Первые шаги к январю. О соблюдении требований №152-ФЗ операторами::Приложение к журналу СА №2(2010)
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6415
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7118
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4396
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3086
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3882
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3897
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6386
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3234
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3530
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7364
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10726
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12446
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14097
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9192
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7142
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5447
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4683
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3496
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3213
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3449
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3090
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Первые шаги к январю. О соблюдении требований №152-ФЗ операторами

Архив номеров / 2010 / Выпуск №2 (2) / Первые шаги к январю. О соблюдении требований №152-ФЗ операторами

Рубрика: Безопасность /  Закон есть закон
Елена Голованова ЕЛЕНА ГОЛОВАНОВА, генеральный директор компании «ИнфоТехноПроект»
Виктор Минин ВИКТОР МИНИН, член правления МОО СОДИТ

Первые шаги к январю
О соблюдении требований №152-ФЗ операторами

Члены Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных (Роскомнадзор) решили проинформировать ИТ-сообщество о тех шагах, которые необходимо выполнить, независимо от назначения новой критической даты – 1 января 2011 года

В соответствии с Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» оператор при их обработке обязан предпринимать необходимые организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий (ст. 19).

Операторы ПДн оказываются той категорией, которая в большей степени должна задуматься об организации своей деятельности в соответствии с существующим законодательством и провести комплекс определенных мероприятий. При этом первый шаг не должен быть связан с информационными системами, в которых обрабатываются персональные данные. Он должен быть направлен на бизнес-процессы, т.е. внутрь самой организации – оператора персональных данных. Как говорится, надо войти в организацию и ответить на основные вопросы: кто, что и когда.

Кто?

Независимо от того, будет ли приглашен для выполнения данного проекта сторонний исполнитель или нет, руководству компании придется создавать внутреннюю комиссию (рабочую группу), в состав которой войдут руководители направлений (отделов) – владельцы информационных ресурсов, в которых потенциально есть персональные данные. Пример таких подразделений – бухгалтерия, кадры, юридический отдел, отдел по работе с клиентами. Таким образом, в состав комиссии должны войти: руководитель финансового блока, начальник кадров, юрист, начальник по работе с клиентами, руководители ИТ-службы и ИБ-службы (если таковая имеется), начальник службы безопасности. Руководство этой комиссией возлагается на первое лицо компании или на одного из его замов, курирующих ИТ или безопасность.

Что?

С чего же следует начинать? Отнюдь не с уведомления, упоминаемого в законе, и не с выбора мер и средств защиты информационной системы, в которой обрабатываются ПДн. Начинать надо с четкого определения трех основных позиций, от которых в основном и будет зависеть соблюдение требований ФЗ (кстати, и величина затрат на защиту персональных данных): категории обрабатываемых ПДн, объема и цели их обработки. В результате во всех организациях должна появиться документация, регулирующая все вопросы обработки персональных данных.

Первый шаг

Основным должно стать «Положение об обработке персональных данных компании-оператора», т.е. документ, аккумулирующий информацию о ПДн, обрабатываемых оператором. Практика его создания уже существует: так, пункт 8 статьи 86 ТК РФ определяет, что «работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области». Впрочем, такой документ полезно иметь всем операторам, а не только тем, кто обрабатывает данные лишь своих сотрудников. Ведь даже для подачи уведомления в уполномоченный орган оператор должен: сформулировать правовые основания, цель и способы обработки ПДн; определить категории обрабатываемых ПДн и субъектов, чьи данные обрабатываются; составить перечень действий с персональными данными; изложить меры, которые оператор осуществляет с целью обеспечения безопасности; зафиксировать дату начала обработки, срок или условие ее прекращения.

Кстати, в связи с тем, что эти критерии меняются с течением времени, такой документ в организации тоже должен быть изменяемым. Помимо этого настоятельно рекомендуем включить в положение информацию об основаниях и порядке уничтожения персональных данных, а в качестве приложения включить форму согласия субъекта персональных данных на их обработку, разработанную с учетом требований ФЗ №152.

Второй шаг

Далее нужно закрепить порядок обработки, т.е. описать все бизнес-процессы компании, связанные с обработкой ПДн, с указанием конкретных должностных лиц, персональных данных и используемых мер и средств защиты. Поскольку нормативная правовая база упоминает два способа – с использованием средств автоматизации и без них, то целесообразно на основании анализа деятельности компании разработать две инструкции о порядке обработки ПДн. В компании могут применяться и оба документа одновременно.

Третий шаг

Обязательно необходим блок административно-распорядительных документов компании. Что в него войдет?

Для начала издайте приказ о назначении должностного лица, ответственного за организацию работы с персональными данными – в комплексе, включая организационно-правовые действия и направление технической защиты информации. Именно это лицо будет нести ответственность за осуществление компанией деятельности в качестве оператора персональных данных.

Еще одним приказом настоятельно рекомендуем назначить лиц, ответственных как за автоматизированную обработку ПДн, так и за обработку персональных данных без использования средств автоматизации. Они могут быть из разных областей: специалист по ИТ или ИБ, юрист или лицо, отвечающее за работу с персоналом. В этом же приказе можно определить и те должности, при занятии которых сотрудник непосредственно участвует в обработке персональных данных. Как только эти позиции будут закреплены в приказе по компании, в должностные инструкции каждого специалиста должны быть внесены дополнения, касающиеся работы с ПДн. Одновременно с этим компании-оператору необходимо заключить соглашения с работниками о неразглашении персональных данных клиентов компании.

О мелочах

Практика показывает, что только тогда, когда компания смогла сформулировать и принять эти документы, уведомление будет содержать фактическую и осознанную самим оператором информацию о действительном положении дел в компании. Это позволит избежать жалоб и судебных тяжб с субъектами персональных данных, чьи права нарушены, а также недоразумений при общении с уполномоченными органами и при проведении контрольных мероприятий надзорными органами. При отправке уведомления не забудьте оставить у себя в деле копию с отметкой о его получении уполномоченным органом.

О схемах работ

Перечень предлагаемых документов далеко не полон, но в целом отражает структуру организации работы с персональными данными оператора ПДн. В некотором смысле это типовое решение. Для каждой организации такая система должна учитывать особенности сферы деятельности, бизнес-процессов и структуру компании.

Подводя итог, предлагаем операторам следующую схему организации защиты персональных данных: при наличии единого управленческого звена в организации необходимо создать техническое направление по формированию обеспечения защиты ПДН – и это, как правило, ИТ- и ИБ-подразделения. И направление «нетехнической» защиты, обязанности которого, в свою очередь, можно перераспределить по структурным подразделениям согласно целям обработки. Это может быть, например, защита персональных данных в кадровом делопроизводстве, в контрольно-пропускной системе, юридическом структурном подразделении (при учете договоров с субъектами ПДн). При этом внутренним документом (должностной инструкцией) должна быть установлена персональная ответственность работников этих направлений за надлежащую защиту персональных данных.

Когда?

Призываем не откладывать, по русской традиции, «на потом» первый шаг, потому как выполнение данной работы с привлечением экспертной организации занимает в среднем три-четыре месяца. При выполнении этих работ собственными силами процесс может занять от трех до шести месяцев, а до обозначенной законом даты осталось не так много.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru