ГлавнаяПродуктыРешенияОтчетность через интернетУчебный центрЭлектронные торгиСкачатьО компании

Организация защиты персональных данных


 

Введение

Обзор законодательства по персональным данным

Ответственность за неисполнение требований по защите персональных данных

Системы госконтроля и надзора в области защиты персональных данных

Организация защиты персональных данных на основе принятых нормативных правовых актов

Что компания «Информационный центр» готова предложить для обеспечения защиты ПД на Вашем предприятии?


Введение

Сегодня обеспечение безопасности персональных данных (далее – ПД) является одной из острейших проблем в информационной сфере и взаимоотношениях государства, юридических и физических лиц.

С выходом нового приказа ФСТЭК России № 21 от 18 февраля 2013 года (зарегистрирован Минюстом 14 мая 2013 года) у операторов персональных данных появилось больше свободы в выборе мер, направленных на нейтрализацию выявленных угроз безопасности. Таким образом, грамотный подход к моделированию угроз и созданию технического задания на создание системы защиты информационной системы позволит операторам резко снизить расходы на технические средства защиты информации. Также огромным плюсом является гибкость нового документа, позволяющая использовать только те решения по защите ПДн, которые позволят максимально сократить вносимые изменения в инфраструктуру или вообще отказаться от реинжиниринга сетей, обеспечив при этом максимальную эффективность системы защиты.

Тем не менее, требования законодательства должны исполнить все государственные и частные организации, которые обрабатывают персональные данные, как своих сотрудников, так и ПДн клиентов, абонентов, контрагентов и других типов субъектов.

Обзор законодательства по персональным данным

Для защиты основных свобод и прав граждан разные государства Европы приняли различные нормативно-правовые акты. Не стала исключением и Россия, где с 3-го января 2007 года вступил в действие Федеральный Закон РФ от 27 июля 2006 года №152-ФЗ «О персональных данных». Он направлен на реализацию конституционных положений, закрепляющих право каждого на неприкосновенность частной жизни и свободу информации, а также международных обязательств Российской Федерации по ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных в соответствие с Федеральным Законом от 19 декабря 2005 года №160 «О ратификации конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».

Законом предусматриваются общие унифицированные требования к сбору и обработке персональных данных физических лиц во всех сферах, где используются эти данные, принципы трансграничной передачи персональных данных, а также меры государственного контроля за деятельностью государственных органов, органов местного самоуправления, юридических и физических лиц, связанной с обработкой персональных данных.

В связи тем, что статья 19 закона в новой редакции (от 25.07.2011) была полностью переписана, были приняты новые подзаконные акты и регламентирующие документы, в частности – Постановление Правительства № 1119 от 01.11.2012 и Приказ ФСТЭК России № 21 от 18.02.2013.


Ответственность за неисполнение требований по защите персональных данных

За ненадлежащее исполнение вышеперечисленных нормативных правовых актов по защите персональных данных возлагается гражданская, уголовная, административная, дисциплинарная и иная предусмотренная законодательством РФ ответственность. В таблице приведены меры наказания за невыполнение требований законодательства по защите персональных данных:

Статья Нормативно-
правовой акт
Название статьи

 Максимальная мера наказания


13.12 КоАП Нарушение правил защиты или спользование несертифицированных средств
 защиты или нарушение условий лицензии ФСТЭК / ФСБ
20.000 руб. + конфискация + приостановление деятельности  на срок до 90 суток 
13.13 КоАП Деятельность в области защиты ПДн без лицензии ФСТЭК / ФСБ 20.000 руб. + конфискация
13.14 КоАП Разглашение персональных данных  5.000 руб.
19.4 КоАП Невыполнение требований или воспрепятствование исполнению обязанностей ФСТЭК  10.000 руб.
19.5 КоАП Невыполнение в срок требований надзорного органа или ФСТЭК 500.000 руб. + дисквалификация должностного лица до 3-х лет
19.6 КоАП Непринятие мер по устранению нарушений  500 руб.
19.7 КоАП Непредставление или представление в неполном или искаженном виде в Россвязькомнадзор сведений об
 операторе ПДн
5.000 руб.
19.20 КоАП Осуществление деятельности без лицензии или с нарушением ее условий 20.000 руб. + приостановление
 деятельности на срок до 90 суток
137 УК Нарушение неприкосновенности частной жизни 300.000 руб. + исправительные работы на срок до 240 часов + арест до 6-ти месяцев
171 УК Незаконное предпринимательство 300.000 руб. + обязательные работы на срок до 1-го года + арест до 6-ти месяцев + лишение права занимать должность на срок до 5-ти лет
81 ТК Разглашение охраняемой законом тайны увольнение
90 ТК Нарушение норм получения, обработки и защиты ПДн увольнение
237 ТК Неправомерные действия или бездействия работодателя Размер возмещения морального ущерба определяет суд

Репутационные потери организаций, уличенных в нарушении законодательства в сфере персональных данных, не поддаются оценке денежным эквивалентом.

Примечание:

  • КОАП – Кодекс об административных правонарушениях
  • УК – Уголовный Кодекс
  • ТК – Трудовой Кодекс.

Системы госконтроля и надзора в области защиты персональных данных 

Основные составляющие системы государственного контроля и надзора за обеспечением безопасности ПД при их обработке в информационных системах:

  • Росскомнадзор – уполномоченный орган по защите прав субъектов ПД;
  • ФСБ РФ – федеральный орган исполнительной власти, уполномоченный в области обеспечения государственной безопасности и применения средств шифрования;
  • ФСТЭК РФ (Федеральная служба по техническому и экспортному контролю и противодействия иностранным разведкам) – уполномоченный орган в области контроля используемых технических средств защиты;
  • Министерство информационных технологий и связи РФ – уполномоченный орган в области контроля за порядком проведения классификации информационных систем, содержащих персональные данные. 

Таким образом, создается продуманная система государственного контроля операторов, обрабатывающих персональные данные.

Организация защиты персональных данных на основе принятых нормативных правовых актов

В целом, в соответствии с новыми руководящими документами, система защиты персональных данных должна строиться следующими этапами:

  • Выделение информационных систем персональных данных, определение типов субъектов в каждой ИСПДн (сотрудник или не сотрудник), определение количества субъектов в ИСПДн, определение категории обрабатываемых ПДн (специальные, биометрические, общедоступные или иные).
  • Разработка модели угроз и модели нарушителя для каждой ИСПДн. На этом этапе определяется тип актуальных угроз (1, 2 или 3 тип).
  • В соответствии с определенными ранее параметрами и согласно Постановлению Правительства № 1119 определяется уровень защищенности каждой ИСПДн.
  • В соответствии с установленным уровнем защищенности выбирается базовый набор мер для каждой ИСПДн согласно Приказу ФСТЭК № 21 от 18.02.2013.
  • Базовый набор мер адаптируется под конкретную ИСПДн (например, из списка мер удаляются меры по обеспечению безопасности в виртуальных средах, если виртуальная инфраструктура в организации не развернута).
  • Уточняется адаптированный базовый набор мер. На этом этапе базовые меры могут быть заменены на компенсирующие меры из того же Приказа ФСТЭК № 21. Либо при технической невозможности внедрения мер из Приказа ФСТЭК № 21 могут быть выбраны другие компенсирующие меры, разработанные оператором самостоятельно. Свои меры оператор ПДн может внедрять так же если использование мер из Приказа ФСТЭК № 21 экономически неэффективна. Экономическая неэффективность должна быть обоснована, например итогами проведения процедуры анализа рисков.
  • Выполняются организационные меры из итогового списка. Выбираются технические решения для выполнения технических мер. Закупаются, внедряются и настраиваются сертифицированные технические решения, если таковые необходимы для нейтрализации выявленных актуальных угроз.
  • Не реже чем раз в три года проводится оценка эффективности принятых мер и, при необходимости, уточнение списка мер, предполагаемых к реализации.

Что компания «Информационный центр» готова предложить для обеспечения защиты ПД на Вашем предприятии?

  • провести полный анализ информационных систем персональных данных, оценить актуальные угрозы, степень возможного ущерба при утечке ПД, представить план построения системы защиты, нейтрализующий выявленные угрозы с учетом особенностей функционирования инфраструктуры предприятия;
  • осуществить поставку, установку и настройку сертифицированных средств защиты информации;
  • подготовить организационно-распорядительные документы регламентирующие как автоматизированную так и неавтоматизированную обработку ПД;
  • провести оценку эффективности принятых мер.