Abc-contact.ru

АБС Контакт
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Инструкция по организации доступа к персональным данным и иной конфиденциальной информации, обрабатываемой в комплексах средств автоматизации Государственной автоматизированной системы Российской Федерации «Выборы»

Инструкция по организации доступа к персональным данным и иной конфиденциальной информации, обрабатываемой в комплексах средств автоматизации Государственной автоматизированной системы Российской Федерации «Выборы»

1.1. Настоящая Инструкция определяет порядок доступа к персональным данным и иной конфиденциальной информации, обрабатываемой в комплексах средств автоматизации Государственной автоматизированной системы Российской Федерации «Выборы» и входящей в состав ее информационных ресурсов (далее — конфиденциальная информация), и устанавливает основные права и обязанности пользователей ГАС «Выборы» при работе с персональными данными и иной конфиденциальной информацией.

1.2. Перечень персональных данных и иной конфиденциальной информации, обрабатываемой в комплексах средств автоматизации Государственной автоматизированной системы Российской Федерации «Выборы», и изменения к нему утверждаются Центральной избирательной комиссией Российской Федерации.

1.3. Защита конфиденциальной информации осуществляется подсистемой обеспечения информационной безопасности, представляющей собой комплекс программно-технических средств и организационных мер защиты информации от несанкционированного изменения или доступа к ней. Управление подсистемой обеспечения информационной безопасности осуществляет отдел защиты информации Федерального центра информатизации при Центральной избирательной комиссии Российской Федерации.

1.4. Председатель Центральной избирательной комиссии Российской Федерации, председатель избирательной комиссии субъекта Российской Федерации назначает ответственного за организацию обеспечения доступа к конфиденциальной информации в соответствии с настоящей Инструкцией.

1.5. Ответственность за выполнение соответствующих положений настоящей Инструкции и иных нормативных актов по обеспечению безопасности информации возлагается на членов Центральной избирательной комиссии Российской Федерации, руководителей структурных подразделений ее Аппарата, Федерального центра информатизации при Центральной избирательной комиссии Российской Федерации (далее — ФЦИ при ЦИК России), Российского центра обучения избирательным технологиям при Центральной избирательной комиссии Российской Федерации (далее — РЦОИТ при ЦИК России), членов избирательных комиссий субъектов Российской Федерации и нижестоящих избирательных комиссий, руководителей информационных центров, системных администраторов, обеспечивающих эксплуатацию комплексов средств автоматизации в соответствующих избирательных комиссиях.

2. Организация доступа к конфиденциальной информации

2.1. Доступ к конфиденциальной информации предоставляется пользователям системными администраторами, обеспечивающими эксплуатацию комплексов средств автоматизации в соответствующих избирательных комиссиях, по списку пользователей, допущенных к работе с персональными данными и иной конфиденциальной информацией, обрабатываемой в комплексах средств автоматизации Государственной автоматизированной системы Российской Федерации «Выборы» (далее — список), форма которого дана в приложении N 1 к настоящей Инструкции (не приводится).

2.2. На основании списка администратор подсистемы обеспечения информационной безопасности ГАС «Выборы», руководитель информационного центра избирательной комиссии субъекта Российской Федерации, системный администратор, обеспечивающий эксплуатацию комплекса средств автоматизации в соответствующей избирательной комиссий, разрабатывает таблицу разграничения доступа к персональным данным и иной конфиденциальной информации, обрабатываемой в комплексах средств автоматизации Государственной автоматизированной системы Российской Федерации «Выборы» (далее — матрица доступа), форма которой дана в приложении N 2 к настоящей Инструкции (не приводится).

2.3. Матрица доступа составляется как на электронном, так и на бумажном носителях. На бумажном носителе матрица доступа составляется в двух экземплярах: подлинник (контрольный экземпляр) и рабочий экземпляр.

2.4. Администратор подсистемы обеспечения информационной безопасности ГАС «Выборы» (системный администратор избирательной комиссии субъекта Российской Федерации (муниципальной, окружной, территориальной избирательной комиссии) на основании матрицы доступа предоставляет пользователям доступ к информационным ресурсам ГАС «Выборы», проверяет на его автоматизированном рабочем месте (далее — АРМ) заданные возможности доступа и выдает под расписку в журнале регистрации персональный идентификатор.

2.5. Системный администратор, обеспечивающий эксплуатацию комплекса средств автоматизации в соответствующей избирательной комиссии, иные пользователи, допущенные к конфиденциальной информации, имеют право предоставлять сведения, содержащие конфиденциальную информацию, только председателю соответствующей избирательной комиссии, а также лицам, имеющим право получать указанные сведения в соответствии с настоящей Инструкцией и федеральным законодательством о выборах, референдуме.

3. Обязанности пользователей ГАС «Выборы», допущенных
к конфиденциальной информации

3.1. В должностных инструкциях лиц, допущенных к конфиденциальной информации, устанавливается необходимость выполнения требований по обеспечению безопасности конфиденциальной информации в ГАС «Выборы», также они должны быть ознакомлены под расписку с положениями пункта 3.2 настоящей Инструкции.

3.2. Лица, допущенные к конфиденциальной информации, обязаны:

— не сообщать конфиденциальную информацию лицам, не имеющим права доступа к ней;

— обеспечивать сохранность материалов с конфиденциальной информацией;

— не делать неучтенных копий на бумажных и электронных носителях;

— не оставлять включенными АРМ с предоставленными правами доступа, после окончания работы (в перерывах) не оставлять материалы с конфиденциальной информацией на рабочих столах. Покидая рабочее место, пользователь обязан убрать документы и электронные носители с конфиденциальной информацией в закрываемые на замок сейфы, шкафы, столы, и т.п.;

Читайте так же:
Как проверить автомобиль на залог

— при работе с документами, содержащими конфиденциальную информацию, исключить возможность ознакомления, просмотра этих документов лицами, не допущенными к работе с ними;

— не выносить документы и иные материалы с конфиденциальной информацией, а также их копии из служебных помещений, предназначенных для работы с ними;

— не вносить изменения в настройку средств защиты информации в строгом соответствии с эксплуатационной документацией;

— немедленно сообщать соответствующему руководителю структурного подразделения Аппарата ЦИК России, ФЦИ при ЦИК России и РЦОИТ при ЦИК России, председателю соответствующей избирательной комиссии, а также в вышестоящую избирательную комиссию о недостаче, утрате, утечке или искажении конфиденциальной информации, об обнаружении неучтенных материалов с указанной информацией;

— не допускать действий, способных повлечь утечку конфиденциальной информации;

— предъявлять для проверки лицам, наделенным необходимыми полномочиями в соответствии с законодательством Российской Федерации и нормативными актами ЦИК России, по их требованию все числящиеся и имеющиеся в наличии документы с конфиденциальной информацией.

3.3. Лица, виновные в нарушении требований настоящей Инструкции и иных документов, регламентирующих вопросы защиты конфиденциальной информации, несут ответственность в соответствии с действующим законодательством Российской Федерации.

4. Порядок доступа должностных лиц органов
государственной власти, иных государственных органов,
органов местного самоуправления к информационным ресурсам
ГАС «Выборы», содержащим персональные данные

4.1. Право доступа к информационным ресурсам ГАС «Выборы», содержащим персональные данные, имеют должностные лица органов государственной власти, иных государственных органов (далее — государственные органы), органов местного самоуправления, которым доступ к такой информации предусмотрен федеральными законами (далее — должностные лица).

4.2. Порядок направления и исполнения запросов о предоставлении доступа должностных лиц к информационным ресурсам ГАС «Выборы», содержащим персональные данные, может быть определен соглашением о взаимодействии Центральной избирательной комиссии Российской Федерации и федерального государственного органа.

4.3. Доступ должностных лиц к информационным ресурсам ГАС «Выборы», содержащим персональные данные, который необходим для реализации установленных законодательством Российской Федерации полномочий государственных органов, органов местного самоуправления, осуществляется на основании направленного в Центральную избирательную комиссию Российской Федерации либо в соответствующую избирательную комиссию субъекта Российской Федерации запроса уполномоченного должностного лица.

4.4. Запрос о предоставлении доступа к информационным ресурсам ГАС «Выборы», содержащим персональные данные, оформляется в письменном виде на бланке установленной формы, удостоверяется печатью и должен содержать:

наименование государственного органа, органа местного самоуправления, его почтовый адрес, регистрационный номер запроса и дату его подписания;

ссылку на федеральный закон (с указанием статьи), регламентирующий право доступа должностного лица;

наименование субъекта персональных данных и объем запрашиваемых о нем сведений;

определение цели получения доступа к информационным ресурсам ГАС «Выборы», содержащим персональные данные, которая связана с исполнением должностным лицом определенных федеральным законом обязанностей, для чего необходим доступ к персональным данным, обрабатываемым в комплексе средств автоматизации ГАС «Выборы».

4.5. Доступ должностных лиц к информационным ресурсам ГАС «Выборы», содержащим персональные данные, осуществляется с учетом требований законодательства Российской Федерации о персональных данных, об информации, информационных технологиях и о защите информации.

4.6. При работе с документами, связанными с предоставлением персональных данных, должен обеспечиваться режим ограниченного доступа к соответствующим документам.

4.7. Центральная избирательная комиссия Российской Федерации не позднее чем через тридцать дней со дня получения запроса получает средствами комплекса средств автоматизации Центральной избирательной комиссии Российской Федерации персональные данные и предоставляет доступ к ним должностному лицу либо не позднее чем через десять дней со дня получения запроса должностного лица направляет указанный запрос в соответствующую избирательную комиссию субъекта Российской Федерации.

4.8. Избирательная комиссия субъекта Российской Федерации не позднее чем через 20 дней со дня получения запроса из Центральной избирательной комиссии Российской Федерации, указанного в пункте 4.7, получает средствами комплекса средств автоматизации территориальной избирательной комиссии (либо избирательной комиссии субъекта Российской Федерации в случае обработки соответствующих персональных данных только на комплексе средств автоматизации избирательной комиссии субъекта Российской Федерации) персональные данные и предоставляет доступ к ним должностному лицу.

4.9. Запрос, направленный должностным лицом непосредственно в избирательную комиссию субъекта Российской Федерации, подлежит рассмотрению и исполнению не позднее чем через 30 дней со дня получения запроса в порядке, определенном пунктом 4.8.

4.10. Запросы, по форме и содержанию не отвечающие требованиям настоящего раздела, исполнению не подлежат. В этом случае Центральная избирательная комиссия Российской Федерации либо избирательная комиссия субъекта Российской Федерации (если запрос был направлен непосредственно в избирательную комиссию субъекта Российской Федерации) направляет должностному лицу отказ в предоставлении доступа к информационным ресурсам ГАС «Выборы», содержащим персональные данные.

Читайте так же:
График отпусков обязателен для работника и работодателя

Приложение № 2 к постановлению ЦИК России от 3 ноября 2003 года № 49/463-4

Решения Stonesoft для защиты персональных данных

В последнее время тема защиты персональных данных является почти обязательным предметом обсуждения в журналах, на выставках, конференциях, семинарах по информационной безопасности. Организации, осуществляющие обработку персональных данных, несмотря на ожесточенные споры о применимости и трактовке различных положений нормативных документов, все чаще задаются непраздным вопросом: «Как все же обеспечить реальную защиту таких информационных систем и при этом соответствовать требованиям законодательства?»

Высокопроизводительные и экономичные решения компании Stonesoft по межсетевому экранированию, обнаружению и предотвращению вторжений IPS, организации VPN, SSL VPN и NAC, полностью интегрированные между собой и имеющие общие средства централизованного управления, представляют наиболее полное и законченное решение, обеспечивающее как высокий уровень защиты, так и соответствие требованиям российского законодательства по защите персональных данных.

StoneGate Firewall

Межсетевые экраны с возможностью VPN StoneGate Firewall поддерживают российские криптографические алгоритмы и сертифицированы ФСТЭК по 3-му классу, что позволяет применять их сейчас для защиты информационной системы персональных данных до 2-го класса включительно (ведутся работы для защиты систем 1-го класса).

StoneGate IPS

В сертифицированной ФСТЭК системе обнаружения и предотвращения вторжений StoneGate IPS применена запатентованная технология Multi-Layer inspection, которая совмещает в себе достоинства как Stateful inspection, так и Аpplication-level proxy-технологий, позволяя добиться большей безопасности соединений и гибкости фильтрации при отсутствии какого-либо значительного снижения скорости.

IPS также выполняет все требования по применению поведенческих методов анализа безопасности сети, что соответствует требованиям к системам 2-го и 1-го класса.

StoneGate SSL VPN

StoneGate SSL VPN является идеальным решением для предоставления сотрудникам, заказчикам и партнерам защищенного и контролируемого удаленного доступа к информационной системе персональных данных на основе технологии «тонкого клиента». StoneGate SSL VPN поддерживает более 15 разнообразных методов аутентификации, среди которых выделяется уникальный метод аутентификации по одноразовым паролям, не требующий использования вспомогательного аппаратного обеспечения (в качестве генератора одноразовых паролей может использоваться, например, мобильный телефон). Устройство само динамически формирует под пользователя персонифицированный портал, через который он получает доступ к информационной системе персональных данных в соответствии со своими полномочиями. На автоматизированном рабочем месте, с которого осуществляется доступ, формируется изолированная среда, и после окончания сеанса система полностью очищает результаты работы пользователя.

StoneGate Management Center

Централизованная система управления StoneGate Management Center позволяет осуществлять:

  • всесторонний контроль и мониторинг всей сетевой инфраструктуры;
  • сбор логов из различных источников и генерацию отчетов;
  • управление всей инфраструктурой, существенно снижая затраты на эксплуатацию системы защиты в целом.

При этом если оператор информационной системы персональных данных переходит к использованию виртуализации, ему не надо придумывать как организовать защиту в виртуальной среде, — просто используются те же самые средства, специально подготовленные для работы в ней.

Практическая защита персональных данных. Где компания обрабатывает ПДн?

Практическая защита персональных данных. Где компания обрабатывает ПДн?

1) если данные позволяют выделить некоего индивида из множества лиц и использовать в отношении него особую модель взаимодействия, то такое лицо является определяемым, а соответствующая информация — его персональными данными ( Научно-практический постатейный комментарий к Федеральному Закону «О персональных данных» автор Савельев А. Г. )

a. Специальная категория персональных данных (ч. 1, п.3 ст. 10 152-ФЗ)

b. Биометрические персональные данные (ч. 1 ст. 11 152-ФЗ)

c. Общедоступные персональные данные (ч.1 ст. 8 152-ФЗ)

d. Иные (п. 5 ПП 1119).

3) постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» устанавливает дополнительные признаки обработки персональных данных:

a. чьи персональные данные (субъект, являющийся сотрудником/работником компании или субъект, не являющийся сотрудником/работником компании)

b. объем обрабатываемых персональных данных (до 100 000, свыше 100 000, без указания количества объема).

На всякий случай повторю сказанное в прошлой статье: показатель без указания количества объема относится к нескольким случаям, и рассматривать его в самом начале работ не целесообразно.

Приступим ко второму вопросу: где компания обрабатывает персональные данные? Но сначала необходимо понять, что вообще понимается под термином «Обработка персональных данных».

Читайте так же:
Виды претензии и сроки ответа

Согласно определению, данному в 2008 году, обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Однако Федеральный закон от 25.07.2011 N 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» внес в данное определение корректировки, которыми мы руководствуемся и в 2021 году. Сейчас под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ч. 3 ст. 3 152-ФЗ).

Как мы видим, определение уточняет определенные условия обработки, но ключевое понятие осталось неизменным: обработка — это любое действие/операция с персональными данными.

Этот аспект (ПЕРВЫЙ АСПЕКТ) необходимо понимать и помнить. Зачастую в ходе работ заказчик (эксплуатанты, владельцы и т.д.) говорит, что система не обрабатывает персональные данные. Обоснованием такой позиции является то, что система просто не сохраняет их у себя, а сразу передает в другую систему или на сервер. Такая позиция является неверной, т.к., если ей руководствоваться, часть процессов и систем компании выпадает из рассмотрения, что, как следствие, приводит к их нарушениям.

Следующим аспектом (ВТОРОЙ АСПЕКТ), на который обращает внимание определение 152-ФЗ и которое необходимо учитывать в ходе работ, это то, как производится обработка. Она может производиться:

1) с использованием средств автоматизации

2) без использования средств автоматизации.

В зависимости от использованного способа обработки впоследствии будут формироваться требования к применяемым средствам и мерам обеспечения безопасности персональных данных. Документами, конкретизирующими требования по обработке и защите, в частности, являются:

1) постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Кроме вышеуказанных постановлений Правительства Российской Федерации есть еще ряд ключевых нормативно-правовых актов, которые регулируют отдельные аспекты обработки персональных данных:

Указ Президента Российской Федерации от 30.05.2005 № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»

Однако, в рамках статьи мы не будем рассматривать указанные акты, т.к. они затрагивают отдельные узкие аспекты обработки. Итак, вернемся к ПП 687 и ПП 1119.Пусть Вас не вводят в заблуждение положения п. 1 и п. 2 ПП 687:

1) п. 1 — Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека

2) п. 2 — Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее .

На настоящий момент принята следующая позиция: все, что обрабатывается в информационных системах, и момент вывода персональных данных из информационных систем будут относиться к регулированию по ПП 1119, в остальных случаях — к ПП 687.

Однако, так было не всегда. Ранее существовало постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», которое предъявляло более жесткие требования к организации обработки и защиты персональных данных. Вследствие чего многие компании старались по возможности уйти из-под требований ПП 781.

Противостояние ПП 687 и ПП 781 в трактовке вопроса, что относить к обработке персональных данных с использованием средств автоматизации, а что нет, доходила порой до случаев, когда передача факсимильного сообщения с использованием факса приравнивалась к автоматизированной обработке, а сам факс считался информационной системой персональных данных. Но нередки были и случаи, когда заказчик доказывал, что обрабатывает персональные данные на отдельном автоматизированном рабочем месте и обработка регулируется и осуществляется исключительно ПП 687.

Однако за 11 лет Роскомнадзор выработал свою позицию, и она укладывается в то, что я указал выше (информационные системы и вывод из нее персональных данных – ПП 1119, бумага – ПП 687).

Читайте так же:
Давление на свидетеля по гражданскому делу

Обычно к обработке персональных данных, которую регламентирует ПП 687, относится ведение различных карточек, реестров, журналов (проходов, инструктажа, учета и т.д.) и т.п.

Важным аспектом, который необходимо учитывать, является сложившаяся позиция Роскомнадзора, которую он неоднократно озвучивал в ходе различных мероприятий – если форма, в которую заносятся персональные данные, установлена каким-то нормативно-правовым актом и/или органом государственной власти, то она применяется в той форме/виде, как установлена. В иных случаях должны быть учтены дополнительные положения/требования ПП 687. Ранее из-за отсутствия такой позиции у Роскомнадзора компании иногда перерабатывали установленные формы, что приводило к их отклонению проверяющими профильных ведомств или нареканию.

Таким образом, выявлением мест/процессов обработки персональных данных без использования средств автоматизации будет являться выявление фактов использования различных материальных носителей персональных данных. Одним из возможных вариантов решения данной задачи будет организация в компании рабочей группы, в которую войдут представители всех подразделений. Указанная группа сумеет в кратчайшие сроки (т.к. понимает процессы, в которые вовлечены их коллеги) определить процессы, задействованные подразделения/лиц, используемые виды материальных носителей, места хранения и нормативно-правовые акты, а также локальные нормативные акты компании, которые определяют/регламентируют такую обработку.

Перейдем к обработке персональных данных с использованием средств автоматизации.Но, прежде чем рассмотреть положения ПП 1119, необходимо остановиться на ранее существовавших требованиях ПП 781. Это связано с тем, что в ходе работ вам, возможно, придется столкнуться с работами/материалами, выполненными по старым требованиям.

Первым признаком того, что работы были выполнены по старым требованиям, будет являться год разработки документов или выполненных работ – до 2012.

Вторым признаком будет являться наличие в указании класса информационной системы персональных данных терминов «специальная» или «типовая».

Третьим возможным признаком работ, выполненных по старым требованиям, будет являться указание на использования исключительно сертифицированных средств защиты информации/персональных данных.

Почему важно обратить на это внимание? Согласно ПП 781 устанавливалась иная классификация информационных систем персональных данных (типовые, специальные). Классификация проводилась по ряду отличных от указанных в ПП 1119 признаков и в соответствии с приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» . Использование старых подходов и документов с высокой вероятностью приведет к ошибочному формированию требований для последующих работ .

Кроме этого, в ходе определения информационных систем персональных данных надо учитывать следующие нюансы:

не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой (ч. 3 ст. 5 152-ФЗ)

при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (ч. 5 ст. 18 152-ФЗ).

Зачастую в обработке персональных данных с использованием средств автоматизации участвуют те же подразделения, что и без их использования. Таким образом, в целях выявления информационных систем персональных данных в компании будет правильным привлечение специалистов из ранее организованной в компании рабочей группы по определению мест обработки/процессов, в рамках которых происходит обработка персональных данных без использования средств автоматизации.

Последний аспект (ТРЕТИЙ АСПЕКТ), который ряд компаний упускает из виду, — это привлечение к обработке персональных данных других компаний. Сейчас не является чем-то необычным, когда какие-то процессы или операции отдаются на подряд или выполняются совместными силами нескольких компаний. В этой связи вопрос обработки персональных данных зачастую выходит за область деятельности одной компании. Также не является чем-то необычным отсутствие в договорах/контактах с привлекаемыми компаниями отдельных положений, регулирующих условия обработки персональных данных.

Так, например, при выводе на рынок новых услуг, связанных с информационными системами, нередки случаи, когда одна компания предоставляет услугу (владеет сервисом), вторая владеет ЦОД/вычислительной инфраструктурой, третья пишет и обслуживает прикладное программное обеспечение информационной системы, а четвертая предоставляет услуги операторов или операционистов колл-центра (обслуживающих клиентов сервиса). В такой связке сложно понять, что фактически в обработке персональных данных клиентов участвуют все перечисленные компании. А значит, с точки зрения закона ко всем им должны быть применены соответствующие положения 152-ФЗ.

Еще одним сложным вопросом является момент передачи персональных данных за территорию Российской Федерации. Согласно 152-ФЗ такая передача называется трансграничной и регламентируется отдельными положениями 152-ФЗ (ст. 12), а также необходимостью оценки адекватной защиты прав субъектов персональных данных в стране, куда передаются персональные данные. В настоящий момент оценка производится согласно приказу Роскомнадзора от 15.03.2013 № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных». Таким образом, в ходе обработки персональных данных необходимо выяснить правовое основание обработки, лиц, участвующих в этой обработке, и корректно ли сформулированы договорные условия с участвующими/задействованными компаниями.

