Защита персональных данных в Российской Федерации: Проблемы и перспективы. Защита персональных данных Техническая защита персональных данных

Содержание
  1. Политика в области обработки и обеспечения безопасности персональных данных
  2. 2. Сбор персональных данных
  3. 3. Принципы и условия обработки персональных данных
  4. 4. Права субъекта персональных данных
  5. 5. Реализация требований к защите персональных данных
  6. Защита персональных данных: категории, состав, защита, ответственность | Правоведус
  7. Категории персональных данных
  8. Персональные данные работника
  9. Состав персональных данных работника
  10. Защита персональных данных: перспективы реализации закона на практике
  11. Специфика среднего и малого бизнеса
  12. Реализуемость норм и требований
  13. Контроль регуляторами и последствия
  14. Проблемы защиты персональных данных | Проблемы и решения по защите персональных данных в информационных системах персональных данных
  15. Проблемы защиты личной информации
  16. Организационно-технические решения

Политика в области обработки и обеспечения безопасности персональных данных

Защита персональных данных в Российской Федерации: Проблемы и перспективы. Защита персональных данных Техническая защита персональных данных

ООО «Хэдхантер» (ИНН 7718620740, адрес: 129085, г.Москва, ул.Годовикова, д.9, стр.

10) (далее — «Компания») в рамках выполнения своей основной деятельности осуществляет обработку персональных данных различных категорий субъектов персональных данных с использованием информационных систем персональных данных, включающих в том числе следующие интернет-сайты Компании: https://hh.ru, https://headhunter.ru, https://career.ru, а также иные сайты Компании, которые ссылаются на данную Политику.

В соответствии с действующим законодательством Российской Федерации Компания является оператором персональных данных. При организации и осуществлении обработки персональных данных Компания руководствуется требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним иными нормативными правовыми актами.

Для целей настоящей Политики под персональными данными понимаются любая информация, предоставленная через интернет-сайты Компании и (или) собранная с использованием таких интернет-сайтов, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

2. Сбор персональных данных

Компания осуществляет сбор информации через интернет-сайты и мобильные приложения следующими способами:

• Персональные данные, предоставляемые пользователями:
Компания осуществляет сбор персональных данных, которые вводят в поля данных на интернет-сайтах Компании сами пользователи или иные лица по их поручению.

• Сбор данных о местонахождении устройств пользователей мобильного приложения Компании при использовании пользователями мобильного приложения.

• Сбор IP адресов пользователей и файлов cookies.

• Пассивный сбор персональных данных о текущем подключении в части статистических сведений: — идентификатор пользователя, присваиваемый Сайтом;— посещенные страницы;— количество посещений страниц;— информация о перемещении по страницам сайта;— длительность пользовательской сессии;— точки входа (сторонние сайты, с которых пользователь по ссылке переходит на Сайт);— точки выхода (ссылки на Сайте, по которым пользователь переходит на сторонние сайты);— страна пользователя;— регион пользователя;— часовой пояс, установленный на устройстве пользователя;— провайдер пользователя;— браузер пользователя;— цифровой отпечаток браузера (canvas fingerprint);— доступные шрифты браузера;— установленные плагины браузера;— параметры WebGL браузера;— тип доступных медиа-устройств в браузере;— наличие ActiveX;— перечень поддерживаемых языков на устройстве пользователя;— архитектура процессора устройства пользователя;— ОС пользователя;— параметры экрана (разрешение, глубина цветности, параметры размещения страницы на экране);

— информация об использовании средств автоматизации при доступе на Сайт.

В отношении зарегистрированных пользователей Сайта могут собираться сведения об использовании портов на устройствах пользователей с целью выявления подозрительной активности и защиты личных кабинетов пользователей. Данные могут быть получены с помощью различных методов, например, файлов cookies и файловых веб-маяков и др.

Компания может использовать сторонние интернет-сервисы (технологии третьих лиц) для организации сбора статистических персональных данных, сторонние интернет-сервисы обеспечивают хранение полученных данных на собственных серверах. Компания не несет ответственности за локализацию серверов сторонних интернет-сервисов.

При этом такие сторонние интернет-сервисы (технологии третьих лиц), установленные на Сайте и используемые Компанией, могут устанавливать и считывать cookie-файлы браузеров конечных пользователей Сайта, или использовать сетевые маячки (web beacons) для сбора информации в процессе рекламной деятельности на Сайте.

Порядок сбора и использования данных, собираемыми такими сторонними интернет-сервисами (технологиями третьих лиц), определяется самостоятельно этими сторонними интернет-сервисами и непосредственно они несут ответственность за соблюдение этого порядка и использование собираемых ими данных, в том числе эти сторонние интернет-сервисы отвечают и обеспечивают выполнение требований применимого законодательства, в том числе законодательства о персональных данных РФ.

