Система учета персональных данных

Информационная поддержка по вопросу: "Система учета персональных данных" описанное с профессиональной точки зрения. Мы постарались полностью осветить тематику. Если возникли дополнительные вопросы, то обращайтесь к дежурному специалисту.

Информационные системы персональных данных в государственных и муниципальных органах

«Делопроизводство», 2007, N 2

Появление в нашей действительности информационных технологий, применение мощных компьютеров для получения информации привело к необходимости принятия законодательных актов, регулирующих сбор, обработку и защиту персональных данных.

В 1981 г. была принята Конвенция Совета Европы «О защите прав личности в связи с автоматической обработкой персональных данных». Затем защита персональных данных декларировалась в Директиве Европейского союза и Парламента от 24 октября 1995 г. N 95/46/ЕС «О защите персональных данных» и Директиве от 15 декабря 1997 г. N 97/66/ЕС «Об обработке персональных данных и защите приватности в телекоммуникациях».

25 июля 2002 г. Европейский союз одобрил Директиву «О приватности в электронных коммуникациях», касающейся мобильной связи, текстовых сообщений SMS, обычных телефонных разговоров, электронной почты, чатов и других видов связи.

Российское законодательство, признав международные нормы в данной области, приняло Федеральные законы от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» и от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

Персональные данные граждан распределены по базам данных государственных и муниципальных органов: налоговой службы, службы занятости, пенсионного фонда, фонда обязательного медицинского страхования, управления внутренних дел, регистрационных служб, статистики, избиркома, муниципалитетов и т.д.

Органы исполнительной власти на всех уровнях самостоятельно занимаются автоматизацией учета разных категорий населения и содержат автономные ведомственные базы персональных данных.

По данным Минэкономразвития России, на федеральном уровне имеются 18 баз персональных данных. Все базы структурно имеют территориально-распределительную архитектуру, созданием централизованных хранилищ информации до сих пор никто не занимался.

Ведомственные информационные системы создаются без должной координации между ними, на основе самостоятельно определяемых каждым ведомством технологий сбора, хранения и передачи персональных сведений, форматов и протоколов взаимодействия.

Отсутствуют механизмы автоматизированной актуализации и корректировки сведений, хранящихся в базах данных.

Имеет место дублирование идентификационных данных, несовместимость систем при попытках организовать информационное взаимодействие; так, в автоматизированной системе налоговой службы для описания адресного пространства используется собственный классификатор адресов России (КЛАДР), а государственная автоматизированная система «Выборы» применяет унифицированный Общероссийский классификатор объектов административно-территориального деления (ОКАТО).

КОНСУЛЬТАЦИЯ ЮРИСТА


УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

8 800 350 84 37

Перечень информации, содержащей персональные данные и размещаемой в ведомственных системах учета населения, включает в себя и идентификационные данные, которые позволяют однозначно устанавливать их принадлежность конкретному человеку. Однако для каждой системы они имеют свой формат хранения. Их актуализация не стала регулярной процедурой, она осуществляется, когда граждане обращаются в соответствующие ведомства и организации.

Во многих системах первичным идентификационным данным присваиваются уникальные идентификаторы: номер и серия паспорта, номер свидетельства в пенсионном страховании, индивидуальный номер налогоплательщика (ИНН) и т.д., которые используются для подтверждения факта регистрации в этих информационных системах.

Ни один из применяющихся идентификаторов не обеспечивает стопроцентного охвата населения России и поэтому не может быть универсальным. Все ведомственные информационные системы разработаны и ориентированы на учет лишь определенной категории населения.

Номер свидетельства в информационных системах пенсионного страхования, охватывающих значительную часть населения, не может являться универсальным идентификатором, поскольку некоторые категории граждан его не имеют — инвалиды детства, также ИНН невозможно применять при учете граждан моложе 14 лет.

Можно констатировать, что определенные персональные данные в информационных системах имеются, но разбросаны по разным базам, не централизованы и дублируются в не согласованных друг с другом системах. В итоге снижается эффективность применения информационных систем и, как следствие, страдает система государственного управления.

Персональные данные граждан распределены в соответствии с законами РФ и подзаконными актами в различных видах тайн (на сегодня — более 40 видов), которые выступают в виде прямых ограничений при реализации информационных прав и свобод. В последнее время принят ряд законов по их упорядочению.

Наиболее, на наш взгляд, разработанными являются служебная и профессиональная тайны. Вполне очевидно, что в профессиональную тайну входят сведения о частной жизни — персональные данные.

Служебная тайна, например связанная с государственной и муниципальной службой, также затрагивает интересы граждан, доверивших свои персональные данные.

К законодательным и нормативным документам о служебной тайне относятся: Федеральный закон от 31 июля 1995 г. N 119-ФЗ «Об основах государственной службы Российской Федерации»; Федеральный закон от 17 января 1992 г. N 2202-1 (в ред. от 10 февраля 1999 г.) «О прокуратуре Российской Федерации»; Федеральный закон от 2 декабря 1990 г. N 395-1 (в ред. от 31 июля 1998 г. N 151-ФЗ) «О банках и банковской деятельности»; Закон РФ от 18 апреля 1991 г. N 1026-1 (в ред. от 15 июня 1996 г. N 73-ФЗ) «О милиции»; Федеральный закон от 12 августа 1995 г. N 144-ФЗ «Об оперативно-розыскной деятельности»; Федеральный закон от 16 февраля 1995 г. N 15-ФЗ (в ред. от 6 января 1999 г.) «О связи»; Федеральный закон от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне»; Налоговый кодекс РФ (часть 1) от 31 июля 1998 г. N 146-ФЗ; Гражданский кодекс РФ (часть 1) от 30 ноября 1994 г. N 51-ФЗ (в ред. от 12 августа 1996 г.); Уголовный кодекс РФ от 13 июня 1996 г. N 63-ФЗ (в ред. от 9 февраля 1999 г.); Таможенный кодекс РФ от 18 июня 1993 г. N 5221-1 (в ред. от 10 февраля 1999 г.); Указ Президента РФ от 6 марта 1997 г. N 188; Федеральный закон от 21 июля 2005 г. N 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд».

Читайте так же:  На каком сроке беременности дают родовой сертификат

В рамках приведенных нормативно-правовых документов созданы или создаются информационные системы персональных данных.

Федеральным законом установлено, что информационные системы подразделяются на:

  1. Государственные информационные системы — федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов.
  2. Муниципальные информационные системы, созданные на основании решения органа местного самоуправления.
  3. Иные информационные системы.

А в соответствии с Федеральным законом: «. государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные и муниципальные системы персональных данных».

Получается, что концепции развития информационного законодательства в сегменте создания единой информационной системы персональных данных нет.

Необходимо отметить, что попытки создать систему учета населения (естественно, в которую входили и персональные данные) предпринимались.

В 70-е годы велись работы над Государственным регистром населения (ГРН), то есть единой информационной системой с базой данных о населении сначала СССР, потом России, однако до практических результатов дело не дошло.

В настоящее время ведутся работы по созданию системы персонального учета населения (СПУН) как системы информационного взаимодействия на базе единого информационно-телекоммуникационного пространства, которая должна являться частью единого информационного пространства России, обеспечивающей информационное и техническое взаимодействие соответствующих ведомственных и территориальных систем.

Для создания и использования информационных систем персонального учета необходимо решить научно-технические вопросы взаимодействия неоднородных (ведомственных) информационных систем, разработать и принять нормативно-правовые акты по данной проблеме и — самое главное, на наш взгляд — решить задачу разработки и присвоения каждому физическому лицу России идентификатора персональных данных — универсального чипа (за рубежом проводятся эксперименты по вживлению имплантата с персональными данными в зуб или под кожу человека).

Источник: http://wiseeconomist.ru/poleznoe/37687-informacionnye-sistemy-personalnyx-dannyx-gosudarstvennyx-municipalnyx-organax

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

Статья 13 . Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

ГАРАНТ:

См. комментарии к статье 13 настоящего Федерального закона

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

Источник: http://base.garant.ru/12148567/4d6cc5b8235f826b2c67847b967f8695/

Раздел VI. Порядок обработки персональных данных субъектов персональных данных в информационных системах

Раздел VI. Порядок обработки персональных данных субъектов персональных данных в информационных системах

44. Обработка персональных данных в Департаменте осуществляется в следующих информационных системах:

1) ИСПДН учета труда и заработной платы (АРМ-2);

2) 1С предприятие — бухгалтерия государственного учреждения;

4) SAUMI — учет имущественных и земельных отношений.

45. Информационные системы персональных данных учета труда и заработной платы (АРМ-2) и 1С предприятие содержат персональные данные государственных служащих и работников Департамента, работающих на основании служебного контракта (трудового договора), заключаемых Департаментом, и включают:

1) фамилия, имя, отчество;

2) число, месяц, год рождения;

3) место рождения;

5) вид, серию, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дату выдачи;

6) адрес места жительства (адрес регистрации, фактического проживания);

7) номер контактного телефона или сведения о других способах связи;

8) данные страхового свидетельства государственного пенсионного страхования;

9) идентификационный номер налогоплательщика;

10) данные свидетельства государственной регистрации актов гражданского состояния;

11) семейное положение, состав семьи и сведения о близких родственниках;

12) табельный номер;

14) номера лицевого счета, текущего счета, банковской карты;

15) номер приказа и дату приема на работу (увольнения).

46. Гражданским служащим, имеющим право осуществлять обработку персональных данных в информационных системах Департамента, предоставляется криптографические средства для доступа к соответствующей информационной системе Департамента. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами гражданских служащих и должностными инструкциями работников.

Информация вносится в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

47. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных Департамента, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

Читайте так же:  Как выгнать мышей из стен каркасного дома

3) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учет машинных носителей персональных данных;

6) обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;

9) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

48. Структурное подразделение Департамента, ответственное за обеспечение информационной безопасности в Департаменте, организует и контролирует ведение учета материальных носителей персональных данных.

49. Структурное подразделение Департамента, ответственное за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных Департамента, обеспечивает:

1) своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных в Департаменте и директора Департамента;

2) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

3) возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

4) постоянный контроль за обеспечением уровня защищенности персональных данных;

5) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

6) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

7) при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;

8) разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

50. Структурное подразделение Департамента, ответственное за обеспечение функционирования информационных систем персональных данных в Департаменте, принимает все необходимые меры по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

51. Доступ гражданских служащих Департамента к персональным данным, находящимся в информационных системах персональных данных Департамента, предусматривает обязательное прохождение процедуры идентификации и аутентификации.

52. В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных Департамента уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

>
Сроки обработки и хранения персональных данных
Содержание
Постановление Департамента имущественных и земельных отношений Курганской области от 29 апреля 2016 г. N 17 «О реализации.

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.

Видео (кликните для воспроизведения).

Источник: http://base.garant.ru/18383870/fd60475f90ada2748768d9adac61aafb/

Приказ ФСТЭК России №21

Основные меры по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения установленных Правительством РФ и ФСТЭК России требований к защите персональных данных для каждого из уровней защищенности

Система защиты персональных данных

Система защиты информации — это совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации (п.2.4.3 ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»).

Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах (п.2 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства РФ от 01.11.2012 №1119).

Система защиты персональных данных создается в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства РФ от 01.11.2012 №1119 (п.3 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18.02.2013 №21).

С учетом выше изложенного, под системой защиты персональных данных понимается совокупность организационных и (или) технических мер, организованная и функционирующая по требованиям постановления Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Источник: http://fstec21.blogspot.com/2018/11/personal-data-protection-system.html

Соответствие 152-ФЗ

Создание системы защиты персональных данных (СЗПДн)

Надежная защита персональных данных формирует доверие между компанией и аудиторией. Выбирая продукт или решение, потенциальные клиенты предпочтут компанию, которая гарантирует сохранность личной информации, чем ту, которая этого не делает.

Риски связаны не только с оттоком потенциальных клиентов. Нарушение законодательства в отношении персональных данных может привести к серьезным штрафам и даже блокировкам ресурсов.

Чтобы этого не произошло, и вы смогли создать информационные системы, соответствующие 152-ФЗ, Selectel возьмет часть работы с персональными данными на себя.

Читайте так же:  Нарушение временного ограничения на пользование специальным правом

Мы предоставим защищенную по требованиям 152-ФЗ инфраструктуру, приведем ваши информационные системы в соответствие с законом «О персональных данных», реализуем комплекс организационно-правовых и технических работ, а также организуем постоянное администрирование созданной системы.

Работайте с персональными данными по правилам

Обеспечьте безопасность персональных данных своих клиентов, размещая их на защищенной инфраструктуре Selectel. Требования распространяются на деятельность операторов ПДн, процессы получения и передачи персональных данных, а также на информационные системы, в которых эти данные обрабатываются. Ответственность за компоненты будет распределена между клиентом и провайдером.

Для информационных систем

на инфраструктуре Selectel

Этапы построения системы защиты персональных данных

для каждой информационной системы (ИС)

Разместить информационные системы в Selectel

В зависимости от требований безопасности к вашей информационной системе, подберем подходящую IT-инфраструктуру: выделенные серверы в аттестованном сегменте ЦОД или облако на базе VMware, соответствующее требованиям 152-ФЗ.

Дата-центры, в которых размещается IT-инфраструктура, находятся на территории России. Это обязательное условие выполнения требований локализации персональных данных.

Для предоставляемой инфраструктуры, находящейся в зоне ответственности Selectel, проведена оценка эффективности применяемых мер обеспечения безопасности персональных данных в соответствии с 152-ФЗ.

Провести аудит информационной системы персональных данных

Проверить соответствие вашей информационной системы требованиям законодательства в области обработки и защиты персональных данных (ПДн), оценить риски и последствия невыполнения требований.

  • Проанализировать бизнес-процессы и определить те, в ходе которых производится обработка персональных данных.
  • Зафиксировать информационные системы, обрабатывающие персональные данные.
  • Описать реализуемые меры и применяемые средства защиты информации.
  • Уточнить перечень персональных данных, способы их получения, цели и законность обработки.
  • Определить требуемый уровень защищенности персональных данных и применимые к нему требования законодательства.
  • Подготовить документы, регламентирующие процессы обработки персональных данных с учетом особенностей информационной системы (SaaS-сервис, интернет-магазин, веб-проект, корпоративная система и пр.).
  • Отчет об обследовании с описанием процессов обработки персональных данных, уровнем их соответствия требованиям законодательства.
  • Организационно-распорядительная документация по обработке персональных данных (ПДн). В зависимости от вашей задачи и уже реализованных мер может разрабатываться для отдельной информационной системы или компании в целом и всех информационных систем.

Выполнить проектирование системы защиты персональных данных

Определить актуальность угроз безопасности информации, разработать проектную документацию на систему защиты ИСПДн, сформировать спецификацию средств защиты и оценить стоимость их внедрения, учитывая особенности IT-инфраструктуры.

  • Определить актуальные угрозы безопасности информации.
  • Спроектировать систему защиты, которая будет адаптирована под вашу инфраструктуру и процессы ее администрирования с учетом требований законодательства.
  • Подобрать необходимые средства защиты, в том числе сертифицированные ФСТЭК. Проверить их совместимость с используемой IT-инфраструктурой и приложениями.
  • Разработать план миграции в защищенную инфраструктуру.
  • Рассчитать стоимость внедрения системы защиты с учетом IT-инфраструктуры.
  • Технический проект:
    • схема реализации системы защиты,
    • спецификация (состав) применяемых средств защиты,
    • спецификация (состав) услуг, реализующих меры по обеспечению безопасности персональных данных.
  • Расчет стоимости внедрения и оценки эффективности системы защиты.

Получить необходимые средства защиты или сервисы информационной безопасности

Выбрать средства защиты информации в соответствии со спецификацией, составленной на этапе проектирования. Selectel поможет с настройкой и обслуживанием в рамках постоянного администрирования средств защиты информации.

  • Купить или арендовать необходимые средства защиты информации, которые предусмотрены разработанной на этапе проектирования спецификацией.
  • Если у вас нет штата специалистов по информационной безопасности, используйте сервисы от Selectel с круглосуточным администрированием.
  • Подключенные сервисы и настроенные средства защиты информации реализуют меры обеспечения безопасности.

Провести оценку эффективности принимаемых мер обеспечения безопасности персональных данных

Получить документ, подтверждающий, что система соответствует требованиям 152-ФЗ. Проводить оценку эффективности следует до ввода в эксплуатацию информационной системы и повторять при внесении изменений в систему или не реже, чем раз в 3 года.

  • Провести испытания системы и оценить эффективность принимаемых мер защиты.
  • Акт оценки эффективности системы защиты персональных данных, подтверждающий соответствие вашей ИСПДн требованиям 152-ФЗ.

Провести аттестацию информационной системы на соответствие требованиям законодательства (если она требуется)

Организовать проведение аттестации. Ее может проводить только организация, у которой есть лицензия. Даже если аттестация не обязательна, она гарантирует корректность реализации требований законодательства в области обработки и защиты ПДн.

  • Организовать проведение аттестации информационной системы с привлечением лицензиатов ФСТЭК.
  • Аттестат, подтверждающий соответствие вашей ИСПДн требованиям безопасности информации.

Преимущества разработки системы защиты персональных данных в Selectel

Лицензии ФСТЭК И ФСБ

Мы имеем необходимые лицензии для проектирования системы защиты персональных данных и оказания услуг по защите информации, в том числе с использованием средств криптографической защиты информации.

Инфраструктура, о которой мы знаем все

Ваши информационные системы расположены на инфраструктуре Selectel. Никто не знает ее лучше нас, а это значит, что мы можем подобрать решение по защите информации с учетом совместимости средств защиты, используя сервисы по защите от несанкционированного доступа.

Надежные партнеры

Система защиты создается с использованием средств от мировых лидеров и ведущих российских производителей.

Для проведения аттестации мы привлекаем лицензиатов ФСТЭК. Они подтверждают достаточность применяемых мер по защите персональных данных.

Квалификация специалистов

Наши сотрудники более 10 лет создают системы защиты персональных данных, выполняя требования закона, помогают операторам персональных данных пройти внешние аудиты и проверку Роскомнадзора, а также реализовывают системы сетевой безопасности и защиты серверной инфраструктуры.

Рассчитать стоимость создания системы защиты информации и выполнения требований 152-ФЗ

Перечень выполняемых работ Ответственность Стоимость Длительность
Предоставление IT-инфраструктуры Selectel от 2 000 руб./месяц Мгновенно Аудит ИСПДн Заказчик Проектирование СЗПДн Заказчик Необходимые средства защиты или сервисы информационной безопасности Selectel от 3 000 руб./месяц 7-14 дней Оценка эффективности Заказчик
Перечень выполняемых работ Ответственность Стоимость Длительность
Предоставление IT-инфраструктуры Selectel от 2 000 руб./месяц Мгновенно Аудит ИСПДн Подрядчик единоразово от 180 000 руб. 20-30 дней Проектирование СЗПДн Подрядчик единоразово от 200 000 руб. 15-25 дней Необходимые средства защиты или сервисы информационной безопасности Selectel от 3 000 руб./месяц 7-14 дней Оценка эффективности Подрядчик единоразово от 60 000 руб. 5-15 дней
Читайте так же:  Персональные данные коммерческая тайна
Перечень выполняемых работ Ответственность Стоимость Длительность
Предоставление IT-инфраструктуры Selectel от 12 000 руб./месяц 3-5 дней Аудит ИСПДн Заказчик Проектирование СЗПДн Заказчик Необходимые средства защиты или сервисы информационной безопасности Selectel от 3 000 руб./месяц 7-14 дней Оценка эффективности Заказчик
Перечень выполняемых работ Ответственность Стоимость Длительность
Предоставление IT-инфраструктуры Selectel от 12 000 руб./месяц 3-5 дней Аудит ИСПДн Подрядчик единоразово от 180 000 руб. 20-30 дней Проектирование СЗПДн Подрядчик единоразово от 200 000 руб. 15-25 дней Необходимые средства защиты или сервисы информационной безопасности Selectel от 3 000 руб./месяц 7-14 дней Оценка эффективности (аттестация ИСПДн, если она требуется) Подрядчик единоразово от 120 000 руб. 5-15 дней

Цена всех услуг указана с учетом НДС 20%

Вместе с услугой заказывают

Защитите веб-приложения от атак и снизьте риски, связанные с уязвимостями сервисов.

Миграция в облако

Перенесем ваши сервисы на облачную инфраструктуру Selectel и партнеров.

Защита от DDoS-атак

Снизьте риск недоступности информационных систем и сайта.

Остались вопросы по защите ИСПДн?

Задайте их нашим специалистам по защите персональных данных. Они проконсультируют и подберут решение.

Источник: http://selectel.ru/solutions/pdps/

Защита персональных данных. Соответствие СЭД 152-ФЗ

Периодически из уст заказчиков слышен вопрос: «Удовлетворяет ли ваша система требованиям закона о персональных данных и в тендерных документациях мелькают требования реализации проекта по защите данных. Но для чего реально необходима эта магическая аббревиатура ИСПДн заказчику, он не всегда в состоянии корректно объяснить. Углубимся в вопрос.

1. Требования к системе СЭД по защите ПДн

1.1. Немного законодательства

Итак, начнем с самого начала. Попробуем понять откуда «растут ноги»?

26 января 2007 г. вступил в силу Федеральный закон № 152-ФЗ «О персональных данных», который определил необходимость защиты персональных данных субъектов (далее ПДн) в целях зашиты прав и свобод человека и гражданина. За невыполнение требований данного закона предусмотрена административная и уголовная ответственность как для юридических, так и физических лиц (сотрудников и руководителей организаций), а деятельность самой организации может быть приостановлена по требованию Роскомнадзора. Таким образом, операторы информационных систем персональных данных (далее ИСПДн) обязаны защищать переданные им ПДн от угроз, реализация которых может повлечь за собой ущерб владельцам этих данных.

Напомним, что такое персональные данные. В соответствии с законом, определение звучит так: «Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». То есть, если идти от обратного, то только та совокупность данных, которая позволяет определить конкретный субъект, является персональной.

1.2. СЭД и ПДн: есть ли взаимосвязь?

Имеет СЭД отношение к проблеме обеспечения защиты ПДн?

Ответ – да. Если СЭД содержит в своем составе справочники сотрудников предприятия и контрагентов, и эти данные хранятся в системе таким образом, что может быть определен конкретный субъект, это означает, что она содержит ПДн. Плюс в СЭД также могут храниться и обрабатываться различные анкеты, характеристики, персональные дела, истории болезней и т.д. – а эти документы в том числе относятся к определенной категории ПДн. Ситуация «усугубляется», если компания ориентирована на работу с физическими лицами и СЭД вовлечена в сферу их обслуживания. Это касается органов государственной власти, где ведется непосредственная работа с населением; медицинские и образовательные учреждения; телекоммуникационные компании; кредитные организации и т.д. – операторы ПДн.

Статья 19 152 ФЗ «О персональных данных» устанавливает, что: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

Отметим, что в законе прямо не указываются какими конкретными средствами и методами обеспечения безопасности ПДн должен пользоваться оператор. До 1 июля 2011 года мы руководствовались постановлениями правительства РФ за номерами 781, 512 и 687, так называемых «приказом Трех» и приказом ФСТЭК № 58. После чего был принят 261-ФЗ и «Старая» часть 3 ст. 19 «растеклась» по нескольким частям нового закона, изменившись до неузнаваемости.

Ч. 3 ст. 19: «Правительство Российской Федерации, с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных, устанавливает:

уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

Вот мы с вами впервые столкнулись с термином «Уровень защищенности ПДн». Что это и с чем его «едят»?

1.3. Определение уровня защищенности ПДн

Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных. Для определения уровня защищенности необходимо установить категории обрабатываемых персональных данных субъектов (физических лиц), вид обработки по форме отношений между субъектами и организацией, количество субъектов, а также тип угроз актуальных для информационной системы.

Читайте так же:  Выезд через границу украины

Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

● 1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

● 2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев;

● 3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

● 4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

● обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);

● обработка персональных данных субъектов, не являющихся работниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

● менее 100 000 субъектов;

● более 100 000 субъектов;

И наконец, типы актуальных угроз:

● угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;

● угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;

● угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

Как установить тип актуальных угроз не регламентировано, поэтому предприятие может как провести работы по определению уровня защищенности самостоятельно (за исключением аттестации, для которой требуется специальная лицензия), так и привлечь внешних консультантов.

Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности ПДн в соответствии со следующей таблицей:

Таблица 1. Определение уровня защищенности ПДн

1.4. Сертифицированный продукт: нужен или нет.

Подведем итоги в рамках первой части нашего исследования.

Если в СЭД будут храниться ПДн, значит необходима сертификация данной системы. Как правило, в сертификации продукта заинтересован сам разработчик данного софта, а заказчику остается только приобрести сертифицированный экземпляр продукта. Сертификат на конкретную версию или поколение выдает ФСТЭК России на строго определенный срок. Фактически данный сертификат удостоверяет, что система СЭД соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации». Кстати, чтобы Заказчику провести аттестацию СЭД, помимо приобретения сертифицированного экземпляра продукта, может также потребоваться сертификат на встроенные в него средства защиты информации. На что именно и какого уровня, зависит от необходимого уровня защищенности ИСПДн, к которой отнесена СЭД.

Отмечу один существенный недостаток во всем этом: процедура сертификации продукта процесс длительный. Т.е. к моменту, когда будет сертифицирована одна версия системы, она уже успеет морально устареть. Хотя этот вопрос все же разрешим: разработчик СЭД может сертифицировать сразу целое поколение. Это будет означать, что реальную сертификацию в ФСТЭК проходит первая версия системы из всего поколения, но, если заказчику потребуется поставка более свежей версии, то после ее установки и настройки достаточно будет всего лишь дополнительно провести процедуру инспекционного контроля.

Инспекционный контроль осуществляется с целью установления того, продолжает ли ИСПДн соответствовать требованиям, на соответствие которым она была сертифицирована. Как правило, если настройка не затронула механизм разграничений прав доступа, шифрования, ведения логов и прочее в сравнении с ранее сертифицированной версией продукта, то сертификация системы заказчика пройдет без всяких проблем и в кратчайшие сроки.

2. Виды работ. Перечень ИСПДн

Напоминаю, что в первой части нашего исследования мы разбирались с сертификацией СЭД-системы. В результате мы с вами подходим к очень важному для нас выводу: сама СЭД, как тиражный программный продукт, не является той ИСПДн, о которой идет речь в 152 ФЗ, на который ссылается большинство Заказчиков. На самом деле СЭД – это всего лишь часть комплекса технических средств, а под ИСПДн подразумевается вся автоматизированная система предприятия, в том числе с учетом других автоматизированных систем. Поэтому просто приобретение сертифицированной версии продукта СЭД для заказчика будет недостаточно. Дополнительно потребуется проведение ряда работ, которых мы рассмотрим во второй части нашего исследования.

СЭД – это всего лишь часть комплекса технических средств, а под ИСПДн подразумевается вся автоматизированная система предприятия, в том числе с учетом других автоматизированных систем.

2.1. Перечень требований к ИСПДн

Прежде всего давайте разберемся, какие требования должны соблюдаться?

Перечень требований, предъявляемый к используемым техническим средствам и программном продукту СЭД на предприятие, выполнение которых необходимо для нейтрализации угроз безопасности ПДн, определяется в зависимости от уровня защищенности ПДн. Данный перечень требований можно представить в следующей таблице:

Таблица 2. Перечень требований, предъявляемый к ИСПДн

Регулярный контроль за выполнением требований

Контроль за выполнением требований организуется и проводится оператором самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые сами оператором или его уполномоченным лицом.

Физ.безопасность и контроль доступа

Организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих в них права доступа

Обеспечение сохранности носителей персональных данных

Видео (кликните для воспроизведения).

Источник: http://ecm-journal.ru/card.aspx?ContentID=90145048

Система учета персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here