Защита персональных данных обрабатываемых с применением средств автоматизации

Автоматизированная и неавтоматизированная обработка персональных данных

Автоматизированная и неавтоматизированная обработка персональных данных

Приводя бизнес в соответствие с действующими нормативами законодательства в отношении сбора, хранения и передачи личной информации, ИП и руководителям крупных компаний приходится столкнуться с тем, что есть отдельные правила для неавтоматизированной и автоматизированной обработки ПДн. Оператору необходимо правильно трактовать пункты законов и подзаконных актов, чтобы не нарушать их и обеспечить необходимый уровень информационной безопасности на предприятии.

Общие правила совершения операций с ПДн

Осуществляя сбор частных сведений, физическое или юридическое лицо должно придерживаться определенных требований вне зависимости о того, какой способ обработки персональных данных используется: автоматизированный или неавтоматизированный. Этого требует вступивший в силу в 2006 году закон № согласно которому:

  • получение и последующие операции должны выполняться на законном основании с предварительным уведомлением субъекта и получением его согласия;
  • длительность хранения ПДн определяется временем, необходимым для достижения целей обработки, если иное не прописано в законодательных актах или подписанном сторонами соглашении;
  • при утрате необходимости в обработке персданные должны быть уничтожены;
  • использование личной информации может осуществляться четко в рамках легальных целей и предварительно определенных задач. Этозначит, чтоавтоматизированная или неавтоматизированная обработка ПДн не может осуществляться, если предполагает использование сведений, собранных для других целей;
  • запрещено объединение БД, где содержатся ПДн, собранные для выполнения несовместимых между собой задач;
  • оператору надлежит обеспечить достаточность и точность информации, а неточные и неполные ПДн уничтожать либо уточнять.

Что значит неавтоматизированная обработка персональных данных: особенности и требования к работе с ПДн

Разобраться в том, что такое неавтоматизированная обработка персональных данных, помогает основной регулирующий нормативно-правовой акт по данному вопросу: Постановление Правительства № 687, принятое 15.09.2008.

В соответствии с пунктом первым Положения, утвержденного указанным Постановлением, неавтоматизированной обработкой являются любые действия с персональными данными, при условии, что использование, уточнение, распространение и уничтожение персональных данных осуществляются при непосредственном участии человека. Причем обработку нельзя признать автоматизированной только потому, что персональные данные содержатся в информационной системе или извлечены из нее.

Таким образом использование, уточнение, распространение и уничтожение персональных данных при неавтоматизированной обработке должно осуществляться без использования электронно-вычислительных технологий. Проще говоря, обработка персональных данных будет являться неавтоматизированной при условии, что используемые персональные данные набраны, например, на электронной печатной машинке (что в настоящее врем практически не встречается) и распечатаны на листе бумаги (материальном носителе), при условии что они не будут сохранены в памяти, или откопированы на ксероксе.

Кроме того, необходимо обратить внимание на следующие принципы обработки ПДн без использования средств автоматизации:

  • сведения, при использовании которых не применяется вычислительная техника, должны быть обособленными и фиксироваться на бланках, в специальных формах или на других физических носителях;
  • не допускается объединение на одном носителе личной информации, которая будет обрабатываться для несовместимых целей, а для каждой категории ПДн необходима отдельная форма, бланк и т.д.;
  • обработка персональных данных считается неавтоматизированной, если осуществляется хранение, передача, уточнение и уничтожение сведений при непосредственном участии человека;
  • сотрудники, допущенные к неавтоматизированной обработке, предварительно информируются о требованиях работы с ПДн, наказании за их нарушение и внутренних правилах предприятия в этой области;
  • для получения согласия от субъектов ПДн могут применять типовые формы документов, где должны быть указаны цели обработки и виды собираемой информации;
  • по каждой категории сведений необходимо определить место размещения материального носителя и лицо, ответственное за обеспечение его безопасности. Дополнительно необходимо создать условия, в которых ПДн будут защищены от внешних и внутренних угроз.

Автоматизированная обработка персональных данных: что это и какие АС существуют

Под автоматизированной обработкой персональных данных понимается их обработка при помощи средств вычислительной техники. Средствами вычислительной техники могут быть электронные вычислительные машины, комплексы и сети, вспомогательные и периферийные устройства, в том числе и установленное программное обеспечение. Системы, которые осуществляют подобные операции, отличаются между собой уровнем полномочий субъектов доступа, наличием разных уровней конфиденциальности, режимом функционирования (индивидуальный, коллективный). Также выделяют 4 уровня защищенности, отличающиеся по требованиям к обеспечению безопасности. Определение уровня защищенности призвано упростить и ускорить подбор мер защиты при работе с персональными данными. В зависимости от УЗ автоматизированная система должна быть оснащена различными средствами защиты.

На оператора возлагается обязанность по созданию ограничений доступа, проведению мероприятий для профилактики несанкционированного получения ПДн сторонними лицами, назначению ответственных за безопасность АС лиц, своевременному выявлению утечки сведений, контролю уровня защищенности и незамедлительному восстановлению системы. Построение эффективности СЗПДн требует профессиональных знаний и навыков, которые есть у специалистов нашего Центра. Обращайтесь к нам, чтобы проконсультироваться по поводу обеспечения защиты АС и оптимизации неавтоматизированной обработки ПДн.

Данная статья актуализирована с учетом последних изменений Федерального закона «О персональных данных» от 31 декабря 2017 года.

Как защищать персональные данные?

Как защищать персональные данные?

В соответствии с законом «О персональных данных», а именно частью первой статьи 19, в отношении персональных данных, обрабатываемых в организации, необходимо применять технические и организационные меры защиты от несанкционированного, в том числе и случайного, доступа посторонних лиц, модификации, копирования, распространения, уничтожения и других несанкционированных действий.

Как защищать персональные данные?

Организационные меры включают в себя:

  • разработку и внедрение в организации пакета локальной организационно-распорядительной документации, регламентирующей порядок обработки и защиты персональных данных, ознакомление с документами сотрудников и ответственных лиц;
  • введение физической охраны территории, внедрение систем видеонаблюдения, охранной сигнализации, усиление дверей и замков в помещения, установку решеток на окна первого и последнего этажей здания;
  • организацию хранения материальных носителей ПДн в сейфах, металлических запираемых шкафах;
  • внедрение пропускной системы на территорию организации и в помещения, в которых хранятся и/или обрабатываются ПДн, установление контролируемой зоны;
  • обучение, периодическое повышение квалификации сотрудников, ответственных за организацию системы защиты ПДн, проведение для всех сотрудников обзорных лекций, семинаров по вопросам обработки и защиты ПДн;
  • проведение внешнего аудита или внутреннего контроля обработки ПДн на соответствие принятым в организации мерам, нормативным и локальным актам;
  • организацию постоянного контроля защищенности персональных данных, работоспособности средств защиты, исполнения обязанностей ответственными сотрудниками;
  • расследование инцидентов, связанных с нарушением безопасности ПДн, и привлечение виновных лиц к дисциплинарной, административной и другим видам ответственности и т.п.

Организационные меры являются наиболее действенными и, как правило, минимизируют вероятность реализации до 80% всех угроз безопасности обрабатываемых персональных данных. Оставшиеся угрозы перекрываются техническими мерами обеспечения информационной безопасности, которые могут включать в себя:

  • программную или программно-техническую защиту от несанкционированного доступа к информационным ресурсам автоматизированных рабочих мест информационных систем персональных данных (ИСПДн);
  • организацию безопасного межсетевого взаимодействия при подключении ИСПДн к локальным сетям общего пользования или к сети Интернет;
  • применение систем шифрования ПДн при необходимости их передачи по открытым каналам связи, например, при обмене информацией между территориально удаленными филиалами или офисами через сеть Интернет;
  • защиту ПДн, обрабатываемых в информационных системах, от вредоносного программного обеспечения, вирусов, троянов и т.д.

Важным моментом является тот факт, что все технические средства, применяемые для защиты персональных данных, должны быть подвергнуты оценке соответствия требованиям в установленном порядке, то есть сертифицированы ФСТЭК или ФСБ России. Данное требование устанавливается подпунктом «г» пункта 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства № 1119.

Обработка персональных данных с использованием средств автоматизации

Обработка персональных данных с использованием средств автоматизации

Повсеместное использование средств автоматизации для операций с ПДн, с одной стороны, позволяет значительно ускорить их фиксацию, копирование, изменение, блокирование и распространение, но при этом создает дополнительные трудности из-за необходимости обеспечения информационной безопасности. При отсутствии тщательно продуманной защиты есть опасность утечки или несанкционированного использования сведений, и как результат — судебных исков от субъектов и штрафных санкций со стороны государственных служб.

Наиболее удобным способом решения проблемы является обращение к специалистам, которые возьмут на себя оценку рисков, проработку документальной базы, подбор техники и обучение персонала. Но даже в случае делегирования полномочий по организации системы и построению СЗПДн руководителю необходимо иметь представление о том, какие существуют принципы обработки ПДн и что требует законодательство от операторов. Немногие знают, что принимать меры защиты следует в отношении любой информации о гражданах, за исключением той, которая является общедоступной и не привязанной к конкретному субъекту. Даже если вы просто просите у посетителя сайта заполнить форму для обратной связи, нужно предупредить незаконное применение/изменение/распространение Ф.И.О., телефонного номера, электронной почты и т.д. Больше того, для легального сбора и оперирования данными нужно согласие их владельца в письменном или электронном виде.

В Федеральном Законе № 152-ФЗ указано, что автоматизированная обработка информации — это действия с ПДн, в которых используется вычислительное оборудование: компьютеры, ноутбуки, планшеты, мобильные и т.д. Для АС, как и для неавтоматизированных операций, предусмотрен ряд требований:

  • лимитированное время использования (до момента достижения конкретной цели);
  • запрет на объединение баз персональных данных, собранных для обработки в разных целях;
  • создание условий, в которых становится невозможным несанкционированный доступ;
  • назначение ответственных за безопасность лиц, разработка внутренней нормативной документации;
  • обязанность уничтожить ПДн после того, как потребность в них исчезает (нельзя хранить дольше необходимого);
  • сообщение субъекту, для чего требуются личные сведения, и получение согласия на последующие действия.

Использование средств автоматизации при обработке персональных данных в ИСПДн

Чтобы при хранении, сборе, блокировке, изменении, удалении ПДн не возникало никаких сбоев и все законодательные требования были на 100% соблюдены, оператору нужно грамотно организовать работу информационной системы. В неё входят не только все используемые сведения, сформированные в БД, но также технологии и оборудование. ИП или юридическое лицо может позаботиться об информационной защите самостоятельно либо заключить договор на делегирование полномочий. Надежным партнером во втором случае может стать наш Центр, обладающий лицензией ФСТЭК и многолетним опытом в обеспечении безопасности ПДн. Своими силами продумать все нюансы проблематично, если только в вашем распоряжении нет команды профессионалов, но содержать их в штате дорого. Аутсорсинговое обслуживание обходится дешевле и позволяет оперативно решать текущие вопросы.

В список главных обязанностей, которые ложатся на оператора, входят:

  • профилактика несанкционированного доступа (НСД);
  • мониторинг на предмет утечек или незаконного проведения операций;
  • поддержание необходимого уровня защищенности системы автоматической обработки данных;
  • предупреждение воздействия на вычислительную технику со стороны персонала и сторонних лиц;
  • восстановление утерянных сведений в кратчайшие сроки;
  • определение ответственного лица (или нескольких сотрудников), который будет отслеживать положение дел, уведомлять о проблемах и заниматься их урегулированием.

Дополнительно приходится тратить усилия, время и денежные ресурсы на подбор, установку, настройку и техническое обслуживание оборудования и программного обеспечения, а также отслеживать изменения в законодательной базе, чтобы своевременно вносить коррективы и осуществлять модернизацию.

Основные меры защиты

Безопасная автоматизированная обработка информации возможна при наличии четко прописанных во внутренней документации правил, а также проведении определенных мероприятий:

  • установление возможных рисков НСД в процессе хранения, корректировки, блокировки и т.д. с последующей разработкой модели угроз;
  • формирование СЗПДн для профилактики и устранения утечек и других опасностей в соответствии с установленным классом ИС;
  • составление списка лиц, допущенных для работы с конкретными БД, организация контроля на каждом этапе;
  • подбор, монтаж средств автоматизированной обработки информации и защиты данных, проверка их работоспособности;
  • ведение учета СЗИ, технической документации, случаев несоблюдения инструкций по их применению;
  • разработка детального описания системы.

Специфика организации СЗПДн

Разбираясь в том, что такое автоматизированная обработка информации, особое внимание нужно уделить именно защите. Во-первых, этого требует действующее российское законодательство, во-вторых, только так можно завоевать положительные отзывы от партнеров и клиентов, и, наконец, бесперебойно работающая СЗПДн — гарантия отсутствия претензий от Роскомнадзора, ФСТЭК и других проверяющих органов.

Оцените статью:
[Всего голосов: 0 Средняя оценка: 0]
Добавить комментарий