Компания не проводит сопоставление информации, предоставляемой пользователем самостоятельно и позволяющей идентифицировать субъекта персональных данных, со статистическими персональными данными, полученными в ходе применения подобных пассивных методов сбора информации.

3. Принципы и условия обработки персональных данных

Обработка персональных данных в Компании осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей, в том числе, в соответствии с Условиями использования Сайтов, Условиями оказания услуг, Соглашением об оказании услуг по содействию в трудоустройстве.

Обработке подлежат только персональные данные, которые отвечают целям их обработки. и объем обрабатываемых в Компании персональных данных соответствуют заявленным целям обработки, избыточность обрабатываемых персональных данных не допускается.

При обработке персональных данных в Компании обеспечивается точность персональных данных, их достаточность и, в необходимых случаях, актуальность по отношению к целям обработки персональных данных. Компания принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных, или неточных персональных данных.

Компания в ходе своей деятельности может предоставлять и (или) поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ о персональных данных.

При этом обязательным условием предоставления и (или) поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.

Сроки обработки персональных данных определяются в соответствии с целями, для которых они были собраны.

4. Права субъекта персональных данных

Субъект персональных данных имеет право (если иное не предусмотрено законом):

• требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

• требовать перечень своих персональных данных, обрабатываемых Компанией, и источник их получения;

• получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;

• требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведённых в них исключениях, исправлениях или дополнениях;

• обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;

• на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Если у Вас есть вопросы о характере применения, использовании, изменении или удалении Ваших персональных данных, которые были Вами предоставлены, или если Вы хотите отказаться от дальнейшей их обработки Компанией, пожалуйста, свяжитесь с нами по почте по адресу Компании или по электронной почте: feedback@hh.ru.

Обращаем Ваше внимание, что оператор персональных данных не несет ответственности за недостоверную информацию, предоставленную субъектом персональных данных.

5. Реализация требований к защите персональных данных

С целью поддержания деловой репутации и обеспечения выполнения требований федерального законодательства Компания считает важнейшими задачами обеспечение легитимности обработки персональных данных в бизнес-процессах Компании и обеспечение надлежащего уровня безопасности обрабатываемых в Компании персональных данных.

Компания требует от иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

С целью обеспечения безопасности персональных данных при их обработке Компания принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении них.

Компания добивается того, чтобы все реализуемые ею мероприятия по организационной и технической защите персональных данных осуществлялись на законных основаниях, в том числе в соответствии с требованиями законодательства Российской Федерации по вопросам обработки персональных данных.

В целях обеспечения адекватной защиты персональных данных Компания проводит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения безопасности их персональных данных, а также определяет актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.

В соответствии с выявленными актуальными угрозами Компания применяет необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных, включающие в себя использование средств защиты информации, обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, восстановление персональных данных, ограничение доступа к персональным данным, регистрацию и учет действий с персональными данными, а также контроль и оценку эффективности применяемых мер по обеспечению безопасности персональных данных.

Руководство Компании осознает важность и необходимость обеспечения безопасности персональных данных и поощряет постоянное совершенствование системы защиты персональных данных, обрабатываемых в рамках выполнения основной деятельности Компании.

В Компании назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.

Каждый новый работник Компании, непосредственно осуществляющий обработку персональных данных, ознакамливается с требованиями законодательства Российской Федерации по обработке и обеспечению безопасности персональных данных, настоящей Политикой и другими локальными актами Компании по вопросам обработки и обеспечения безопасности персональных данных и обязуется их соблюдать.

Источник: https://hh.ru/article/personal_data

Защита персональных данных: категории, состав, защита, ответственность | Правоведус

Защита персональных данных в Российской Федерации: Проблемы и перспективы. Защита персональных данных Техническая защита персональных данных

Персональные данные (далее – ПДн) – это любая информация о физическом лице, в частности, ФИО, место и дата рождения, место проживания и регистрации, социальное, имущественное и семейное положение, профессия, образование, доходы, и другое (п. 1 ст.3 ФЗ «О персональных данных»).

Защита персональных данных – правовая система, на основе которой выполняются требования законодательства РФ относительно хранения, обработки и передачи персональных данных граждан.

Оператором персональных данных может выступать государственный или муниципальный орган, а также, юридическое или физическое лицо, имеющие правомочия на определение цели и содержание, а также выполнение ряда организационных и технических мероприятий, касающихся защиты персональных данных от блокирования, уничтожения, копирования и иных неправомерных действий (ФЗ №152 от 27 июля 2006 г. “О персональных данных”).

В декабре 2014 года Государственной думой в третьем чтении был принят законопроект о хранении персональных данных граждан, обработанных в интернете, на серверах в России. По словам члена комитета по информполитике Романа Чуйченко, главной целью законопроекта является усиление информационной безопасности страны и ее граждан. Такая мера был принята в связи с усложнением международной ситуации. Данный законопроект вступил в силу 1 сентября 2015 года.

Вступление в силу нового положения о защите персональных данных предполагает обеспечение операторами персональных данных:

  • своевременного обнаружения несанкционированного доступа к ПДн;
  • недопущение воздействия на технические средства, осуществляющие автоматизированную обработку ПДн;
  • возможности оперативного реагирования на факт несанкционированного доступа и незамедлительного восстановления ПДн в случаях их уничтожения или изменения;
  • постоянного контроля за уровнем защищенности персональных данных.

Категории персональных данных

В российском законодательстве определены различные категории персональных данных, в число которых входят:

1. Общедоступные ПДн – данные, не обладающие условиями конфиденциальности, либо с согласия субъекта РФ являются доступными неограниченному кругу лиц (справочники, адресные книги и т.д.). Могут быть исключены из источников по требованию суда или самого субъекта.

2. Специальные категории ПДн – данные, касающиеся национальной и расовой принадлежности, состояния здоровья, убеждений в области философии и религии, политических взглядов.

Обработка данной категории персональных данных допускается только при письменном согласии на то субъекта (доверенность не допускается), в случаях общедоступности данных и невозможности получения согласия субъекта в связи с состоянием его здоровья, а также в случаях обработки ПДН в целях оперативно-розыскной деятельности или в соответствии с требованием уголовно-исполнительного законодательства РФ

3. Категории ПДн, обрабатываемые в информационных системах (ИСПДн).

4. Биометрические персональные данные – информация о физиологических особенностях человека, позволяющих установить его личность.Биометрические ПДн обрабатываются в соответствии со статьей 11 ФЗ Российской Федерации от 27 июля 2006 г.

N 152-ФЗ «О персональных данных» и при наличии письменного согласия субъекта ПДн (за исключением случаев обеспечения правосудия, выполнения оперативно-розыскной деятельности, связанных с государственной службой, уголовно-исполнительным законодательством).

К биометрическим персональным данным относятся фото- и видеоизображения субъектов.

Персональные данные работника

В гражданском законодательстве РФ существует понятие о персональных данных работника, которое предполагает общие сведения о физическом лице, необходимые работодателю в связи с возникновением трудовых правоотношений. Также, как и защита чести, достоинства и деловой репутации, защита персональных данных работника регулируется статьями действующего ГК РФ, и может рассматриваться несколькими аспектами:

  1. Гарантии – совокупность норм и правил, которыми регулируются отношения, касающиеся персональных данных работника.
  2. Комплекс организационно-правовых мероприятий, направленных на реализацию законодательных актов в целях выражения политики работодателя.
  3. Обеспечение субъективного права работника на защиту личных персональных данных.

Право на защиту своих персональных данных имеет каждый работник (п. 9 ст. 86 ТК РФ).

В соответствии со ст. 89 Трудового кодекса РФ свое право на охрану и защиту ПДн каждый работник может реализовать посредством следующих действий:

  • свободный бесплатный доступ к своим персональным данным, в том числе получение копии любой записи, в которой содержатся ПДн работника;
  • определение личного представителя для защиты своих персональных данных;
  • получение полной информации о ПДн и их обработке;
  • выставление требований об исключении или исправлении персональных данных, содержащих неверную информацию либо, если они были обработаны с нарушением требований законодательства;
  • обжалование в суде неправомерных действий работодателя, а также его бездействии при обработке и защите ПДн.

Состав персональных данных работника

На основании п. 2 ст. 86 ТК РФ объем и содержание персональных данных работника определяются работодателем в соответствии с Конституцией РФ, Трудового кодекса и иными федеральными законами. Как правило, деятельность любой организации предполагает использование работодателем в документообороте два основных вида документов:

  1. Документы, которые предоставляются работником при заключении трудового договора (ст. 65 ТК РФ). К данной категории относятся документы, содержащие фотоизображение работника, ФИО, сведения о месте и дате рождения, гражданстве, семейном положении, месте регистрации, образовании, специальности (паспорт, страховое свидетельство государственного пенсионного страхования, военный билет и т.д.).
  2. Документы, которые формируются работодателем самостоятельно (первичная учетная документация по учету труда и его оплаты). Данная категория включает в себя приказы или распоряжения о приеме работника, расторжении трудового договора, поощрении работника, личная карточка, документы по оплате труда.

Также, как и патентное право, персональные данные каждого российского гражданина защищены действующей законодательной базой РФ, которая предусматривает несколько видов ответственности за нарушение требований законов в сфере защиты персональных данных, в частности существует гражданско-правовая, дисциплинарная, материальная, административная и уголовная ответственность.

Отметим, что некоторые санкции за нарушение отдельных составов правонарушений распространяются как на физических и должностных лиц, так и на юридических.

В соответствии со ст. 150 Гражданского кодекса РФ неприкосновенность частной жизни, личной и семейной тайны относится к числу неотчуждаемых нематериальных прав, находящихся под защитой действующих законов.

Гражданско-правовая ответственность имеет прямую связь с категорией морального вреда, то есть, если гражданину был причинен моральный вред, выраженный в действиях, нарушающих его личные неимущественные права, он вправе выставить правонарушителю требования о выплате денежной компенсации в судебном порядке.

Размер компенсации морального вреда определяется судом с учетом всех заслуживающих внимания обстоятельств. Компенсация осуществляется в денежной форме.

В соответствии с п. 7 ст. 243 ТК РФ материальная ответственность работника за разглашение информации, которая напрямую связана с персональными данными других лиц, возлагается на правонарушителя в полном размере причиненного ущерба.

На работника, распространившего персональные данные другого работника, может возлагаться дисциплинарная ответственность в виде увольнения. На основании ст.

1 92 ТК РФ работодатель обладает правом привлечь работника, нарушившего закон, к ответственности.

При этом, в зависимости от степени и тяжести совершенного правонарушения, увольнение может быть заменено иным дисциплинарным наказанием, например, в виде выговора или замечания.

Отметим, что права и обязанности работника, имеющие прямое отношение к ПДн других работников, определяются условиями трудового договора и составом локальных нормативно-правовых актов, устанавливающих трудовые функции работника и перечень его должностных обязанностей.

Административная ответственность за нарушение порядка сбора, хранения и распространения персональных данных влечет за собой предупреждение или штраф в размере: от 1000 до 3000 рублей – для физических лиц; от 5000 до 10000 рублей – должностных лиц, от 20 тысяч до 50 тысяч рублей – для юридических лиц (ст. 13.11 КоАП РФ). Административная ответственность за распространение информации, охраняемой законом, при исполнении служебных и профессиональных обязанностей, влечет за собой штраф в размере: от 500 до 1000 рублей – для физических лиц, от 4 до 5 тысяч рублей – для должностных лиц (ст. 13.14 КоАП РФ).

Уголовная ответственность за нарушение неприкосновенности частной жизни, в частности персональных данных, регулируется ст. 137 УК РФ и предусматривает наказание в виде:

  • штрафа в размере 200 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 18 месяцев;обязательных работ на срок от 120 до 180 часов;
  • исполнительных работ на срок до 12 месяцев;
  • ареста на срок до 4-х месяцев.

Нарушение неприкосновенности частной жизни, в частности персональных данных, лицом при использовании своего служебного положения предусматривает наказание в виде:

  • штрафа в размере от 100 до 300 тысяч рублей, заработной платы или иного дохода правонарушителя в течение 1-2 лет;
  • лишения права занимать определенные должности на срок от 2 до 5 лет;
  • ареста на срок от 4 до 6 месяцев.

Источник: https://PravoVedus.ru/practical-law/civil/zashhita-personalnyih-dannyih/

Защита персональных данных: перспективы реализации закона на практике

Защита персональных данных в Российской Федерации: Проблемы и перспективы. Защита персональных данных Техническая защита персональных данных

28.12.2012

Летом 2011 года был подписан Президентом РФ, опубликован и вступил в силу Закон о внесении изменений в ФЗ «О защите персональных данных».

Впервые он был издан в 2006 году, и уже тогда вызывал множество споров и дискуссий, а теперь претерпел значительные поправки, которые были ориентированы на упрощение некоторых процедур, объяснение спорных моментов и снятие противоречивых положений.

Однако проблемы реализации данного закона, в особенности у операторов, ограниченных материально и не обеспеченных необходимыми кадрами, остаются. В первую очередь мы говорим о среднем и малом бизнесе.

Специфика среднего и малого бизнеса

На сегодня субъекты малого и среднего бизнеса, а также критерии, по которым можно отнести экономические субъекты к этим типам предпринимательства, прописаны в ФЗ «О развитии малого и среднего предпринимательства» за № 209 от 24.07.2007, а именно в четвертой статье.

В этом законе определено, что к таким субъектам относятся коммерческие организации и потребительские кооперативы, за исключением госпредприятий и муниципальных унитарных, внесенные в ЕГРЮЛ, и физические лица, внесенные в ЕГРИП, осуществляющие деятельность в качестве предпринимателей без образования юридических лиц, а также фермерские хозяйства, отвечающие некоторым критериям. К примеру, это численность персонала: от сотни до двух с половиной сотен для средних предприятий и включительно до сотни для малых предприятий. Кроме того, от малых предприятий еще отделяют так называемые микропредприятия (численность сотрудников — до пятнадцати человек).

Говоря о применяемых на таких предприятиях информационных системах, которые бы попадали под действие закона о защите персональных данных, надо отметить, что их достаточно много.

Начиная от локальных систем, где все элементы заключены в одном компьютере (кадровые или бухгалтерские, что предназначаются для обработки данных только по своему персоналу) и заканчивая разветвленными системами с многоступенчатой архитектурой построения, где обрабатываются огромные объемы персональной информации о клиентах, в том числе специальные разделы, требующие режима повышенной конфиденциальности.

Понятно, что требования к таким системам, методы реализации защиты, практическое их применение, а значит, временные и финансовые расходы будут весомо отличаться. И все это реализуется на фоне таких обстоятельств, которые в той или иной мереи присущи всем представителям конкретно среднего и малого бизнеса:

— До того, как появился ФЗ «О защите персональных данных», а также предусмотренная им система надзора и контроля, представители среднего, а уж малого бизнеса тем более, вопросами обеспечения безопасности персональной информации себя не отягощали. Это означает, что они не имеют достаточного опыта работы в этой сфере и обученного персонала, кроме того, у многих организаций ограничены и финансовые возможности.

— Организации, предоставляющие консультационные услуги по защите персональных данных, которыми могут выступать только имеющие лицензию ФСТЭК России и(либо) ФСБ, смотря по задачам, ориентируются на крупных клиентов, которые более привлекательны в финансовом плане, что обусловлено более крупными задачами и трудоемкостью оказываемых услуг. Даже физически реализовать работы для всех представителей мелкого (которых насчитывается как минимум 280 тысяч) и среднего предпринимательства с имеющимися ресурсами не представляется возможным.

— Необходимость следовать требованиям закона для основной массы представителей среднего и малого бизнеса в настоящее время не очевидна.

Многие рассуждают так: мы не зарегистрированы в реестре операторов, поэтому у нас минимальная возможность подвергнуться проверке регулирующими органами, кроме того, административные и финансовые последствия нарушений не столько значительны, иными словами, они не больше расходов на реализацию методов защиты.

Мы не откроем секрет, если скажем, что даже большие компании со штатной службой информационной безопасности испытывали затруднения с подготовкой систем защиты систем персональных сведений. Что же тогда говорить о субъектах среднего и, тем паче, малого бизнеса.

Практика применения права демонстрирует, что закон работает только в случае, если: 1) установленные нормы и требования исполнимы и понятны, 2) система контроля и надзора эффективна, 3) несоблюдение закона вызывает серьезные последствия и не выгодно с экономической точки зрения. Названные условия и факторы станут определяющими в развитии ситуации в ближайшее время. Хотелось бы остановиться на них более подробно.

Реализуемость норм и требований

Необходимо вновь напомнить, что закон про защиту персональных данных подвергся значительным изменениям, направленным, кроме всего прочего, на упрощение процедур и смягчение отдельных требований.

Например, изменения появились в условиях обработки персональных данных, взаимодействии с субъектом персональной информации, вопросах трансграничной передачи.

Произошли весомые изменения и в отношении обеспечения информационной безопасности систем персональных данных, однако здесь упрощения пока что не являются очевидными.

Старая редакция закона содержала 19 статью, посвященную проблемам обеспечения безопасности, и ее смысл был следующим:

1) Оператор обязуется принимать меры (технически и организационные) для защиты персональных данных;

2) Правительством РФ установлены требования касательно обеспечения безопасности персональных данных, а ФСТЭК и ФСБ в рамках своей компетенции производят надзор за их выполнением.

В новой редакции 19 статья была пересмотрена и дополнена:

1) Появился перечень конкретных мер, при помощи которых достигается безопасность данных. В общем, эти мероприятия назывались и раньше, и они отражались в постановлении Правительства за № 781, где по закону определялся список требований касательно обеспечения безопасности персональных данных.

2) Добавлены новые понятия «угрозы безопасности» и «уровни защищенности».

3) Поменялась схема проведения работ. На сегодня он выглядит так:

  • а) обязанность принимать нужные технические и организационные меры, либо обеспечить их принятие остается на операторе;
  • б) Правительство РФ, учитывая возможный ущерб субъекту персональных данных, объем и содержание обрабатываемой информации, вид деятельности, актуальность угроз безопасности, определяет:

— Уровни защищенности персональных данных, смотря по угрозам безопасности этих данных;

— Требования относительно защиты персональных данных, выполнение которых обеспечивает названные уровни защищенности.

— ФСТЭК и ФСБ определяется содержание и состав технических и организационных мер, которые нужны для выполнения требований к защите персональных сведений любого уровня защищенности.

Но это касается, в отличие от старой редакции, исключительно государственных информационных систем.

Проверка операторов негосударственных систем производится на основе Постановления Правительства, учитывая содержание и значимость персональных данных, обрабатываемых оператором.

Вышло ли решить все вопросы в новой версии ФЗ, полноценно ли были соблюдены интересы субъектов персональных сведений, государства и оператора, и самое главное, действительно ли стала проще процедура практической реализации закона, покажет время. Многое зависит от содержания создаваемых в ФСТЭК и ФСБ подзаконных правовых и нормативных документов. Что могло бы способствовать реализации требований?

— Создание отраслевой методической документации, где бы перечислялись особенности работы предприятий среднего и малого бизнеса касательно защиты персональных сведений, операторам были бы даны простые рекомендации и способы защиты, направленные на типизацию решений.

Подобные рекомендации дают возможность не просто оптимизировать систему защиты и снизить затраты на обеспечение безопасности, но и уменьшить риски, которые связаны с отсутствием квалифицированных знаний в этой сфере у операторов. Уже имеется опыт разработки и реализации подобных документов.

На такой шаг пошли некоторые государственные структуры коммерческие организации, обладающие разветвленной структурой филиалов либо подведомственных организаций, которые выполняют типовые задачи.

Например, такие документы есть у Национальной ассоциации негосударственных пенсионных фондов, Центрального банка России, отдельных операторов связи.

— Разработка организациями, оказывающими консультационные услуги, решений, дающих возможность облегчения и упрощения процедур реализации требований закона.

Такие задачи реализуемы, однако для их решения необходимы человеческие и финансовые ресурсы. Здесь, как нам кажется, велика роль госорганов, которые курируют деятельность средних и малых предприятий, а также соответствующих профессиональных союзов и ассоциаций, могущих не только проявить инициативу в решении задач, но и гарантировать их сопровождение и финансовую поддержку.

Контроль регуляторами и последствия

Результат деятельности Роскомнадзора за прошлый год демонстрирует, что в РФ формируется достаточно действенная система защиты субъектов персональных сведений, главными составляющими в которой являются надзор и контроль над выполнением требований закона, реализуемые Службой.

Данные отчета уполномоченного органа говорят о том, что количество проверок с каждым годом возрастает. В частности, в прошлом году были проведены более тысячи четырехсот плановых проверок, около восьмисот внеплановых проверок, из которых 366 по обращениям граждан. Было выписано 2250 предписаний на устранение нарушений, составили около 4.

9 тысяч протоколов про административные правонарушения, что в два раза больше показателей предыдущего года.

Помимо этого, уполномоченные органы в последнее время предпринимают практические действия по изменению действующего закона в отношении ужесточения ответственности за нарушения в области персональных сведений. К примеру, предлагают не просто значительно увеличить сумму штрафов, но и продлить сроки вынесения административных наказаний.

Не исключаем, что в ближайшее время у операторов будут появляться добавочные стимулы, чтобы действовать согласно нормам закона и в полной мере выполнять требования регуляторов. Не стоит представителям среднего и малого бизнеса забывать о так называемом репутационном риске, который связан с применением штрафных санкций, что затем повлечет упущенные возможности и финансовые потери.

Все вышеперечисленные факторы будут способствовать выполнению законодательных норм.

Однако для этого необходима консолидация усилий всех участников процесса: профессиональных союзов и ассоциаций, которые объединяют представителей среднего и малого бизнеса, государственных представителей, и, конечно же, у оператора должно быть стремление выполнять требования закона и обеспечивать защиту персональных данных.

152-ФЗ практика ЗПДн

Источник: http://www.ispdn.info/articles/zashchita-personalnykh-dannykh-perspektivy-realizatsii-zakona-na-praktike/

Проблемы защиты персональных данных | Проблемы и решения по защите персональных данных в информационных системах персональных данных

Защита персональных данных в Российской Федерации: Проблемы и перспективы. Защита персональных данных Техническая защита персональных данных

Конституция РФ закрепила демократический путь развития нашего государства, главная ценность которого – человек и защита его прав. Но и сегодня нерешенными остаются некоторые вопросы, в том числе обеспечение права граждан на частную жизнь и проблемы защиты личной информации.

В 2006 году был подписан ФЗ РФ № 152 «О персональных данных», по ужесточенным требованиям которого модернизированы базы данных, предназначенные для накопления, сохранения или выдачи персональных данных. Детально требования по защите персональных данных прописаны в:

  • Положении о безопасности информационных систем личных данных, утвержденном Постановлением Правительства России № 781 в 2007 году.
  • Совместном приказе ФСБ, Мининформсвязи, ФСТЭК № 55/86/20 2008 года.
  • Внутренних инструкциях ФСБ и ФСТЭК.

Указанные требования по защите персональных данных распространяются на все компании, учреждения и организации и направлены на предупреждение утечек конфиденциальной информации.

Проблемы защиты личной информации

Существует перечень распространенных проблем защиты персональных данных, обусловленных организационными и техническими аспектами.

По Указу Президента России № 188, утвердившему перечень закрытых данных, подлежащих правовой защите, к таким относят персональные данные. Поэтому для их защиты требуется наличие лицензии ФСТЭК на организацию безопасности конфиденциальных данных.

Аналогичные требования предъявляет ФСТЭК РФ к операторам информационных баз данных 1, 2 и 3 класса. Они распространяются на большинство коммерческих и государственных учреждений.

Для применения средств криптографической защиты обрабатываемых конфиденциальных данных нужна лицензия ФСБ.

Для получения таких лицензий сотрудники организации должны обладать соответствующей квалификацией и опытом работы. Также потребуется специализированное оборудование и помещение, что сложно обеспечить в небольших компаниях.

Еще одной распространенной проблемой являются жесткие императивные требования к системам по защите персональных данных.

Защита информационных систем персональных данных 1 класса приравнена к защите сведений, содержащих государственную или коммерческую тайну.

Обязательное требование – защита конфиденциальных баз данных от утечек из-за электромагнитных импульсов вычислительной техники и средств связи.

Под защиту 1 класса попадают базы персональных данных, а также базы, содержащие и обрабатывающие одновременно большое количество сведений. Такие базы данных встречаются в большинстве корпораций (частных и муниципальных).

А нормативы ФСТЭК, регламентирующие порядок обработки персональных данных, обозначены грифом «Для служебного использования».

Получить указанные акты могут операторы персональных данных и организации, обеспечивающие защиту персональных данных по лицензии ФСТЭК.

Одна из проблем защиты конфиденциальных сведений, которыми являются персональные данные, – это отсутствие сертифицированных компьютерных программ. Предлагаемые программы не соответствуют требованиям, предъявляемым к 1 и 2 уровням защиты персональных данных.

К примеру, сертифицированные программы по защите и управлению базами данных (открытый код MySQL) не представлены на российском рынке, а лицензионная ОС Microsoft Windows применима только для защиты информационных баз данных до 2 уровня.

Нерешенной проблемой остается защита баз данных при использовании 64-разрядных ОС и операционных систем Unix и Linux.

Предлагаемые лицензионные защиты персональных данных не соответствуют требованиям нормативных актов или неприменимы в условиях хранения и обработки больших объемов данных, поскольку не отвечают техническим требованиям. Так, для работы программы безопасности баз данных Secret Net необходимы аппаратные компоненты, установить которые через blade-сервер невозможно.

А программы, используемые при работе с персональными данными, проверяются перед установкой на наличие недекларированных возможностей. Для проведения указанной проверки предоставляются исходные коды программ, на что согласны далеко не все компании-производители программ для ПК, особенно иностранные.

До начала работы с информационными базами персональных данных подтверждают, соответствует ли защита требованиям, предъявляемым к 1, 2 и 3 классу. Для этого проводится аттестация системы обработки данных.

Если раньше подобная процедура проводилась только в государственных учреждениях, то сегодня проверка уровня защиты персональных данных обязательна для всех организаций. По результатам оформляется аттестат, который действует в течение трех лет.

А для внесения корректировок (в том числе установки новых программ, перестановки компьютера из одного кабинета в другой) требуется согласование с органом, проводившим проверку безопасности базы данных.

Еще одной проблемой является недостаточное количество российских компаний, специализирующихся на предоставлении услуг по технической защите конфиденциальных данных, получивших лицензию, не способных удовлетворить увеличивающийся с каждым годом спрос на техническую защиту персональных данных. А порядок лицензирования неприменим к большому количеству желающих получить аттестат на работу с персональными данными.

Организационно-технические решения

Организации, специализирующиеся на обработке и хранении персональных данных, используют автоматизированные базы данных. Это компьютерные базы данных, связь с которыми происходит по техническим каналам.

Вот почему вопросы защиты персональных данных, информационных процессов, а также действия государственных норм регулирования отношений между сотрудником и работодателем остаются актуальными. Решение данной задачи не бывает сегментарным.

Требуется комплекс мероприятий, направленных на защиту (техническую и правовую) персональных данных сотрудников и клиентов организации.

Несмотря на проблемы, данная задача решаема. Возможны два варианта защиты обрабатываемых и передаваемых персональных данных, учитывающих требования законодательства и имеющийся у компании бюджет.

Сократить расходы на защиту конфиденциальных баз данных позволит грамотная подготовка и организация всей информационной системы.

В корпорации целесообразно разделить базы данных на территориальные, что позволит сократить объем обрабатываемых в каждой базе персональных данных. В результате этого снизится их класс безопасности.

А применение зашифрованных идентификаторов обезличит передаваемые персональные данные.

Сокращает расходы методика терминального доступа, используемая в программах обработки персональных данных. При использовании данной технологии информация обрабатывается на сервере, а через рабочие станции выводятся и отображаются данные.

Применение данной технологии позволяет понизить класс безопасности рабочих станций до третьего и снизить затраты на защиту и аттестацию системы обработки данных.

Используя данную методику, компания экономит на приобретении сложной вычислительной техники и управлении информационными базами данных, благодаря децентрализации информационной базы и уменьшению требований к техническим характеристикам пользовательских компьютеров.

Внедрение новых программ обработки персональных данных с использованием программ с встроенной лицензионной защитой, прошедших аттестацию по требованиям безопасной передачи данных и проверку на наличие недекларированных возможностей, снижает расходы на приобретение в будущем дополнительного ПО и оплату обучения сотрудников компании. Также при согласовании с ФСТЭК допускается применение программ, не прошедших проверку на недекларированные возможности.

Дополнительно обозначают сотрудников, отвечающих за безопасность персональных данных. В корпорациях более экономным будет создание собственного отдела информационной безопасности, получение необходимых аттестатов и лицензий, самостоятельная защита баз данных.

Далее уточняют, какие персональные данные требуются компании. Чем выше степень обработки данных сотрудников и клиентов, тем сложнее процесс их защиты.

Более усиленный вариант защиты предусмотрен для данных, касающихся здоровья и личной жизни сотрудников или клиентов, – политических и религиозных взглядов, национальности, родственных отношений, а вот данные, необходимые для идентификации лица, в такой охране не нуждаются.

Персонал компании, обеспечивающий безопасность персональным данным сотрудников и клиентов, отбирает данные, которые не требуются для работы компании, исключая их из объема собираемой и обрабатываемой информации.

В завершение сотрудники службы безопасности баз данных подготавливают в форме таблицы списки работников, получивших доступ к сбору, обработке и хранению конфиденциальных данных о служащих и клиентах. Предупреждает утечку закрытых данных при увольнении работник, проверяя, что данные о нем заблокированы или удалены.

А для небольших компаний экономически выгодное решение – подписание соглашения с организацией, которая подготовит и внедрит программу безопасности баз данных с последующим аутсорсингом (передачей компании-заказчику) функционирующей системы по защите персональных данных сотрудников и клиентов. Данное соглашение позволит снизить затраты на обучение и выплату зарплаты штатным работникам, а также минимизирует риски утечки конфиденциальной информации.

Перед заключением данного соглашения составляется список требований к внедряемой системе защиты информации. При этом учитывают, что все системы защиты конфиденциальных данных имеют специальное назначение. Они призваны предупредить утечку защищаемых данных и обеспечить их сохранность и доступность. Требования к системам защиты баз данных варьируются в зависимости от выявленной модели угроз.

Индивидуальная разработка программ информационной безопасности потребует от разработчика высокой квалификации и повышенной ответственности за функционирование и значимость представленной модели. В то же время такие системы защиты персональных данных нацелены исключительно на выявленную модель угроз и уступают по функциональности типовым системам информационной безопасности.

Данное направление постоянно развивается, поскольку государственное регулирование в сфере технических требований к обеспечению информационной безопасности также меняется.

До появления сети Интернет основную угрозу представляли модели зарубежных технических разведок, поэтому система защиты от них была четко прописана в нормативных актах.

На основании существующих норм строится и защита личной информации сотрудников компании с учетом специфики ее работы.

Решение проблем, возникающих в сфере обеспечения информационной безопасности, возможно при взаимодействии сотрудников, собирающих и обрабатывающих персональные данные, разработчиков компьютерных программ и систем защиты информации и государственных структур.

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/problemy-zashchity-personalnyh-dannyh/

Ваш юрист
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: