Персональные данные: защита персональных данных

Содержание

Создание системы защиты персональных данных

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
Разработка технического задания на создание системы защиты персональных данных.
Приобретение средств защиты информации.
Внедрение системы защиты персональных данных.
Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Узнать больше

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Модель угроз безопасности ПДн: пример

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Определение уровня защищенности ПДн

В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Построение системы защиты персональных данных

В соответствии с Приказом ФСТЭК России от 18.02.

2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации.

Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Выводы

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

Источник: https://kontur.ru/articles/1723

Защита персональных данных на сайтах и в сети интернет

Персональные данные: защита персональных данных

Комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений (личных, персональных), относящихся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Защита личных, персональных данных

Защита персональны данных, моментов личной жизни, а так же различные истории граждан в России сводятся к 3 (трем) ключевых направления:

В рамках трудовых отношений
В рамках оказываемых услуг (связь, банки и т.д.)
В сети интернет

Существует два подхода

За рубежом сложились два основных подхода к определению персональных данных:

В некоторых государствах (Нидерланды, Швеция, Новая Зеландия и др.) они отождествляются с любой информацией, имеющей отношение к конкретному лицу, в других – прослеживается детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.).
В Великобритании не допускается сбор данных о расовом происхождении, политических, религиозных и прочих взглядах работников, их физическом и умственном здоровье, сексуальной жизни, судимости.
В США многие штаты приняли законы, запрещающие предпринимателям проводить расследования прошлого нанимаемых работников. Согласно этим законам, прежде чем вступить в контакт с прежним работодателем, новый наниматель должен получить согласие на это кандидата на рабочее место.

Нас больше волнует самая живая проблема, это интернет. Об этом и пойдет речь

Сегодня сеть Интернет содержит массу необходимых и ценных данных, с одной стороны, но с другой — настоящий склад личной информации, которая является конфиденциальной.

Граждане России, имевшие неосторожность указать свой мобильный телефон или адрес электронной почты в графе персональных данных при заполнении различных бланков, карточек и анкет в сети интернет, часто сталкиваются со спамом, засоряющим электронный ящик.

Конституция Российской Федерации содержит понятие правового режима информации о гражданине, в том числе персональных данных и ее защиты.

Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.
Ограничение этого права допускается только на основании судебного решения, а также сбор, хранение, использование и распространение информации о частной жизни без его согласия не допускаются.

Что такое личная информация

Личная информация — это ваши имя и фамилия, паспортные данные (номер, серия, копия паспорта), пароли для доступа к различным сервисам и электронным кошелькам. Также личной информацией стоит считать:

номер вашего телефона,
номера телефонов ваших родственников,
ваш домашний адрес,
ваш возраст и дату рождения,
ваше место работы — если вы работаете, и номер школы и класса — если вы учитесь,
любые другие данные, с помощью которых можно разыскать вас или ваших родственников.

Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.

Что такое персональные данные

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Под персональными данными гражданского служащего понимаются сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле гражданского служащего либо подлежащие включению в его личное дело

В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласия физического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152, ст.8).

Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории.

Закон предусматривает, что иски о защите прав субъекта персональных данных, в том числе о возмещении убытков или компенсации морального вреда, могут предъявляться в суд по месту жительства истца. Закон устанавливает обязательность согласия субъекта персональных данных на их дальнейшую обработку.

Вы сами выбираете, какую информацию о себе сообщить

В интернете никто не может заставить вас предъявить паспорт или назвать настоящую фамилию. Некоторым сайтам (например, интернет-магазинам) необходимо знать о вас правду, но стоит ли раскрывать свои данные — всегда решаете вы. Если вы сомневаетесь в том, что какому-либо сайту можно доверить вашу личную информацию, — лучше не доверяйте.

Источник: https://malina-group.com/zashhita-personalnykh-dannykh/

Закон о персональных данных, понятие, хранение и обработка персональных данных работников и граждан

Персональные данные: защита персональных данных

Не всю информацию о человеке и его жизни можно распространять и публиковать в открытых источниках.

С самого начала интернет-экспансии границы стираются и данные, которые должны передаваться только с разрешения человека, у него буквально «воруют».

Рассмотрим детальнее, что такое персональные данные, что включает в себя это понятие, как хранятся данные с пометкой «ПД», что грозит за нарушение закона и несанкционированное распространение личной информации?

Нормативная база

Перечень законов о персональных данных:

Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации;
Указ Президента Российской Федерации от 03 апреля 1995 г. N 334;
Указ Президента Российской Федерации от 17 марта 2008 г. N 351;
Постановление Правительства РФ от 26.06.1995 О сертификации средств защиты информации N 608;
Постановление Правительства РФ от 15 августа 2006 г. N 504 О лицензировании деятельности по технической защите конфиденциальной информации;
Постановление Правительства РФ от 31 августа 2006 г. N 532 О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации;
Приказ ФСБ РФ от 9 февраля 2005 г. N 66 “Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)”;
Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 г. Москва “Об утверждении Положения об обеспечении безопасности личных данных при их обработке в информационных структурах персональных данных;
ГОСТы по информационной безопасности и защите информации;
ГОСТ Р 34.10-2001 Информационная технология. Криптографическая защита информации;
ГОСТ Р ИСО 7498-2-99 Информационная технология. Архитектура защиты информации;
ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования;
ГОСТ Р 50922-96 Защита информации. Основные термины и определения;
ГОСТ Р 52069.0-2003 Защита информации. Система стандартов. Основные положения.;
ГОСТ 28147-89 Системы обработки информации.

Федеральный закон “О персональных данных” можно скачать здесь:

Скачать документ бесплатно в Word [283.50 KB]

Классификация персональных данных

Согласно Федеральному закону «О персональных данных» это любая информация, которая прямо или косвенно относится к жизни субъекта. Что относится к персональным данным:

имя;
фамилия и паспортные данные;
место и дата рождения;
адрес прописки либо проживания;
семейное положение;
информация о доходах и задолженностях;
специальность, профессия,
информация о занятости;
доходы.

Сюда так же может относиться информация о социальных связях, контактах, личной жизни, покупках гражданина либо членов его семьи.

Согласно, части 1, статьи 85 ГК РФ, к личной информации работника предприятия относится вся информация, необходимая руководителю для регулирования всех трудовых процессов, связанных с конкретным работником.

Номер телефона является персональной информацией в РФ, так, как он привязан к паспортным данным.

Общие ПД

К общим данным можно отнести те, которые находятся “на поверхности”.

Общедоступные персональные данные – это имя, которое можно увидеть на бейджике сотрудника компании, его номер телефона в анкете на сайте, специальность и должность.

Если человек сам распространяет данные, которые не относятся к разделу “Общие”, это не даёт права гражданам распоряжаться ими или публиковать в открытых источниках.

Биометрические ПД

Сюда относится вес, рост, цвет волос и глаз, отпечатки пальцев, национальность, особые приметы. Эти данные используются сотрудниками спецслужб для создания ориентировок и поиска преступников в базах данных.

Полиция и правоохранительные органы не имеют права снимать у граждан отпечатки пальцев без веской причины и заносить их информацию в базу данных.

Специальные ПД

Сюда относится расовая и национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни. Распространение этой информации не допускается, за исключением случаев, предусмотренных частью 2 ФЗ-152.

Никакие обстоятельства не обязывают гражданина разглашать эти данные сотрудникам полиции или публично. В данной просьбе можно отказать на законных обстоятельствах.

Обезличенные ПД

Это те данные, принадлежность которых невозможно установить. Обезличивание – процесс “отчуждения” данных, который делает личную информацию публичной.

Пример: В организации работают 2 сотрудника – мужчина и женщина. Мужчина соблюдает дресс-код, а женщина носит паранджу. Если работодатель подаст статистику о количестве верующих и/или религиозных людей, а конкретно – один атеист, один верующий, вычислить кто есть кто будет просто.

Такой топорный пример не является прямым нарушением закона, тем не менее передаёт личные данные (а вдобавок, специальные) третьим лицам.

Обработка персональных данных

Защита персональной информации может обеспечиваться несколькими источниками права:

Первым источником защиты является ТК РФ, в котором закреплены гарантии, нормы, правила регуляции обмена и открытой публикации материалов работника;
Вторым источником является система организационно-правовых отношений, устав предприятия, политика конфиденциальности, общепринятая в данной трудовой сфере;
Третьим фактором служит право на защиту личной информации, гарантированное Конституцией РФ каждому её гражданину.

Обмен информацией и использование персональных данных возникают на протяжении всего рабочего процесса, между работодателем и сотрудником, между сотрудниками, а также третьими лицами.

Высший приоритет в урегулировании конфликтных ситуаций имеет Трудовой Кодекс Российской Федерации, за ним идёт уставо-правовые нормы организации, а потом уже право на защиту, гарантированное Конституцией РФ. Работодатель не может просто так требовать от сотрудника предоставить информацию.

Оглашению подлежит лишь та информация, которая необходима для заключения трудового договора, оформления нормативных документов, возможного урегулирования конфликтных и спорных ситуаций, коллективного или корпоративного договора с третьими лицами (согласно тексту ст. 22 ТК РФ).

Способы защиты личной информации и предохранительные меры

Организационные:

Ограниченный доступ к хранилищам и архивам материалов;
Верификация запрашивающего лица перед предоставлением информации;
Ознакомительный формат предоставления сведений;
Санкции и штрафы за нарушения правил.

Технические:

Криптография и шифрование данных;
Создание отдельных серверов и каналов связи;
Уничтожение неактуальных материалов;
Экранировка помещений и устройств, для защиты от взлома.

Право на защиту персональной информации работник может реализовать через:

Свободное бесплатное обращение к документам, где фигурируют его личные данные (может потребовать копию любого нормативного документа).
Требование по отношению к работодателю, заключающееся в удалении или изменении персональных данных, либо их части.
Путём обжалования процедуры подачи, обработки и публикации сведений, организацией.

Пошаговая инструкция по защите данных в организации:

Разработка проекта алгоритма обработки персональных сведений;
Разработка системы согласия и отказа на обработку личных материалов;
Разработка проекта уведомительных сообщений о включении личных материалов в общий поток;
Проектирование структуры, обязующейся сохранять информацию с ограниченным доступом;
Издательство приказа о введении материалов работников предприятия в базу данных, определение порядка и способа обработки и передачи информации, назначение ответственных, обозначение санкций и штрафов за нарушение устава;
Внесение изменений или дополнений в трудовые и должностные инструкции работников, которые ответственны за хранение, предоставление и обработку личных сведений.

В интернете, как и других открытых источниках, также хранятся и обрабатываются данные пользователей. С 2017 года сайты, которые используют технологию cookie, обязаны оповещать пользователей об этом. Эта технология позволит показывать релевантную рекламу, оптимизировать процесс работы, ускорить технические алгоритмы. Тем не менее, они собирают данные о гражданах:

историю посещений;
ссылки и переходы (сайт видит, с какой страницы пользователь на неё попал);
какие аккаунты привязаны к учётной записи (если авторизоваться на сайте при помощи профиля в социальной сети);
поисковые запросы (не только на конкретном ресурсе. Google, Yandex и прочие техно-гиганты собирают всю информацию а пользователях).

Сбор, хранение и обработка данных происходит в обязательном порядке. Если пользователь против – нужно покинуть ресурс, который собирает информацию. Продолжая работу с сайтом, пользователь даёт своё согласие на сбор данных.

Что делать, если данные используются без вашего согласия

В первую очередь просмотреть – являются ли они специальными ПД и запрещено ли их распространение. Если закон нарушен – в срочном порядке нужно обратиться в полицию с заявлением, где чётко указать обстоятельства и время кражи. Сослаться на статью 137 УК РФ.

В зависимости от классификации и элементов преступления, можно рассчитывать на возмещение в виде выплаты, размером 1 000 – 50 000 рублей. Для должностных лиц штраф намного выше.

Уголовная ответственность предусматривает лишение свободы сроком до 2 лет (максимальная мера пресечения).

Надеемся, что наша статья помогла читателю разобраться с вопросами ПД. Помните, что законы и права человека в РФ нарушаются ежедневно, а за помощью в правоохранительные органы обращаются только единицы. Если читатель стал жертвой или свидетелем кражи персональной информации – молчать нельзя. Сегодня это чужие права, завтра – ваши.

Источник: https://trud.guru/ohrana/personalnye-dannye.html

С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 290 тысяч для всех, у кого есть сайт

Персональные данные: защита персональных данных

/ Блог / Просто о сложном / С 1 июля штрафы за нарушение закона о персональных данных увеличатся до 290 тысяч для всех, у кого есть сайт

Большинство владельцев сайтов хоть краем уха, но слышали о нарушении законодательства в области персональных данных. Если ранее большое количество владельцев сайтов закон проигноировали, теперь с ним придется считаться.

7 февраля этого года внесены поправки в статью 13.11 КоАП по поводу нарушений закона о персональных данных. Они вступят в силу 1 июля 2017 года и коснутся всех, кто собирает, обрабатывает и хранит любые персональные данные.

Исполнение закона поручено Роскомнадзору, который сейчас активно блокирует сайты в соответствии с другими законами, а значит и за исполнение этого примется.

Что это значит?

Это значит, что все владельцы сайтов, на которых есть личные кабинеты, формы обратной связи, подписки или регистрации, где можно что-то купить, разместить объявление, заполнить анкету, — это операторы персональных данных. Даже если на сайте есть только кнопка для заказа звонка или отправки сообщения — это тоже обработка персональных данных.

За отсутствие на сайте политики конфиденциальности, ИП могут оштрафовать на 10 тысяч рублей, а ООО — на 30 тысяч. А если обрабатывать персональные данные без согласия клиента интернет-магазина или подписчика на информационный курс, то штраф для юридического лица составит до 75 тысяч рублей. Директору компании или предпринимателю придется заплатить до 20 тысяч.

Что нужно делать, чтобы не нарушать закон о персональных данных?

Что делать?	Как?
получать письменное согласие у каждого посетителя, клиента или подписчика на обработку, хранение и распространение персональных данных	Во всех формах обратной связи на сайте поставить галочку по умолчанию: «Согласен на обработку персональных данных.». Без галочки форма не должна отправляться.
публиковать в открытом доступе информацию о работе с персональными данных клиентов и посетителей	Составить текст «Политики конфиденциальности» (или взять на другом сайте с аналогичными вашим целями и задачами по сбору данных, доработав под себя) и разместить на сайте.
запрашивать только те данные, которые нужны для конкретной цели. Например, нельзя просить домашний адрес или паспортные данные для подписки на рассылку по электронной почте	Проверить все формы и анкеты на сайте на предмет лишних данных. Удалить ненужные поля.
использовать данные только для тех целей, которые указаны в документах и о которых пользователя предупредили;	Не передавать никому свои клиентские базы. Не использовать не по назначению.
сообщать по запросу пользователя, какие у вас есть данные о нем, как и для чего они обрабатываются и кому вы их передавали	Организовать единую систему хранения данных внутри компании. Научить сотрудников, работающих с данными, ей пользоваться.
удалять по первому требованию данные любые персональные данные, которые у вас имеются о пользователе;	В рассылках в обязательном порядке реализовать возможность отписаться от рассылки.
зарегистрироваться в Роскомнадзоре. Он внесет информацию об операторе в общий реестр и будет выдавать по запросу.	Необходимо подать уведомление онлайн на сайте Роскомнадзора. Началом деятельности в качестве оператораперсональных данных, укажите дату регистрации компании.

Какие документы нужно подготовить и где их разместить, чтобы не получить штраф?

Четкого перечня документов Законодательством не предусмотрено, при этом их должно быть достаточно для выполнения обязанностей, предусмотренных Законом о персональных данных.

Ниже представлен перечень документов, которые могут потребовать контролеры из Роскомнадзора:

Документы, подтверждающие исполнение оператором ПДн требований статьи 22 ФЗ №152:

Уведомления Роскомнадзора о намерении осуществлять обработку персональных данных.

Положения, приказы и иные документы, регламентирующие обработку ПДн:

Перечень ПДн и иных объектов, подлежащих защите,
Политика в отношении обработки ПДн (общедоступная, на сайте),
Положение о коммерческой тайне,
Положение об обработке и защите персональных данных работников,
Положение об обработке и защите персональных данных клиентов,
Приказ о назначении уполномоченного сотрудника, ответственного за обеспечение информационной безопасности и защиту персональных данных,
Приказ о допуске сотрудников к обработке ПДн.

Документы и приказы, регламентирующие вопросы проектирования системы защиты ПДн:

Положение о мерах по организации защиты информационных систем персональных данных (ИСПДн),
Модель угроз,
Акт определения уровня защищенности ПДн при их обработке в информационных системах персональных данных (ИСПДн),
План мероприятий по обеспечению безопасности ПДн,
Перечень ИСПДн,
Приказ о проведении анализа угроз безопасности ПДн.

Положения, приказы и иные документы, регламентирующие вопросы обеспечения информационной безопасности (ИБ):

Положение об организации режима безопасности помещений, где осуществляется работа с ПДн (инструкция),
Положение об антивирусной защите,
Положение о парольной защите,
Инструкция по проведения антивирусного контроля в информационной системе персональных данных,
Регламент проведения мероприятий по контролю процессов обработки и системы защиты ПДн,
Положение о порядке хранения и уничтожения носителей ПДн,
Инструкция о порядке резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах персональных данных,
Регламент проведения инструктажа по информационной безопасности,
План внутренних проверок режима защиты персональных данных,

Должностные инструкции и шаблоны форм документов, акты и договора, касающиеся обработки ПДн:

Должностные инструкции сотрудников, обрабатывающих ПДн
Должностные инструкции сотрудников, обеспечивающих ИБ
Инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций
Соглашения о неразглашении работниками персональных данных
Шаблоны форм согласия субъекта ПДн данных на обработку его ПДн
Форма Акта об уничтожении информации, размещенной на электронных носителях и содержащей персональные данные
Типовая форма письменного согласия субъектов персональных данных на обработку его персональных данных
Типовая форма ответа Субъекту персональных данных на его запрос
Акты об уничтожении персональных данных субъекта(ов) персональных данных
Договора с третьими лицами, которым Вы передаете персональные данные на обработку, или договора с операторами ПДн, которые передают Вам, как третьему лицу,персональные данные для их обработки (например: договора транспортными компаниями, с банками, страховыми компаниями и т.п.). Такие договора должны содержать перечень операций с ПДн, которые будут совершаться третьим лицом, цели обработки, обязанность третьего лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, требования к защите обрабатываемых персональных данных.
Документы, подтверждающие Ваше право обработки персональных данных. Например, согласие субъекта ПДн, договор с субъектом ПДн, договор с оператором ПДн, покоторому Вы являетесь третьим лицом, которому оператор ПДн поручает обработку ПДн.

Журналы, обязательные к ведению в делопроизводстве, связанном с обработкой персональных данных:

Журнал инструктажа сотрудников по вопросам ИБ,
Журнал учета обращений и запросов субъектов ПДн, их законных представителей и государственных контролирующих органов,
Журнал учета носителей информации информационной системы персональных данных,
Журнал учета съемных и мобильных носителей информации,
Журнал учета мероприятий по контролю соблюдения режима защиты персональных данных в информационных системах,
Журнал учета применяемых технических средств защиты ИСПДн,
Журнал учета мероприятий по контролю обеспечения защиты персональных данных,
Электронный журнал обращений пользователей информационной системы к ПДн,
Журнал периодического тестирования средств защиты информации,
Журнал по учету мероприятий по контролю государственными и муниципальными органами.

Здесь вы можете скачать все необходимые документы: http://www.freshdoc.ru/zashita_personalnyh_dannyh/docs/instrukcii/instrukcija_administratora_ispdn/ — если знаете точно, какие документы вам нужны.

Этот пакет документов необходимо хранить в распечатанном виде. Все инструкции и регламенты должны быть подписаны сотрудниками.

Докажите, что это мой сайт!

Достаточно распространенный вопрос – как будет установлено, что сайт принадлежит компании, если доменное имя и хостинг оформлены на частное лицо.

Если отсутствует договор, то напрямую данную информацию установить невозможно. Принадлежность сайта можно установить только по косвенным признакам. Например, по указанной на сайте информации, относящейся к вашей компании (адрес, телефонный номер и так далее). Сайт могут заблокировать на время проверки принадлежности компании.

Подготовьте все и спите спокойно)

Все перечисленное может вам и не пригодиться, Роскомнадзор может и не прийти к вам с проверкой. Но, если проверка будет организована, а у вас не окажется нужных документов это чревато штрафами и блокировкой сайта сроком до 90 дней. А это повлечет за собой очень серьезные последствия для вашего бизнеса.

В качестве иллюстрации к статье используется афиша к художественному фильму Snowden, 2016

Продолжить

Источник: https://opexu.com/personal-dannye/

Защита персональных данных

Персональные данные: защита персональных данных

Сегодня невозможно представить деятельность какой-либо организации без хранения и обработки данных о человеке. Организация может хранить данные о своих сотрудниках, о клиентах или контрагентах.

Защита персональных данных является на сегодняшний день одним из важных направлений в обеспечении информационной безопасности большинства организаций. Личные данные могут представлять большую ценность.

Они могут служить и орудием преступления или использоваться в конкурентной борьбе между компаниями. Поэтому персональные данные нуждаются в профессиональной защите.

К персональным данным относится информация, которую человек может предоставить о себе сам или данные, которые позволяют однозначно идентифицировать человека. Это могут быть: фамилия, имя, отчетсво, дата рождения, место рождения, адрес, семейное положение, данные о владении имуществом, образовании, доходах и т.д.

Персональные данные разделяются на следующие категории:

1 группа. Информация о расовой и национальной принадлежности, о религиозных и политических убеждениях, о состоянии здоровья.
2 группа – биометрические данные. Данные характеризующие физические данные человека. Это могут быть фотографии, отпечатки пальцев.
3 группа – общедоступные данные. Это сведения о человеке, которые предоставлены самим человеком.
4 группа – иные категории данных, которые не попадают в первые три группы.

Ничего непонятно?

Попробуй обратиться за помощью к преподавателям

Определение 1

Уровень защищенности персональных данных – это комплексный показатель, который отражает выполнение требований по нейтрализации угроз безопасности информационных систем, хранящих персональные данных

Требования к защите персональных данных в информационных системах установлены постановлением правительства РФ от 1.11.2012 №119. Согласно постановлению существует три типа угроз:

Угрозы 1-го типа. Связаны с наличием в системном программном обеспечении возможностей, которые не оговорены в документации к нему.
Угрозы 2-го типа. Связаны с наличием в прикладном программном обеспечении возможностей, которые не оговорены в документации к нему.
Угрозы 3-го типа. Не связаны с наличием недокументированных возможностей в прикладном ПО.

Оценку уровня угроз осуществляют эксперты в области информационной безопасности. Сначала необходимо определить для информационной системы уровень актуальных угроз. Далее в зависимости от выявленного уровня необходимо выполнить ряд мер по организации защиты. Меры по организации защиты персональных данных условно можно разделить на три уровня:

Административный уровень – назначение должностных лиц, разграничение ответственности, утверждение документов.
Прикладной уровень – меры, которые осуществляются программными методами внутри самой информационной системы.
Системный уровень – меры, которые осуществляются программными и аппаратными методами на уровне сети и операционной системы.

Административные меры

Обеспечить безопасность помещений.
Обеспечить сохранность носителей с данными.
Утвердить документально перечень лиц, которые могут иметь доступ к данным, хранящимся в информационной системе, с целью выполнения служебных обязанностей.
Проверить сертифицированы ли используемые средства защиты информации.
Назначить должностных лиц или отдельную структуру (отдел безопасности), ответственных за обеспечение безопасности персональных данных.

Меры прикладного уровня

В информационных системах должны применяться следующие способы защиты информации:

Пароли при записи в базу данных шифруются. Чаще всего для этого используется метод md5. Например, вместо пароля «abs32» в базу запишется строка «d912d688926b43c9d0a2bd9dd9946bb5». Даже если злоумышленник получит доступ к базе данных пользователей с паролями, то восстановить пароль по шифру практически не возможно.
Ограничение минимальной длины пароля и проверка надежности пароля с целью исключения подбора пароля. Единственным способом получить пароль по шифру md5 является получение баз данных стандартных паролей. Допустим, шифр пароля «12345» давно известен злоумышленникам. Поэтому с целью повышения надежности нужно создавать нестандартные пароли. Они должны быть не короче определенной длины, содержать буквы в разных регистрах и цифры.
Информационная система должна быть снабжена средствами защиты от подбора пароля.
Должна быть запрещена на техническом уровне работа нескольких пользователей в системе под одним и тем же логином.
Права доступа пользователей должны настраиваться лично уполномоченным администратором системы.
Пользователи не должны иметь прямого доступа в систему управления базами данных.
Должна быть продумана политика управления сеансами пользователей. Например, при отсутствии активности в течении определенного времени сеанс автоматически завершается.
Диапазона IP-адресов, с которых разрешен вход в систему, должен быть ограничен.
Объекты системы должны храниться исключительно на серверах. Хранение на персональном компьютере пользователя должно быть исключено.

Системные меры

Замечание 1

На системном уровне для защиты информации следует пользоваться сертифицированными межсетевыми экранами и антивирусным ПО. Межсетевой экран (файрвол, брандмауэр) это аппаратный и программный комплекс, который осуществляет контроль и фильтрацию проходящих через него сетевых пакетов. Контроль и фильтрация проводятся в соответствии с настраиваемыми правилами.

Основная функция межсетевого экрана – защита узлов сети от несанкционированного доступа. Типичными функциями межсетевого экрана являются:

Фильтрация доступа к различным службам.
Препятствование получению информации из подсети.
Препятствование внедрению в защищенную подсеть несанкционированных данных.
Контроль доступа к узлам сети.
Регистрация всех попыток доступа извне и изнутри.
Регламентирование порядка доступа к сети.
Уведомление о подозрительной деятельности, попытках атак на узлы сети или сам межсетевой экран.

Федеральная служба по техническому и экспортному контролю (ФСТЭК) разработала и утвердила реестр сертифицированных межсетевых экранов, которым следует руководствоваться при выборе средств информационной защиты.

Другим важным средством предотвращения утечки личных данных является защита от вирусов. Именно вирусные программы часто занимаются воровством информации и организацией скрытых каналов утечки. Современные антивирусные программы включают в себя следующие функции:

Сигнатурная защита – быстрое реагирование на вторжение.
Поведенческий анализ программ.
Экраны на уровне приложений.
Контроль целостности важных для операционной системы данных.

Источник: https://spravochnick.ru/informacionnaya_bezopasnost/zaschita_personalnyh_dannyh/

Персональные данные работника понятие и их защита

Персональные данные: защита персональных данных

Информация о личности человека, включающая персональные данные, защищена законодательно. В России запрещено передавать информацию о человеке посторонним без его ведома.

За это предусмотрено наказание – и административное, и уголовное! Кадровик рискует быть привлечённым к ответственности, если законные требования о защите личной информации будут нарушены.

Давайте до тонкостей разберём, что такое персональные данные работника, понятие и их защита.

Что входит в персональные данные работника

Персональные данные по понятию законодателя, это любая информация, косвенно или прямо относящаяся к работнику. Кадровику доступны такие личные данные:

ФИО;
адрес;
телефон;
паспортные данные;
семейное положение;
должность и профессия;
размер зарплаты;
ИНН;
номер страхового пенсионного свидетельства;
личные данные о воинском учёте;
место работы;
сведения о стаже и местах работы;
сведения об основаниях увольнения с прошлых мест работы;
сведения о долгах (по алиментам или кредитам);
данные о здоровье (инвалидности).

Вот такую информацию о работниках вам нужно правильно защитить.

Защита персональных данных работника

В документах отдела кадров по номенклатуре обязательно должно присутствовать Положение о персональных данных работников. Этот локальный акт в точности должен соответствовать 152-му закону. О том, как составить и утвердить положение, будет разъяснено в отдельной статье, а пока вернёмся к требованиям закона.

19-я статья Закона и Требования к защите данных обязывает кадровика к следующим мерам по защите информации:

личные дела работников не должны быть доступны посторонним лицам (нужно хранить их в сейфе);
кадровые компьютерные программы должны быть легальными и сертифицированными;
экран компьютера, на котором установлена кадровая программа, не должен быть в прямой видимости посторонних лиц, как и сам компьютер не должен использоваться посторонними;
используемый кадровиком компьютер не должен иметь выход в интернет во избежание вирусных угроз и похищения информации;
кадровик должен быть назначен ответственным за хранение и обработку персональных данных приказом начальства;
все флешки, диски или дискеты, как и бумажные документы, содержащие личную информацию, должны быть учтены в реестре и храниться в сейфе;
нельзя передавать личную информацию (в том числе сканы или копии документов) по факсу, электронной почте или по телефону.

Обратите внимание: каждый кадровик в качестве черновиков использует ненужные документы. Если на документе есть личная информация (например, вы делаете записи на обратной стороне копии чьего-то паспорта) – не оставляйте его на столе, не передавайте кому-либо, не выкидывайте в мусор! Лучше все ненужные документы с данными сразу уничтожать.

Согласие работника на обработку персональных данных

Статья 6 Закона разъясняет, при каких условиях должна обрабатываться личная информация:каждый работник обязательно должен письменно согласиться с обработкой его данных.

Согласие работника архиважно, не забывайте об этом! В законе работника обозвали «субъектом персональных данных», от которого просто необходимо получить письменное согласие на обработку его личной информации.

Всё о согласии расписано в 9 статье закона.

Основное правило получения согласия – подпись на документе о согласии должна быть лично работника или его представителя по доверенности (доверенность должна быть приложена к документу).

Документ о согласии должен включать:

ФИО, адрес, серия, номер, дата и место выдачи паспорта работника (и представителя, если имеется доверенность);
ФИО, должность и место работы кадровика;
цель обработки данных;
список личных данных;
список действий, которые будет производить кадровик с данными;
срок действия согласия (срок трудового договора);
подпись работника с расшифровкой.

Согласие работника Чтобы правильно составить согласие работника на обработку персональных данных, образец заполнения можно скачать здесь.

Работа кадровика интересная, но не стоит забывать об ответственности. Для того, чтобы вы не попали в неприятную ситуацию, тут и рассмотрены вопросы – что такое персональные данные работника, понятие и их защита.

Подробней по теме:

Источник: https://pravo-v-dele.ru/deloproizv/lichdela/personalnye-dannye.html