Часто задаваемые вопросы, при проведении работ по защите персональных данных


Решения

Проектирование, установка и настройка систем видеоконференцсвязи Avaya Radvision

 

Мы в социальных сетях



Полезные материалы

IP-телефония или VoIP (Voice over IP) – широко распространенная в мире технология. В чем ее особенности? Читайте в статье Офисные АТС переходят на технологии Voice over IP.


Кроме того, предлагаем Вам познакомиться с материалами на тему процесса перехода компании на IP-технологии и широкому спектру возможностей малых IP-АТС.


Ресурсы
ИЦ Телеком-Сервис:

ИТ-инфраструктура, системы безопасности, инженерные системы, ИТ-консалтинг
www.tls-group.ru

системы связи Avaya www.avaya-s8500.ru

унифицированные  коммуникации Cisco Systems
www.cisco-lan.ru

проектирование и монтаж датацентров
www.datacenter-ts.ru

Все сайты компании



Поиск по сайту

 

Защита персональных данных и конфиденциальной информации


* Работаем только с юридическими лицами


Часто задаваемые вопросы, при проведении работ по защите персональных данных


FAQ – Часто задаваемые вопросы

  1. На какие законы надо ссылаться при обсуждении с руководством предприятия вопросов защиты ПД? Где найти информацию об этих законах? >>
  2. Где можно получить ответы на вопросы, связанные с соблюдением требования законодательства по защите ПД? >>
  3. Как определить категорию персональных данных, обрабатываемых на предприятии? >>
  4. Как классифицировать ИСПДн? Какие относятся к типовым, а какие к специальным? >>
  5. В каких случаях предприятие обязано уведомлять Россвязькомнадзор об обработке ПД, а в каких нет? >>
  6. Как подать уведомление в Россвязькомнадзор? К кому обратиться если есть вопросы при заполнении уведомления? >>
  7. Мы определили класс ИСПДн нашего предприятия. Где найти перечень требований по ИБ, которые являются обязательными для данного класса? >>
  8. Мы определили класс ИСПДн нашего предприятия. Где найти перечень требований по ИБ, которые являются обязательными для данного класса? >>
  9. Какие организационные меры по обеспечению безопасности ПД надо предпринять? Что надо сделать в первую очередь, что можно сделать позже? >>
  10. Как реализовывать технические меры по защите ПД на основе сформированных требований? >>
  11. Где найти перечень сертифицированных средств защиты информации? >>
  12. Когда проводят аттестацию ИСПДн и каким образом? >>
  13. Нужно ли получать лицензии при реализации технической защиты конфиденциальной информации и внедрению криптографических средств? >>

 

1. На какие законы надо ссылаться при обсуждении с руководством предприятия вопросов защиты ПД? Где найти информацию об этих законах?

Ссылаться нужно в первую очередь на следующие нормативно-правовые акты:

  • Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных»
     
  • Постановление Правительства РФ №781 «Об утверждении Положения об обеспечении безопасности персональных данных при
    их обработке в информационных системах персональных данных»
     
  • Постановление Правительства РФ №687 «Об утверждении Положения об особенностях обработки персональных данных,
    осуществляемой без использования средств автоматизации»
     
  • В случае обработки биометрических данных: Постановление Правительства РФ № 512 «Об утверждении требований к
    материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных
    систем персональных данных»
     
  • Приказ ФСТЭК, ФСБ, Мининформсвязи № 55/86/20 «Об утверждении порядка проведения классификации информационных
    систем персональных данных»
     
  • Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия № 18 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»
     
  • Приказ Федеральной службы по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзора) № 482 «Об утверждении
    образца формы уведомления об обработке персональных данных»

Методические документы регуляторов:

  • ФСТЭК России - «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных
    системах персональных данных». Утверждены Заместителем директора ФСТЭК России 15 февраля 2008 г.
     
  • ФСТЭК России – «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах
    персональных данных».
     
  • ФСТЭК России – «Методика определения актуальных угроз безопасности персональных данных при их обработке в
    информационных системах персональных данных».
     
  • ФСТЭК России - «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных,
    обрабатываемых в ИСПДн»
     
  • Данные документы ФСТЭК - с грифом ДСП. Заказать их можно в территориальном управлении ФСТЭК
     
  • ФСБ РФ – «по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных
    системах персональных данных с использованием средств автоматизации».
     
  • ФСБ РФ – «по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных
    для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных». Данные документы ФСБ. Трудовой кодекс РФ (14 глава)

 

2. Где можно получить ответы на вопросы, связанные с соблюдением требования законодательства по защите ПД?

Можно направить официальные запросы и письма контролирующим органам:

  • территориальные управления ФСТЭК
  • территориальные органы Россвязькомнадзора
  • ФСБ России

Также можно (и зачастую целесообразнее) обратиться к специализированным компания, занимающимся защитой персональных данных.

 

3. Как определить категорию персональных данных, обрабатываемых на предприятии?

Законом установлены следующие категории ПД:

  • категория 1 ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских
    убеждений, состояния здоровья, интимной жизни;
  • категория 2 ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением
    ПД, относящихся к категории 1;
  • категория 3 персональные данные, позволяющие идентифицировать субъекта ПД;
  • категория 4 обезличенные и (или) общедоступные ПД.

Для того чтобы определить, какая категория обрабатывается каждой конкретной ИСПДн (информационной системой персональных данных), предприятиям необходимо провести обследование всего предприятия и выявить все свои ИСПДн. Кроме кадровой, бухгалтерской системы, ИСПДн могут являться приложения поддержки основных бизнес-процессов (автоматизированная банковская система, автоматизированная система расчета за услуги оператора связи, базы договоров в страховых компаниях, электронные истории болезней в медучреждениях и т. п.).

 

4. Как классифицировать ИСПДн? Какие относятся к типовым а какие к специальным?

Классифицировать следует согласно Приказу ФСТЭК, ФСБ, Мининформсвязи № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»

Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности
персональных данных.

Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

К специальным информационным системам должны быть отнесены:

  • информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
  • информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Большинство ИСПДн будут относиться к специальным, а в соответствии с законом «О персональных данных»: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий» к специальным ИСПДн можно отнести все ИСПДн.

 

5. В каких случаях предприятие обязано уведомлять Россвязькомнадзор об обработке ПД, а в каких нет?

Согласно закону «О персональных данных»:

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку
персональных данных:

  • относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
  • полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
  • являющихся общедоступными персональными данными;
  • включающих в себя только фамилии, имена и отчества субъектов персональных данных;
  • необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

Но даже если оператор не должен уведомлять Россвязькомнадзор, он обязан защищать персональные данные.

 

6. Как подать уведомление в Россвязькомнадзор? К кому обратиться если есть вопросы при заполнении уведомления?

Форму и рекомендации по заполнению уведомления можно посмотреть на сайте Россвязькомнадзора. Туда же можно обратиться по вопросам ее заполнения.

Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

 

7. Мы определили класс ИСПДн нашего предприятия. Где найти перечень требований по ИБ, которые являются обязательными для данного класса?

Система защиты должна разрабатываться на основании модели угроз (модель угроз разрабатывается и для специальных, и для типовых
ИСПДн).

Для типовых систем мероприятия по защите ПДн в рамках подсистем: управления доступом, регистрации и учета, обеспечения целостности, криптографической защиты, антивирусной защиты, обнаружения вторжений определены в документе ФСТЭК России - «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн», заказать его можно в территориальном управлении ФСТЭК.

При использовании оператором криптографических средств при обеспечении защиты персональных данных нужно также руководствоваться документами ФСБ России:

  • «по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».
  • «по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных».

 

8. Мы определили, что ИСПДн нашего предприятия относится к классу специальных. Как провести анализ угроз безопасности ПД, чтобы потом сформировать набор обязательных требований по ИБ?

Анализ угроз безопасности производится на основании документов ФСТЭК:

  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
  • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

Заказать их можно в территориальном управлении ФСТЭК

В случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств при формировании модели угроз используются методические документы ФСБ:

  • «по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».
  • «по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных».

 

9. Какие организационные меры по обеспечению безопасности ПД надо предпринять? Что надо сделать в первую очередь, что можно сделать позже?

Прежде всего, необходимо разработать документы, регламентирующие защиту ПД в организации: положение об обработке ПД,
регламенты, руководства пользователям и администраторам ИСПДн, акт классификации ИСПДн, перечень применяемых средств защиты информации и т.д.

Разработать форму и порядок письменного согласия субъектов персональных данных на обработку своих персональных данных,
определить сроки хранения персональных данных, разработать план мероприятий по защите персональных данных (и выполнить эти
мероприятия):

  • ограничение доступа к персональным данным;
  • определение круга лиц, допущенного к обработке персональных данных, контроль обработки персональных данных;
  • установление персональной ответственности за нарушения правил обработки персональных данных;
  • организация доступа в помещения, где осуществляется обработка персональных данных.

 

10. Как реализовывать технические меры по защите ПД на основе сформированных требований?

К данным работам правильнее привлекать специализированную организацию, имеющую опыт реализации проектов в области защиты информации с применением сертифицированных средств защиты информации и обладающую необходимыми лицензиями для осуществления этой деятельности.

 

11. Где найти перечень сертифицированных средств защиты информации?

 Государственный реестр сертифицированных средств защиты информации

 

12. Когда проводят аттестацию ИСПДн и каким образом?

После окончания работ по построению системы защиты персональных проводят аттестацию ИСПДн на соответствие требованиям утвержденной регулирующими органами РФ нормативной и методической документации по безопасности информации. Для проведения аттестации привлекается аттестационный орган ФСТЭК.

 

13. Нужно ли получать лицензии при реализации технической защиты конфиденциальной информации и внедрению криптографических средств?

В случае ИСПДн - 1-го, 2-го класса или распределенной 3-го класса надо получать лицензию на деятельность по технической защите конфиденциальной информации (это определено в документах ФСТЭК).

Деятельность по внедрению шифровальных (криптографических средств), как и по разработке систем, защищенных с использованием
данных средств, подлежит лицензированию в органах ФСБ.

Правильнее передать деятельность по технической защите и обслуживанию СЗИ на аутсорсинг компании, которая имеет все необходимые лицензии и сертификаты, а так же опыт проведения подобных работ.




  О компании

   Корпоративные сети и системы связи

  Унифицированные коммуникации   

  Call-центры и Контакт-Центры

  Отраслевые решения