Перечень мер о персональных данных

Предлагаем ознакомиться с тематической статьей, в которой полностью освящен вопрос: перечень мер о персональных данных. Если после прочтения останутся дополнительные вопросы или уточнения, то обратитесь к дежурному юристу.

Содержание

  • Постановление Правительства РФ от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» (с изменениями и дополнениями)

    Постановление Правительства РФ от 21 марта 2012 г. N 211
    «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»

    С изменениями и дополнениями от:

    20 июля 2013 г., 6 сентября 2014 г., 15 апреля 2019 г.

    В соответствии с частью 3 статьи 18.1 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет:

    Утвердить прилагаемый перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.

    Председатель Правительства
    Российской Федерации

    Перечень
    мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами

    С изменениями и дополнениями от:

    20 июля 2013 г., 6 сентября 2014 г., 15 апреля 2019 г.

    1. Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами:

    КОНСУЛЬТАЦИЯ ЮРИСТА


    УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

    8 800 350 84 37

    Информация об изменениях:

    Подпункт «а» изменен с 25 апреля 2019 г. — Постановление Правительства России от 15 апреля 2019 г. N 454

    а) назначают ответственного за организацию обработки персональных данных в государственном или муниципальном органе из числа государственных или муниципальных служащих и (или) работников указанного органа, замещающих должности, не являющиеся должностями государственной гражданской службы Российской Федерации или муниципальной службы, на основании трудового договора (далее — служащие);

    Информация об изменениях:

    Постановлением Правительства РФ от 6 сентября 2014 г. N 911 в подпункт «б» внесены изменения

    б) утверждают актом руководителя государственного или муниципального органа следующие документы:

    правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

    правила рассмотрения запросов субъектов персональных данных или их представителей;

    правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;

    правила работы с обезличенными данными в случае обезличивания персональных данных;

    перечень информационных систем персональных данных;

    перечни персональных данных, обрабатываемых в государственном или муниципальном органе в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций;

    перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных;

    перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

    должностной регламент (должностные обязанности) или должностная инструкция ответственного за организацию обработки персональных данных в государственном или муниципальном органе;

    типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;

    типовая форма согласия на обработку персональных данных служащих государственного или муниципального органа, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;

    порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных;

    в) при эксплуатации информационных систем персональных данных в случае, если государственный или муниципальный орган является оператором таких информационных систем, принимают правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке, предусмотренные соответствующими нормативными правовыми актами, для выполнения установленных Правительством Российской Федерации требований к защите персональных данных при их обработке, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

    г) при обработке персональных данных, осуществляемой без использования средств автоматизации, выполняют требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

    д) в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организуют проведение периодических проверок условий обработки персональных данных в государственном или муниципальном органе. Проверки осуществляются ответственным за организацию обработки персональных данных в государственном или муниципальном органе либо комиссией, образуемой руководителем государственного или муниципального органа. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю государственного или муниципального органа докладывает ответственный за организацию обработки персональных данных в государственном или муниципальном органе либо председатель комиссии;

    е) осуществляют ознакомление служащих государственного или муниципального органа, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных служащих;

    ж) уведомляют уполномоченный орган по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных, за исключением случаев, установленных Федеральным законом «О персональных данных»;

    Информация об изменениях:

    Постановлением Правительства РФ от 6 сентября 2014 г. N 911 подпункт «з» изложен в новой редакции

    з) в случаях, установленных нормативными правовыми актами Российской Федерации, в соответствии с требованиями и методами, установленными уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.

    Читайте так же:  Неисполнения или ненадлежащего исполнения исполнителем обязательств

    2. Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения.

    Утвержден Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных (ПД) и принятыми в соответствии с ним нормативными правовыми актами. Он касается операторов, являющихся муниципальными или госорганами.

    В частности, операторы должны назначить ответственных за организацию обработки ПД из числа служащих соответствующего органа. Также необходимо издать ряд актов. Это правила обработки ПД, рассмотрения запросов субъектов последних или их представителей, работы с обезличенными данными, перечень информсистем ПД, типовая форма согласия на обработку и др.

    Документы, определяющие политику в отношении обработки ПД, публикуются на официальном сайте соответствующего органа в течение 10 дней после их утверждения.

    Постановление Правительства РФ от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»

    Настоящее постановление вступает в силу по истечении 7 дней после дня его официального опубликования

    Текст постановления опубликован в «Российской газете» от 30 марта 2012 г. N 70, в Собрании законодательства Российской Федерации от 2 апреля 2012 г. N 14 ст. 1626

    В настоящий документ внесены изменения следующими документами:

    Постановление Правительства РФ от 15 апреля 2019 г. N 454

    Изменения вступают в силу с 25 апреля 2019 г.

    Постановление Правительства РФ от 6 сентября 2014 г. N 911

    Изменения вступают в силу по истечении 7 дней после дня официального опубликования названного постановления

    Постановление Правительства РФ от 20 июля 2013 г. N 607

    Изменения вступают в силу по истечении 7 дней после дня официального опубликования названного постановления

    Источник: http://base.garant.ru/70152982/

    Постановление Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»

    Постановление Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»

    Источник: http://minjust.ru/ru/node/122854

    Об утверждении перечня персональных данных

    ________________________________________________________________________________________________________

    ПРИКАЗ

    «___» __________ 201_ г.

    Об утверждении перечня персональных данных, обрабатываемых в ________

    На основании пункта 1 Перечня сведений конфиденциального характера, утверждённого Указом Президента Российской Федерации от 6 марта 1997 г. № 188 и пункта 1 статьи 3 Федерального закона от 27 июля 2006 г. № 152«О персональных данных», а также в соответствии с пунктом 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденным постановлением Правительства РФ от 21 марта 2012 г. № 211,

    п р и к а з ы в а ю:

    1. Утвердить перечень персональных данных, обрабатываемых в государственной информационной системе персональных данных «__________________________________________________» согласно Приложению № 1.
    2. Утвердить перечень персональных данных,обрабатываемых в информационной системе персональных данных «__________________________», согласно Приложению № 2.
    3. Утвердить перечень персональных данных, обрабатываемых в информационной системе персональных данных «_____________________», согласно Приложению № 3.
    4. Ответственному за организацию обработки персональных данных___________ обеспечить неизменность прилагаемых перечней.
    5. Ответственному за организацию обработки персональных данных_________ организовать доведение приказа до всех сотрудников __________, осуществляющих обработку персональных данных.
    6. Контроль за выполнением настоящего приказа оставляю за собой.
    7. Настоящий приказ вступает в силу с момента его подписания.

    Директор

    фамилия и инициалы

    Приложение № 1 к приказу от «__» _________ 201_ г.

    ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

    обрабатываемых в государственной информационной системе персональных данных «____________________________________»

    В связи с _____________________ обрабатываются следующие персональные данные.

    № п/п

    Наименование персональных данных

    Источник: http://itsec2012.ru/ob-utverzhdenii-perechnya-personalnyh-dannyh

    Перечень мер о персональных данных

    В современных условиях информационные технологии приобрели глобальный характер и стали неотъемлемой частью всех сфер деятельности личности, общества и государства. Систему государственного и муниципального управления уже невозможно представить в отрыве от современных средств обработки информации. Электронный документооборот, межведомственное электронное взаимодействие, предоставление государственных и муниципальных услуг в электронном виде широко представлены в деятельности органов государственной власти и местного самоуправления. В результате такого проникновения информационной сферы возникают все новые и новые информационные угрозы. Данный информационно-методический ресурс посвящен вопросам информационной безопасности и защиты информации в органах государственной власти и местного самоуправления, государственных и муниципальных учреждениях Воронежской области. Рассчитываем на то, что ресурс «Информационная безопасность Воронежской области» будет полезен как для специалистов в области информационной безопасности, так и для заинтересованных граждан.

    ЛЕНТА НОВОСТЕЙ

    Информационное сообщение ФСТЭК России от 20.01.2020 № 240/24/250 «О применении сертифицированных операционных Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в связи с прекращением их технической поддержки». Открыть

    Внесены изменения в документы, определяющие политику в отношении обработки персональных данных в правительстве Воронежской области, утвержденные постановлением правительства Воронежской области от 26.09.2017 № 748. Открыть

    Внесены изменения в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 № 17. Открыть

    Отделом информационной безопасности правительства области совместно с управление государственной службы и кадров правительства области доработаны Модельные квалификационные требования к знаниям и умениям и обязанности по защите информации сотрудников государственных органов Воронежской области, органов местного самоуправления Воронежской области и подведомственных им организаций и Модельные функции и задачи по защите информации государственных органов Воронежской области, органов местного самоуправления Воронежской области, подведомственных им организаций и их структурных подразделений. Доработанные материалы доступны в разделе ЗАКОНОДАТЕЛЬСТВО/Руководящие и методические документы.

    14 августа 2019 года в правительстве Воронежской области проведен семинар-совещание по вопросу соблюдения требований законодательства Российской Федерации в области персональных данных с участием представителей органов Роскомнадзора по Центральному федеральному округу.

    Источник: http://ib.govvrn.ru/wp-content/uploads/2016/12/prsnt.pdf

    Перечень мер о персональных данных

    Нормативные правовые акты в области персональных данных

    Директива Европейского Союза № 2002/58/ЕС «О приватности и электронных коммуникациях»

    Трудовой кодекс Российской Федерации от 30.12.2001 г. № 197-ФЗ — Глава 14 «Защита персональных данных работника»

    Федеральный закон от 19.12.2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»

    Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

    Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»

    Федеральный закон Российской Федерации от 25.07.2011 г. № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»

    Федеральный закон от 30.12.2015 г. № 439-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»

    Читайте так же:  Обжаловать постановление районного суда

    Федеральный закон от 21.07.2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»

    Указ Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»

    Указ Президента Российской Федерации от 30.05.2005 г. № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»

    Указ Президента Российской Федерации от 17.03.2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»

    Распоряжение Президента Российской Федерации от 10.07.2001 г. № 366-РП «О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных»

    Постановление Правительства Российской Федерации от 21.03.2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»

    Постановление Правительства Российской Федерации от 03.11.1994 г. № 1233 «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использования атомной энергии и уполномоченном органе по космической деятельности»

    Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

    Постановление Правительства Российской Федерации от 06.07.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

    Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

    Постановление Правительства РФ от 04.03.2010 г. № 125 «О перечне персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию»

    Приказ Роскомнадзора от 05.09.2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»

    Распоряжение Правительства Российской Федерации от 15.08.2007 г. № 1055-Р «О плане подготовки проектов нормативных актов, необходимых для реализации Федерального закона «О персональных данных»

    Приказ ФСБ России от 09.02.2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации. Положение ПКЗ 2005)»

    Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

    Приказ Минкомвязи России от 20.07.2017 г. № 373 «О признании утратившими силу приказов Министерства связи и массовых коммуникаций РФ» от 21 декабря 2011 №346, от 28 августа 2015 №315 и п.9 приказа Министерства связи и массовых коммуникаций РФ от 24 ноября 2014 №403

    Приказ Роскомнадзора от 30.05.2017 г. № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения»

    Приказ Роскомнадзора от 30.10. 2018 г. № 159 «О внесении изменений в М етодические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 мая 2017 года № 94»

    Постановление Правительства Российской Федерации от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»

    Время публикации: 20.01.2010 11:21
    Последнее изменение: 21.03.2019 06:31

    Источник: http://77.rkn.gov.ru/law/p4735/

    Практическое руководство по выполнению требований 152-ФЗ

    Каждая организация, обрабатывающая персональные данные (далее — Оператор), сталкивается с вопросом приведения своих информационных систем в соответствие с требованиями законодательства. Рассмотрим плюсы и минусы распространенных сценариев поведения Операторов и предложим альтернативный подход.

    Отношение Операторов персональных данных к требованиям законодательства разнообразно. Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся. Кто-то отдает вопросы защиты информации полностью на откуп сторонним организациям. Кто-то находит шаблонные комплекты организационно-распорядительных документов в общедоступных источниках, корректирует их, распечатывает и на этом останавливается. Каждый из этих подходов имеет свои недостатки.

    Бездействие Оператора не спасает его от плановых или внеплановых (например, организованных по жалобе субъекта ПДн) проверок контролирующих органов. На фоне новостей о постоянно растущих штрафах за нарушения требований обработки ПДн такой подход выглядит малопривлекательным.

    При полной передаче вопросов защиты информации на аутсорсинг появляется риск значительно переплатить. Это часто выливается в покупку дорогостоящих средств защиты информации с избыточной и не всегда востребованной функциональностью. Кроме того, созданная и внедренная система защиты без поддержки пользователей и администраторов Оператора в какой-то момент перестает быть актуальной. Ведь система защиты — это не только реализация технических мер и средств, а еще и организационные мероприятия, направленные на выработку сотрудниками Оператора норм и правил корректного отношения к защищаемой информации.

    Шаблонные комплекты из сети позволяют создать лишь видимость защиты информации, при этом информационные системы фактически остаются уязвимы и подвержены угрозам.

    Мы предлагаем синтетическую концепцию, когда уполномоченное лицо Оператора самостоятельно проходит определенные шаги построения системы защиты. А на этапе технической реализации системы защиты возможно привлечение специализированных организаций.

    Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации. Рассмотрим подход подробнее.

    Нормативная база

    Каждый оператор, приступая к работе, задается вопросом — с чего начать? Определимся с нормативной базой, на которую будем опираться.

    Мы рекомендуем начинать с идентификации систем, в которых осуществляется обработка ПДн, и их детального изучения. Дальнейшие действия будут зависеть от того, какая перед нами система.

    Разберем порядок действий на отдельно взятой информационной системе.

    ГИС или не ГИС

    Сначала необходимо понять, относится ли рассматриваемая система к государственным информационным системам (ГИС) или нет. От этого будет зависеть подход к защите. Как определить, ГИС перед нами или нет, описано в отдельной статье.

    Рекомендации для систем обработки ПДн далее по тексту будем называть «для ИСПДн», рекомендации для государственных систем — «для ГИС».

    Актуальные угрозы ИБ

    Необходимо определить, какие угрозы ИБ актуальны для рассматриваемой информационной системы. Определение актуальных угроз производится в соответствии с «Методикой определения актуальных угроз безопасности персональных данных». В общем случае алгоритм выглядит так:

    1. По совокупности ответов на ряд первичных вопросов делается вывод об исходной защищенности информационной системы.
    2. Формируется перечень рассматриваемых угроз на основании «Базовой модели угроз безопасности персональных данных» и Банка данных угроз безопасности информации (см. выше). Для каждой угрозы экспертным путем определяется вероятность реализации.
    3. На основании вероятности реализации и уровня исходной защищенности определяется коэффициент реализуемости для каждой угрозы.
    4. Для каждой угрозы экспертным путем определяется показатель опасности для ИС и Оператора.
    5. На основании показателей реализуемости и опасности делается вывод об актуальности для каждой угрозы. Формируется перечень актуальных угроз.
    Читайте так же:  Политика обработки персональных данных приказ

    Уровень защищенности ИСПДн

    Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:

    • связанные с наличием недекларированных возможностей в системном программном обеспечении;
    • связанные с наличием недекларированных возможностей в прикладном программном обеспечении;
    • не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении.

    Рассматриваем каждую угрозу в отдельности. Определяем, к какому максимальному типу они относятся.

    Следующим шагом необходимо определить категорию обрабатываемых данных. Существуют следующие категории персональных данных:

    В одной ИС могут обрабатываться несколько категорий персональных данных. Подробное определение категорий дано в № 152-ФЗ.

    Необходимо определить объем обрабатываемых ПДн. Здесь возможны 3 вариации:

    • до 100 тысяч;
    • более 100 тысяч;
    • ПДн сотрудников Оператора (без привязки по объему).

    На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119.

    Для Определения УЗ можно воспользоваться специальной таблицей:

    Класс ГИС

    Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013.

    Для этого определяются дополнительные к предыдущему разделу показатели:

    1. Масштаб ГИС. Может быть федеральным, региональным и объектовым. Критерии определения зафиксированы в приказе ФСТЭК №17.
    2. Уровень значимости информации — определяется степенью возможного ущерба Оператора от нарушения конфиденциальности, целостности или доступности информации. Имеет три значения по убыванию значимости — УЗ1, УЗ2, УЗ3. Определяется экспертным путем. Критерии определения зафиксированы в приказе ФСТЭК № 17.

    На основании уровня значимости и масштаба ИС делается вывод о классе ГИС.

    Базовый набор мер

    После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС.

    Видео (кликните для воспроизведения).

    Для ИСПДн требования формируются в соответствии с определенным уровнем защищенности на основании № 152-ФЗ, постановления Правительства № 1119, приказа ФСБ РФ № 378 и приказа ФСТЭК № 21.

    Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17.

    В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС. Назовем его базовый набор мер.

    Адаптированный набор мер

    Следующим шагом является анализ полученного базового набора мер и его актуализация. То есть удаление из него всех мер, несвойственных рассматриваемой информационной системе. Например, удаляем меру «Защита беспроводных сетей», если беспроводные технологии в ИС не применяются. В итоге получаем адаптированный базовый набор мер.

    Дополненный набор мер

    Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ. В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами. В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер. На выходе получаем дополненный адаптированный базовый набор мер.

    Система защиты информации

    В соответствии с полученным набором мер осуществляется выбор технических средств защиты или организационных мероприятий, направленных на выполнение мер. Происходит формирование проекта системы защиты информации.

    Для ИСПДн сертифицированные средства защиты информации применяются для закрытия актуальных угроз ИБ.

    Для ГИС применяются только сертифицированные средства защиты информации.

    Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты. Разрабатываются политики, положения, инструкции, которые внедряются в процессы обработки информации. Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации. На этом этапе привлекаются специализированные организации, оказывающие соответствующие услуги. При самостоятельном внедрении ознакомьтесь с типичными ошибками при построении СЗПДН.

    Контур-Безопасность: Разработка, внедрение и сопровождение систем защиты ПДн.

    Аттестация

    После введения системы защиты в эксплуатацию проводится оценка соответствия принятых мер требованиям законодательства.

    Для ИСПДн оценка соответствия в форме аттестации не обязательна. Достаточным является проведение испытаний на соответствие требованиям безопасности с выдачей заключения. Испытания могут быть проведены оператором как самостоятельно, так и с привлечением специализированных организаций.

    Для ГИС оценка соответствия в форме аттестации является обязательной процедурой. Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность.

    Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации.

    Что в итоге

    В результате данного подхода получаем систему защиты информации. Как видим, привлечение специализированных организаций происходит только на заключительных этапах. Данный подход позволяет сэкономить организациям значительные средства, так как основную часть работ они выполняют самостоятельно.

    Кроме того, последовательно выполняя шаги, уполномоченные лица Операторов напрямую участвуют в работе по защите ИС, что должно положительно сказаться на эффективности полученной системы защиты информации.

    А что потом?

    Система защиты информации внедрена и принята в эксплуатацию. Можно ли успокоиться и забыть о ней? Конечно нет. Мир информационных систем и технологий очень изменчив. Технологии развиваются и совершенствуются, изменяются информационные системы. Возможно, через какое-то время угрозы ИБ, которые не были актуальны при проектировании системы защиты, станут актуальны. Для поддержания системы защиты информации в рабочем состоянии рекомендуем проводить аудит информационной безопасности не реже одного раза в год, привлекая для этого специалистов — либо собственными силами.

    Удачи на пути создания собственной эффективной системы защиты информации.

    Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

    Источник: http://kontur.ru/articles/1763

    Меры по защите персональных данных

    Любое юридическое лицо в силу требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обязано принимать меры по защите персональных данных, при этом перечень таких мер оно вправе определять самостоятельно.

    Мероприятия по защите персональных данных можно разделить на две большие подгруппы: по внутренней и внешней защите персональных данных.

    К мерам по внутренней защите персональных данных относятся следующие действия:

    • ограничение числа работников (с регламентацией их должностей), которым открыт доступ к персональным данным. Кого может включать этот перечень? Абсолютно всех, кто имеет доступ к личным делам, т. е. сотрудников отделов кадров или ответственных за кадровое делопроизвод-
    ство, работников бухгалтерии, секретарей-делопроизводителей, специалистов, которые заключают договоры с физическими лицами, а также инженеров, программистов, юристов;

    • назначение ответственного лица, обеспечивающего исполнение организацией законодательства в рассматриваемой сфере;

    • утверждение перечня документов, содержащих персональные данные;

    • издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением;

    • ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами; проведение систематических проверок соответствующих знаний работников, обрабатывающих персональные данные, и соблюдения ими требований нормативных документов по защите конфиденциальных сведений. Следует иметь в виду, что все сотрудники, которые имеют доступ к персональным данным других людей, должны быть ознакомлены с особенностями законодательства в области защиты персональных данных;

    Читайте так же:  Участие адвоката в судебном разбирательстве

    • рациональное размещение рабочих мест для исключения несанкционированного использования защищаемой информации;

    • утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;

    • утверждение порядка уничтожения информации;

    • выявление и устранение нарушений требований по защите персональных данных;

    • проведение профилактической работы с сотрудниками по предупреждению разглашения ими персональных данных.

    Среди мер по внешней защите персональных данных следует выделить такие:

    • введение пропускного режима, порядка приема и учета посетителей;

    • внедрение технических средств охраны, программных средств защиты информации на электронных носителях и др.

    Несмотря на то что законом не установлены конкретные требования к количеству и содержанию локальных актов, принимаемых в организации по вопросам обработки и защиты персональных данных, практика реализации данного нормативного акта сформировала необходимый минимум документов, которые должны быть разработаны в компании:

    • общий документ, определяющий политику фирмы в отношении обработки персональных данных, например положение о персональных данных;

    • список лиц, обрабатывающих персональные данные;

    • приказ о назначении сотрудника, ответственного за организацию обработки персональных данных. Указанное лицо должно осуществлять внутренний контроль за соблюдением компанией и ее работниками законодательства о персональных данных, в том числе требований к их защите, доводить до сведения персонала положения законодательства о персональных данных, локальных актов по вопросам их обработки, а также требования к защите таких данных, организовывать прием и обработку обращений и запросов субъектов персональных данных и (или) контролировать прием и обработку таких обращений и запросов;

    • положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных. В данном положении рекомендуется прописать конкретные меры по защите персональных данных (введение пропускного режима, применение программных средств защиты информации – паролей, антивирусных программ, хранение персональных данных обособленно от других сведений, на отдельных материальных носителях и в специально оборудованных помещениях с ограниченным доступом и т. д.);

    • локальный акт, устанавливающий процедуры,направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений. Так, в компании могут быть разработаны план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, вестись журнал антивирусных проверок и контроля работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных.

    Какие контрольные органы вправе затребовать персональные данные

    Суды и другие правоохранительные органы могут беспрепятственно получать от компаний персональные данные сотрудников, клиентов или контрагентов без согласия последних. Но ответ на вопрос о том, имеют ли аналогичные права другие контролирующие структуры и какие именно, приходится искать не только в законах, но и в судебной практике.

    Сколько хранить?

    Режим конфиденциальности персональных данных снимается в случаях их обезличивания или по истечении 75-летнего срока их хранения, если иное не определено законом.

    Согласно ФЗ-152, персональные данные должны быть уничтожены оператором по достижении цели их обработки. А, например, первичные документы по кадровому учету и заработной плате необходимо хранить в течение 75 лет. Но они должны находиться в архиве, а ФЗ-152 на архив не распространяется в соответствии с законом об архиве. Таким образом, после сдачи документов в архив организация уже не может хранить эти сведения у себя.

    Что касается больничных листов, то это касается субъекта. К примеру, если работник уволился, заново никуда устроиться не успел и заболел, то больничный рассчитывается ему на основании дохода по последнему месту работы. А в организации в соответствии с налоговым законодательством обязаны хранить все финансовые документы за пять прошедших лет для налоговой проверки. Причем отсчет срока хранения ведется от начала нового финансового года или даты передачи дела в архив, а это тоже обычно происходит в конце года. И кстати, до пяти лет допускается хранение документов в организации, без передачи их в архив.

    Источник: http://xn--l1aks.78.xn--b1aew.xn--p1ai/%D0%BF%D0%B0%D1%86%D0%B8%D0%B5%D0%BD%D1%82%D0%B0%D0%BC/%D0%BC%D0%B5%D1%80%D1%8B-%D0%BF%D0%BE-%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B5-%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85-%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85

    Перечень мер о персональных данных

    Типичные ошибки при заполнении уведомления

    Проблемные вопросы и часто допускаемые ошибки

    при заполнении уведомлений (информационных писем).

    Дополнительные разъяснения для практического применения

    Чтобы не пропустить поля, обязательные для заполнения, заполняйте уведомление (информационное письмо) с помощью портала персональных данных .

    Предварительно рекомендуем ознакомиться с примерами для заполнения уведомления – Как заполнить уведомление .

    Разница между уведомлением и информационным письмом заключается в том, что в информационном письме обязательными для заполнения являются поля:

    — «Сокращенное наименование оператора»,

    — «Адрес оператора» (адрес местонахождения и почтовый адрес),

    Далее заполняются лишь те поля, в содержание которых вносятся изменения. При этом поля необходимо заполнять ПОЛНОСТЬЮ, то есть информация не ДОБАВЛЯЕТСЯ в поле, а содержание поля в реестре ЗАМЕНЯЕТСЯ на новое.

    Ошибка 1. Документ оформлен не на бланке организации

    Правильно: Уведомление должно быть оформлено на бланке оператора или заверено печатью организации (на подписи руководителя или уполномоченного лица). По правилам делопроизводства, документ должен быть зарегистрирован и иметь исходящий номер и дату.

    Ошибка 2. В поле «Наименование (фамилия, имя, отчество), адрес оператора»

    Не указывается или не полно указывается адрес оператора (отсутствует почтовый индекс, муниципальный район (для организаций районов области), улица, номер дома, корпус – если имеются).

    Наименования организации в уведомлении не соответствует указанному на бланке и (или) печати, сведениям в ЕГРЮЛ.

    Правильно: Почтовый адрес – это адрес, по которому организация (ИП, физическое лицо) зарегистрирована в ЕГРЮЛ (ЕГРИП, адрес по прописке), адрес местонахождения – это адрес, по которому фактически осуществляется деятельность.

    Затруднения в заполнении поля «Филиалы»

    Имеются в виду отделения, корпуса учреждения, другие территориально обособленные отделы, магазины и иные подразделения, филиалы, имеющие отношение к Оператору и входящие в его состав.

    Затруднения в заполнении поля «Правовое основание обработки персональных данных»

    Не указываются соответствующие статьи, дата принятия и номер закона или иного нормативно-правового акта, регулирующего осуществляемый вид деятельности и касающегося обработки персональных данных.

    Часто операторы указывают только Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных» (далее – Закон). Закон не дает правовых оснований операторам для обработки персональных данных. Законом регулируются отношения, связанные с обработкой персональных данных.

    Правильно: Необходимо указать все отраслевые нормативно-правовые акты, которыми руководствуется Оператор, обрабатывая персональные данные с указанием реквизитов: дата, номер и название.

    Устав ООО ____ от ___ №, Положение об ______ от ____ № ____, лицензия на ___ от ____ № _____ и т. д. (см. примеры для заполнения).

    Кроме того, в данном поле необходимо указать локальные акты, принятые Оператором в соответствии с законодательством о персональных данных – это Положение об обработке персональных данных ООО (ИП, физ. Лицо) _____ от _____ № _____, а также приказы, инструкции и др.

    Читайте так же:  Полис гражданской ответственности перед соседями

    Затруднения в заполнении поля «Цель обработки персональных данных»

    Необходимо обратиться к уставу организации, а также не забывать, что каждое юридическое лицо в обязательном порядке осуществляет бухгалтерский и кадровый учет, в рамках которого обрабатываются персональные данные работников, а также членов их семьи (в личных делах хранятся копии свидетельств о рождении детей, свидетельств о браке, справки с места учебы ребенка и пр.).

    ИП представляют отчеты в налоговые органы, пенсионный фонд и пр., для них может иметь место формулировка «подача отчетности в федеральные органы исполнительной власти».

    — «осуществление полномочий органа власти по ….»

    — «выполнение государственных функций по ….»

    — «оказание государственных (муниципальных) услуг по …»

    — «оказание (предоставление) услуг по ….»

    — «выполнение работ по ….»

    Ошибка 3. В поле «Категории персональных данных»

    Указываются персональные данные конкретных физических лиц – работников, клиентов, абонентов и др.; используются фразы и др.», «и т.п.», «другая информация», «анкетные данные».

    Перечень категорий персональных данных должен быть полный и исчерпывающий, сокращения недопустимы.

    Информация, относящаяся к физическому лицу, то есть, документы: паспорт, водительские права, удостоверение, свидетельство о рождении, военный билет, документ об образовании и пр., принадлежащие физическому лицу, не могут быть категориями персональных данных. Они являются материальными носителями персональных данных.

    Правильно: указывать конкретно, например: фамилия, имя, отчество, дата рождения, место рождение, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни.

    При заполнении поля для начала необходимо перечислить категории персональных данных, заполняемые в форме кадрового учета Т2, затем добавить другие категории, обрабатываемые в организации в рамках иных видов деятельности.

    После того, как предложенные системой позиции в поле «Категории персональных данных» закончились (если уведомление или информационное письмо заполняется на портале персональных данных), а категории персональных данных еще остались (например, данные документа, удостоверяющего личность; ИНН; СНИЛС и пр.), необходимо перейти к заполнению поля «Другие категории персональных данных», где эти категории и перечислить (указать).

    Ошибка 4. В поле «Категории субъектов, персональные данные которых обрабатываются».

    Указываются не все категории субъектов персональных данных, применяются фразы «и др.», «и т.п.», «другая информация», упоминаются сторонние юридические лица.

    Если есть работники, работающие по договору, то к ним справедлива формулировка «физические лица, состоящие в иных договорных отношениях»

    Категория «члены семьи работника» указывается, если например в бухгалтерии хранятся справки с места учебы ребенка, копии свидетельств о рождении, свидетельств о браке; в отделе кадров хранятся анкеты, содержащие информацию о супругах, родителях, детях, иных родственниках работника и другие документы, содержащие персональные данные членов семьи.

    Затруднения в заполнении поля «Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных»

    Из перечня действий, указанных в требованиях ч. 3 ст. 3 Федерального Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», необходимо выбрать только те действия, которые оператор непосредственно совершает с персональными данными.

    У подавляющего большинства операторов это как минимум — сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача, уничтожение.

    Ошибка 5. В поле «Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»»

    Копируется текст, приведенный в примерах для заполнения.

    Правильно: проанализировать предложенное в примере, и если применять какие-либо слова, то только те, которые относятся к деятельности Оператора.

    Подраздел «средства обеспечения безопасности» — это технические меры по обеспечению безопасности персональных данных при их обработке. Содержание подраздела «правовые меры» может быть отнесено как в Поле «Правовое основание обработки персональных данных», так и находиться здесь (либо там, либо тут, дублировать не нужно).

    Необходимо указать конкретные организационные и технические меры, в том числе использование шифровальных (криптографических) средств, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.

    Если используется электронная цифровая подпись (ЭЦП), необходимо заполнить раздел «использование шифровальных (криптографических) средств», где обязательно указать наименование, регистрационные номера и производителей используемых криптографических средств (ЭЦП), а также сведения об уровнях защиты (см. Методические рекомендации по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденные руководством 8 Центра Федеральной службы безопасности Российской Федерации 21.02.2008 года № 149/5-144).

    Если проведена классификация информационных систем персональных данных, то необходимо в уведомлении так же указать к какому классу они относятся (см. Приказ от 13.02.2008 №55, №86, №20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»)

    К техническим мерам можно отнести:

    1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

    2) применение технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

    3) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

    4) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

    5) учет машинных носителей персональных данных;

    6) обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;

    7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

    8) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

    9) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

    Затруднения в заполнении поля «Дата начала обработки персональных данных»

    Фактически это дата, которая указана в свидетельстве ИНН.

    Ошибка 6. Уведомление подписано неуполномоченным лицом

    Уполномоченным лицом является:

    — единоличный исполнительный орган, действующий на основании устава (генеральный директор, директор, президент, управляющий);

    — руководитель или начальник, действующий на основании положения;

    — представитель юридического лица, действующий на основании доверенности, в которой содержится соответствующее полномочие. В этом случае к уведомлению необходимо приложить документ, подтверждающий полномочия лица на подписание документов.

    Ошибка 7. Не указан исполнитель, контактная информация исполнителя

    Поле необходимо заполнить для обратной связи с исполнителем документа.

    Время публикации: 22.07.2013 15:24
    Последнее изменение: 25.07.2013 12:47

    © 2009-2020, Версия 2.15.18

    Официальный интернет-ресурс Федеральной службы по надзору

    в сфере связи, информационных технологий и массовых коммуникаций

    Видео (кликните для воспроизведения).

    Источник: http://32.rkn.gov.ru/personal-data/p13325/

    Перечень мер о персональных данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here