Читайте так же:
Агентский договор по продаже объекта недвижимости

Важным нюансом, на который обращает внимание Роскомнадзор, является соблюдение компанией (в соответствии со ст. 3 152-ФЗ — оператором) условий ч. 3 ст. 6 152-ФЗ. Указанный пункт гласит: «Оператор вправе поручить обработку персональных данных третьему лицу на основании поручения. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки. Должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст.19 152-ФЗ». Однако, считаем необходимым также привести и мнение ряда юристов, которые считают, что ч. 3 ст. 6 152-ФЗ дает право, а не устанавливает обязанность оператора. Юристы обосновывают указанную позицию тем, что за неисполнение указанных требований не предусмотрены какие-то штрафные санкции.

Средства защиты информации

ФГУП «ЦентрИнформ» предлагает готовое типовое решение по защите информационных систем персональных данных (ИСПДн) классов 2 и 3 (К2 и К3) согласно требований ФЗ-152 для автономного автоматизированного рабочего места (не подключенного к иным информационным системам) обработки персональных данных (ПДн), которое представляет собой комплекс технических и программных средств.

Условия эксплуатации ИСПДн:

  • Режим обработки информации – многопользовательский;
  • В ИСПДн пользователи имеют разные права доступа к персональным данным;
  • ИСПДн не имеет выхода в сети общего пользования.

В качестве средств защиты ИСПДн от НСД выступает программное обеспечение общего назначения со встроенными механизмами защиты, сертифицированное по требованиям ФСТЭК России.

Обоснования применения данного комплекса механизмов защиты ИСПДн от НСД, приведены в таблице:

Обоснование (реализуемое требование согласно Приказа ФСТЭК №58)

ОС MicrosoftWindows

— управление доступом за счет идентификации и проверки пользователя по паролю (2.1.б);
— защита ядра (2.1.в);
— разграничение доступа к ресурсам (2.1.в);
— поддержка смарт-карт для усиленной авторизации и проверки пользователей (драйверы, необходимые для поддержки смарт-карт и устройства считывания смарт-карт, устанавливаются автоматически без использования прав администратора).

eToken Network Logon

— аутентификация и проверка пользователя при помощи электронного ключа eToken (2.1.в);
— регистрация пользователя по паролю, либо ЭЦП (2.1.в);
— автоматическая блокировка рабочей станции при отсоединении носителя.

Электронный ключ eToken

— сертифицированный защищенный носитель;
— идентификация пользователя при входе в систему (2.1.б).

Антивирус Kaspersky Work Space Security

— целостная защита от вирусов, шпионских программ, хакерских атак и спама;
— проактивная защита от новых вредоносных программ;
— система отчетов о состоянии защиты.

Стоит особо отметить, что в большинстве случаев необходимым этапом создания систем информационной безопасности, определяющим как стоимость создаваемой системы защиты, так и ее эффективность, является предпроектное обследование ИСПДн.

Специалисты ФГУП «ЦентрИнформ» готовы провести в Вашей организации предпроектное обследование ИСПДн, в состав которого входят следующие работы:

  1. Определение (уточнение) перечня ПДн, подлежащих защите.
  2. Обследование ИСПДн с целью определения:
    • условий расположения ИСПДн относительно границ контролируемой зоны;
    • конфигурации и топологии ИСПДн в целом и ее отдельных компонент, физических, функциональных и технологических связей как внутри ИСПДн, так и с другими системами различного уровня и назначения;
    • технических средств и систем, предполагаемых к использованию в разрабатываемой ИСПДн, условий их расположения, общесистемных и прикладных программных средств, имеющихся и предлагаемых к разработке;
    • режимов обработки ПДн в ИСПДн в целом и в отдельных компонентах;
    • степени участия персонала в обработке ПДн, характера их взаимодействия между собой.
  3. Классификация ИСПДн.
  4. Разработка Частной модели угроз безопасности ПДн.
  5. Разработка технических требований на построение системы защиты ИСПДн.

По результатам предпроектного обследования заказчику предоставляются отчетные документы:

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector