Перейти на Sec.Ru
Sec.Ru Интернет портал по безопасности
Мой Sec.Ru
Логин
или e-mail
Пароль
Забыли пароль?
Рейтинг@Mail.ru
Форум по безопасности на Sec.Ru


Популярные темы

О форуме
Регламент

Как пользоваться

Форум / Блоги / Защита персональных данных, как она есть
SPB.Z-IT.RU

Защита персональных данных, как она есть
ПДн, ИСПДн, защита персональных данных

последнее — 28.05.2009 13:28
всего — 1

Защита персональных данных, как она есть
28.05.2009 13:28

Защита персональных данных, как она есть
Содержание
1. Термины и определения
2. Законодательство о ПДн
3. Как защитить персональные данные
1. Термины и определения
Персональные данные (ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
Информационная система персональных данных (ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

2. Законодательство о ПДн
Анализ законодательства РФ специалистами ФГУП СПбФ «ЗащитаИнфоТранс» показал, что основания для предъявления претензий со стороны субъектов ПДн к оператору ПДн закреплены в следующих правовых нормативных документах:
ФЗ ОТ 27 ИЮЛЯ 2006 Г. № 152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»
Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.
Статья 17. Право на обжалование действий или бездействиия оператора
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных
3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных…
УГОЛОВНЫЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ
Статья 140. Отказ в предоставлении гражданину информации
Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, -
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет.
(в ред. Федерального закона от 08.12.2003 N 162-ФЗ)
КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ АДМИНИСТРАТИВНЫХ РАВОНАРУШЕНИЯХ
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) -
влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
(в ред. Федерального закона от 22.06.2007 N 116-ФЗ)
Статья 13.12. Нарушение правил защиты информации
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.
Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)
(в ред. Федерального закона от 20.08.2004 N 114-ФЗ)
2. Невыполнение в установленный срок законного предписания, решения органа, уполнномоченного в области экспортного контроля, его территориального органа -
(в ред. Федеральных законов от 20.08.2004 N 114-ФЗ, от 08.05.2006 N 65-ФЗ, от 09.04.2007 N 45-ФЗ)
влечет наложение административного штрафа на должностных лиц в размере от пяти тысяч до десяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от двухсот тысяч до пятисот тысяч рублей.
(в ред. Федеральных законов от 09.05.2005 N 45-ФЗ, от 22.06.2007 N 116-ФЗ)
3. КАК ЗАЩИТИТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Любая обработка ПДн начинается только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
Далее необходимо руководствуясь Приказом Федеральной службы по надзору в сфере связи и массовых коммуникаций от 17 июля 2008 г. № 08 направить уведомление об обработке (о намерении осуществлять обработку) персональных данных. После этого Ваша организация будет занесена в реестр.
После этого необходимо приступать непосредственно к защите ПДн.
Сюда входит разработка ряда организационно-распорядительных документов (акты, положения, инструкции и т.д.).
Объем работ зависит от класса ИСПДн, поэтому, вначале проводиться классификация ИСПДн на основании Приказа Федеральной службы по техническому и экспортному контролю, ФСБ Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. № 55/86/20. По результатам классификации составляется Акт с присвоением соответствующего класса.
При проведении классификации ИСПДн учитываются следующие исходные данные:
- категория обрабатываемых в информационной системе персональных данных;
- объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе);
- заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;
- структура информационной системы;
- наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;
- режим обработки персональных данных;
- режим разграничения прав доступа пользователей информационнойй системы;
- местонахождение технических средств информационной системы.
В зависимости от класса ИСПДн выбираются организационные и технические решения по выполнению требований для данного класса согласно «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного постановлением Правительства РФ от 17 ноября 2007 г. N 781 и методических документов ФСТЭК России.
Мероприятия по защите ПДн при их обработке в ИСПДн включают в себя защиту от угрозы, реализуемой через технические каналы утечки и от угроз, реализуемых за счет несанкционированного доступа и неправомерных действий, последние мероприятия включают в себя:
- управление доступом;
- регистрацию и учёт;
- обеспечение целостности;
- контроль отсутствия недекларированных возможностей;
- антивирусную защиту;
- обеспечение безопасности межсетевого взаимодействия ИСПДн;
- анализ защищенности;
- обнаружение вторжений.
Итогом работы является аттестация ИСПДн.
Несмотря на кажущуюся сложность выполнения всех требований законодательства РФ по обеспечению безопасности ПДн, специализированные организации осуществляющие свою деятельность в области защиты информации уже наработали и имеют серьезный опыт по защите ИСПДн различных классов. Так специалистами ФГУП СПбФ «ЗащитаИнфоТранс» (http://www.spb.z-it.ru) разработаны новые методики и практические решения для различных типов организаций позволяющие минимизировать расходы и выполнить все требования нормативных правовых документов ФСБ и ФСТЭК действующиее в РФ по информационной безопасности.
Работы по защите ПДн должна проводить организация, имеющая лицензию на осуществление деятельности по технической защите конфиденциальной информации. Аттестацию выполняют только аккредитованные аттестационные центры такие как ФГУП СПбФ «ЗащитаИнфотранс» (http://www.spb.z-it.ru)
подробно/комментарии (2) >>

Новости
Дежурно-диспетчерские службы южных регионов Киргизии будут иметь единый номер телефона

SearchInform представила новые разработки для ведения расследований инцидентов ИБ

Российские компании разработали типовой Микро-ЦОД


 
--{ team void }-- Rambler's Top100 Рейтинг@Mail.ru