  • установка и ввод в эксплуатацию СЗИ;
  • обучение сотрудников работе с СЗИ;
  • контроль работы СЗИ;
  • оформление техдокументации;
  • определение круга сотрудников, допущенных к работе с ИСПД;
  • при обнаружении нарушения условий хранения носителей ПД – проведение расследования и составление заключения;
  • принятие мер по ликвидации последствий этих нарушений;
  • обеспечение охраны помещений с оборудованием ИСПД и организация режима допуска;
  • проведение мероприятий по недопустимости утечки информации по техническим каналам.
Читайте так же:  Защита прав несовершеннолетних коап

Защита ПД от несанкционированного доступа

Средствами защиты от несанкционированного доступа служат их подсистемы:

  • управление доступом к ПД, регистрация и учет всех действий с этими данными;
  • обеспечение целостности персональной информации;
  • применение антивирусной защиты для сохранения ПД и предотвращения вирусных атак;
  • создание межсетевого экрана;
  • анализ защищенности и принятие мер по ее усилению;
  • обнаружение вторжений, своевременная их локализация.

Подсистема управления доступом – это не входящие в ядро ОС средства их защиты, а также системы управления баз данных и других программ. К этим средствам защиты относятся специальные утилиты, производящие тестирование файловой системы, журналирование действий, сигнализацию о несанкционированном проникновении в систему.

Обеспечение целостности ПД осуществляется средствами самих ОС и систем управления базами данных. Базовой платформой построения ИСПД может выступать сетевая ОС Microsoft Windows Server (Standard Edition и Enterprise Edition), которая сертифицирована ФСТЭК России и ФСБ.

Для подсистемы антивирусной защиты можно использовать антивирусные средства Лаборатории Касперского, которые также имеют сертификат ФСБ. В зависимости от уровня защищенности ИСПД можно использовать межсетевые экраны третьего-четвертого уровня защиты.

Подсистема анализа защищенности осуществляет контроль настроек защиты ОС на рабочих терминалах и серверах. Она выдает отчет со сведениями об обнаруженных уязвимостях. По результатам сканирования принимаются меры по устранению выявленных недочетов.

Для подсистемы анализа можно использовать сетевой сканер безопасности Xspider фирмы Positive Technologies, сертифицированный ФСТЭК России. Для подсистемы обнаружения вторжений специалисты рекомендуют продукт Cisco Intrusion Detection System, сертифицированный ФСТЭК.

Перед началом ввода ИСПД в эксплуатацию необходимо провести ее аттестацию безопасности и получить Аттестат соответствия требованиям ФСТЭК России.

Аттестация ИСПД по требованиям безопасности информации выполняется до начала обработки информации, которая подлежит защите. Она официально подтверждает эффективность комплексных решений, применяемых в ИСПД мер и инструментов защиты информации

Как документально оформить защиту персональных данных

Исходя из практической целесообразности, можно издать следующие документы:

  • положение о ПД;
  • список служащих, работающих с персональными данными;
  • приказ об утверждении работника, отвечающего за работу с персональными данными;
  • положение о мерах по ЗПД;
  • инструкцию о служебном расследовании фактов разглашения личных данных работников;
  • инструктаж по ЗПД;
  • журнал антивирусных проверок;
  • журнал контроля использования ПД для служебной необходимости.

Передача персональных данных третьим лицам

Чтобы обеспечить соблюдение норм закона о получении согласия физического лица на обработку и передачу ПД, можно оформить коллективный договор со служащими, в котором перечислить всех третьих лиц с указанием наименований, адресов, срока использования данных. Все работники организации должны этот договор подписать.

Необходимо знать, что законодательство РФ предусматривает передачу персональных данных судебным органам и другим правоохранительным инстанциям без необходимости получения согласия на эти действия.

Время хранения персональных данных

С персональных данных конфиденциальность снимается через 75 лет, если происходит их обезличивание, или по требованию закона.
Когда ПД больше не нужны оператору, они должны быть уничтожены на протяжении пяти лет или сданы в архив.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/mery-po-obespecheniyu-zashchity-personalnyh-dannyh-v-organizacii/

Особенности защиты персональных данных

При работе с кадровой документацией следует, прежде всего, соблюдать следующие специфические особенности се обработки и хранения.

Приказы (распоряжения) по личному составу должны составляться, оформляться и храниться в кадровой службе, а не в бухгалтерии или службе ДОУ. Эту работу следует возложить на конкретного сотрудника кадровой службы или нескольких сотрудников, например, в крупных организациях каждый сотрудник может заниматься приказами по категориям персонала — руководителям, специалистам, рабочим и т.д. Регистрация этих приказов также должна быть передана в кадровую службу.

Материалы, связанные с анкетированием, тестированием, проведением собеседований с кандидатами на должность, целесообразно помещать не в личное дело сотрудника, а в специальное дело, имеющее гриф «Строго конфиденциально». Объясняется это тем, что подобные материалы раскрывают личные и моральные качества сотрудника и могут при разглашении содержащихся в них сведений стать полезными злоумышленнику. Материалы с результатами тестирования работающих сотрудников, материалы их аттестаций формируются в самостоятельное дело, также имеющее гриф строгой конфиденциальности.

Особое внимание обращается на сохранность документов личных дел работников. Операции по оформлению, формированию, ведению, закрытию и хранению личных дел должны выполняться одним работником кадровой службы, который несет личную ответственность за сохранность документов в делах и регламентированный доступ к делам других работников.

В случае правомочного изъятия из личного дела документа в описи дела производится запись с указанием основания для подобного действия и нового местонахождения документа. С документа, подлежащего изъятию, снимается копия, которая подшивается на место изъятого документа. Отметка в описи и копия заверяются росписью руководителя и работника кадровой службы. Замена документов в личном деле кем бы то ни было запрещается. Новые, исправленные документы помещаются вместе с ранее включенными в дело.

Приказом руководителя организации должен быть установлен порядок ознакомления или выдачи руководящему составу организации личных дел подчиненных работников. Как правило, знакомиться с личными делами могут следующие лица: руководитель организации — со всеми личными делами, его заместители — с личными делами курируемых ими подразделений, руководители структурных подразделений — с личными делами сотрудников подразделения.

Выдача личных дел на рабочие места руководителей, как правило, не допускается. Личные дела могут выдаваться на рабочие места только первого руководителя, его заместителя по кадрам и в исключительных случаях но письменному разрешению конкретному руководителю структурного подразделения. Дела выдаются (в том числе руководителю кадровой службы или при наличии его письменного разрешения — работнику службы) под отметку в контрольной карточке. В конце рабочего дня все дела должны быть возвращены ответственному за их хранение сотруднику кадровой службы.

Руководители структурных подразделений организации с разрешения руководителя кадровой службы могут знакомиться с личными делами (или при отсутствии личных дел — карточками формы № Т-2) только непосредственно подчиненных им сотрудников; к справочно-информационному банку данных и другой документации кадровой службы они не допускаются. Ознакомление с делами должно осуществляться в помещении службы под наблюдением работника, ответственного за сохранность и ведение личных дел. Факт ознакомления фиксируется в контрольной карточке личного дела.

Читайте так же:  Защита чести и деловой репутации юридического лица

Работник организации имеет право знакомиться только со своими личным делом, трудовой книжкой, учетными карточками, отражающими его персональные данные. Он имеет право потребовать внесение изменений и дополнений в свои анкетно-биографические и другие данные, подтвержденных документами. Факт ознакомления работника с личным делом также фиксируется в контрольной карточке.

Трудовые книжки всегда хранятся отдельно от личных дел. Особое внимание обращается на учет в бухгалтерии и кадровой службе чистых банков книжек и бланков листов-вкладышей. Руководитель кадровой службы должен строго контролировать, чтобы трудовая книжка не оформлялась по просьбе работника на неучтенном бланке (как правило, фальсифицированном), чтобы от граждан не принимались трудовые книжки, оформленные на подобных бланках, или имеющие записи, сделанные с нарушениями соответствующей инструкции. Факт ознакомления работника с записями, производимыми в трудовой книжке, подтверждается его подписью в личной карточке № Т-2, в которой эти записи дублируются.

В соответствии с инструкцией кадровая служба должна периодически отчитываться перед бухгалтерией организации о расходовании бланков трудовых книжек и вкладышей. Испорченные бланки трудовых книжек и вкладышей списываются по акту и уничтожаются путем сожжения. На акт принято наклеивать вырезанные из уничтоженных бланков номера и серии.

Не полученные гражданами при увольнении трудовые книжки хранятся в отделе кадров отдельно от остальных книжек в течение двух лет, после чего сдаются в архив на 50-летнее хранение.

Под особым контролем должны находиться операции по проставлению в трудовых книжках, на справках и других документах оттисков печатей и штампов. Целесообразно, чтобы эти операции производились только руководителем кадровой службы, так как в противном случае может возникнуть опасность их несанкционированного использования. Одновременно руководитель службы контролирует правильность оформления документов.

Не менее пристального внимания требует работа со справочно-информационными базами данных по персоналу организации (картотеками, журналами и книгами персонального учета работников). За сохранность и конфиденциальность этого банка данных также должен отвечать специально назначенный сотрудник кадровой службы.

Учетная, отчетная и справочная работа кадровой службы наиболее часто формирует каналы несанкционированного получения и незаконного использования персональных данных. В связи с этим руководителем организации должно устанавливаться: кто, когда, какие сведения и с какой целью может запрашивать в отделе кадров. И, что особенно важно — определяется порядок дальнейшего хранения и уничтожения сведений, работа с которыми закончена: где эти сведения будут находиться, кто несет ответственность за их сохранность и конфиденциальность.

Передаваемые из кадровой службы руководителям отчетные и справочные сведения обязательно документируются в виде сводок, списков, справок и т.п. Устное сообщение сведений, как правило, использоваться не должно, за исключением случаев, когда запрашивается единичная информация, например, дата рождения работника, наличие правительственных наград и т.п.

На документах, выходящих за пределы отдела кадров, может ставиться гриф «Конфиденциально» или «Для служебного пользования». В отделе кадров обязательно остаются копии всех плановых, аналитических, отчетных, справочных и иных документов. Целесообразно, чтобы подлинники этих документов после того как необходимость в них миновала возвращались в кадровую службу для включения в дело вместо хранящихся там копий.

В структурных подразделениях организации могут быть следующие документы, содержащие персональные данные: табель учета использования рабочего времени с указанием должностей, фамилий и инициалов работников (находится у сотрудника, ведущего табельный учет — табельщика), штатное расписание подразделения, в котором может дополнительно указываться, кто из сотрудников занимает ту или иную должность и получает надбавки, вакантные должности (находится у руководителя подразделения), дело с выписками из приказов по личному составу (или копии приказов (распоряжений)), касающимися персонала подразделения (находится у секретаря).

Руководитель подразделения может иметь список сотрудников с указанием основных биографических данных каждого из них (год рождения, образование, местожительство, домашний телефон, имя и отчество супруга и др.). Все перечисленные документы следует хранить в соответствующих делах, включенных в номенклатуру дел и имеющих гриф ограничения доступа. Не следует эти документы хранить в россыпи или записывать указанные сведения в настольных календарях. Не реже одного раза в год работники кадровой службы обязаны проверять наличие этих дел в подразделениях, их комплектность, правильность ведения и уничтожения.

При ведении компьютерной базы кадровой информации не рекомендуется ее и систему (связанные автоматизированные рабочие места кадровой службы) включать в локальную сеть организации. Внутри кадровой службы локальная сеть (или единичные компьютеры) должна быть снабжена необходимыми средствами программно-аппаратной и криптографической защиты информации, регламентирована жесткой системой разграничения доступа сотрудников службы к обрабатываемой и хранимой информации. В локальную сеть кадровой службы может быть включен компьютер (автоматизированное рабочее место) руководителя организации.

Контрольные вопросы

  • 1. Что входит в состав комплекса кадровой документации?
  • 2. Каков состав унифицированных форм кадровой документации?
  • 3. Каков порядок документирования приема на работу?
  • 4. Каков порядок документирования перевода сотрудников на другую работу?
  • 5. Каков порядок документирования поощрения работников и наложения дисциплинарных взысканий?
  • 6. Каков порядок документирования увольнения работника?
  • 7. Как формируется и хранится личное дело сотрудника?
  • 8. Каков порядок документирования учета и отчетности по кадрам?
  • 9. Как осуществляется защита персональных данных в кадровой службе?
Видео (кликните для воспроизведения).

Источник: http://studme.org/129321/menedzhment/osobennosti_zaschity_personalnyh_dannyh

Основы защиты персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here