Журнал персональные данные

Защита персональных данных

Ступень Венера Шавкетовна студент Ачинского филиала ФГБОУ ВО Красноярский ГАУ, г.Ачинск

Фастович Галина Геннадьевна

Старший преподаватель кафедры государственно-правовых и отраслевых дисциплин Ачинского филиала ФГБОУ ВО Красноярский ГАУ, г.Ачинск

Защита персональных данных сегодня актуальный вопрос не только в отношениях работник-работодатель, но и в любой сфере, в которой собираются и обрабатываются личные данные.

Согласно Федерального закона № 152, персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

«К конфиденциальной информации относятся: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях».

Таким образом, персональные данные – это, прежде всего, паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такие данные есть практически в каждой организации.

Например, при поступлении на работу – это данные отдела кадров работодателя, которые работник указывает в личной карточке, автобиографии, других документах, заполняемых при заключении трудового договора.

При поступлении ребенка в детский сад, школу, институт, другие образовательные учреждения также заполняется множество анкет и форм, в которых указываются данные как ребенка (например, данные свидетельства о рождении), так и его родителей (вплоть до места работы, занимаемой должности).

При прохождении лечения в медицинских учреждениях необходимо указать не только паспортные данные, но и сведения о льготах, медицинских страховках, сведения о предыдущих лечениях, результаты анализов. Во многих медицинских учреждениях амбулаторные/стационарные карты дублируются в электронном виде.

И все эти данные, а также многие другие, согласно законодательству, подлежат защите.

Персональные данные граждан относятся к особо защищаемой законом РФ информации. Законодательством РФ (Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») строго определяются требования к защите ПДн, особенностях и правилах их обработки без использования средств автоматизации и в информационных системах персональных данных.

«Ответственность за сбор, обработку, хранение и защиту персональных данных работников, клиентов и других лиц лежит целиком на работодателе». Поэтому на любом предприятии должен быть установлен порядок работы с ПДн и разработаны документы и мероприятия по организации защиты ПДн.

По моему мнению, для этого на предприятии должно быть разработано и утверждено в соответствии с законодательством Положение, которое устанавливает порядок обработки и защиты персональных данных.

Специальные персональные данные: сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Биометрические персональные данные: сведения о физиологических и биологических особенностях человека, на основании которых можно установить его личность.

Общедоступные персональные данные: сведения, которые может получить неограниченный круг лиц. В качестве примеров источников общедоступных персональных данных можно назвать справочники или адресные книги. В такие источники могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, но только с письменного согласия их субъекта.

Иные персональные данные: сведения о конкретном человеке, которые не относятся к категориям специальные, биометрические, общедоступные.

Первый уровень защищённости считается наиболее высоким.

Общий порядок обработки персональных данных установлен федеральным законом № 152-ФЗ от 27.07.2006 «О персональных данных». Этот порядок конкретизирован и детализирован в Постановлении Правительства Российской Федерации № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Под угрозами безопасности персональных данных Правительство понимает совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение этих данных, а также иные неправомерные действия. Я считаю, что необходимо выделять следующие виды угроз:

1. Связаны со случайными или намеренными уязвимостями в системном программном обеспечении

2. Связаны со случайными или намеренными уязвимостями в прикладном программном обеспечении

3. Иные угрозы, не связанные с уязвимостями ни в системном, ни в прикладном программном обеспечении

Обязательные (в том числе предварительные) этапы работ по защите персональных данных:

— Определить все ситуации, когда требуется проводить обработку персональных данных (ПДн).

— Выделить бизнес-процессы, в которых обрабатываются персональные данные.

— Выбрать ограниченное число бизнес-процессов для проведения аналитики.

На этом этапе формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках служебной деятельности:

— Определить круг информационных систем и совокупность обрабатываемых ПДн.

— Провести категорирование ПДн и предварительную классификацию информационных систем (ИС).

— Выработать меры по снижению категорий обрабатываемых ПДн.

— Сформировать актуальную модель угроз для каждой информационной системы обработки персональных данных (ИСПДн).

— Подготовить техническое задание (ТЗ) по созданию требуемой системы защиты.

— Провести уточнение классов ИС, с последующей подготовкой рекомендаций по использованию технических средств защиты ПДн.

— Подать уведомление о начале обработки персональных данных в Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) для регистрации в качестве оператора ПДн.

— Отправить заявку на получение экземпляров руководящих документов ФСТЭК России по организации системы защиты.

— Разработать требования для конкретной ИСПДн, с учетом присвоенного класса защиты.

— Подготовить технический проект по защите ИСПДн и помещений.

— Разработать пакет организационно-распорядительных документов для СЗПДн (положения, приказы, инструкции, регламенты).

— Спроектировать и внедрить систему защиты персональных данных (СЗПДн);

— Взять согласия на обработку ПДн с субъектов персональных данных;

— Проводить контрольные мероприятия по выявлению нарушений защиты персональных данных.

В российской традиции, защита персональных данных сводится к созданию режима обработки персональных данных, включающего:

— Создание внутренней документации по работе с персональными данными

— Создание организационной системы защиты персональных данных

— Внедрение технических мер защиты

— Получение лицензий регулирующих органов (ФСБ, ФСТЭК). Лицензия ФСТЭК России на Техническую защиту конфиденциальной информации нужна только в случае если организация оказывает услуги по созданию системы защиты персональных данных для других лиц. При создании системы защиты персональных данных силами организации (для собственных нужд) как техническими средствами, так и организационными – данная лицензия не нужна

— Получение сертификатов регулирующих органов (ФСБ, ФСТЭК) на средства защиты информации

Таким образом, при построении системы защиты персональных данных необходимо применять только сертифицированные средства защиты информации. Несмотря на изрядную запутанность руководящих документов по защите информационных систем, в том числе, хранящих в них данных, соблюсти основные нормы, установленные в этих документах, можно.

Список литературы

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *