Нормативной основой защиты персональных данных являются нормы Конституции Российской Федерации.
Правовая природа информации, содержащей персональные данные работников, ее содержание, порядок доступа к ней и процедура ее предоставления третьим лицам регулируется трудовым законодательством Российской Федерации.
Трудовой кодекс Российской Федерации закрепил основные требования по защите персональных данных (ПДн) работника.
Среди обязанностей работодателя по отношению к работникам присутствует необходимость обеспечения хранения и защиты персональных данных.
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» организации обязаны обеспечить защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Контроль данных требований возложен на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций, Федеральную службу по техническому и экспортному контролю и Федеральную службу безопасности.
Обеспечение защиты персональных данных является одним из приоритетных направлений и важнейшей задачей в обеспечении информационной безопасности любого учреждения и органа Уголовноисполнительной системы.
Нарушение конфиденциальности в обеспечении сохранности персональных данных в учреждениях и органах Уголовно-исполнительной системы может стать серьезным инцидентом в обеспечении информационной безопасности, который может привести к невосполнимому ущербу и к многочисленным рискам.
Именно поэтому необходимость обеспечения безопасности персональных данных в настоящее время стала объективной реальностью.
Под организацией работ по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных понимается формирование совокупности мероприятий, осуществляемых на всех стадиях эксплуатации информационной системы персональных данных, согласованных по цели, задачам, месту и времени, направленных на предотвращение (нейтрализацию) угроз безопасности персональных данных в информационной системе персональных данных, восстановление функционирования информационной системы персональных данных после нейтрализации угрозы с целью минимизации ущерба от возможной реализации таких угроз.
Целью определения угроз безопасности информации является установление того, существует ли возможность нарушения конфиденциальности, целостности или доступности информации,
содержащейся в информационной системе, и приведет ли нарушение хотя бы одного из указанных свойств безопасности информации к наступлению неприемлемых негативных последствий (ущерба) для обладателя информации или оператора, а в случае обработки персональных данных и для субъектов персональных данных.
Определение угроз безопасности информации должно носить систематический характер и осуществляться как на этапе создания информационной системы и формирования требований по ее защите, так и в ходе эксплуатации информационной системы. Систематический подход к определению угроз безопасности информации необходим для того, чтобы определить потребности в конкретных требованиях к защите информации и создать адекватную эффективную систему защиты информации в информационной системе. Меры защиты информации, принимаемые обладателем информации и оператором, должны обеспечивать эффективное и своевременное выявление и блокирование (нейтрализацию) угроз безопасности информации, в результате реализации которых возможно наступление неприемлемых негативных последствий (ущерба).
Безопасность персональных данных при их обработке в информационных системах персональных данных обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации.
Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты таких данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Безопасность персональных данных при их обработке в информационных системах персональных данных обеспечивается с помощью системы защиты, нейтрализующей актуальные угрозы, определенные следующими мерами:
1) определением угроз безопасности персональных данных
при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в информационных системах персональных данных необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни
защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональных данным,
обрабатываемым в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
3) требования к материальным носителям биометрических
персональных данных и технологиям хранения таких данных
вне информационных системах персональных данных.
Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных
данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных устанавливаются федеральным органом исполнительной власти,
уполномоченным в области обеспечения безопасности, (Федеральная служба безопасности России) и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (Федеральная служба по техническому и экспортному контролю), в пределах их полномочий.
Для эффективной защиты персональных данных в организации необходимо создание и внедрение системы безопасности, представляющей собой комплекс организационных и (или) технических мер, определенных с учетом актуальных угроз безопасности персональных данных и информационной системе, который, как правило, включает в себя следующие основные этапы работ:
1. Обследование информационной системы, обрабатывающей
персональные данные, и оценка ее соответствия требованиям нормативных документов по защите персональных данных.
2. Классификация (определение уровня защищенности) информационной системы, обрабатывающей персональные данные.
3. Разработка модели угроз безопасности персональных данных и модели нарушителя.
4. Разработка Технического задания на создание системы защиты персональных данных.
5. Разработка Технического проекта на создание системы защиты персональных данных.
6. Поставка и внедрение технических средств защиты информации.
7. Разработка организационно-распорядительных документов,
предусматривающих, в частности:
- порядок взаимодействия между ответственными за обеспечение безопасности персональных данных в информационных системах персональных данных и эксплуатирующими подразделениями по вопросам обеспечения безопасности персональных данных;
- ответственность должностных лиц за обеспечение безопасности персональных данных, своевременность и качество формирования требований по защите информации, за качество разработки системы защиты персональных данных в информационных системах персональных данных;
- порядок контроля обеспечения требуемого уровня защищенности персональных данных;
8. Оценка соответствия информационной системы, обрабатывающей персональные данные требованиям по безопасности информации.
В рамках обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных разрабатывается разрешительная система доступа к обрабатываемой в информационных системах персональных данных информации, которая предусматривает установление единого порядка обращения со сведениями, содержащими персональные данные и их носителями, определяет степень ограничения на доступ к данной информации и степень ответственности за сохранность предоставленной информации.
Организация разрешительной системы доступа относится к основным вопросам управления обеспечением безопасности персональных данных и включает:
- распределение функций управления доступом к данным и их обработкой между должностными лицами;
- определение порядка изменения правил доступа к защищаемой информации;
- контроль функционирования разрешительной системы доступа и расследование фактов неправомерного доступа лиц к защищаемой информации в случае выявления таковых;
- оценку эффективности проводимых мер по исключению утечки информации;
- разработку внутренних организационно-распорядительных
документов, определяющих порядок реализации и функционирования разрешительной системы доступа.
При обращении со съемными носителями персональных данных необходимо выполнять следующие основные требования:
- носители персональных данных учитываются и выдаются пользователям под роспись;
- носители персональных данных, срок эксплуатации которых истек, уничтожаются в установленном порядке;
- все носители персональных данных хранятся в безопасном месте в соответствии с требованиями по их эксплуатации.
Контроль обеспечения требуемого уровня защищенности
персональных данных заключается в проверке выполнения требований нормативных документов по защите персональных данных, а также в оценке выполнения и эффективности принятых мер. Мероприятия по контролю защищенности персональных данных могут проводиться как
уполномоченными работниками подразделения по технической защите информации, так и на договорной основе сторонней организацией, имеющей лицензию на деятельность по технической защите конфиденциальной информации.
Литература:
1. Трудовой кодекс Российской Федерации.
2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» принят Государственной Думой 08.07.2006, одобрен Советом Федерации 14.07.2006.
3. Постановление Правительства Российской Федерации от 06.07.2008
№ 512 «Об утверждении требований к материальным носителям
биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
4. Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
5. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
6. Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
7. Методика определения актуальных угроз безопасности
персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора
ФСТЭК России 14.02.2008.
| 
0%