Вы уже обеспечили защиту персональных данных на предприятии? - [13] :: В помощь системному администратору

Уважаемые коллеги!
К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).

Общий коленкор таков.
Согласно Закону к персональным данным относится:
"любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;"
п. 1, ст. 3 Закона

Чем это грозит для предприятия?
В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).

Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?

Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).

В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).

Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.

Далее...

п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных):

Цитата:

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

Поздравляю. Мы все - операторы.

Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.

Закон определяет перечнь таких требований:

Цитата:

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

ст. 19 Закона

Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть:
- Положение о персональных данных
- Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически)
- Регламент по информационной безопасности

Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.

Санкции.
Санкции за нарушение Закона незначительны:

Цитата:

Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

ст. 13.11 КоАП РФ

Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:

Цитата:

Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)
1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.

ст. 19.5 КоАП РФ
И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.

Давайте что-ли обсудим - как жить дальше...
Или может кто уже лазейку какую нашел?

N0n4meответственность всегда на руководителе, в не зависимости защитили (выполнили все требования закона) или нет. Попадает все, где встречаются персональные данные!
oaf56 Не получиться защитить ИСПДн без средств защиты информации (СрЗИ), об этом ниже.

Согласно Федеральному закону "О персональных данных" (№152-ФЗ от 27.07.2006г.) информационные системы персональных данных, созданные до дня вступления в силу Федерального закона, должны быть приведены в соответствие с требованиями Федерального закона не позднее 1 января 2010 года, все вновь создаваемые информационные системы персональных данных также должны соответствовать требованиям Федерального закона.

Информационные системы персональных данных (ИСПДн) есть на каждом предприятии, в любой организации. Такой системой может быть, например, система автоматизации бухгалтерского учета ("1С Бухгалтерия"), или система автоматизации расчета зарплаты и кадрового учета ("1С Зарплата"), или система персонифицированного учета для ПФР, или базы данных клиентов, сотрудников организации, анкеты в электронном виде и т.п.

Чтобы не попасть под установленную законом ответственность, необходимо провести комплекс мероприятий для обеспечения безопасности ПДн и соответствия требованиям ФЗ 152 и Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 17 ноября 2007 г. №781) и Положения особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687.

Помимо ПП 781 и ПП 687, требования по созданию системы защиты информации и применению СрЗИ устанавливаются в документах ФСТЭК и ФСБ России:
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (ДСП)
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (ДСП)
- Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК, 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)
http://www.fstec.ru/_spravs/recomend.doc
- Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. ФСТЭК, 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)
http://www.fstec.ru/_spravs/meropriaytiay.doc,
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации от 21 февраля 2008 г.
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных от 21 февраля 2008 г. (на сайте ФСБ).

Ваше предприятие может выполнить самостоятельно, без привлечения сторонних специалистов, мероприятия, кроме создания системы защиты информации (разработка ТЗ, проекта, установка и настройка средств защиты информации (СрЗИ)) и аттестации. На проведение этих (создание системы защиты информации и аттестация) работ необходима лицензия на деятельность по технической защите конфиденциальной информации.

Расскажу об этом подробней:
Помимо ФЗ-152 «О персональных данных» действуют:
 ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149 (статья 1 п.6).
 ФЗ «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. № 128 (статья 17 п.1, пп. 11);
 Постановление Правительства РФ «О лицензировании деятельности по технической защите конфиденциальной информации» от 16 августа 2006 г. № 504;
 Указ Президента «Об утверждении Перечня сведений конфиденциального характера» от 6 марта 1997мг. № 188;
 СТР-К.
Согласно которым: персональные данные относятся к конфиденциальной информации, для защиты которой необходимо получить лицензию на деятельность по технической защите конфиденциальной информации.
Кроме того: п.3.14 «Основных мероприятий…»:
В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1,2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.

Поэтому, необходимо нанимать в штат специалистов по ЗИ и выполнять все требования для получения лицензии на ТЗКИ, либо заключать договор с организацией, имеющей лицензию (лицензиата), на проведение работ по защите ПДн.
В конечном счете (после проведения всех мероприятий по защите и аттестации), Вашему предприятию нужно получить Аттестат соответствия на Вашу систему (ИСПДн). Этот документ будет означать, что все требования по защите ПДн выполнены, и Ваша ИСПДн защищена по закону в соответствии с установленным классом. Аттестат Вы и будете показывать проверяющим органам. Как только Вы его получите, все вопросы о несоответствии системы защиты требованиям (если такие возникнут) будут адресованы лицензиату, выдавшему аттестат на Вашу ИСПДн (при условии, что Вы не меняли условия обработки ПДн и состав средств защиты и ИСПДн).

Необходимо применять сертифицированные средства защиты информации (СрЗИ) ФСТЭК России, а также, при необходимости шифрования информации, использовать сертифицированные ФСБ средства криптографической защиты информации (СКЗИ). Как писал Выше, данные мероприятия имеют право проводить организации, имеющие лицензии ФСТЭК (ФСБ при наличие СКЗИ).

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41