Вы уже обеспечили защиту персональных данных на предприятии? - [32] :: В помощь системному администратору

Уважаемые коллеги!
К 1 января 2010 года все предприятия Российской Федерации должны привести cвою инфраструктуру и регулятивную базу в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон).

Общий коленкор таков.
Согласно Закону к персональным данным относится:
"любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;"
п. 1, ст. 3 Закона

Чем это грозит для предприятия?
В любой компании есть те или иные системы кадрового учета (HR-контур), который содержит подробную информацию о сотруднике (ФИО, дата рождения, ИНН, № Страхового свидетельства Пенсионного фонда, №№ страховых свидетельств ОМС/ДМС, сведения о постановке на воинский учет, №№ банковских счетов, сведения о заработной плате и так далее).

Кроме того, в ряде предприятий имеются различные CRM-cистемы, в которых аккумулируется информация о клиентах (в том числе клиентах - физических лицах), причем часто персонифицированная и детализированная, вплоть до предпочтений тех или иных лиц. Мы же стараемся удовлетворить клиента всеми возможными способами и учесть максимум нюансов?

Ряд компаний также осуществляет сбор и обработку тех или иных персональных данных клиентов через веб-сайты (интернет-продажи и тому подобное).

В ряде случаев есть ещё и бухучет (если клиент физическое лицо, которое оплачивает товары/услуги прямым банковским платежом, на основании договора или без такового).

Стало быть предприятие осуществляет сбор, хранит и обрабатывает персональные данные.

Далее...

п. 2, ст. 3 Закона вводит определение "оператора" (по обработке персональных данных):

Цитата:

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

Поздравляю. Мы все - операторы.

Помимо определенных прав субъекта персональных данных, исполнение которых оператор должен обеспечивать (в основном это чисто бумажные штуки вещей - особого вреда компании причинить не могут), существуют ещё и обязательные требования в отношении оператора - они гораздо страшнее.

Закон определяет перечнь таких требований:

Цитата:

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

ст. 19 Закона

Относительно того, как выполнить требования 1 пункта пока данных не слишком много. В общем случае на предприятии должны быть:
- Положение о персональных данных
- Положение о контрольно-пропускном режиме (где определен конечный круг лиц, который имеет доступ в помещения, где эта красота хранится физически)
- Регламент по информационной безопасности

Кроме того, предприятие должно использовать сертифицированные (да, разумеется с потайным ключиком у ФСБ) криптографические решения на серверах, на которых расположены базы данных. Также инфраструктура должна быть аттестована (за счет предприятия у уполномоченного органа), что уж совсем ужасно.

Санкции.
Санкции за нарушение Закона незначительны:

Цитата:

Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

ст. 13.11 КоАП РФ

Но при проверке вам могут вынести предприсание об устранении выявленных нарушений. За неисполнение предписания санкции более другие:

Цитата:

Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)
1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства -
влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.

ст. 19.5 КоАП РФ
И так далее, вплоть до отзыва лицензии у предприятия на осуществление основной деятельности и уголовной ответственности для ген. директора.

Давайте что-ли обсудим - как жить дальше...
Или может кто уже лазейку какую нашел?

bigsloth Ситуация с СТР-К неоднозначна.
1 - СТР-К вообще-то ДСП-шный документ, в свободном доступе его нет, его можно запросить у фсб или фстэка, но придется обосновать свой запрос. Резонный вопрос, как выполнять требования СТР-К, если его нет в свободном доступе.
2 - пункт 2.3 этого документа однозначно говорит о небязательности для коммерческих структур:

Код:

2.3. Для защиты конфиденциальной информации, содержащейся в негосударственных информационных ресурсах, режим защиты которой определяет собственник этих ресурсов (например, информации, составляющей коммерческую, банковскую тайну и т.д.) (далее - коммерческая тайна), данный документ носит рекомендательный характер.

3 - не поленился, специально задал этот вопрос лицензиату, вот его ответ:

Код:

1. он актуален для коммерческих структур однозначно, если

- есть системы класса к1

- есть криптосредства

- есть транcграничка

2. декларирование сейчас четко заменено на аттестацию

Обоснование аттестации и соответственно применение СТР-К - ниже.

Вот ссылки на необходимость аттестации согласно изменений 152 ФЗ (ФЗ 261):

1) ФЗ 261, статья 19 пункт 4:
«Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.»

2) Таким органом у нас является ФСТЭК (технический регулятор)

3) Персональные данные – являются конфиденциальной информацией (п.1 статьи 7 ФЗ-152)

4) Технический регулятор (ФСТЭК) проводит свои проверки, основываясь на «СПЕЦИАЛЬНЫЕ ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ (СТР-К)». Документ, по мнению ФСТЭК (и Министерства юстиции (!!!) является техническим и его регистрации в Минюсте не требуется.

5) Цель нашего проекта – создание системы защиты персональных данных (СЗПДн)

6) Согласно же СТР-К:
«Устанавливаются следующие стадии создания системы защиты информации:
1) предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание (эту роль в нашем случае выполняют акты классификации, требования и модели угроз);
2) стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации (в нашем случае это техническое внедрение и разработка технорабочего проекта с ПЗ, схемой структурной на СЗПДн спецификацией СЗИ, и док-том «Программа и методики испытаний»);
3) стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации ( нашем случае это проведение испытаний на основании разработанной ПМИ + аттестация как таковая).»

Да, с точки зрения права, можно формализованно настаивать на том что «СТР-К не является объектом права, но… вот факты, от которых никуда не деться:

1) Документ СТР-К, утвержденный решением Коллегии Гостехкомиссии России № 7.2/02.03.01г. (с изменениями от 2002 г) действительно не регистрировался в Минюсте;

2) Регулятор считает, что это технический документ и регистрации в Минюсте не подлежит (Минюст считает аналогично);

3) Для доказывания своей точки зрения на правовой статус данного документа нужно обращаться в суд (это к вопросу формализованного настаивания на незаконности применения данного док);

4) На практике при проведении аттестации автоматизированных систем как аттестаторы, так и проверяющие органы следуют рекомендациям этого документа;
5) Приведённые в документе рекомендации распространяются не только на государственные АС, но и на принадлежащие коммерческим организациям (т.е. тут нет четкого ограничения для ИС только органов власти, т.е. для всех ИС госструктур).

Вот примерно такие соображения.

Вот тут возможно актуальная версия СТР-К с изменениями 2002 года.
http://www.kadastr-ekz.ru/index.php/akts/19-akts/458-30-08-02-282-pgkr

----------
В сортире лучше быть юзером, чем админом...

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41