hfairy

Запись опубликована Хроники заводной мыши. Пожалуйста, оставляйте комментарии там.</p

Запись опубликована Хроники заводной мыши. Пожалуйста, оставляйте комментарии там.

На страницах своего блога я уже поднимал тему о соблюдении закона 152-ФЗ.
Помимо прочего я являюсь зарегистрированным реселлером компании Наунет. Как известно для успешной регистрации домена в зоне RU сейчас требуется предоставить свои персональные данные (паспорт).
Согласно 152-ФЗ регистратор является оператором обработки персональных данных, и попадает как минимум во вторую категорию уж точно. А это означает обязательность наличия аттестата ФСТЭК на все элементы инфраструктуры регистратора, отвечающей за обработку персональных данных.
Сам регистрационный центр отвечает на вопрос весьма уклончиво, в виде презентации. Однако даже в этом документе есть очень важные элементы, на которые стоит обратить внимание. Сервис WhoIs признаётся общедоступным источником информации, и это в принципе логично. Регистратор признаётся оператором, но без указания категории. Упоминается факт обработки данных в соответствии с договором оператора и субъекта, в этом случае оператор не обязан подавать уведомление в Роскомнадзор. В любом случае презентация точных ответов на все вопросы не даёт.
Персональные данные владельцев доменов, содержащиеся в WhoIs-сервисе, а именно фамилия, имя, отчество, адрес и др., могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов. При таком исключении персональные данные останутся только в служебной базе регистратора, а в сведениях, выдаваемых WhoIs-серисом, будут закрыты.

В полной мере требования Закона к базе WhoIs пока не распространяются. “Заключительные положения” закона (ст. 25) содержат следующее предписание: “Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года”.

У большинства регистраторов есть функция сокрытия данных WhoIs. Беспокоит другое – смогут ли регистраторы обеспечить качественную защиту наших с вами данных? Могут ли клиенты доверять регистраторам? Ведь ни КЦ ни один из известных мне регистраторов не представил публике информацию о том, как он защищает персональные данные клиентов. Неизвестность как всегда пугает, особенно в свете того факта, что достать копию баз данных многих государственных структур не представляет особого труда.

Тенденции, которые просматриваются во всё большей интеграции Государства в интернет, не могут не вызывать опасений. В соответствии с законом №152-ФЗ «…Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных…». Полной же уверенности в возможности обеспечить такую конфиденциальность координационным центром нет.

Запись опубликована Хроники заводной мыши. Пожалуйста, оставляйте комментарии там.

Запись опубликована Хроники заводной мыши. Пожалуйста, оставляйте комментарии там.

С приближением НГ над большинством компаний этой страны всё ниже опускается домоклов меч правосудия в лице закона номер 152-ФЗ. Этот закон призван контролировать соблюдение конституционных прав граждан на тайну личной жизни и сохранность личных данных. Если личные данные используются кем то помимо владельца, то имеет место быть факт обработки личных данных. Тот кто обрабатывает личные данные считается оператором обработки и подлежит сертификации, на него накладывается ряд правил которым он должен следовать. В противном случае оператор может быть привлечён как к административной, так и к уголовной ответственности.

Не попадают в сферу действия 152-ФЗ:
- обработка персональных данных физическими лицами исключительно для личных и семейных нужд
- физ.лица со своими адресными книгами
- обработка данных, относящихся к гостайне
- архивный учет

Фактически закон представляет собой набор правил, которым должен следовать оператор персональных данных. Так же он устанавливает дату, к которой информационные системы оператора, созданные до вступления закона в силу, должны быть приведены в соответствие с его требованиями – не позднее 1 января 2010 года. В зависимости от категории персональных данных, оператор обязан направить уведомление в уполномоченный государственный орган.

Личными данными считается любой набор данных, позволяющий однозначно идентифицировать человека.
На пример одно только ФИО не может считаться личными данными, но уже ФИО и адрес однозначно определяют человека и являются личными данными.

Личные данные подлежат классификации.

Самый высший класс — К1 — охраняется почти как государственная тайна. К этой категории относятся данные, разглашение которых может привести к «значительным негативным последствиям» для субъекта. Далее классы идут по убывающей: разглашение данных класса К2 приводит к «негативным последствиям», К3 — к «незначительным последствиям», а К4 вообще не влияет на субъекта. При этом системы классов К1 и К2 должны получать аттестат ФСТЭК, операторы систем К3 могут просто декларировать свою защищенность, а К4 защищается вообще по решению оператора — без участия ФСТЭК.

На пример:
ФИО + некоторый id – персональные данные 4 категории.
ФИО + и номер, дата выдачи паспорта или номер ИНН – персональные данные 3 категории.
Карточка Т-2 (унифицированная карточка сотрудника) – персональные данные 2 категории
ФИО + сведения о здоровье (причина заболевания, временные факторы) – персональные данные 1 категории.

Под обработкой персональных данных подразумевается любое действие с этими данными, в том числе и хранение.

Ответственность при невыполнении требований закона весьма серьёзна и включает широкий спектр наказаний. Согласно КоАП РФ и УК РФ, я нашёл несколько статей, в соответствии с которыми будет определяться ответственность за нарушение требований по защите персональных данных. Может кто то найдёт и другие, я не юрист.
КоАП Статья 5.39 – отказ в предоставлении гражданину информации. Ответственность – штраф до 1 000 руб.
КоАП статья 3.12 – Административное приостановление деятельности.
КоАП Статья 13.11 – нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах. Ответственность – штраф до 1 000 руб.
КоАП Статья 13.12 – нарушение правил защиты данных. Ответственность – штраф от 10 000 до 20 000 руб. с конфискацией несертифицированных средств защиты информации или административное приостановление деятельности на срок до 90 суток.
УК Статья 137 – нарушение неприкосновенности частной жизни. Ответственность может доходить до штрафа в размере ЗП осужденного за 18 месяцев или ареста на 6 месяцев.
УК Статья 140 -отказ в предоставлении гражданину информации. Ответственность – штраф до ЗП за 18 месяцев либо лишение права занимать ряд должностей или заниматься определенной деятельностью.
УК Статья 171 – незаконное предпринимательство. Ответственность – до 5 лет лишения свободы со штрафом в размере ЗП осужденного за 6 месяцев.

В общем список довольно обширен. При чём хитрость и неоднозначность толкования нашего законодательства позволяет применять схожие статьи в одинаковых случаях. Все животные равны, но некторые равнее. Реальность ещё более сурова, рассмотрим простой пример:

В компанию обращается гражданин, данные которого находятся в её базах , с просьбой предоставить ему информацию о том, как ведется обработка его персональных данных. Тут стоит заметить, что такой запрос может подать и совершенно посторонний человек, проверить то вы его никак не сможете. В любом случае он имеет право на такое обращение в соответствии со статьей 14, частью 4 закона N152-ФЗ. Но компания не готова к тому, чтобы дать полный ответ в отведенное время. Она не предоставляет затребованную информацию или предоставляет ее не полностью. Клиент, не получив в указанные в законе сроки ответ, обращается с жалобой в Роскомнадзор. Тот направляет в органы прокуратуры запрос о возбуждении уголовного дела в связи с нарушением прав субъекта персональных данных. Возможная ответственность: по КоАП ст.5.39 или по УК ст.140. И вот у вас под дверью прокурорская проверка. При документальном изучении дополнительных данных Роскомнадзор делает предварительный вывод о недостаточности мер по защите ПДн. Например, сотрудникам Роскомнадзора не предъявляются копии сертификатов на средства защиты информации, не демонстрируются лицензии ФСТЭК, ФСБ или документы, описывающие модель угроз и поведение потенциального нарушителя. После чего Роскомнадзор направляет обращение в ФСТЭК и/или ФСБ по вопросу проведения внеплановой проверки организации с целью выяснения степени выполнения требований по обеспечению защиты ПДн. В ходе проверки выявляется, что данная организация эксплуатирует информационную систему определенного класса и в связи с этим должна была получить лицензию на деятельность по технической защите конфиденциальной информации ФСТЭК. Лицензии данная организация не имеет, и работ по ее получению она не начинала. ФСТЭК направляет отчет о проверке в Роскомнадзор, который, в свою очередь, направляет в органы прокуратуры или другие правоохранительные органы материалы для решения вопроса о возбуждении дела. Возможная ответственность: по КоАП ст.13.12 или по УК ст.171.

Что же делать со всем этим и как бороться?

Для начала я бы порекомендовал поторопиться ибо чем дольше вы тянете с решением, тем большему риску подвергается компания. Руководство компании должно понимать всю ответственность и важность проделываемой работы и должно всячески содействовать в её продвижении. Перед началом работ нужно определиться, что мы уже имеем в плане защиты персональных данных. Для этого потребуются нормативные документы ФСТЭК, описывающие технические требования к оператору. Эти документы несут гриф “для служебного пользования”, но их не трудно получить, направив заявление в отделение ФСТЭК по месту регистрации оператора. Далее нужно определиться какие из используемых информационных систем имеют сертификаты ФСТЭК. Важно иметь ПО и оборудование, сертифицированное ФСТЭК, про самостоятельную сертификацию я даже молчу – это весьма дорогой и длительный процесс. Используя полученные данные нужно провести аудит использования персональных данных, результатом должен быть список – где, что и в каком размере обрабатывается и хранится.

После проведения аудита наших данных можно приступать к их классификации.
Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать криптографические средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий – в зависимости от класса информационной системы. Для уменьшения издержек я рекомендую по возможности занизить класс ваших систем. Сделать это можно несколькими способами:
- изоляция системы – вы стараетесь максимально разделить информационную систему с персональными данными и прочие системы.
- разделение – можно попробовать разделить существующую систему на несколько мелких. На пример ФИО+ID хранить в одной базе, а прочие данные – в другой, при условии неявного совпадения.
- обезличивание данных – одна их форм разделения, с использованием сокращения. На пример в полном ФИО можно отчество заменить одной буквой, или хранить отдельно номер паспорта, а серию не хранить вовсе.
- перевод данных в общедоступный вид – часть данных можно оформить как часть общедоступного справочника. На пример у вас в компании есть ПО для ведения большой адресной книги или просто справочник деловых контактов. В нём можно делать ссылки на дополнительную базу в которой будут находиться дополнительные сведения.
Как видите уже на этапе классификации можно нехило экономить деньги.

Дальше больше.
Как вообще должны выглядеть информационные системы с точки зрения закона.
- информационная система отделена от корпоративной сети межсетевым экраном
- в системе используются сертифицированные средства: Разграничения доступа (на уровне ОС, СУБД, прикладных систем), Аудита доступа к ПД (на уровне ОС, СУБД, прикладных систем), Антивирусной защиты.
- Разработан пакет документов по защите персональных данных – паспорт системы, модель угроз, инструкции для персонала и пользователей.
- документированы организационные меры.

Следует определиться – что вы уже имеете.

Во многих организациях используются системы сетевой защщиты серверов, организована зона DMZ. В этом случае первый пункт можно считать выполненым. Если ваше программное обеспечение и железо уже находится в списке сертифицированных ФСТЭК, то вам повезло, если это не так, то самый простой способ это замена существующих систем на аналогичные. Тут следует заметить, что большинство современного софта всё же сертифицировано, на пример Windows 2003 server или MSSQL.

Технические меры неотделимы от мероприятий организационных.

Организационные мероприятия следует очень точно продумать. Тут мало можно дать какие-то точные рекомендации, по тому что во многом это зависит от специфики работы компании. Скажу только, что не стоит недооценивать этот пункт. Многие вещщи можно решить наложив простой организационный запрет, по крайней мере избавить себя от личной отвественности уж точно получится. За основу можно взять уже существующие методические рекомендации ФСТЭК, полученые вами в начале всей суеты. Что должно быть обязательно – паспорт системы (описание того, что вы защищаете), модель угроз (от чего вы защищаетесь), регламенты предоставления доступа и реагирования на инцеденты (описание того, что вы можете делать и каким образом). Как приложение можно оформить пакет инструкций как для пользователей, так и для админов.

Пакет нужных документов зависит от класса сашей системы.

Для систем классов 1, 2 и 3 (болле 1000 субъектов) требуется наличие лицензии на техническую защиту конфиденциальных данных и сертификат об аттестации системы.

Для систем классов 1, 2 и 3 требуется использование сертифицированных ФСТЭК средств защщиты.

Для систем классов 1 и 2 требуется получать письменное согласие на обработку персональных данных от каждого субхекта. Вы должны представить доказательство получения согласия субъекта на обработку его данных. Существуют случаи когда подобная продцедура не требуется. При случае выполнения оператором федерального закона в процессе своей работы (суть работы оператора есть выполнение закона), в случае если персональные данные обрабатываются в рамках исполнения договора, одной из сторон которой является субъект. На пример не нужно такое согласие во время приёма на работу сотрудника, регистрации в пенсионных фондах, подачи налоговой декларации, оформлении страховки.

Для классов 1 и 2 обязательно требуется подавать уведомление в Роскомнадзор о намерении осуществлять обработку персональных данных. Многие компании не обязаны регистрироваться как операторы:
- в случае если оператора и субъекта связывают трудовые отношения.
- в случае заключения договора при условии нераспространения данных оператором.
- в случае если персональные данные получены из открытых источников.
- при обработке обезличенных персональных данных.
- в случае однократного использования данных.

На пример: обычная компания в которой есть отдел кадров, организаторы выдачи одноразовых пропусков на закрытую территорию, продажа билетов. В таких случаях уведомление в Роскомнадзор подавать не нужно.

Резюмируя всё вышесказанное я прихожу к выводу, что не так страшен чёрт…
Допустим если ваша компания не очень большого размера, с обычной бухгалтерией и отделом кадров, штатом сотрудников меньше тысячи чел. Такая компания попадает в третий класс операторов. В этом случае достаточно проверить используемые компоненты систем на сертификацию ФСТЭК, оформить состав данных, оформить список пользователей и закрепить всё это приказом.

Много дополнительной информации можно найти на официальном сайте Уполномоченного органа по защите прав субъектов персональных данных.

В общем примерно так я вижу себе решение этой весьма злободневной проблемы.

На сайте смоленской области можно найти неплохую подборочку документов по теме.

Запись опубликована Хроники заводной мыши. Пожалуйста, оставляйте комментарии там.

Запись опубликована Хроники заводной мыши. Пожалуйста, оставляйте комментарии там.

Запись опубликована Хроники заводной мыши. Пожалуйста, оставляйте комментарии там.

Запись опубликована Хроники заводной мыши. Пожалуйста, оставляйте комментарии там.

Запись опубликована Хроники заводной мыши. Пожалуйста, оставляйте комментарии там.

Запись опубликована Хроники заводной мыши. Пожалуйста, оставляйте комментарии там.

Запись опубликована Хроники заводной мыши. Пожалуйста, оставляйте комментарии там.

Запись опубликована Хроники заводной мыши. Пожалуйста, оставляйте комментарии там.

Запись опубликована Хроники заводной мыши. Пожалуйста, оставляйте комментарии там.

Запись опубликована Хроники заводной мыши. Пожалуйста, оставляйте комментарии там.

Запись опубликована Хроники заводной мыши. Пожалуйста, оставляйте комментарии там.