Файл: Особенности обеспечения безопасности персональных данных в органах государственной власти.doc
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 03.02.2024
Просмотров: 22
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
- определение своих представителей для защиты своих персональных данных;
- доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса. При отказе работодателя исключить или исправить персональные данные госслужащего, он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера госслужащий имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные госслужащего, обо всех произведенных в них исключениях, исправлениях и дополнениях;
- обжалование в суд любых неправомерных действий или бездействий работодателя при обработке и защите его персональных данных.
В трудовом законодательстве устанавливается и ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.
Однако эта норма - ст. 90 Трудового кодекса РФ носит отсылочный (бланкетный) характер и может быть предметом отдельного рассмотрения.
-
Защита персональных данных. Основные мероприятия.
2.1 Основные требования по защите персональных данных
Защита персональных данных в себя включает:
-
Федеральный закон № 152 «О персональных данных» предписывает в обязательном порядке обеспечить соответствующую защиту персональных данных, обрабатываемых в компании -
установлен предельный срок выполнения требований для информационных систем ПДн, созданных до дня вступления в силу Закона «О персональных данных» - 01.01.2011 года -
вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиями Закона «О персональных данных» -
за неисполнение требований предусмотрены различные виды ответственности -
перечень организационных и технических мероприятий:
- уведомление уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных
- разработка документов, регламентирующих обработку персональных данных в организации (положение по обработке персональных данных, регламенты, положения по защите персональных данных)
- создание системы защиты персональных данных, в т.ч. выполнение требований по инженерно-технической защите помещений
- аттестация информационных систем персональных данных (далее –ИСПДН) (аттестация или декларирование соответствия ИСПДн требованиям безопасности информации)
- повышение квалификации сотрудников в области защиты персональных данных.
2.2 Алгоритм действий оператора персональных данных обеспечивающих защиту персональных данных в соответствии с требованиями законодательства
Сначала нужно ответить на ряд вопросов, от которых зависит дальнейший план действий по выполнению требований законодательства. Для этого предстоит провести предварительный анализ информационных ресурсов госоргана (оператора персональных данных):
2.2.1 Установка перечня персональных данных, обрабатываемых оператором
В первую очередь, необходимо установить перечень персональных данных (ПДн) физических лиц, которые обрабатываются на предприятии. Если кадровый учет и бухгалтерия есть на любом предприятии, то специфика деятельности органов госвласти подразумевает под собой более широкий список персональных данных используемых в работе.
Также нужно определить цели обработки персональных данных, сроки обработки и хранения. Хранение ПДн должно быть не дольше, чем этого требуют цели их обработки, по достижению которых ПДн подлежат уничтожению. Установить перечень ПДн, по которым цели обработки достигнуты.
2.2.2 Способы обработки персональных данных
Обработка персональных данных может осуществляться с использованием средств автоматизации или без использования таких средств.
Обработка ПДн без использования средств автоматизации (неавтоматизированная обработка). Понятие неавтоматизированной обработки персональных данных определено в Постановлении Правительства РФ № 687 от 15.09.2008 года «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». На основании данного положения нужно определить перечень персональных данных, обрабатываемых без использования средств автоматизации.
Обработка ПДн с использованием средств автоматизации. В этом случае на предприятии требуется выявить информационные системы, в которых осуществляется обработка персональных данных (ИСПДн) (например, система бухгалтерского учета, система кадрового учета, различные базы данных).
2.2.3 Определение состава и объема обрабатываемых персональных данных
В зависимости от состава персональных данных (например, фамилия, имя, отчество, год, месяц, дата и место рождения, адрес и т.п.) определяется категория, к которой они относятся (согласно Приказу ФСТЭК России ФСБ России Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. №55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных"):
-
категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; -
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; -
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; -
категория 4 - обезличенные и (или) общедоступные персональные данные.
Установить объем персональных данных (количество субъектов ПДн), обрабатываемых в каждой информационной системе ПДн:
-
1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом; -
2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; -
3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
2.2.4 Провести предварительную классификацию информационных систем ПДн
Информационные системы ПДн делятся на:
-
Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных. -
Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
На основании данных, полученных в предыдущих пунктах, провести предварительную классификацию «типовых» информационных систем ПДн. Классификация ИСПДн осуществляется в соответствии с таблицей 1, рекомендованной регуляторами:
Таблица 1
| До 1 000 субъектов ПДн | 1 000 — 100 000 субъектов ПДн | Более 100 000 субъектов ПДн |
Категория ПДн | Класс системы | ||
4 | К4 | К4 | К4 |
3 | К3 | К3 | К2 |
2 | К3 | К2 | К1 |
1 | К1 | К1 | К1 |
В зависимости от класса зависят требования по обеспечению безопасности информационной системы ПДн. Чем выше класс информационной системы ПДн, тем выше требования по обеспечению ее защиты.
2.2.5 Полученные результаты и способы защиты персональных данных
После проведения предварительного анализа информационных ресурсов можно получить представление о состоянии информационных ресурсов в части обработки персональных данных (перечень и характеристики обрабатываемых ПДн), определить масштаб сложности решаемых задач и определить дальнейшие шаги по выполнению требований Закона «О персональных данных».
2.3 Способы минимизации затрат на создание системы защиты персональных данных.
-
При классификации информационной системы ПДн (ИСПДн) как «специальная» возможно снижение затрат на создание системы защиты ПДн. Классификация «специальной» системы осуществляется на основании разрабатываемой модели угроз безопасности ПДн, что дает возможность в каждом конкретном случае обоснованно выбрать минимальное количество актуальных угроз, от которых требуется защитить персональные данные. -
При разработке требований к системе защиты персональных данных (СЗПДн) проводится логическое структурирование, основанное на анализе возможности сегментирования и (или) объединения ИСПДн. Такой подход позволяет выбрать оптимальное количество ИСПДн в соответствии с процессами обработки ПДн. -
Разработка требований с учётом возможностей инфраструктуры оператора, при этом максимально используются штатные средства ОС, СУБД и механизмов обеспечения ИБ корпоративной информационной системы
2.4 Подача уведомления в уполномоченный орган
Закон «О персональных данных» разрешает вести обработку персональных данных без подачи уведомления в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных в следующих случаях:
-
если оператор обрабатывает персональные данные граждан, которых связывают с оператором трудовые отношения; -
при наличии договора с субъектом персональных данных, на основании которого персональные данные не распространяются и не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора; -
если персональные данные относятся к членам общественного объединения или религиозной организации, действующими в соответствии с законодательством РФ, при условии, что персональные данные не будут распространяться без письменного согласия субъектов персональных данных; -
если персональные данные являются общедоступными; -
если персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных; -
если персональные данные необходимы для однократного пропуска на территорию оператора; -
персональные данные включены в информационные системы персональных данных, имеющих статус федеральных автоматизированных информационных систем, а также государственных информационных систем, созданных в целях защиты безопасности государства и общественного порядка; -
персональные данные обрабатываются без использования средств автоматизации.
Во всех остальных случаях оператор обязан подать уведомление в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. На основании уведомления госорган регистрируется в реестре операторов, осуществляющих обработку персональных данных.
Форма уведомления утверждена Приказом Роскомнадзора № 8 от 17.07.2008 года и содержит следующие основные положения: наименование и адрес местонахождения оператора; цель обработки персональных данных; категории персональных данных и субъектов персональных данных; правовое основание и способы обработки персональных данных.
Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.