Защита песональных данных



       Персональные данные (ПДн) - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

       Оператором ПДн является любой государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Оператор обязан принимать организационные и технические меры, для защиты персональных данных от несанкционированного доступа (НСД), уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.

       Информационные системы персональных данных (ИСПДн) - информационные системы, представляющие собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации - есть на каждом предприятии, в любой организации. Информационной системой персональных данных может быть, например, система автоматизации бухгалтерского учета ("1С Бухгалтерия"), или система автоматизации расчета зарплаты и кадрового учета ("1С Зарплата"), или система персонифицированного учета для ПФР, или базы данных клиентов, сотрудников организации, анкеты в электронном виде и т.п.

       AО "Кросс технолоджис" поможет Вам разобраться в этой проблеме, а также проведет все необходимые мероприятия по защите Вашей информационной системы, обрабатывающей персональные данные, в соответствии с действующим законодательством Российской Федерации и существующей нормативно-правовой базой.

       Наши специалисты выполнят:

•    Консультации по вопросам защиты персональных данных;
•    Анализ информационных ресурсов (определение состава, содержания, местонахождения ИСПДн; способов обработки ПДн, подлежащих защите; наличия средств защиты информации);
•    Выявление уязвимостей и возможных угроз безопасности ПДн:
   o       Составление перечня уязвимостей и возможных угроз безопасности ПДн;
   o       Оценка актуальности угроз безопасности ПДн;
   o       Создание частной модели угроз безопасности ПДн;Дн;
•    Классификацию ИСПДн;
•    Обоснование требований безопасности ПДн, обрабатываемых в ИСПДн;
•    Оценку достаточности фактически реализованных мер защиты ПДн подготовят заключение об их целесообразности и рекомендации по их совершенствованию);
•    Создание системы защиты ПДн (СЗПДн), обрабатываемых в ИСПДн:
   o       Разработка системы защиты персональных данных, обрабатываемых в ИСПДн;
   o       Создание матрицы доступа к персональным данным, обрабатываемым в ИСПДн;
   o       Поставка, установка, наладка, опытная эксплуатация, устранение недостатков по результатам опытной эксплуатации и ввод в эксплуатацию системы защиты персональных данных, обрабатываемых в ИСПДн;
•    Оценку состояния организационно-распорядительной документации по организации защиты ПДн (подготовят заключение об их достаточности и рекомендации по доработке в случае необходимости);
•    Разработку организационно-распорядительной документации по организации защиты персональных данных, обрабатываемых в ИСПДн:
   o       Разработка Положения по обеспечению безопасности персональных данных при их обработке в ИСПДн;
   o       Разработка инструкций по безопасности ПДн, обрабатываемых в ИСПДн;
   o       Разработка журналов регистрации событий.
•    Аттестацию ИСПДн по требованиям безопасности информации (оценку соответствия или декларирование требованиям безопасности информации);
•    Техническое обслуживание и сопровождения системы защиты персональных данных.
Основные нормативно-правовые документы, регламентирующие защиту персональных данных:
•    Федеральный закон № 152-ФЗ "О персональных данных" от 27 июля 2006 г.
•    Положение "Об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", утверждено постановлением Правительства Российской Федерации № 687 от 15 сентября 2008 г.
•    Требования к защите персональных данных при их обработке в информационных системах персональных данных, утверждены Постановлением Правительства РФ от 01 ноября 2012 г. № 1119
•    Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные Приказом ФСТЭК России от 18 февраля 2013 г. № 21
•    Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, утверждены Постановлением Правительства РФ от 06 июля 2008 г. № 512
•    Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, утверждено Постановлением Правительства РФ от 15 мая 2010 г. № 330
•    Методика определения актуальных угроз безопасности персональным данным при их обработке в информационных системах персональных данных, утверждена зам. директора ФСТЭК России 14 февраля 2008 г.
•    Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена зам. директора ФСТЭК России 15 февраля 2008 г.
•    Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утверждены приказом ФСБ России от 21 февраля 2008 г. № 149/54-144
•    Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. № 149/6/6-622
Невыполнение требований указанных документов может привести к конфликту с государственными органами, осуществляющими контроль и надзор в данной сфере деятельности (Роскомнадзор, ФСБ России, ФСТЭК России), привлечением организации и (или) ее руководителя к административной или иным видам ответственности.
Возможны также гражданские иски, принудительное приостановление или прекращение обработки персональных данных, при определенных условиях возможно приостановление деятельности или аннулирование лицензий. Согласно ст. 24 Федерального Закона "О персональных данных" на лиц, виновных в нарушении его требований, возлагается гражданская, уголовная, административная, дисциплинарная и иная предусмотренная законодательством Российской Федерации ответственность.

       На настоящий момент предусмотрена следующая административная ответственность для операторов персональных данных:

•    за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных: на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей (ст. 13.11 КоАП РФ);
•    за разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей: на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч до пяти тысяч рублей (ст. 13.14 КоАП РФ);
•    за отказ в предоставлении, несвоевременное предоставление, предоставление неполной или заведомо недостоверной информации: гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина в размере от пятисот до одной тысячи рублей (ст. 5.39 КоАП РФ).
Преступлениями, влекущими за собой уголовную ответственность, являются:
•    незаконные сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации - наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев (ст. 137 УК РФ);
•    неправомерный отказ должностного лица в представлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан - наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет (ст. 140 УК РФ);
•    неправомерный доступ к охраняемой законом компьютерной информации, содержащейся на машинном носителе, в электронно-вычислительной машине, системе ЭВМ или сети, если это деяние повлекло за собой уничтожение, блокировку, модификацию, либо копирование информации, нарушение работы ЭВМ, системы или сети - наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет (ст. 272 УК РФ).