Защита персональных данных

Общая информация

26 января 2007 года вступил в силу Федеральный закон № 152-ФЗ «О персональных данных», который определил необходимость защиты персональных данных (ПДн) субъектов.

26 июля 2011 года вступил в силу Федеральный закон «О внесении изменений в Федеральный закон «О персональных данных», который несколько ужесточил требования к операторам в части технической защиты персональных данных. Информационные системы, обрабатывающие персональные данные, должны быть приведены в соответствие требованиям Федерального закона не позднее 1 июля 2011 года.

Практика показала, что в последнее время именно тематика защиты персональных данных является наиболее востребованной среди наших клиентов, и именно этой проблемой озабочено большинство ИТ- и ИБ-специалистов в различных отраслях бизнеса.

Основными задачами, решаемыми при проведении работ по защите ПДн являются:

документирование процессов обработки персональных данных, обрабатываемых в организации;
категорирование персональных данных и составление перечня подразделений, допущенных к обработке персональных данных;
обоснование классификации информационных систем, обрабатывающих персональные данные;
анализ существующих организационных и технических мер обеспечения безопасности персональных данных;
разработка моделей угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн);
техническое проектирование будущей системы защиты персональных данных;
поставка и внедрение средств защиты информации в рамках системы защиты персональных данных.

Наш опыт

За время, прошедшее с момента вступления федерального закона в силу, компания LETA накопила огромный опыт в данной области. Нашими клиентами стали более сотни компаний из самых разных сфер деятельности. Более подробно ознакомиться с успешными проектами можно тут - http://www.leta.ru/expertise/projects/

Структура услуг по защите персональных данных

Ориентируясь на свой опыт, компания LETA разделяет услуги в области защиты персональных данных по целям. Именно поэтому блок услуг разделен на несколько вариантов проведения проектных работ:

Содержание и назначение блоков услуг

В рамках блока приведения в соответствие требованиям законодательства компания LETA разделяет проекты на следующие три типа:

Расширенный проект

В рамках данного блока услуг компания LETA предлагает своим клиентам полный спектр работ, направленных на выполнение требований законодательства в области обработки и защиты персональных данных. Кроме того, в рамках данного проекта выполняется ряд более высокоуровневых задач информационной безопасности, таких как:

Полная инвентаризация информационных активов, содержащих персональные данные;
Анализ и описание бизнес-процессов, связанных с обработкой персональных данных;
Разработка рекомендаций по модернизации существующих бизнес-процессов;
Разработка ряда высокоуровневых организационных документов в области обеспечения информационной безопасности компании;
Разработка всей организационно-распорядительной документации разрабатывается с учетом полного и корректного встраивания ее в существующую систему документооборота Заказчика.

Если построение системы защиты персональных данных для вас является базой для дальнейшего развития системы информационной безопасности в компании, то вам следует ориентироваться именно на данный подход.

Стандартный проект

В рамках данного блока выполняются работы направленные исключительно на выполнение требований законодательства в области обработки и защиты персональных данных. По результатам проведения работ Заказчик получает построенную в соответствии с требованиями законодательства РФ систему защиты ПДн, а также полный набор организационно-распорядительной документации, непосредственно связанной с системой защиты ПДн.

Типизированный проект

Данный вид услуг был отдельно выделен из блока стандартного проекта. В первую очередь это обусловлено тем, что в рамках данного блока услуг рассматриваются только те проекты, в которых специалистам LETA заранее известны все тонкости бизнес-процессов связанных с обработкой ПДн.

Опираясь на свой большой опыт проведения работ, мы выделяем в этот блок услуг проекты по защите ПДн в негосударственных пенсионных фондах, а так же проекты для тех наших клиентов, чьи процессы обработки ПДн ограничены рамками бухгалтерского и кадрового учета своих собственных сотрудников.

Выделение данного подхода из блока стандартного проекта, позволило нам существенно снизить стоимость реализации системы защиты ПДн. Кроме того, по мере выполнения работ в различных отраслях бизнеса, к Негосударственным Пенсионным Фондам и проектам в рамках бухгалтерского и кадрового учета будут добавляться и другие типизированные решения, что позволит большему количеству наших потенциальных клиентов выполнить требования законодательства и при этом не превысить планируемый бюджет.

Аудит на соответствие требованиям законодательства

Очевидно, что с момента вступления в силу Федерального закона прошло уже довольно много времени, и за это время многие компании уже сумели построить системы защиты персональных данных в соответствии с требованиями законодательства. Однако зачастую, дабы содержать систему защиты персональных данных в актуальном состоянии, требуется проводить периодические проверочные мероприятия. Кроме того, согласно лучшим мировым практикам, чтобы снизить риски «несоответствия», важно чтобы проверочные мероприятия проводила независимая компания.

По результатам проведения аудиторского проекта Заказчик получит независимую оценку степени выполнения требований законодательства РФ в области обработки и защиты ПДн в своей компании. Полученный результат позволит оперативно выявить существующие недоработки и устранить их. Особенно актуальным данный вид услуг является в преддверии проведения проверки Роскомнадзором.

Консалтинговое сопровождение

Данный блок услуг выделен специально для существующих клиентов LETA - компаний, которые уже построили системы защиты персональных данных, воспользовавшись нашими услугами. Данные проекты направлены на постоянное поддержание систем в актуальном состоянии.

В рамках проектов по сопровождению систем компания LETA предлагает проведение широкого перечня мероприятий:

Разработка / доработка / корректировка организационно-распорядительной документации в области обработки и защиты ПДн;
Разовые консультации по вопросам соответствия Федеральному закону №152-ФЗ;
Проведение ежеквартальных или полугодичных экспресс-проверок, направленных на выявление изменений в процессах обработки ПДн, а так же выроботку рекомендаций по приведению процессов в соответствие;
Оказание консультационной поддержки во время проверки регулирующего органа (Роскомнадзор, ФСТЭК, ФСБ).

Закон №152 выполнить невозможно, поэтому даже не стоит пытаться.

А что если закон отменят или изменят так, что ничего делать не придется?

Если компания обрабатывает персональные данные только сотрудников, то можно не защищать персональные данные.

В нашей компании существует система информационной безопасности, а персональные данные которые обрабатываются в организации, это персональные данные сотрудников, полученных в связи с заключением соответствующих трудовых договоров. Должна ли наша компания, что-то дополнительно сделать, чтобы защитить персональные данные?

Для того, чтобы компании понять, надо ли делать что-то дополнительно сверх того, что уже существует в организации. Она должна провести экспресс-оценку.

Понять обрабатываются ли персональные данные первой категории. Если ответ будет утвердительный, то проверить обладает ли организация лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации.
Используются ли в точках обработки персональных данных (рабочие станции, различные сервера, места логического выделения сегмента сети где производится обработка) средства защиты сертифицированные в ФСТЭК России и ФСБ России.
Что кроме Политики ИБ и положений трудовых договоров, регламентирует защиту персональных данных. И как это регулирует все аспекты обработки (сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение) персональных данных.

Собрав информацию по данным аспектам можно приблизительно понять, а сделано ли хоть что-то для защиты персональных данных. Более же точную оценку о необходимости проведения работ по защите персональных данных можно получить в ходе диалога с экспертами в данной области.

Если организация не отправила уведомление в уполномоченный орган по защите прав субъектов персональных данных, то она не является оператором.

Обязательно ли надо подавать уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных

Кто может проверить нашу организацию по вопросам обработки персональных данных?

Роскомнадзор:

по обращению субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки (закон №152-ФЗ от 26 июля 2006 г.)
проверка сведений, содержащихся в уведомлении об обработке персональных данных (закон №152-ФЗ от 27 июля 2006 г.)
внеплановые проверки по контролю нарушений обязательных требований (закон №294-ФЗ от 26 декабря 2008 г.)

ФСТЭК России:

надзор за деятельностью лицензиата ФСТЭК России (Постановление Правительства от 15 августа 2006 г. №504)
по обращению Роскомнадзора (закон №152-ФЗ от 27 июля 2006 г.)
внеплановые проверки по контролю нарушений обязательных требований (закон №294-ФЗ от 26 декабря 2008 г.)

ФСБ России:

контроль за соблюдением правил пользования средств криптографической защиты информации (Приказ ФСБ России №66 от 9 февраля 2005 г. – ПКЗ-2005)
надзор за деятельностью лицензиата ФСБ России (Постановление Правительства от 29 декабря 2007 г. №957)
внеплановые проверки по контролю нарушений обязательных требований (закон №294-ФЗ от 26 декабря 2008 г.)
по обращению Роскомнадзора (закон №152-ФЗ от 27 июля 2006 г.)

Прокуратура России:

по заявлению, жалобе и иному обращению, содержащих сведения о нарушении законов (закон №2202-1 от 17 января 1992 г.)

А кто будет проверять нашу организацию по вопросу защиты персональных данных в первую очередь?

Какова предусмотрена ответственность за нарушение условий обработки персональных данных?

Ответственность, которая может наступить при невыполнении закона, можно разделить на административную, уголовную и гражданско-правовую.

Уголовная и административная ответственность определяется положениями КоАП и УК РФ.

В общем случае можно выделить ряд статей, в соответствии с которыми будет определяться ответственность за нарушение требований по защите персональных данных:

КоАП Статья 5.27 Нарушение законодательства о труде и об охране труда
КоАП Статья 5.39. Отказ в предоставлении гражданину информации.
КоАП Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
КоАП Статья 13.12. Нарушение правил защиты информации.
УК Статья 137. Нарушение неприкосновенности частной жизни.
УК Статья 140. Отказ в предоставлении гражданину информации.
УК Статья 171. Незаконное предпринимательство.

Гражданско-правовая ответственность регулируются положениям Гражданского кодекса: