Технические средства обработки персональных данных

Предлагаем ознакомиться с тематической статьей, в которой полностью освящен вопрос: технические средства обработки персональных данных. Если после прочтения останутся дополнительные вопросы или уточнения, то обратитесь к дежурному юристу.

Практическое руководство по выполнению требований 152-ФЗ

Каждая организация, обрабатывающая персональные данные (далее — Оператор), сталкивается с вопросом приведения своих информационных систем в соответствие с требованиями законодательства. Рассмотрим плюсы и минусы распространенных сценариев поведения Операторов и предложим альтернативный подход.

Отношение Операторов персональных данных к требованиям законодательства разнообразно. Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся. Кто-то отдает вопросы защиты информации полностью на откуп сторонним организациям. Кто-то находит шаблонные комплекты организационно-распорядительных документов в общедоступных источниках, корректирует их, распечатывает и на этом останавливается. Каждый из этих подходов имеет свои недостатки.

Бездействие Оператора не спасает его от плановых или внеплановых (например, организованных по жалобе субъекта ПДн) проверок контролирующих органов. На фоне новостей о постоянно растущих штрафах за нарушения требований обработки ПДн такой подход выглядит малопривлекательным.

При полной передаче вопросов защиты информации на аутсорсинг появляется риск значительно переплатить. Это часто выливается в покупку дорогостоящих средств защиты информации с избыточной и не всегда востребованной функциональностью. Кроме того, созданная и внедренная система защиты без поддержки пользователей и администраторов Оператора в какой-то момент перестает быть актуальной. Ведь система защиты — это не только реализация технических мер и средств, а еще и организационные мероприятия, направленные на выработку сотрудниками Оператора норм и правил корректного отношения к защищаемой информации.

Шаблонные комплекты из сети позволяют создать лишь видимость защиты информации, при этом информационные системы фактически остаются уязвимы и подвержены угрозам.

Мы предлагаем синтетическую концепцию, когда уполномоченное лицо Оператора самостоятельно проходит определенные шаги построения системы защиты. А на этапе технической реализации системы защиты возможно привлечение специализированных организаций.

Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации. Рассмотрим подход подробнее.

Нормативная база

Каждый оператор, приступая к работе, задается вопросом — с чего начать? Определимся с нормативной базой, на которую будем опираться.

Мы рекомендуем начинать с идентификации систем, в которых осуществляется обработка ПДн, и их детального изучения. Дальнейшие действия будут зависеть от того, какая перед нами система.

Разберем порядок действий на отдельно взятой информационной системе.

ГИС или не ГИС

Сначала необходимо понять, относится ли рассматриваемая система к государственным информационным системам (ГИС) или нет. От этого будет зависеть подход к защите. Как определить, ГИС перед нами или нет, описано в отдельной статье.

Рекомендации для систем обработки ПДн далее по тексту будем называть «для ИСПДн», рекомендации для государственных систем — «для ГИС».

Актуальные угрозы ИБ

Необходимо определить, какие угрозы ИБ актуальны для рассматриваемой информационной системы. Определение актуальных угроз производится в соответствии с «Методикой определения актуальных угроз безопасности персональных данных». В общем случае алгоритм выглядит так:

  1. По совокупности ответов на ряд первичных вопросов делается вывод об исходной защищенности информационной системы.
  2. Формируется перечень рассматриваемых угроз на основании «Базовой модели угроз безопасности персональных данных» и Банка данных угроз безопасности информации (см. выше). Для каждой угрозы экспертным путем определяется вероятность реализации.
  3. На основании вероятности реализации и уровня исходной защищенности определяется коэффициент реализуемости для каждой угрозы.
  4. Для каждой угрозы экспертным путем определяется показатель опасности для ИС и Оператора.
  5. На основании показателей реализуемости и опасности делается вывод об актуальности для каждой угрозы. Формируется перечень актуальных угроз.

Уровень защищенности ИСПДн

Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:

  • связанные с наличием недекларированных возможностей в системном программном обеспечении;
  • связанные с наличием недекларированных возможностей в прикладном программном обеспечении;
  • не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении.

Рассматриваем каждую угрозу в отдельности. Определяем, к какому максимальному типу они относятся.

Следующим шагом необходимо определить категорию обрабатываемых данных. Существуют следующие категории персональных данных:

В одной ИС могут обрабатываться несколько категорий персональных данных. Подробное определение категорий дано в № 152-ФЗ.

Необходимо определить объем обрабатываемых ПДн. Здесь возможны 3 вариации:

  • до 100 тысяч;
  • более 100 тысяч;
  • ПДн сотрудников Оператора (без привязки по объему).

На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119.

Для Определения УЗ можно воспользоваться специальной таблицей:

Класс ГИС

Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013.

Для этого определяются дополнительные к предыдущему разделу показатели:

  1. Масштаб ГИС. Может быть федеральным, региональным и объектовым. Критерии определения зафиксированы в приказе ФСТЭК №17.
  2. Уровень значимости информации — определяется степенью возможного ущерба Оператора от нарушения конфиденциальности, целостности или доступности информации. Имеет три значения по убыванию значимости — УЗ1, УЗ2, УЗ3. Определяется экспертным путем. Критерии определения зафиксированы в приказе ФСТЭК № 17.

На основании уровня значимости и масштаба ИС делается вывод о классе ГИС.

Базовый набор мер

После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС.

Для ИСПДн требования формируются в соответствии с определенным уровнем защищенности на основании № 152-ФЗ, постановления Правительства № 1119, приказа ФСБ РФ № 378 и приказа ФСТЭК № 21.

Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17.

В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС. Назовем его базовый набор мер.

Адаптированный набор мер

Следующим шагом является анализ полученного базового набора мер и его актуализация. То есть удаление из него всех мер, несвойственных рассматриваемой информационной системе. Например, удаляем меру «Защита беспроводных сетей», если беспроводные технологии в ИС не применяются. В итоге получаем адаптированный базовый набор мер.

Дополненный набор мер

Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ. В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами. В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер. На выходе получаем дополненный адаптированный базовый набор мер.

Система защиты информации

В соответствии с полученным набором мер осуществляется выбор технических средств защиты или организационных мероприятий, направленных на выполнение мер. Происходит формирование проекта системы защиты информации.

Читайте так же:  Некоммерческое партнерство мир

Для ИСПДн сертифицированные средства защиты информации применяются для закрытия актуальных угроз ИБ.

Для ГИС применяются только сертифицированные средства защиты информации.

Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты. Разрабатываются политики, положения, инструкции, которые внедряются в процессы обработки информации. Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации. На этом этапе привлекаются специализированные организации, оказывающие соответствующие услуги. При самостоятельном внедрении ознакомьтесь с типичными ошибками при построении СЗПДН.

Контур-Безопасность: Разработка, внедрение и сопровождение систем защиты ПДн.

Аттестация

После введения системы защиты в эксплуатацию проводится оценка соответствия принятых мер требованиям законодательства.

Для ИСПДн оценка соответствия в форме аттестации не обязательна. Достаточным является проведение испытаний на соответствие требованиям безопасности с выдачей заключения. Испытания могут быть проведены оператором как самостоятельно, так и с привлечением специализированных организаций.

Для ГИС оценка соответствия в форме аттестации является обязательной процедурой. Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность.

Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации.

Что в итоге

В результате данного подхода получаем систему защиты информации. Как видим, привлечение специализированных организаций происходит только на заключительных этапах. Данный подход позволяет сэкономить организациям значительные средства, так как основную часть работ они выполняют самостоятельно.

Кроме того, последовательно выполняя шаги, уполномоченные лица Операторов напрямую участвуют в работе по защите ИС, что должно положительно сказаться на эффективности полученной системы защиты информации.

А что потом?

Система защиты информации внедрена и принята в эксплуатацию. Можно ли успокоиться и забыть о ней? Конечно нет. Мир информационных систем и технологий очень изменчив. Технологии развиваются и совершенствуются, изменяются информационные системы. Возможно, через какое-то время угрозы ИБ, которые не были актуальны при проектировании системы защиты, станут актуальны. Для поддержания системы защиты информации в рабочем состоянии рекомендуем проводить аудит информационной безопасности не реже одного раза в год, привлекая для этого специалистов — либо собственными силами.

Удачи на пути создания собственной эффективной системы защиты информации.

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Источник: http://kontur.ru/articles/1763

Технические средства для обработки персональных данных

«. Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах. «

Постановление Правительства РФ от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Официальная терминология . Академик.ру . 2012 .

Смотреть что такое «Технические средства для обработки персональных данных» в других словарях:

Технические средства — 3.2 Технические средства систем автоматизации, комплекс технических средств (КТС) совокупность устройств (изделий), обеспечивающих получение, ввод, подготовку, преобразование, обработку, хранение, регистрацию, вывод, отображение, использование и… … Словарь-справочник терминов нормативно-технической документации

Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка) — Терминология Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка): Автоматизированная система система, состоящая из персонала и комплекса средств автоматизации его… … Словарь-справочник терминов нормативно-технической документации

Оператор персональных данных — (согласно закону РФ «О персональных данных») государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки… … Википедия

вспомогательные технические средства — 3.17 вспомогательные технические средства: Устройства для сборки, транспортировки, ввода в эксплуатацию, эксплуатации и демонтажа машины. К ним принадлежат рукоятки, клинья, колеса, крючья, рычажные приспособления, ленточные транспортеры, краны,… … Словарь-справочник терминов нормативно-технической документации

Вспомогательные технические средства и системы при обработке персональных данных — Вспомогательные технические средства и системы технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для… … Официальная терминология

Вспомогательные технические средства и системы — технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных, или в помещениях, в… … Словарь-справочник терминов нормативно-технической документации

Защита персональных данных — комплекс мероприятий технического, организационного и организационно технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных… … Википедия

Технические — 19. Технические указания по технологии производства строительных и монтажных работ при электрификации железных дорог (устройства электроснабжения). М.: Оргтрансстрой, 1966. Источник: ВСН 13 77: Инструкция по монтажу контактных сетей промышленного … Словарь-справочник терминов нормативно-технической документации

средства — 3.17 средства [индивидуальной, коллективной] защиты работников: Технические средства, используемые для предотвращения или уменьшения воздействия на работников вредных или опасных производственных факторов, а также для защиты от загрязнения [2].… … Словарь-справочник терминов нормативно-технической документации

средства вычислительной техники — 3.32 средства вычислительной техники; СВТ: Совокупность математических и технических средств, методов и приемов, которые используются для облегчения и ускорения решения трудоемких задач, связанных с обработкой информации. Источник: ГОСТ Р 54958… … Словарь-справочник терминов нормативно-технической документации

Источник: http://official.academic.ru/26414/%D0%A2%D0%B5%D1%85%D0%BD%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B5_%D1%81%D1%80%D0%B5%D0%B4%D1%81%D1%82%D0%B2%D0%B0_%D0%B4%D0%BB%D1%8F_%D0%BE%D0%B1%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%BA%D0%B8_%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85

Технические средства обработки персональных данных

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

от 18 февраля 2013 года N 21

Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

(с изменениями на 23 марта 2017 года)

____________________________________________________________________
Документ с изменениями, внесенными:
приказом ФСТЭК России от 23 марта 2017 года N 49 (Официальный интернет-портал правовой информации www.pravo.gov.ru, 26.04.2017, N 0001201704260010).
____________________________________________________________________

Читайте так же:  Сроки действия доверенностей на представление интересов

В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст.3451; 2009, N 48, ст.5716; N 52, ст.6439; 2010, N 27, ст.3407; N 31, ст.4173, ст.4196; N 49, ст.6409; 2011, N 23, ст.3263; N 31, ст.4701) и Положением о Федеральной службе по техническому и экспортному контролю, утвержденным Указом Президента Российской Федерации от 16 августа 2004 года N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст.3541; 2006, N 49, ст.5192; 2008, N 43, ст.4921; N 47, ст.5431; 2012, N 7, ст.818),

приказываю:

1. Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Директор
Федеральной службы по
техническому и
экспортному контролю
В.Селин

Зарегистрировано
в Министерстве юстиции
Российской Федерации
14 мая 2013 года,
регистрационный N 28375

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

(с изменениями на 23 марта 2017 года)

I. Общие положения

Видео (кликните для воспроизведения).

1. Настоящий документ разработан в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст.3451; 2009, N 48, ст.5716; N 52, ст.6439; 2010, N 27, ст.3407; N 31, ст.4173, ст.4196; N 49, ст.6409; 2011, N 23, ст.3263; N 31, ст.4701) и устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее — меры по обеспечению безопасности персональных данных) для каждого из уровней защищенности персональных данных, установленных в Требованиях к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст.6257).

Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

В настоящем документе не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.

2. Безопасность персональных данных при их обработке в информационной системе персональных данных (далее — информационная система) обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации.

Для выполнения работ по обеспечению безопасности персональных данных при их обработке в информационной системе в соответствии с законодательством Российской Федерации могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации.

3. Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119, и должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных.

4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

6*. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.
_______________
* Нумерация соответствует оригиналу. — Примечание изготовителя базы данных.

7. Меры по обеспечению безопасности персональных данных при их обработке в государственных информационных системах принимаются в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах своих полномочий в соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст.3448; 2010, N 31, ст.4196; 2011, N 15, ст.2038; N 30, ст.4600; 2012, N 31, ст.4328).

II. Состав и содержание мер по обеспечению безопасности персональных данных

8.1. Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).

8.2. Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.

8.3. Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения.

8.4. Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.

8.5. Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.

8.6. Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.

8.7. Меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия.

Читайте так же:  Как заверить доверенность на работе для почты

8.8. Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.

8.9. Меры по обеспечению целостности информационной системы и персональных данных должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных.

8.10. Меры по обеспечению доступности персональных данных должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы.

8.11. Меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.

8.12. Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее — средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей.

8.13. Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.

8.14. Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.

8.15. Меры по управлению конфигурацией информационной системы и системы защиты персональных данных должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.

10. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.

В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных.

11. В случае определения в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119, в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению безопасности персональных данных, указанным в пункте 8 настоящего документа, могут применяться следующие меры:

проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых;

тестирование информационной системы на проникновения;

использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.

13. При использовании в информационных системах новых информационных технологий и выявлении дополнительных угроз безопасности персональных данных, для которых не определены меры обеспечения их безопасности, должны разрабатываться компенсирующие меры в соответствии с пунктом 10 настоящего документа.

Приложение. Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных

Условное обозначение и номер меры

Содержание мер по обеспечению безопасности персональных данных

Источник: http://docs.cntd.ru/document/499005278

Пусть меня научат. Обработка персональных данных без использования средств автоматизации

Персональные данные – это категория информации, принадлежащая гражданам страны. В связи с тем, что персональные сведения должны оставаться конфиденциальными, закон налагает на операторов ПДн ряд обязательств, в том числе при обработке персональных данных осуществляемой без использования средств автоматизации. В материале мы дадим исчерпывающую характеристику обработке ПДн неавтоматизированного типа, поговорим об особенностях таких операций и предоставим пошаговую инструкцию реализации вышеуказанного процесса.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 (499) 938-47-92 . Это быстро и бесплатно !

Что такое?

Неавтоматизированные методы

Аппараты, устройства, используемые для работы со сведениями персонального характера с участием человека называются неавтоматизированными. Они призваны обеспечить работу с информацией, ее хранение, уточнение, извлечение или уничтожение, при этом, не могут служить инструментами компьютеризации данных и не позволяют работать с большими массивами информации – операция со сведениями каждого субъекта ПД проводится отдельно и вручную оператором.

Учет личной информации такими способами

Определение обработки ПДн неавтоматизированного типа находим в Постановлении Правительства РФ от 15 сентября 2008 года № 678 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования инструментов автоматизации» (а о том, что такое автоматизированная обработка персональных данных, читайте тут). В документе указано, под ручной работой с ведомостями подразумевается один из процессов, например, использование, уточнение, распространение, обезличивание или уничтожение информации при непосредственном участии человека.

В этом же постановлении находим следующее уточнение: процесс не признается автоматизированным только на основании того, что сведения (ПДн) содержатся или извлекаются из информационной системы.

На практике у операторов ПД довольно часто возникают проблемы с тем, к какому виду отнести ту или иную операцию с информацией. Ведь компьютеры – авто-инструменты – используются практически постоянно, ими оснащены рабочие места. При этом, использовать такую технику можно по разному – иногда человек контролирует каждую операцию, а иногда вычислительная аппаратура справляется сама. Своеобразную точку в этом деле можно поставить, вернувшись к Постановлению правительства №678.

Читайте так же:  Лицо виновное в нарушении права

Что это означает на практике?

Если оператор ПД берет папку с персональными сведениями и удаляет ее с компьютера – это автоматизированная обработка. Если оператор заполняет с помощью клавиатуры формуляр для каждого клиента-субъекта ПДн – это неавтоматизированная работа. Споры возникает относительно хранения сведений в компьютере – ведущую роль здесь играет формат хранения – групповой, предусматривающий авто-операции, или индивидуальный – для обработки каждого документа отдельно от остальных.

Нюансы

Следует отметить, что особенности неавтоматической обработки указаны в Постановлении российского Правительства № 678.

Они охватывают нормативы, определяющие, как сведения должны храниться, использоваться и обрабатываться.

  • Обособление. ПД необходимо хранить отдельно от иных ведомостей, это можно реализовать при помощи фиксации данных на отдельных материальных носителях, в специальных разделах. Если персональные сведения собирались с разными целями обработки и заведомо несовместимы, следует для каждой категории данных использовать свой материальный носитель.
  • Информирование сотрудников. Лица, на которых возлагается функция работы с ПДн, должны быть проинформированы о том, с какой информацией они столкнулись (речь идет о категории информации, особенностях и правилах обработки, установленных государством или локальными актами).
  • Оформление материального носителя. Допускается использование типовых форм, формуляров и бланков, однако при выполнении следующих условий:
  1. Указание сведений о цели обработки, наименования оператора, адреса компании, ФИО и адреса субъекта ПДн, источника получения ведомостей, сроках обработки. Кроме этого, форма должна содержать перечень действий, планируемых к осуществлению с данными и общее описание способов, используемых при работе с информацией.
  2. Наличие поля, предназначенного для отметки субъекта ПД о своем согласии на предоставление сведений конфиденциального характера оператору.
  3. Реализация возможности ознакомления субъекта ПД со своими персональными данными, при этом, важно, чтобы у такого субъекта не было доступа к ПДн других граждан.
  4. Отсутствие объединенных полей для данных, собранных с разными целями.
  • Ведение журнала с ПД. Если оператору необходимо вести журнал ПДн для организации однократных пропусков субъектов на свою территорию, следует выполнять определенные условия:
    1. разработать акт, в котором указать цели, способы, сроки работы с ПДн и перечень людей, имеющих к нему доступ;
    2. заносить данные не более одного раза при оформлении одного пропуска;
    3. не копировать их.
  • Использование части ПД на материальном носителе. Не допускается распространение материального носителя, если планируется использовать только часть сведений. В таком случае закон требует от оператора скопировать нужную часть, и обеспечить конфиденциальность другой половины ведомостей.
  • Пошаговая инструкция

    Разработка нормативного акта, регулирующего процесс обработки ПД.

    1. Назначение ответственных за работу с информацией лиц.
    2. Информирование ответственных лиц о факте обработки ими конфиденциальной информации, их обязанностях, функциях и запрещенных действиях.
    3. Разработка помещения для хранения конфиденциальных данных, журнала (при необходимости), бланков, специальных форм или материальных носителей.
    4. Взятие у субъектов ПД разрешения на обработку информации.
    5. Фиксация данных на материальном носителе (при этом, важно обеспечить выполнение норматив относительно хранения таких данных – чтобы конфиденциальные сведения хранились отдельно от информации, собранной с иными целями).
    6. Обработка данных.
    7. Уничтожение или обезличивание сведений после завершения работы с данными.

    Особенности положения ПДн

    В обязательном порядке в документ по ПД включаются следующие разделы:

    Как видите, для определения порядка обработки сведений конфиденциального характера вручную в России было принято специальное постановление правительства. В нем указано, в каких случаях обработку следует считать неавтоматизированной, и как работать с материальными носителями информации.

    Перед началом обработки сведений необходимо разработать нормативный акт, проконсультировать работников и позаботиться о том, чтобы материальный носитель отвечал основным требованиям, прописанным в современном законодательстве.

    Не нашли ответа на свой вопрос? Узнайте, как решить именно Вашу проблему — позвоните прямо сейчас:

    +7 (499) 938-47-92 (Москва)
    Это быстро и бесплатно !

    Источник: http://101million.com/personal/priem-na-rabotu/konfidentsialnaya-informatsiya/personalnye-dannye/obrabotka/bez-ispolzovaniya-avtomatizatsii.html

    Особенности защиты персональных данных

    Защита персональных данных
    с помощью DLP-системы

    З акон «О персональных данных» № 152-ФЗ от 27.07.2006 года регулирует отношения государства, физических и юридических лиц в области сбора, хранения, обработки и защиты персональных данных (ПД) с помощью средств автоматизации или без них. Цель закона состоит в защите прав граждан по сохранению тайны их личной жизни. Любая организация, собирающая и обрабатывающая ПД, является оператором ПД.

    Работа оператора с ПД сотрудников и других физических лиц

    Для эффективной работы каждой организации-оператора всегда требуется определять набор персональных данных граждан, работников, клиентов, посетителей. Эти сведения постоянно собираются у субъектов персональных данных или выбираются из иных законных источников. При этом оператор должен уведомить субъекта о целях сбора информации о нем и получить его письменное согласие на сбор.

    Обработка персональной информации граждан является законной в следующих случаях:

    • если получено письменное разрешение лица на обрабатывание его личных данных;
    • если это необходимо для надлежащего исполнения оператором своих функций;
    • для осуществления правосудия;
    • для получения государственной услуги;
    • с целью оформления и исполнения договора;
    • для защиты жизни и здоровья физлица;
    • с целью реализации легитимных требований операторов или их клиентов, в случае ненарушения прав субъектов ПД;
    • профессиональной работы журналистов, СМИ при соблюдении законных прав субъекта этой информации;
    • статистических и других исследований, с обязательным соблюдением условия по обезличиванию собранной информации;
    • если ПД стали общедоступными благодаря самому субъекту;
    • когда ПД подлежат публикации или непременному открытию ввиду требований закона.

    Долгом оператора является обеспечение конфиденциальности личной информации, если другое не предусмотрено законом.

    Принципы и условия обрабатывания оператором личных данных

    1. Обрабатывание ПД реализовывается на законной основе.
    2. Должны быть определены точные цели обрабатывания личных данных и перечисление необходимых данных для реализации этих целей.
    3. Для каждой цели или совместимой группы целей нужно создавать отдельную базу данных (БД). Объединять базы данных, если их цели несовместимы, недопустимо.
    4. ПД должны быть точными, полными и актуальными для данных целей.
    5. Когда эти данные больше не нужны, они уничтожаются операторами в течение пяти лет или отдаются в архив, если это предусмотрено законом.

    Обязанности оператора

    • Зарегистрироваться в Реестре операторов персональных данных Роскомнадзора, заявив о целях собирания и обрабатывания ПД.
    • Получить письменное разрешение субъекта на обрабатывание его персональной информации, если другое не предусмотрено законом.
    • Обеспечить должную защиту обрабатываемых и хранимых ПД.
    • Давать ответ на запрос субъекта о составе его персональных данных в предусмотренный законом срок.
    • Уничтожать ПД или передавать в архив в течение пяти лет, если надобность в них исчезла.
    • Информировать субъекта о причине отказа от предоставления персональных данных.
    Читайте так же:  Цель судебно бухгалтерской экспертизы

    Особенности работы с ПД при оформлении личных дел работников предприятия

    Порядок оформления личных дел сотрудников действующим законодательством не нормирован. Работодатель имеет право на хранение в личном деле сотрудников копии его документов, если соблюдены такие условия:

    • службой кадров принято согласие от сотрудника на хранение и обработку его персональных данных;
    • персональные данные обрабатываются в целях лучшей организации производства, соблюдения требований нормативных актов, помощи работникам при трудоустройстве, определения уровня их специальных знаний, повышения квалификации, обеспечения надлежащей сохранности персональных данных;
    • объем ПД не избыточен для должной работы данного учреждения.

    Обработка ПД, которые не предусмотрены законодательством, сбор нецелевых личных данных, работа с персональными данными без письменного согласия гражданина влекут за собой предупреждение проверяющих органов или штраф.

    Применение фотографий зачислено в категорию обрабатывания биометрических ПД, поэтому на такие действия нужно письменное согласие субъекта персональных данных.

    Порядок оформления личного дела и возможный состав персональных данных:

    • содержание личного дела;
    • заявление о приеме на работу;
    • приказ о приеме на работу;
    • анкета;
    • автобиография и резюме;
    • копии дипломов;
    • трудовой договор;
    • представления к переводам на другую должность;
    • приказы о переводах;
    • внесение изменений персональных данных;
    • документация об аттестации сотрудника;
    • заявления персонала;
    • документы о здоровье;
    • фото;
    • приказ о поощрении и взыскании;
    • копии паспортных данных;
    • копии карточек ПФР;
    • индивидуальные налоговые номера;
    • копии военных билетов;
    • документы о заключении брака;
    • документы о рождении детей;
    • списки научных работ, изобретений;
    • характеристики и отзывы.

    Контроль деятельности операторов ПД

    Проверку законных оснований для обработки ПД проводит Роскомнадзор. Плановая проверка проводится один раз в три года и в точные сроки, подготовленные Роскомнадзором и утвержденные прокуратурой. Плановая проверка оператора осуществляется в начале его деятельности и далее через каждые три года.

    Основаниями для внеплановой проверки являются:

    • контроль исполнения предписания о ликвидации нарушения, выявленного в ходе предыдущей проверки;
    • требование прокуратуры из-за поступивших обращений и жалоб на действия оператора;
    • бездействие операторов, из-за которых были нарушены интересы субъектов РФ;
    • приказ Роскомнадзора, изданный на выполнение поручений Президента или Правительства РФ.
    • Проверка проводится не больше 20 рабочих дней, но при надобности может быть продолжена еще на такой же срок.
    • выезд на место обработки персональных данных;
    • проверка предоставленной по запросу документации;
    • систематическое наблюдение инспекторами-специалистами, на основе которого вырабатываются выводы о соблюдении норм законов по работе с персональными данными.

    Ответственность за незаконную обработку персональных данных

    Оператору нельзя собирать, хранить, использовать и распространять информацию о личной жизни, переписке, телефонных разговорах и т. п., если нет судебного постановления или других законных оснований для этой деятельности.

    Оператор не вправе причинять материальный и моральный урон людям, ущемлять их права и свободы, используя персональные данные.
    Нарушение закона «О персональных данных» может повлечь за собой дисциплинарную, административную и уголовную ответственность.

    Требования к защите персональных данных

    Нормы законодательства о защите личной информации являются необходимыми для исполнения. Оператору вменяется в обязанность принимать нужные меры для защиты ПД от незаконного или просто случайного доступа к ним, удаления, фальсификации, блокировки, несогласованного копирования, размножения ПД, а также от других незаконных шагов в отношении личных сведений.

    Для надлежащей защиты ПД необходимо:

    • установить актуальные угрозы безопасности при обрабатывании информации в информационных системах персональных данных (ИСПДн);
    • принять адекватные меры организационного и технического характера;
    • применять сертифицированные средства информационной защиты;
    • перед вводом в эксплуатацию провести аттестацию ИСПДн на соответствие защитных систем правовым нормам;
    • вести учет машинных носителей ПД;
    • обнаруживать факты незаконного доступа к этой информации и выполнять соответствующие действия по улучшению их защиты;
    • восстанавливать поврежденную информацию;
    • установить режим доступа к ПД только строго установленных лиц;
    • регистрировать все действия, совершаемые при работе с ПД.

    Защита от несанкционированного доступа

    • Разрешительная система допусков к информсистеме.
    • Ограничение возможности входа в помещения с техническими средствами обработки персональных данных.
    • Регистрация действий при работе с ПД.
    • Строгий учет и хранение съемных носителей данных.
    • Создание резервных копий и дублирование баз данных и носителей информации.
    • Использование сертифицированных средств защиты информации.
    • Защищенные каналы связи.
    • Нахождение технических средств обработки персональных данных в пределах охраняемой территории.
    • Борьба с вредоносными программами и вирусами с помощью сертифицированных антивирусных программ и других методов защиты.
    • Межсетевое экранирование.
    • Анализ защищенности информационных систем сканерами безопасности.
    • Ограждение каналов связи от считывания данных.
    • Использование смарт-карт, электронных замков для правильной идентификации пользователей.
    • Систематическое испытание межсетевого экрана имитацией атак извне.
    • Аутентификация дружественных информсистем и обеспечение целостности пересылаемых данных.

    Особенности защиты персональных данных в ЕС

    25 мая 2018 года вступил в силу Регламент о защите персональных данных. Его действие распространяется на все компании, которые обрабатывают персональные сведения о лицах, находящихся в ЕС.

    На что стоит обратить внимание:

    • расширился список персональных данных (добавлены данные о местонахождении, IP-адреса, cookies);
    • увеличились правовые возможности субъектов ПД (право на перемещение данных из одной компании в другую, право на ликвидацию всех сведений о себе из БД компании);
    • появились новые обязательства для операторов (доказательство законности обрабатывания данных, защита ПД по умолчанию, назначение для компаний-нерезидентов представителя в ЕС, определение ответственного лица по защите данных);
    • детально прописано согласие субъекта на обрабатывание ПД (согласие выражается активным действием: письменным сообщением, в том числе, и через электронные средства, или же устно);
    • описано, какие должны быть приняты меры, если утеряны ПД либо к ним произошел несанкционированный доступ (компания должна послать уведомление контролирующему органу на протяжении 72 часов после произошедшего инцидента, а если утечка данных является существенной, то проинформировать об этом и субъекта ПД для предупреждения о возможной опасности);
    • расширена территория действия Регламента за границы ЕС.

    Таким образом, европейскими законодателями ставится важная цель по созданию единой действующей правовой базы, которая будет распространяться на все государства, являющиеся членами ЕС, и даже за его пределы.

    Видео (кликните для воспроизведения).

    Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/osobennosti-zashchity-personalnyh-dannyh/

    Технические средства обработки персональных данных
    Оценка 5 проголосовавших: 1

    ОСТАВЬТЕ ОТВЕТ

    Please enter your comment!
    Please enter your name here