Почти пять лет прошло с момента принятия первой редакции Федерального закона № 152-ФЗ «О персональных данных», а споры вокруг этого документа не думают утихать и по сей день. Тематике защиты персональных данных (ПДн) сейчас посвящена не одна сотня интернет-ресурсов, разномастные эксперты за пять лет понаписали кучу пропагандистских, научно-практических и юридически-философских статей, учебные организации предлагают всевозможные курсы повышения квалификации (чуть ли не пятую их версию), а системные интеграторы, от мала до велика, наперебой предлагают свои услуги организациям — операторам ПДн по приведению последних в соответствие с 152-ФЗ.

От темы не отстают и регуляторы — органы государственной власти, наделенные правом государственного контроля и надзора в сфере персональных данных: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Федеральная служба безопасности (ФСБ). Представители этих служб с большим желанием (в последнее время) участвуют в различных семинарах и конференциях, посвященных проблематике обработки ПДн, а операторы охотно идут на мероприятия с их участием.

Однако если почитать специализированные интернет-форумы, где профессиональное сообщество обсуждает похожие мероприятия, прошедшие в разных регионах нашей необъятной Родины, и анализирует ответы представителей территориальных управлений — регуляторов на наболевшие «операторские» вопросы, становится понятно, что, как говорится, ничего не понятно. Один и тот же вопрос, одинаково сформулированный и заданный представителю регулятора в Архангельске и, например, в Воронеже, может породить два совершенно противоположных по смыслу и содержанию ответа, и для каждого из вариантов каждый отвечающий находит свое обоснование, нередко основанное исключительно на его собственном понимании обсуждаемой предметной области. Наиболее суровые. баталии. идут вокруг требований по технической защите информационныхсистем персональных данных (ИСПДн) — наиболее затратной части комплекса мероприятий, который необходимо выполнить оператору в соответствии с законодательством. Именно поэтому основной удар приходится на подзаконные акты, разработанные в целях уточнения требований закона № 152-ФЗ, постановления Правительства РФ и нормативные документы регуляторов. Об основных проблемах в области технической защиты ИСПДн, о существовании принципиальной возможности их решения и о том, чего ожидать операторам в ближайшем будущем, и пойдет речь.

Неавтоматизированная обработка в ИСПДн

Специалисты в области защиты ПДн, прочитав этот заголовок, очевидно, подумают: как такое возможно — не профан ли автор? Что ж, разубеждать не буду — дочитайте до конца и вы все поймете, а я приведу пример из жизни. В одном городе, в маленькой бюджетной организации был отдел подготовки договоров. Раньше гражданину, пришедшему заключить договор, сотрудник отдела давал чистый бланк, ручку и предлагал вписать
ФИО и паспортные данные самостоятельно. Граждане писали невпопад, неразборчивым почерком, сотрудники заставляли их переписывать по нескольку раз, граждан это очень нервировало, они жаловались руководителю организации, и, когда чаша терпения была переполнена, на столах у сотрудников договорного отдела появились дохленькие ЭВМ и один на всех принтер. Схема работы изменилась: теперь гражданам не нужно было самостоятельно заполнять бланки — за них все делали сотрудники отдела.

Но вот незадача: в организацию нагрянула проверка регулятора. И вроде бы все хорошо: в организации были разработаны организационно-распорядительные документы и реализованы меры в соответствии с постановлением Правительства РФ № 687 (неавтоматизированная обработка), но ЭВМ с принтером были признаны регулятором как ИСПДн, а это означает, что ее необходимо классифицировать и защищать в соответствии с постановлением Правительства РФ № 781 (автоматизированная обработка). Руководитель организации, почитав интернет-форумы, стал возражать, ссылаясь на то, что у его коллег из других регионов ЭВМ, используемые в качестве пишущей машинки, не признавались ИСПДн, на что представители регуляторов развели руками: наше мнение — есть компьютер, значит, обработка автоматизированная, не согласны — оспаривайте
предписание в суде.

Давайте попробуем разобраться в этой ситуации и понять, откуда ноги растут.. Как известно, законом № 152-ФЗ регулируются отношения, связанные с обработкой ПДн, осуществляемой с использованием средств автоматизации или без использования таких средств, если обработка ПДн без использования таких средств соответствует характеру действий (операций), совершаемых с ПДн с использованием средств автоматизации. Не будем углубляться в смысловой анализ этого выражения, а лучше вспомним, что такое ИСПДн: это согласно закону № 152-ФЗ информационная
система, представляющая собой совокупность ПДн, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств. Итак, это все-таки совокупность ПДн, содержащихся в базе данных, и это ключевой момент. Единственное законодательное определение базы данных встречается в Гражданском кодексе РФ: базой данных является представленная в объективной форме совокупность самостоятельных материалов
(статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ). Возникает вопрос: если ИСПДн, база данных и ЭВМ —понятия неразделимые, то как можно обрабатывать ПДн в ИСПДн (базе данных) без использования средств автоматизации? Ответа на него, увы, нет. В приведенном примере руководитель организации, доказывая свою правоту, ссылался на постановление правительства № 687. В утвержденном им Положении сказано, что обработка ПДн, содержащихся в ИСПДн либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с ПДн, как использование, уточнение, распространение, уничтожение в отношении каждого из субъектов, осуществляются при непосредственном участии человека, а обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Регуляторы настаивали на том, что ЭВМ — это средство автоматизации, а использование ЭВМ для обработки ПДн подпадает под постановление Правительства РФ № 781, которое устанавливает требования к обеспечению безопасности ПДн при их обработке в ИСПДн, представляющих собой совокупность ПДн, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации.

Доводы руководителя организации о том, что необходимое условие для автоматизированной обработки (база данных) в его организации отсутствует (данные в ЭВМ не сохранялись) и уж тем более не используется «исключительно автоматизированная обработка», действия на регуляторов не возымели, а, порывшись в судебной практике, руководитель отыскал два совершенно противоположных решения суда и понял, что правда все-таки бывает не одна.

Чем же все-таки отличается обработка «с использованием средств автоматизации» и «без их использования (неавтоматизированная)»? Как определить, является ли ЭВМ на рабочем месте ИСПДн и под действие какого документа она подпадает? Очевидно, первым главным критерием для автоматизированной обработки является наличие базы данных ПДн, хранящейся в ЭВМ или на съемном носителе (здесь ЭВМ становится ИСПДн на период подключения носителя и работы с данными). При этом в качестве упорядоченной совокупности может выступать как файл базы данных, так и электронная таблица или даже несколько текстовых документов. В последнем случае все определяют цели, с которыми эти файлы размещаются в ЭВМ: если целью является поиск и обработка данных среди массива — обработка автоматизированная, если нет — тогда и хранить эти данные смысла не имеет.

Вторым главным критерием для определения вида обработки является наличие автоматизации при обработке ПДн. Если данные после внесения в ЭВМ подвергаются автоматизированной обработке (например, производится расчет средней величины в электронной таблице по заранее запрограммированной формуле), то такая обработка считается автоматизированной. Если же ЭВМ используется исключительно в качестве. пишущей машинки. без сохранения введенных данных в массиве (что в наше время до сих пор не редкость), такая обработка является неавтоматизированной и вы, как оператор, можете смело отстаивать свои права в суде.

Классификация специальных ИСПДн

Подавляющее большинство ИСПДн, классифицированных операторами, имеют обозначения, состоящие из русской буквы К и цифры, следующей за ней. Обозначение К расшифровывается как класс, а цифра соответствует номеру этого класса: чем выше номер, тем существеннее потенциальный ущерб гражданам, чьи ПДн обрабатываются в этой ИСПДн. Именно так нас учит документ под сленговым названием приказ трех, определяющий порядок проведения классификации ИСПДн. При ближайшем рассмотрении этого документа выясняется, что такая закономерность для класса и ущерба присутствует только на первый взгляд.

В качестве наглядного примера предлагаю классифицировать некую гипотетическую ИСПДн, назначение которой — обработка ПДн сотрудников большого, территориально распределенного учреждения. Поскольку мы легких путей неищем, пусть эта ИСПДн будет огромной: она обрабатывает большое количество записей (свыше 100 тыс.), территориально распределена по всей России и обрабатывает персональные данные 2-й категории, т. е. позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию. Спецкатегории в нашей ИСПДн не обрабатываются: не зря эти ПДн в законе № 152-ФЗ вынесены в отдельный раздел — они напрямую пересекаются с Конституцией РФ, дающей право на тайну частной жизни, поэтому их наличие автоматически переводит любую систему в класс К1. Первое, что нам необходимо сделать согласно. приказу трех, — собрать исходные данные об ИСПДн. К их числу относятся:

1. Категория обрабатываемых в информационной системе персональных данных Хпд = 2.
2. Объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) Хнпд = 1.
3. Структура информационной системы —распределенная.
4. Наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена — есть.
5. Режим обработки персональных данных —многопользовательский.
6. Режим разграничения прав доступа пользователей информационной системы — с разграничением прав доступа.
7. Местонахождение технических средств информационной системы — в пределах РоссийскойФедерации.

Кроме того, для нашей ИСПДн помимо конфиденциальности необходимо обеспечить и другие характеристики безопасности, например целостность и доступность, а значит, наша ИСПДн носит гордое название специальная. Вроде все характеристики собраны — давайте посмотрим, ради чего мы потратили свое время.

Приказ предполагает классификацию ИСПДн на основе оценки возможного ущерба субъектам ПДн, чьи данные в ней обрабатываются: чем выше возможный ущерб, тем выше класс и соответственно тем выше должны предъявляться требования к технической защите. Пункт 14 приказа говорит о четырех классах: это отсутствие негативных последствий (4-й класс), незначительные негативные последствия (3-й класс), негативные последствия (2-й класс) и значительные негативные последствия (1-й класс). Присвоение того или иного класса ИСПДн согласно тому же пунктуосуществляется по результатам анализа исходных данных. Что ж, подход вполне справедливый.

Однако внимательное прочтение п. 14 приказа повергает в некоторое смятение: оказывается, такая классификация предусмотрена для типовых ИСПДн. Дословно: По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов... — и дальше идет перечисление. Стоп, но у нас же специальная ИСПДн исходя из буквы закона (приказ зарегистрирован в Минюсте и, стало быть, имеет юридическую силу), п. 14 ее не касается, и значит, должна быть какая-то другая классификация? Еще в более глубокое смятение повергает п. 15, фактически нивелирующий глубокий смысл п. 14 относительно анализа исходных данных. Пресловутая табличка, которая позволяет оценить класс типовой ИСПДн, фактически оперирует всего двумя ее характеристиками — Хпд и Хпнд. Об остальных исходных данных ИСПДн можно просто забыть! Позвольте, но зачем же тогда мы их собирали? Будь наша ИСПДн типовой, то согласно этой. табличке она попала бы в К1, однако наша ИСПДн специальная, и табличку эту, равно как и весь п. 15, мы можем просто не принимать во внимание. Что же делать?

Ответ на эти два вопроса кроется в п. 16, который согласно букве закона, заложенной в алгоритме классификации, нужно смотреть после п. 13 (невзирая на пп. 14 и 15), который говорит нам о том, что класс специальной ИСПДн определяется на основании исходных данных, собранных в соответствии с данным приказом, и на основе модели угроз безопасности ПДн в соответствии с методическими документами, разрабатываемыми согласно п. 2 постановления правительства № 781 — а это не что иное, как Базовая модель угроз и Методика определения актуальных угроз ФСТЭК России. Поэтому, проанализировав исходные данные, состав обрабатываемых ПДн, определив структуру ИСПДн и технологические процессы, мы можем прийти к обоснованному выводу, что негативные последствия может вызвать нарушение целостности и доступности сведений отабельном учете и финансовой информации, так как это приведет к несвоевременной (неполной, неправильной) выплате заработной платы субъекту. Реализация всех остальных угроз (включая нарушение конфиденциальности) приведет к незначительным негативным последствиям, потому как приняты (или буду т приняты в дальнейшем, в ходе создания системы защиты ИСПДн) достаточные технические меры защиты для их нейтрализации. Отразив эти сведения в модели угроз, специальная ИСПДн с указанными характеристиками может быть преспокойно к лассифицирована нами... как угодно! Что же в таком случае писать оператору, чья ИСПДн оказалась специальной, в акте к лассификации и в уведомлении об обработке ПДн?

На сегодня существуют три принципа классификации специальных ИСПДн, каждый из которых может применять оператор, исходя из личного понимания этого вопроса и степени влияния окружающей среды на его восприятие.

Первый принцип достался нам от двух отмененных документов из так называемого четверокнижия ФСТЭК. Согласно логике этих документов класс специальной ИСПДн не может быть ниже класса типовой с аналогичными исходными данными, поскольку в специальной необходимо обеспечить конфиденциальность и что-то еще (целостность, доступность). В этом случае модель угроз лишь сможет подтвердить, что специальная ИСПДн соответствует определенному к лассу типовой, а оператору в акте классификации (и в уведомлении) необходимо будет указать значение из диапазона К1 — К4.

Второй метод, который широко используется интеграторами, заключается в следующем. Сначала проводится предварительная к лассификация ИСПДн по «приказу трех» как для типовой, а затем с помощью модели угроз к ласс ИСПДн корректируется, при этом, как правило, он становится ниже того, что был получен в ходе предварительной классификации. В акте классификации оператор указывает: К1 — К4, специальная.

И наконец, третий, так называемый новаторский подход: оператор классифицирует ИСПДн как специальную и указывает это в акте классификации. При этом на методику приказа трех ссылаться нет никакой необходимости — нужно лишь разработать модель угроз и самостоятельно определить технические средства защиты исходя из перечня, приведенного в 58-м приказе.

Некоторые организации вводят свои, внутренние классы специальных ИСПДн (например, R2D2 или C3PO) и указывают их в акте классификации. По такому пути пошел ЦБ РФ, применив этот подход в отраслевом стандарте СТО БР ИББС и успешно согласовав его со всеми регуляторами.

Фотография человека и биометрические ПДн

К биометрическим ПДн законодательство относит сведения, характеризующие физиологические особенности человека, на основе которых можно установить его личность. За исключением определенных случаев, такие ПДн могут обрабатываться оператором только при наличии у него письменного согласия субъекта ПДн, а для их защиты предъявляются особенные требования.

В очень многих организациях развернуты корпоративные порталы, адресные книги и электронные доски объявлений, содержащие оцифрованное изображение сотрудника. Некоторые операторы используют электронные системы контроля и управления доступом, в которых изображение сотрудника не только отпечатано на электронном пропуске, но и отображается на мониторе поста охраны в момент его прохода через точку контроля. Конечно, фотография в определенной степени характеризует физиологические особенности человека, однако достаточно ли одной только фотографии для того, чтобы установить его личность? Означает ли это, что любая фотография человека является биометрическими ПДн, и что еще к таким ПДн относится? Ответ на эти вопросы, к сожалению, также доподлинно не известен. Никаких законодательных актов, устанавливающих перечни биометрических ПДн, на сегодняшний день не разработано, более того, анализ законодательства РФ на эту тему позволяет открыть весьма интересные моменты. Самый показательный из них — тот, что содержит в себе Федеральный закон «О государственной геномной регистрации в Российской Федерации» согласно которому ДНК человека не является биометрическими ПДн только потому, что не характеризует его физиологические особенности! Так неужели фотография — это биометрия?

На сегодняшний день существует единственный рекомендательный документ, определяющийтребования к оцифрованному изображению человека для того, чтобы его можно было использовать в системах биометрической идентификации, — это ГОС Т Р ИСО/МЭК 19794-5-2006 «Автоматическая идентификация. Идентификация биометрическая. Формат обмена биометрическими данными», в разд. А.3.4.2 которого приводятся совершенно четкие и конкретные требования к оцифрованному изображению. И поэтому единс твенное, что остается делать оператору в с лучае признания регулятором фотографий, хранящихся в его информационной системе, в качестве биометрических ПДн, — апеллировать к отсутствию законодательных актов (покажите, где это написано?) и показывать брошюру ГОСТа, развернутую на соответствующей странице (здесь написано как, у меня не так).

Интересные особенности составления частной модели угроз

Специалистам по защите информации достаточно часто приходится сталкиваться с процедурой оценки рисков, фактически являющейся краеугольным камнем того, что принято называть безопасность. В общем виде формула расчета риска выглядит следующим образом:

Р = ПУ’ВРУ, где примерный (оценочный) ущерб ПУ ≥ 0, вероятность реализации угрозы ВРУ ≥ 0. При этом, если вероятность возникновения угрозы, для которой рассчитывается риск, стремится к нулю (например, угроза атаки инопланетян на центр обработки данных), то даже если ущерб от угрозы будет гигантский — такая угроза не принимается во внимание, поскольку риск будет стремиться к нулю.

Несмотря на то что эта формула применяется фактически повсеместно, внимательное изучение Методики определения актуальных угроз ФСТЭК повергает специалистов по расчету рисков в некоторое смятение. Все дело в том, что вместо термина риск используется понятие актуальность реализации угрозы, а сама формула по методике ФСТЭК выглядит так: А = ОПА Θ (ВРУ+ИЗ), где опасность ОПА = ПУ > 0, вероятность реализации (частота) угрозы ВРУ ≥ 0, исходная защищенность ИЗ ≥ 0. Символ Θ — это специальный оператор, определяющий актуальность угрозы по таблице. Таким образом, угроза, реализация которой несет в себе высокую опасность (ущерб), будет актуальна даже при низкой (нулевой) возможности (вероятности), а это означает, что если эксперт, составляющий частную модель угроз для ИСПДн, руководствуясь своим личным опытом и мнением, вдруг решит включить в нее угрозу инопланетной атаки (а вдруг — чего не бывает!), то ИСПДн придется защищать по самому высокому классу!

Еще один момент, на который хотелось бы обратить внимание, заключается в следующем. Как известно, самым уязвимым местом любой информационной системы является человек-пользователь: взломать его гораздо проще, а если им окажется еще и администратор, то следы утечки будет найти крайне затруднительно. Именно поэтому инсайдерские риски являются наиболее актуальными и требуют постоянного внимания со стороны специалистов по безопасности. Тем не менее согласно парадигме регуляторов (ФСТЭК и ФСБ) администраторы СЗИ и СКЗИ являются доверенным персоналом и в моделях угроз инсайдерские риски отсутствуют!

Кроме того, после отмены с 1 января 2010 г. ст. 14 Федерального закона «О частной детективной и охранной деятельности в Российской Федерации», дававшей право организациям создавать собственные службы безопасности, любые внутренние мероприятия по противодействию инсайдерским рискам носят нелегальный характер. Поэтому оператору пока приходится защищаться от технических и технологических угроз по весьма спорным методикам регуляторов и по-прежнему продолжать бороться с наиболее актуальными — инсайдерскими — рисками, но уже полулегальными методами.

Лицензирование деятельности по технической защите конфиденциальной информации

Весьма спорная необходимость получения лицензии на деятельность по технической защите конфиденциальной информации (ТЗКИ) свалилась на операторов, владеющих ИСПДн класса 3 распределенный и выше (т. е. на подавляющее большинство), в 2008 г. после выхода «четверокнижия» ФСТЭК и однозначно отпала сразу после его отмены. Однако и по сей день некоторые интеграторы продолжают пропагандировать необходимость ее получения, но уже всеми без исключения операторами ПДн, а на любом интернет-форуме по ПДн можно найти длинную ветку споров между противниками и сторонниками ее получения. При этом и те и другие руководствуются железобетонными (как им кажется) аргументами, а виной всему — банальная терминологическая неразбериха в законах и подзаконных актах. Что ж, давайте попробуем разобраться и мы.

Как это ни парадоксально, но на сегодняшний день в законодательстве РФ отсутствует определение понятия конфиденциальная информация: так называемый трехглавый закон, содержавший это определение до 2006 г., после принятия новой его редакции стал оперировать другими терминами: информация в отношении которой требуется обеспечить конфиденциальность, информация ограниченного распространения, информация ограниченного доступа.

Тем не менее Федеральный закон от 4 мая 2011г. № 99-ФЗ «О лицензировании отдельных видов деятельности», как и старая его редакция, попрежнему продолжает требовать от юридических лиц получения лицензии на деятельность по защите законодательно несуществующей категории информации.

Другим часто обсуждаемым вопросом является вопрос о том, что считать деятельностью — любые телодвижения в отношении (пусть и не-существующего) предмета лицензирования или только те, что приносят движущемуся какие-то дивиденды? Принципиальная необходимость лицензирования предопределена гражданским законодательством, в соответствии с которым отдельными видами деятельности (их перечень как раз и определяет закон № 99-ФЗ) юридическое лицо может заниматься только на основании специального разрешения (лицензии). Вмес те с тем гражданское законодательство регулирует отношения между лицами, осуществляющими предпринимательскую деятельность, или с их участием, исходя из того, что предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли. Это означает, что получать лицензию необходимо только тем, к то собирается извлекать прибыль непосредственно путем ведения этой деятельности, т. е. выполнять работы или оказывать услуги (естес твенно, небезвозмездно) тем, к то по каким-то причинам не желает это с делать самостоятельно. Применительно к нашему случаю, если оператор не желает самостоятельно проводить работы по технической защите ИСПДн, он вправе привлечь стороннюю организацию, обладающую соответствующей лицензией.

Именно такой подход закреплен в приказе № 58 ФСТЭК однако сама ФСТЭК до недавнего момента отвечала на запросы по этому поводу крайне неинформативно (ведете деятельность получайте лицензию), а в некоторых случаях отдельные представители этой службы даже настаивали на получении такой лицензии. И лишь сравнительно недавно на конференциях и семинарах все чаще стали звучать мнения представителей ФСТЭК о том, что лицензию для собственных нужд получать не нужно.

Тем не менее однозначного ответа на вопрос, нужно или нет, не дает ни один законодательный акт. Даже после принятия нового закона «О лицензировании», в котором содержится норма о том, что к лицензионным требованиям не могут быть отнесены требования законодательства Российской Федерации, соблюдение которых является обязанностью любого хозяйствующего субъекта, в широких массах уже начались споры о том, что же такое лицензионные требования. Оператору, как всегда, остается руководствоваться личным восприятием этого вопроса, основанным на собственном мнении, а также отслеживать мнение регуляторов и профессионального сообщества о том, куда же повернет флюгер.

Оценка соответствия и сертификация

Всем операторам должен быть известен п. 5 постановления Правительства РФ № 781, предписывающий использовать для защиты ИСПДн средства, прошедшие «процедуру оценки соответствия», да еще и «в установленном порядке». При этом на всех семинарах и конференциях по технической защите ИСПДн представители регуляторов используют термин «в обязательном порядке сертифицированные ФСТЭК и ФСБ средства защиты информации». Получается, что сертификация и оценка соответствия — это одно и то же? Попробуем разобраться, так ли это.

Оценка соответствия проводится для того, чтобы удостовериться, что оцениваемый объек т удовлетворяет заявленным требованиям (характеристикам), в нашем с лучае, например, что антивирусное ПО действительно защищает от вирусов, не содержит в себе вредоносного ПО (такое сейчас нередкость), программных зак ладок, не является spyware, grayware и в общем пригодно к использованию в ИСПДн определенного класса для защиты ПДн соответствующей категории.

Федеральный закон «О техническом регулировании» № 184-ФЗ определяет оценку соответствия как прямое или косвенное определение соблюдения требований, предъявляемых к объекту, и гласит о том, что она проводится в следующих формах государственного контроля (надзора): аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме. Обязательная сертификация, в свою очередь, является одной из форм подтверждения соответствия — обязательной. Помимо этого, подтверж дение соответствия может быть еще и добровольным (добровольная сертификация), а обязательное подтверждение соответствия может осуществляться и в форме принятия декларации о соответствии (декларирования соответствия). Таким образом, сертификация в общем и обязательная сертификация в частности — это лишь одна из многочисленных форм оценки соответствия.

В соответствии с приказом № 58 ФСТЭК оператор сам вправе выбирать и реализовывать методы и способы защиты информации из тех, что перечислены в п. 2.1 приказа, согласно которому, «использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия», является лишь одним из таких методов и способов.
Оценка соответствия должна проводиться на основании технического регламента, однако на сегодняшний день такие регламенты для средств защиты информации отсу тствуют, а это означает, что до дня вступления такого регламента в силу необходимо руководствоваться правилами и процедурами, установленными нормативными правовыми актами Российской Федерации. Кроме того, в отношении продукции, используемой в целях защиты информации ограниченного доступа, наряду с требованиями технических регламентов обязательными являются требования, установленные, в том числе, ФСТЭК и ФСБ.И такие требования есть. Изложены они в том же постановлении правительства № 781: результаты оценки соответствия оцениваются в ходе экспертизы, осуществляемой ФСТЭК и ФСБ, а средства защиты подлежат учету с использованием индексов или условных наименований и регистрационных номеров, перечень которых также устанавливает ФСТЭК и ФСБ.

Все это недвусмысленно. намекает. на обязательную сертификацию, поскольку только в этом случае проводятся указанные мероприятия. Однако существует ли законодательный акт, где это явно написано? Как ни странно, да. Это постановление Правительства РФ от 15 мая 2010 г. № 330 «Об особенностях оценки соответствияпродукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну». Почему странно, спросите вы? Да потому, что этот документ носит ограничительный гриф Для служебного пользования и поэтому недоступен для подавляющего большинства операторов, а также потому, что с момента своего издания не зарегистрирован в Министерстве юстиции РФ.

С учетом этих фактов и требований законодательства РФ постановление Правительства РФ № 330 носит необязательный характер. Более того, согласно 184-ФЗ для того, чтобы применять обязательную сертификацию в качестве оценки соответствия до момента разработки технического регламента на соответствующую продукцию, необходимо, чтобы она была внесена в Единый перечень продукции, подлежащей обязательной сертификации, и единый перечень продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии. Продукция, как-либо относящаяся к СЗИ, в этом перечне отсутствует, сам перечень ежегодно урезается, и, судя по тренду, каких-либо шансов на то, что она когда-нибудь там появится, остается все меньше.

В условиях такой неразберихи оператору можно посоветовать только одно — самостоятельно принять решение относительно использования сертифицированных средств защиты информации и следовать ему: либо быть готовым отстаивать свои интересы в суде, оспаривая предписание регулятора, либо нести дополнительные (по сравнению с несертифицированными порой весьма существенные) расходы на приобретение и поддержку сертифицированных СЗИ, но жить спокойно.

Сертифицированная криптография

Вопросы использования средств криптографической защиты информации (СКЗИ) выходят за рамки ПДн и лежат в плоскости обеспечения безопасности государства: дело в том, что использование стойких криптографических алгоритмов с так называемым. длинным. ключом (свыше 56 бит) для защиты данных делает их раскрытие достаточно затруднительным и потому требует гораздо больше времени, а это означает сведение на нет одного из важнейших элементов системы оперативно-розыскных мероприятий (СОРМ). Именно поэтому еще со времен СССР вопросами криптографии целиком и полностью ведает ФСБ. Само собой разумеется, что для защиты государственной тайны должны использоваться сертифицированные ФСБ СКЗИ. Однако нормативная база РФ в области криптографии, насчитывающая свыше 40 документов, вне зависимости от того, какие категории информации защищаются, диктует следующее:

1. Для шифрования данных с использованием «длинного» к люча допускается использовать иск лючительно сертифицированные алгоритмы, описанные в соответствующих ГОСТах РФ.
2. Для разработки и производства, распространения, технического обслуживания, предоставления услуг необходима соответствующая лицензия.
3. Использование СКЗИ, не прошедших сертификацию ФСБ, запрещено.

Однако со времен КГБ мир сильно изменился, и сейчас практически любое программное или аппаратное средство передачи информации содержит в себе функционал, поддерживающий защиту данных криптографическими методами, и в большинстве случаев используются «длинные» к лючи (128 бит и выше) и западные, не ГОСТовские, алгоритмы (AES, DES и т. д.). Это применимо и к сотовому телефону, и к сервису IP-телефонии, и к электронной почте или к личному кабинету на каком-нибудь интернет-сайте. Кстати, именно повсеместное распространение несертифицированных стойких криптографических алгоритмов и вызвало серьезную озабоченность у ФСБ, выразившуюся в недавнем предложении этой службы о полном запрете на территории РФ таких сервисов, как SKYPE, Gmail и Hotmail.

С момента выхода в свет первой редакции закона № 152-ФЗ до первого переноса сроков вступления в силу требований к технической защите ИСПДн в декабре 2009 г. все операторы были обязаны использовать СКЗИ для защиты ПДн. В настоящее время необходимость их использования определяется оператором самостоятельно, но если вдруг оператор решит их использовать, то согласно методике ФСБ они должны быть сертифицированы. И тут у оператора сразу возникают две вытекающие одна и другой проблемы.

Первая заключается в том, что подавляющее большинство присутствующих на рынке РФ технических средств использует длинные ключи и западные, несертифицированные алгоритмы. Как же их использовать? И здесь возникает вторая проблема — необходимо идти в ФСБ, рассказать, почему без таких средств оператору не обойтись, и договариваться об их использовании, выполнить мероприятия, указанные в ПКЗ-2005, и получить соответствующую лицензию! Именно так, очевидно, поступают банки, внедряя для физических лиц системы интернет-банкинга, работающие по протоколу HTTPS с использованием алгоритма RSA с ключом длиной 1024 бит, Федеральная налоговая служба, реализовавшая с помощью таких же средств личный кабинет налогоплательщика н собственном сайте, и много кто еще.

Что делать оператору, использующему СКЗИ, например, для организации удаленного доступа в корпоративную сеть и VPN с западными алгоритмами. Неужели придется их менять? Вопрос пока открыт, и склоняется он в сторону замены, по крайней мере, нормативная база РФ говорит об этом. Но даже если СКЗИ в организации используются, с точки зрения защиты ПДн оператор имеет полное право не учитывать их при составлении модели угроз, представив их как средства, обеспечивающие вну тренние технологические нужды организации. В модели угроз оператор может указать, что ПДн, выходящие за пределы контролируемой зоны, являются обезличенными, а потому не требуют защиты. Такой подход предлагают некоторые эксперты, правда, с одной оговоркой: если оператор будет готов отстаивать свою позицию в суде, оспаривая возможные предписания регуляторов.

Некоторым послаблением может служить то обстоятельство, что через 180 дней после опубликования Федерального закона № 99-ФЗ «О лицензировании отдельных видов деятельности» (а он опубликован 6 мая 2011 г.) отпадет необходимость получения лицензии на техническое обслуживание СКЗИ, если оно осуществляется для обеспечения собственных нужд организации. Во всем остальном вопросы использования СКЗИ являются, пожалуй, одними из самых спорных — остается надеяться, что правительственная комиссия, созданная после выпадов ФСБ в сторону SKYPE, к 1 октября 2011 г. представит возможные пути их решения.

Неутешительный итог

Проведя краткий обзор наиболее острых проблем технической защиты ИСПДн, автор с сожалением вынужден констатировать: многие положения закона № 152-ФЗ сформулированы так, что предполагают несколько вариантов их трактовки. Поэтому операторам, регуляторам и судам зачастую приходится «включать» понятийный аппарат, а на определение «истины» в большей степени влияет авторитет определяющего.

Некоторые положения закона № 152-ФЗ противоречат Конституции РФ, в частности нарушена ч. 3 ст. 17 Конституции РФ в отсутствие баланса интересов и абсолютизации права субъекта, а также установлена презумпция виновности оператора ПДн (обязанность доказать наличие согласия) вместо презумпции добросовестности субъектов сделки и презумпции добросовестности субъектов предпринимательской деятельности.

Главная цель закона № 152-ФЗ — защита прав и законных интересов субъекта ПДн, в том числе путем компенсации нанесенного ему ущерба. Однако операторы, как и пять лет назад, по-прежнему озабочены защитой данных иск лючительно для того, чтобы не «подставиться» перед регуляторами, несмотря на жесткие требования которых ответственность за любые инциденты несет исключительно оператор. На деле об ущербе субъекту никто не вспоминает, и уж тем более никто его не оценивает.

Стоит ли надеяться на изменение столь сложной и противоречивой ситуации с технической защитой ИСПДн к лучшему в обозримом будущем? Многие операторы с трепетом ожидают второго чтения проекта федерального закона № 282499-5 «О внесении изменений в Федеральный закон „О персональных данных“», внесенного депутатом Государственной Думы В. М. Резником и принятого Государственной Думой в первом чтении 5 мая 2010 г. Этот законопроект вносит в закон № 152-ФЗ весьма существенные изменения — некоторые эксперты считают его фактически новым законом. По мнению многих, тот факт, что законодатели не успели принять его до 1 января 2010 г., явился одной из причин второго переноса сроков вступления в силу требований к технической защите ИСПДн, на этот раз до 1 июля 2011 года.

И законодатели, и эксперты понимают необходимость скорейшего внесения изменений — третий раз переносить сроки никому не хочется. Ждать, очевидно, осталось недолго — второе чтение законопроекта намечено на май 2011 г.

Правительство РФ, как и ранее, будет устанавливать требования к защите ПДн, состав и содержание организационных и технических мер для защиты ПДн, как и раньше, будут устанавливать ФСТЭК и ФСБ в пределах их полномочий. А вот дальше идут интересные предложения.

Первое заключается в том, что ФСТЭК и ФСБ смогут осуществлять контроль и надзор за выполнением мер по обеспечению безопасности ПДн при обработке ПДн, но исключительно в государственных ИСПДн. Таким образом, оператору-частнику, вспоминая откровенный бардак в законодательстве, не придется больше с содроганием ждать проверки со стороны этих регуляторов.

Второе предложение заключается в том, что в законопроекте предлагается установить размер компенсации, которую может потребовать субъект ПДн в случае нарушения положений закона, повлекшего за собой неправомерные действия в отношении его ПДн: размер компенсации установлен в размере от 10 тыс. до 5 млн рублей и определяется по усмотрению суда.

Самое главное новшество заключается в том, что оператор освобождается от ответственности в виде выплаты компенсации в случае, если неправомерные действия произошли в результате возникновения чрезвычайного и не предотвратимого при данных условиях обстоятельства, или в случае, если он обеспечил уровень защищенности по тем выполнения установленных ФС ТЭК и ФСБ требований! Таким образом, предлагается законодательно признать требования ФСТЭК и ФСБ единственно и безальтернативно правильными: оператор, выполнивший их, получает своего рода «отпущение грехов» и может спать спокойно — никакие претензии ему не страшны. Пострадавший субъект ПДн, как и прежде, останется с носом.

Примут эти поправки или нет — узнаем в ближайшее время. Но как бы то ни было, никому не следует забывать главную цель законодательства — обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Не забывайте об этом и вы, дорогие читатели.

Технические меры защиты информации предполагают использование программно - аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов предприятия.

Технические средства защиты информации делятся на два основных класса:

· средства защиты информации от несанкционированного доступа (НСД) (системы разграничения доступа к информации; антивирусная защита; межсетевые экраны; средства блокировки устройств ввода-вывода информации, криптографические стредства и т.п.);

· средства защиты информации от утечки по техническим каналам (использование экранированных кабелей; установка высокочастотных фильтров на линии связи; установка активных систем зашумления и т.д.).

В отличие от организационных мер, техническая защита информации является сложным и трудоемким делом, при выполнении которого требуется соблюдать определенные условия, а именно:

· для выполнения работ по технической защите конфиденциальной информации (а персональные данные относятся к сведениям конфиденциального характера) требуются лицензии на выполнение такого вида деятельности;

· требуется тщательное обследование информационных ресурсов предприятия в соответствии с методическими рекомендациями ФСТЭК (определение перечня ПДн, подлежащих защите; определение состава и структуры каждой информационной системы ПДн (ИСПДн); анализ уязвимых звеньев и возможных угроз безопасности ПДн; оценка ущерба от реализации угроз безопасности ПДн; анализ имеющихся в распоряжении мер и средств защиты ПДн);

· на основании проведенного обследования осуществляется обоснование требований по обеспечению безопасности ПДн (разработка модели угроз и модели нарушителя безопасности ПДн; определение класса информационных систем ПДн; при необходимости обосновывается использование средств шифрования);

· далее проводятся работы по проектированию, созданию и вводу в эксплуатацию системы защиты ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн; согласование документов с регуляторами; разработка технического задания на создание системы защиты ПДн; развертывание и ввод в эксплуатацию системы защиты ПДн);

· аттестация (сертификация) информационных систем ПДн по требованиям безопасности информации (для ИСПДн 1-го и 2-го классов требуется аттестация соответствия требованиям информационной безопасности; сертификация средств защиты информации). Работы по аттестации (сертификации) выполняются при наличии соответствующих лицензий.

В любом случае, независимо от размера и организационной структуры предприятия, наличия или отсутствия собственных специалистов по информационной безопасности, своими силами или с привлечением сторонних организаций приступать к решению задачи под названием «Выполнение требований Закона О персональных данных » нужно как можно быстрее. Так как установленный законом срок выполнения требований не за горами, а сложность и масштабность работ по защите ПДн не предполагает быстрого их завершения.

Предприятия, которые уже приступили к реализации проектов по защите ПДн или приступят в ближайшее время имеют следующие преимущества:

· временной запас позволит тщательно изучить задачи и выбрать наиболее оптимальную конфигурацию защиты ПДн, соответствующую требованиям Закона;

· поэтапное выполнение работ обеспечит равномерное распределение затрат на создание системы защиты ПДн;

· выполнить работы в установленные сроки даже в случае возникновения непредвиденных обстоятельств.

Можно занять выжидательную позицию, но в этом случае предприятие рискует испытать на себе жесткость санкций со стороны регуляторов за неисполнение требований законодательства и подвергнуть свой бизнес рискам, влекущим репутационные и финансовые потери.

Тема 1.6. Технология электронного документооборота.

Первые системы электронного документооборота (СЭД) состояли из трех час­тей: системы управления документами, системы массового ввода бумажных документов, системы автоматизации деловых процессов.

Система управления документами обеспечивает интеграцию с приложениями, хранение данных на разных устройствах, распределенную обработку данных, поиск, ин­дексацию электронных документов, коллективную работу с электронными документами.

Разнообразие электронных документов на предприятии порождают используемые приложения: общего назначения (word, excel, access и др.) и предметные (бухгалтерский учет, расчеты с поставщиками, финансовый анализ и др.).Интеграция с ними осуществ­ляется на уровне операций с файлами, то есть операции приложения - открытие, закры­тие, создание, сохранение и другие - замещаются соответствующими операциями систе­мы управления документами. Интеграция выполняется автоматически. Ее достоинство в том, что сохраняются принятые в организации виды документов.

Следующей задачей является обеспечение хранения электронных документов на разных носителях (серверах, оптических дисках, библиотеках-автоматах и т.д.). К тому же надо обеспечить быстрый поиск и доступ к различным устройствам хранения инфор­мации, чтобы факторы доступности и стоимости хранения всегда были в оптимальном со­отношении в зависимости от важности и актуальности информации. Для этого использу­ют технологии информационных хранилищ HSM и Data Migration - автоматической миграции документов.

Для обеспечения распределенной обработки данныхв режиме реального времени (on-line) можно по сети посредством запросов, объединенных в транзакции, получить данные из информационного хранилища. Можно посредством Web-сервера предприятия подсоединиться к интернет и тем самым получить доступ к удаленным данным. Можно в почтовом режиме (off-line) по электронной почте послать запрос в информационное хра­нилище, задав критерии выбора данных. По этим критериям будет сформирован список документов и переправлен пользователю. Этим способом коммерческая служба может оказывать информационные услуги .

К традиционным функциям систем электронного документооборота относятся:

Библиотечные службы (хранение содержимого и атрибутов документов, регист­рация изменений, обеспечение поиска, средства безопасности);

Управление деловыми процессами (разработка маршрутов движения документов, автоматизация выполнения бизнес-процессов, контроль исполнения документов);

Работа с составными документами (определение структуры, формирование со­держания, опубликование);

Интеграция с внешними приложениями (офисными и предметными приложения­ми, электронной почтой).

К ним добавляются функции управления знаниями:

Автоматизация жизненного цикла документов;

Поддержка принятия решений.

Жизненный цикл представляет собой описание стадий использования документа в ходе делового процесса (история жизни документа) в целях управления этим процессом. Примерами стадий существования документа являются: создание документа, согласова­ние, использование, редактирование, уничтожение, хранение в архиве и др. Для каждой стадии жизненного цикла указываются бизнес-процессы и критерии перехода документа из одной стадии в другую.

Заметим, что жизненный цикл документа и маршрут движения (workflow) - прин­ципиально разные, хотя и тесно связанные между собой понятия. Маршрут движения показывает кто, что, в каком порядке делает в процессе движения документа. Например, на стадии жизненного цикла - согласование документа - могут применяться разные мар­шруты движения. В то же время в ходе исполнения единственного маршрута документ может пройти несколько стадий своего жизненного цикла

Технологии интеллектуального анализа данных обеспечивают:

Извлечение и накопление информации из внешних источников (файл-серверов,

серверов баз данных, почтовых систем, Web-серверов, принадлежащих различным ин­

формационным службам университетов, правительственных органов и даже конкурентов, доступным по интернету);

Анализ собранной информации с целью определения ее надежности и соответст­вия бизнесу на основании собственных внутренних баз данных;

Формирование и предоставление интеллектуального капитала (аналитических
данных) сотрудникам предприятия в нужное время в требуемом формате и в соответствии с их ролями и задачами в контексте бизнеса для принятия решений.

Модуль поддержки принятия решений состоит из графического редактора, систе­мы обеспечения жизненного цикла документов, инструментов извлечения аналитических данных, средств визуального программирования и др.

Для реализации большинства перечисленных функций разработаны специальные серверы, например, EDMS-сервер (Electronic Document Management System).

Использование технологий электронного документооборота и деловых интеллек­туальных технологий выбора данных позволили создать приложения по следующим на­правлениям:

Маркетинг и сбыт продукции;

Управление качеством;

Управление исследованиями;

Управление финансовыми рисками;

Управление проектами и командами разработчиков и др.

Во всех перечисленных направлениях работ требуется сбор и анализ «внешней» информации, чтобы определить спрос, конкурентов, поставщиков, ресурсы, заказчиков, состояние исследований и новых разработок у конкурентов и т.д. Этим занимаются спе­циальные службы организации.

• Подлежат ли исполнению банком обязательства должника-владельца счета по требованиям кредиторов 1-3 очереди?
• Руководитель ООО был осужден по ст. 173.1. УК РФ. Какие последствия для сделок, заключенных данным руководителем?
• Какие особенности приема на работу по совместительству иностранца, с патентом на работу по конкретной профессии?
• Необходимо ли в учреждении утверждать положение о пропускном режиме?
• Вправе ли ГБУ для оказания госуслуг закупать другие услуги, если их использование не предусмотрено техрегламентом?

Вопрос

ООО получило электронное уведомление Россертификации, в котором указано, что все организации обязаны уведомить Роскомнадзор об обработке персональных данных и разработать комплект документации по информационной безопасности. В противном случае, если ООО не зарегистрируется в реестре Роскомнадзора, в т. ч. не разработает комплект документов по охране данных, ей грозит штраф от 45000 до 300 000 руб., кроме того, при отсутствии документов и внедренной системы защиты данных сотрудников и клиентов, общество не может законно продолжать свою деятельность. Вопрос. Предусмотрена ли действующим законодательством обязанность общества с ограниченной ответственностью и/или закрытого акционерного общества (основной вид деятельности - сдача собственного недвижимого имущества в аренду) по разработке такой системы защиты и регистрации в реестре Роскомнадзора? Какая предусмотрена ответственность за отсутствие системы защиты, за невыполнение электронного предписания Россертификации?

Ответ

Все организации, обрабатывающие персональные данные, обязаны создать меры по хранению и защите персональных данных. В некоторых случаях об обработке персональных данных необходимо уведомить Роскомнадзор.

Административная ответственность за нарушение порядка обработки персональных данных установлена в виде штрафа до 10 000 р. (на юрлиц), а уголовная – до 300 000 р.

Ответственность за невыполнение предписания установлена КоАП РФ.

Подробно об этом см. материалы в обосновании.

Обоснование данной позиции приведено ниже в материалах «Системы Кадры» .

«Какие персональные данные сотрудника вправе получить организация

В организации персональные данные сотрудников содержатся в их личных карточках и личных делах (если они ведутся). Все персональные данные сотрудника можно получить только от него самого. Если персональные сведения возможно получить только от третьих лиц, то сначала уведомите об этом сотрудника и получите от него письменное согласие. При этом сообщите сотруднику о целях, предполагаемых источниках и способах получения персональных данных. Кроме того, известите его о характере подлежащих получению персональных данных и о последствиях отказа сотрудника дать согласие на их получение. Такой порядок предусмотрен в части 1 статьи 86 Трудового кодекса РФ.

Организация не вправе собирать персональные данные, которые не относятся напрямую к трудовой деятельности сотрудника, например, сведения о вероисповедании, политических пристрастиях, жилищных условиях и т. п. Эти сведения составляют личную или семейную тайну гражданина, которую он вправе никому не разглашать. Об этом сказано в части 1 статьи 86 Трудового кодекса РФ и Закона от 27 июля 2006 г. № 152-ФЗ.

Получив персональные данные, работодатель обязуется их не распространять и не раскрывать третьим лицам без согласия на то сотрудника ().

Как уведомить контролирующее ведомство о начале обработки персональных данных сотрудников

До начала обработки персональных данных сотрудников работодателю необходимо уведомить территориальный орган Роскомнадзора о намерении осуществить обработку. Исключение составляют случаи обработки персональных данных*:

• обрабатываемых в соответствии с трудовым законодательством;
• сделанных сотрудниками общедоступными;

• полученных организацией в связи с заключением договора, стороной которого является сотрудник (при условии, что персональные данные не распространяются, а также не предоставляются третьим лицам без согласия сотрудника и используются работодателем исключительно для исполнения указанного договора и заключения иных договоров с сотрудником);
• относящихся к членам (участникам) общественного объединения или религиозной организации;
• включающих в себя только фамилии, имена и отчества сотрудников;
• необходимых в целях однократного пропуска сотрудника на территорию работодателя и в иных аналогичных целях;
• включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• обрабатываемых без использования средств автоматизации в соответствии с законодательными актами, устанавливающими требования к обеспечению безопасности персональныхданных при их обработке и к соблюдению прав субъектов персональных данных;
• обрабатываемых в случаях, предусмотренных законодательством России о транспортной безопасности.

В случае прекращения обработки персональных данных работодатель также обязан уведомить об этом уполномоченный орган. Сделать это нужно в течение десяти рабочих дней с момента прекращения обработки данных. Типовой бланк уведомления о прекращении обработки данных не утвержден, поэтому работодатель может составить его в произвольной форме ().

Вопрос из практики: что следует понимать под обработкой персональных данных сотрудника

Под обработкой персональных данных следует понимать любое действие или совокупность действий, совершаемых с персональными данными сотрудника, в том числе с использованием средств автоматизации. В частности, к таким действиям можно отнести сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Это следует из положений статьи 3 Закона от 27 июля 2006 г. № 152-ФЗ.

Так, получение от сотрудника сведений, необходимых для заполнения его трудового договора и личной карточки, хранение этих сведений и документов, оформленных на их основании, в полной мере относится к обработке персональных данных.

Персональные данные сотрудников обрабатывают уполномоченные на это представители организации (как правило, сотрудники службы персонала). Лица, осуществляющие обработку персональных данных, должны быть проинформированы о факте такой обработки, категориях обрабатываемых данных, а также об особенностях и правилах такой обработки, установленных нормативно-правовыми актами и локальными актами организации. Об этом говорится в Положения, утвержденного , Закона от 27 июля 2006 г. № 152-ФЗ.

Кроме того, работодатель вправе поручить обработку персональных данных сторонней организации (). Договор между работодателем и такой организацией должен предусматривать обязанность данного лица обеспечить безопасность персональных данных при их обработке ( Требований, утвержденных ).

Защита персональных данных

Как организовать защиту персональных данных сотрудников в организации

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в Положении о работе с персональными данными сотрудников (ст. , ТК РФ, ). Положение утверждает руководитель организации. С ним под подпись ознакомьте сотрудников организации*. Об этом говорится в части 1 статьи 86 Трудового кодекса РФ.

Также в организации необходимо назначить лицо, ответственное по работе с персональными данными (). Как правило, таким сотрудником является работник службы персонала, поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников. Лицо, ответственное за работу с персональными данными, назначьте приказом в произвольной форме.

Конкретные меры по обеспечению безопасности персональных данных сотрудников при их обработке предусмотрены в Закона от 27 июля 2006 г. № 152-ФЗ и , утвержденных . На их основе организация может выработать свою собственную систему защиты персональных данных*.

Так, при обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

• уничтожение;
• изменение;
• блокирование;
• копирование;
• предоставление;
• распространение;
• иные неправомерные действия с персональными данными.

Следует отметить, что выбор конкретных средств защиты информации для информационной системы обработки персональных данных осуществляется работодателем в соответствии с нормативно-правовыми актами ФСБ России и ФСТЭК России. Определение типа угроз безопасности персональных данных, актуальных для системы обработки и защиты персональных данных, производится с учетом оценки возможного вреда и в соответствии с нормативными актами упомянутых органов (п. , Требований, утвержденных ).

При обработке персональных данных в системах могут устанавливаться четыре уровня защищенности в зависимости от категории данных и количества сотрудников, сведения о которых содержит система. В зависимости от уровня защищенности работодателю следует принимать различные меры защиты систем обработки персональных данных, предусмотренные Требований, утвержденных . Например, установление режима обеспечения безопасности помещений, в которых размещены персональные данные, назначение лиц, ответственных за обеспечение безопасности персональных данных в информационной системе, и т. п. Конкретные требования к указанным мерам по обеспечению безопасности персональных данных при их обработке установлены , утвержденными .

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации ( Требований, утвержденных ).

Положение о персональных данных

Вопрос из практики: является ли Положение о работе с персональными данными сотрудников обязательным документом

Да, является.

Порядок хранения, обработки и использования персональных данных сотрудников устанавливает работодатель с учетом требований Трудового кодекса РФ и иных федеральных законов (). Это значит, что работодатель должен самостоятельно определить порядок такой обработки и закрепить его в локальном нормативном акте, в частности, Положении о работе с персональными данными сотрудников. Все сотрудники организации при приеме на работу должны быть ознакомлены с Положением под подпись ().

Исходя из указанного следует, что Положение о работе с персональными данными является обязательным документом организации, а его отсутствие влечет (). На это указывают и суды (см., например, ).

Пример оформления Положения о работе с персональными данными сотрудников

Руководитель организации утвердил Положение о работе с персональными данными сотрудников.

Кадровой службы в организации нет. Ответственным за ведение кадрового учета назначена бухгалтер организации В.Н. Зайцева.

Вопрос из практики: как защитить персональные сведения, находящиеся в компьютерной базе данных

Чтобы предотвратить несанкционированный доступ к персональным сведениям, находящимся в компьютерной базе данных, в Положении закрепите процедуру защиты такой информации. Чем выше риск несанкционированного доступа к персональным данным, тем больше мер нужно предпринять для защиты такой информации. Например, организация может ввести систему индивидуальных паролей, которые будут меняться с определенной периодичностью, ограничить доступ сотрудников к компьютерам, на которых хранятся личные данные, хранить диски и дискеты с такой информацией в запирающихся шкафах.

Обработку персональных данных в информационной системе необходимо осуществлять в соответствии с положениями Требований, утвержденных .

Организация может обеспечивать защиту персональных данных как самостоятельно, так и с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по защите конфиденциальной информации. Такие разъяснения даны в Требований, утвержденных .

Какая ответственность грозит организации и ее должностным лицам за нарушения в работе с персональными данными

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность( , ).

К дисциплинарной ответственности могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их (). Материальная ответственность может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб ().

За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и ее должностных лиц могут оштрафовать. Размер штрафа составляет:

• для должностных лиц (например, руководителя организации) от 500 до 1000 руб.;
• для организации от 5000 до 10 000 руб.

Штраф для должностных лиц за разглашение персональных данных в связи с исполнением служебных или профессиональных обязанностей составляет от 4000 до 5000 руб*.

Такие меры ответственности предусмотрены статьями и Кодекса РФ об административных правонарушениях.

Уголовная ответственность для руководителя организации (иного лица, ответственного за работу с персональными данными) может наступить за незаконное:

• собирание или распространение сведений о частной жизни сотрудника, составляющих его личную или семейную тайну, без его согласия;
• распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

За указанные нарушения предусмотрены следующие меры ответственности:

• штраф в размере до 200 000 руб. (или в размере доходов осужденного за период до 18 месяцев);
• обязательные работы на срок до 360 часов;
• исправительные работы на срок до одного года;
• принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
• арест на срок до четырех месяцев;
• лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются:

• штрафом в размере от 100 000 до 300 000 руб. (или в размере доходов осужденного за период от одного года до двух лет);
• лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
• принудительными работами на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового;
• арестом на срок от четырех до шести месяцев;
• лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

Профессиональная справочная система для юристов, в которой вы найдете ответ на любой, даже самый сложный вопрос.

Ваше предприятие ведет кадровый учет сотрудников и подбор кадров с использованием средств автоматизации (информационных систем)?
Ваше предприятие осуществляет передачу персональных данных сотрудников или клиентов в другие организации с использованием средств автоматизации (информационных систем)?
У вашей фирмы есть клиенты – физические лица?

Каждая организация, которая имеет дело с обработкой и хранением персональной информации о своих сотрудниках, клиентах и т.д. с использованием средств автоматизации является оператором Персональных данных .

ВАЖНО! Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс. Т.е. вы обязаны послать Уведомление в Роскомнадзор о регистрации как оператора ПДн и начале обработки ПДн.

Основания, при которых работодатель вправе обрабатывать персональные данные (сокращенно — ПДн) без уведомления Роскомнадзора перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Защита персональный данных в организации.

Персональные данные граждан относятся к особо защищаемой законом РФ информации. Законодательством РФ (Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») строго определяются требования к защите ПДн, особенностях и правилах их обработки без использования средств автоматизации и в информационных системах персональных данных.

Ответственность за сбор, обработку, хранение и защиту персональных данных работников, клиентов и других лиц лежит целиком на работодателе. Поэтому на любом предприятии должен быть установлен порядок работы с ПДн и разработаны документы и мероприятия по организации защиты ПДн.

Для этого на предприятии должно быть разработано и утверждено в соответствии с законодательством Положение, которое устанавливает порядок обработки и защиты персональных данных.

ВАЖНО! Статья 19. ФЗ N 152-ФЗ. Меры по обеспечению безопасности персональных данных при их обработке.

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Административная ответственность за разглашение персональных данных.

С 1 июля 2017 г. увеличатся штрафы за нарушение Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ в области порядка сбора, хранения, использования или распространения персональных данных.

Поправки в КоАП РФ внесены Федеральным законом от 07.02.2017 № 13-ФЗ. На основании Федерального закона от 07.02.2017 № 13-ФЗ вводится семь составов правонарушений и размеров штрафов для должностных и юридических лиц, за несоблюдение закона о персональных данных.

Организация защиты персональный данных в организации.

Общий перечень документов, которые должен иметь оператор персональных данных во исполнение требований законодательства в области персональных данных.

1.	Уведомление об обработке персональных данных. Основание: ч. 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2.	Изменения в уведомление об обработке персональных данных. Основание: Статья 22. Уведомление об обработке персональных данных. ч. 7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных. Статья 25. Заключительные положения. ч. 2_1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7_1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.
3.	Приказ Об организации обработки персональных данных.
4.	Приказ (распоряжение) о назначении ответственного за организацию обработки персональных данных у оператора. Основание: ч. 1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.
5.	Согласие субъекта персональных данных на обработку его персональных данных. Основание: ч. 1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
6.	Согласие в письменной форме субъекта персональных данных на обработку его персональных данных. Основание: Статья 9. Согласие субъекта персональных данных на обработку его персональных данных. ч. 4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.
7	Документы, подтверждающие предоставление субъекту персональных данных определенной Федеральным Законом «О персональных данных» информации, в случае если персональные данные получены не от субъекта персональных данных. Основание: Статья 18. Обязанности оператора при сборе персональных данных. ч. 3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: 1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя; 2) цель обработки персональных данных и ее правовое основание; 3) предполагаемые пользователи персональных данных; 4) установленные настоящим Федеральным законом права субъекта персональных данных; 5) источник получения персональных данных.
8.	Документы, определяющие политику оператора в отношении обработки персональных данных. Примечание: выполнить требование ч. 2 ст. 18_1 опубликовать или иным образом обеспечить неограниченный доступ к документу Основание: Статья 18_1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом. ч. 1 п. 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
9.	Документы, содержащие положения о принятии оператором ПД правовых, организационных и технических мер для защиты персональных данных. Основание: Статья 19. Меры по обеспечению безопасности персональных данных при их обработке. ч. 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
10.	Документы по организации приема и обработке обращений и запросов субъектов персональных данных. Основание: Статья 22_1. Лица, ответственные за организацию обработки персональных данных в организациях. ч. 4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано: п. 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
11.	Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации. Основание: п. 6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
12.	Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки с использованием средств автоматизации. Основание: Постановление от 1 ноября 2012 г. N 1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных. п. 2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных». Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
13.	Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Основание: 1. Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
14.	Документы о классификации информационных систем. Основание: Постановление от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных. П. 8 При обработке персональных данных в информационных системах устанавливают 4 уровня защищенности персональных данных.
15.	Типовые формы документов. Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687. п. 7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться определенные условия.
16.	Документ, устанавливающий требования к ведению журналов (реестров, книг …), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию. Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687. п. 8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться определенные условия.
17.	Документы, устанавливающие требования к хранению материальных носителей содержащих персональные данные. Основание: ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687. п. 15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
18.	Документы, по обеспечению безопасности персональных данных с использованием СКЗИ. Основание: Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности». П. 1. Настоящий документ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее — информационная система) с использованием средств криптографической защиты информации (далее — СКЗИ), необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.
19.	Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом.
20.	Документы, устанавливающие порядок обработки персональных данных работников. Основание: Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты: п. 8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Статья 87. Хранение и использование персональных данных работников; Статья 88. Передача персональных данных работников.
21.	Фиксация мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ. Работники оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1).

Порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах.

Приказ МВД РФ от 6 июля 2012 г. N 678
«Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации»

П. 2. Настоящая Инструкция определяет порядок выполнения мероприятий по защите персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации, устанавливает меры по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, а также определяет обязанности должностных лиц.

Примерный перечень документов по защите персональных данных.

№ п / п	Наименование документа	№ документа, дата
1.	.
2.	Акт определения уровня защищенности ИСПДн «________».
3.	Акт определения уровня защищенности ИСПДн «……».
4.	Акт о выделении к уничтожению документов, неподлежащих хранению.
5.	Акт проведения работ на ПЭВМ, входящих в состав информационной системы персональных данных.
6.	Акты уничтожения персональных данных.
7.	Описание информационной системы персональных данных «Сотрудники».
8.	Описание информационной системы персональных данных «Клиенты».
9.	Описание информационной системы персональных данных «…..».
10.	Модель угроз безопасности персональных данных при их обработке в ИСПДн «Сотрудники».
11.	Модель угроз безопасности персональных данных при их обработке в ИСПДн «Клиенты».
12.	Модель угроз безопасности персональных данных при их обработке в ИСПДн «…..».
13.	Инструкция по резервному копированию и восстановлению персональных данных, обрабатываемых в информационных системах персональных данных.
14.	Инструкция пользователя информационной системы персональных данных.
15.	Инструкция об организации антивирусной защиты.
16.	Инструкция администратора безопасности информационной системы персональных данных.
17.	Инструкция администратора информационной системы персональных данных.
18.	Инструкция пользователя при обработке персональных данных без средств автоматизации.
19.	Инструкция по эксплуатации машинных носителей информации.
20.	План внутренних проверок режима защиты персональных данных.
21.
22.	Положение об осуществлении внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
23.	Положение о разграничении прав доступа к обрабатываемым персональным данным в ООО «….».
24.	Положение об обеспечении безопасности персональных данных.
25.	Положение об обработке персональных данных в ООО «….».
26.	Положение об ответственном за обработку персональных данных в ООО «….».
27.	Положение об оценке вреда, который может быть причинен субъектам персональных данных, в случае нарушения федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
28.	Положение о комиссии ООО «….» по вопросам информационной безопасности, состав комиссии.
29.	Приказ о начале обработке персональных данных.
30.	Приказ об ответственных и комиссии по информационной безопасности.
31.	Приказ о назначении сотрудников, имеющих доступ в персональным данным. — список сотрудников.
32.	Приказ утверждающий перечень мест хранения материальных носителей персональных данных. — перечень мест хранения ИСПДн.
33.	Приказ об перечне персональных данных ИС ПДн, перечень ИС ПДн.
34.	Приказ о контролируемой зоне: — Схема границ. — Список лиц, имеющих право вскрывать помещение. — Список лиц, имеющих находиться в помещение.
35.	.
36.	Перечень информационных систем персональных данных.
37.	Согласие сотрудника на обработку его персональных данных.
38.	Согласие клиента на обработку его персональных данных.
39.	Согласие …. на обработку его персональных данных.
40.	Журнал ознакомления работников, непосредственно осуществляющих обработку персональных данных.
41.	Журнал поэкземплярного учета средств защиты информации, эксплуатационной и технической документации к ним, ключевых документов.
42.	Журнал поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов.
43.	Журнал учета лицевых счетов пользователей средств криптографической защиты информации.
44.	Журнал учета и выдачи машинных носителей персональных данных.
45.	Журнал учета проверок, проводимых органами государственного контроля (надзора).
46.	Журнал обращений субъектов персональных данных для получения доступа к своим персональным данным.
47.	Журнал регистрации входящих конфиденциальных документов.
48.	Журнал регистрации исходящих конфиденциальных документов
49.	Журнал регистрации и выдачи печатей опечатывающих устройств.
50.	Журнал инвентарного учета документов ограниченного распространения.
51.	Журнал регистрации выдачи и приема ключей от помещений, хранилищ (сейфов).
52.	Журнал учета фактов несанкционированного доступа к персональным данным и принятых мер.
53.	Журнал учета хранилищ (сейфов).
54.	Журнал учета ключевой информации.
55.	Журнал учета движения материальных носителей персональных данных.
56.	Журнал учета уничтожения персональных данных и (или) материальных носителей, содержащих персональные данные.
57.	Журнал ознакомления лиц о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации.

В ближайшее время в таблице будут представлены шаблоны документов по защите персональных данных.

Порядок оформление доступа к персональным данным лица, осуществляющего обработку персональных данных.

Правовые основы: Трудовой кодекс РФ ст. 85-90, Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных», Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
1. Оформление приказа о назначении ответственного за организацию обработки персональных данных
Согласно ст. 22.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», работодатель обязан назначить лицо, ответственное за организацию обработки персональных данных. Данный приказ не имеет унифицированной формы и составляется в произвольном виде.
2. Оформление дополнительного соглашения к трудовому договору, внесение изменений в должностную инструкцию.
В трудовой договор работника, назначенного ответственным за организацию обработки персональных данных, необходимо внести изменения в связи с установлением новых обязанностей. Данные изменения оформляются в виде дополнительного соглашения, составленного в двух экземплярах и подписанного работодателем и работником.
Приказ о назначении ответственного за организацию обработки персональных данных и дополнительное соглашение лучше оформить одной датой
Если в организации ранее был назначен ответственный за организацию обработки персональных данных, необходимо оформить приказ о снятии с работника этих обязанностей.
3. Оформление или внесение изменений в приказ об установлении списка лиц, имеющих доступ к персональным данным работников.
Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного работодателем. Для установления перечня таких работников необходимо издать приказ.
4. Оформление письменных обязательств о неразглашении персональных данных.
Сотрудники, которые на период исполнения своих должностных обязанностей получили доступ к персональным данным работников организации, должны быть под роспись ознакомлены с обязательством о неразглашении персональных данных.

5. Ознакомление работника, осуществляющего обработку персональных данных, с законодательством РФ о персональных данных, ЛНА, инструкциями или провести его обучение.

Работник оператора, непосредственно осуществляющие обработку персональных данных, должн быть ознакомлен. с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) должны быть обучены (п. 6 ч. 1 ст. 18_1).

Защита персональных данных – это комплекс мероприятий, позволяющих выполнить требования законодательства РФ, касающиеся обработки, хранения и передачи персональных данных граждан РФ. Согласно требованиям закона о защите персональных данных, оператор обязан применить ряд организационных и технических мер, касающихся процессов обработки персональных данных, а также информационных систем, в которых эти персональные данные обрабатываются.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Правоотношения в сфере персональных данных регулируются федеральным законодательством РФ (Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»), Трудовым кодексом РФ (глава 14), а также Гражданским кодексом РФ.

Основные положения Закона «О персональных данных»

• Обработка персональных данных должна осуществляться на законной и справедливой основе, в строгом соответствии с установленными целями обработки персональных данных.
• Недопустимо раскрытие персональных данных третьим лицам или распространение таких данных без соответствующего основания (согласия субъекта либо требований федеральных законов).
• В ряде случаев обработка персональных данных может осуществляться только с согласия субъекта персональных данных.
• Информационные системы, обрабатывающие персональные данные, должны быть приведены в соответствие с требованиями законодательства о персональных данных.
• Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, обжаловав действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
• Оператор обязан направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных. Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (более известная как Роскомнадзор);
• Нарушение требований Закона влечет гражданскую, уголовную, административную, дисциплинарную ответственность.

Комплекс мероприятий по обеспечению защиты персональных данных

Организационные меры по защите персональных данных включают в себя:

• Назначение лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных;
• Разработку организационно-распорядительных документов, регламентирующих весь процесс получения, обработки, хранения, передачи и защиты персональных данных;
• Внесение изменений в бизнес-процессы организации, ознакомление пользователей, осуществляющих обработку персональных данных с положениями нормативных документов;
• Заключение дополнительных соглашений с контрагентами и третьими лицами, которым передаются персональные данные либо поручается их обработка;
• Определение перечня мероприятий по защите персональных данных и реализация таких мероприятий;
• Осуществление внутреннего контроля соответствия обработки и защиты персональных данных требованиям законодательства.

Технические меры по защите персональных данных предполагают внедрение и использование программно - аппаратных средств защиты информации. При осуществлении обработки ПДн с использованием средств автоматизации, применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется исходя из уровня защищенности системы персональных данных.

Требования к информационным системам персональных данных

Определение уровня защищенности информационных систем персональных данных производится операторами самостоятельно в зависимости от объема и категории обрабатываемых персональных данных, а также типа актуальных угроз в соответствии с Постановлением Правительства № 1119 от 01.11.2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Данное Постановление Правительства также определяет требования по обеспечению безопасности персональных данных при их обработке в информационных системах в соответствии с их уровнем защищенности.

Помимо этого, детализированные требования по защите персональных данных установлены, в частности:

• приказом ФСТЭК № 21 от 18.02.2013 г;
• приказом ФСБ № 378 от 18.08.2014 г. (в случае необходимости применения для защиты персональных данных шифровальных (криптографических) средств защиты информации).

Также, согласно требованиям новой редакции Федерального закона №152-ФЗ «О персональных данных» с изменениями, внесенными Федеральным законом от 21.07.2014 г. №242-ФЗ и Федеральным законом от 31.12.2014 г. №526-ФЗ, базы данных информационных систем, в которых осуществляется запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации должны быть расположены на территории РФ.

Контроль

Контроль за выполнением законодательства возложен на следующие органы:

• Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) – основной надзорный орган в области персональных данных;
• ФСБ – основной надзорный орган в части использования средств шифрования;
• ФСТЭК – надзорный орган в части использования технических средств защиты информации.

Уполномоченный орган по защите прав субъектов персональных данных проводит как плановые и внеплановые мероприятия по контролю (надзору) за соответствием обработки персональных данных требованиям законодательства Российской Федерации.

Типичные позиции операторов персональных данных

1. ”Наша компания не собирается ничего предпринимать и тратить время и деньги на решение этих вопросов, мы будем ждать развития событий”.

   Такая компания не собирается тратить деньги и время на изменение процессов обработки персональных данных, а также не задумывается о соответствующем обучении своих сотрудников. Она продолжает свою деятельность в привычном режиме, в надежде на то, что проверка Роскомнадзора ее не затронет. Однако, как показывает практика, действия проверяющих органов нельзя предугадать, под проверку может попасть любая организация и в этом случае компания может понести значительные убытки, вплоть до приостановки ее деятельности.

   Стоит также учитывать, что с 2016 года Роскомнадзор на регулярной основе проводит так называемые мероприятия систематического наблюдения, в результате которых на основании мониторинга веб-сайта любой организации может быть направлен запрос на предоставление необходимых сведений об осуществлении обработки и защиты персональных данных. Непредоставление необходимой информации в срок может послужить поводом для проведения внеплановой проверки в организации.

2. “Мы уверены в том, что действия закона не будут распространяться на нашу компанию”.

   В любой компании, вне зависимости от её организационно-правовой формы, есть информация о сотрудниках, работающих в организации, а иногда и о её клиентах и контрагентах, а значит такая компания является оператором, следовательно, требования ФЗ-152 распространяются на неё в полном объеме.

Классическая ситуация: реализовать своими силами, или приглашать консультантов?

Для того, чтобы ответить на этот вопрос, необходимо определиться со следующими вещами:

• Готов ли руководитель компании взять на себя ответственность за успешную реализацию проекта по защите персональных данных?
• Есть ли у компании квалифицированные сотрудники, обладающие глубоким пониманием требований законодательства, а также необходимыми юридическими и техническими знаниями и навыками?
• Может ли руководство компании оценить сроки и стоимость такого проекта?
• Как выполнить требования закона по защите персональных данных и при этом не нарушить деятельность критических бизнес-процессов компании?
• Каким образом необходимо подавать уведомление в регулирующие органы?

Если вышеперечисленные задачи не могут быть реализованы собственными силами, следует привлекать внешних консультантов.

Компания “Pointlane” оказывает полный цикл услуг по консультационным вопросам в области соответствия требованиям законодательства о персональных данных:

• Консультации по вопросам требований законодательства и определения их действия применительно к Вашей организации (в том числе консультации по вопросам соответствия требованиям новой редакции Федерального закона №152-ФЗ «О персональных данных» с изменениями, внесенными Федеральным законом от 21.07.2014 г. №242-ФЗ и Федеральным законом от 31.12.2014 г. №526-ФЗ, касающимся вопросов обработки ПДн граждан РФ с использованием баз данных, находящихся на территории РФ);
• Обследование процессов и информационных систем обработки персональных данных, формирование рекомендаций по обработке и защите персональных данных;
• Подготовка необходимой организационно – распорядительной документации по вопросам обработки и защиты персональных данных;
• Определение уровня защищенности ИСПДн (информационных систем персональных данных) и формирование необходимых требований к их защите в соответствии с выбранным уровнем защищенности;
• Построение модели угроз и модели нарушителя безопасности персональных данных;
• Проектирование системы защиты персональных данных;
• Закупка и внедрение средств защиты;
• Подготовка ИСПДн к аттестации (для государственных или муниципальных органов) либо декларирование соответствия требованиям законодательства о персональных данных (для всех остальных организаций);
• Подготовка уведомления в Роскомнадзор для регистрации Вашей организации в качестве оператора персональных данных;

А также:

• Сопровождение проверок Роскомнадзора;
• Аутсорсинг обязанностей лица, ответственного за обработку и защиту персональных данных.

Преимущества проведения мероприятий по защите персональных данных

После внедрения системы защиты персональных данных Заказчик получит:

• Защиту от претензий и штрафов со стороны регулирующих органов;
• Преимущества перед конкурентами, т.к декларирование соответствия требованиям законодательства о персональных данных приведет к повышению прозрачности и доверия к компании со стороны потенциальных и существующих контрагентов и клиентов;
• Отсуствие негативных отзывов в прессе и СМИ, связанных с неудовлетворительными результатами прохождения проверок регулирующих органов;
• Возможность продолжать свою деятельность, не опасаясь претензий со стороны клиентов и собственных сотрудников;
• Возможность работы с персональными данными не только внутри компании, но и при передаче их сторонним организациям;
• Защиту от непредвиденной и принудительной остановки бизнеса;
• Защиту от недобросовестных конкурентов;
• Информационные системы, соответствующие всем стандартам и требованиям законодательства в области персональных данных.