Первые шаги к январю. О соблюдении требований №152-ФЗ операторами::Приложение к журналу СА №2(2010)
www.samag.ru
Журнал «БИТ. Бизнес&Информационные технологии»      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

ИТ-инфраструктура  

Системы мониторинга ИТ-инфраструктуры-2025

Без мониторинга ИТ-инфраструктуры не обходится ни одна компания, хотя бы потому, что

 Читать далее...

Открытое ПО  

Безопасность Open Source: рискуем или контролируем?

Компания «Кросс технолоджис» изучила, как используется ПО с открытым кодом в компаниях

 Читать далее...

Работа с нейросетью  

Скажи, есть ли у тебя AI, и я скажу, кто ты

Недавно сервис по поиску работы SuperJob выяснил, что каждый второй россиянин уже

 Читать далее...

Работа с Debian  

О Linux с любовью или Debian: через знание к любви

Конечно, одним лишь перечислением замечательных качеств любовь к Linux не возникнет. Для

 Читать далее...

Опрос  

Защита личных и клиентских данных: как мошенники используют ИИ и как защититься?

По данным RED Security, общее число кибератак на российские компании в 2024

 Читать далее...

Опрос  

Облачные инструменты для разработчиков

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Как с помощью облака сделать

 Читать далее...

Опрос  

Рынок мобильных приложений: что будет актуальным в 2025 году?

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Ваши прогнозы: чего ожидать от

 Читать далее...

Рынок труда  

Как успешно пройти все этапы собеседования на ИТ-должность?

По оценкам государства, дефицит ИТ-специалистов составляет от 740 тысяч до 1 миллиона

 Читать далее...

Спецпроект «Базальт СПО». Развитие Open Source в России  

Алексей Смирнов: «Сейчас трудно найти программный продукт, в котором нет свободного кода»

Какое будущее ждет свободное ПО? Влияет ли свободная или несвободная разработка на

 Читать далее...

Спецпроект «Базальт СПО». Развитие Open Source в России  

Николай Костригин: «Мы создали Hantis, конвейер автоматизации. Проекты, исследуемые разными инструментами, переходят от одного исполнителя к другому, развиваются, возвращаются к автору, и так по кругу»

О том, как идет работа по повышению безопасности отечественного программного обеспечения, рассказывает

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 7752
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 8017
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 5367
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3421
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 4212
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 4224
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6739
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3567
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3835
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7730
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 11088
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12812
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14585
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9524
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7488
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5763
Комментарии: 4
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4971
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3827
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3503
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3733
Комментарии: 1
Рецензия на книгу «MongoDB в действии»

 Читать далее...

Друзья сайта  

 Первые шаги к январю. О соблюдении требований №152-ФЗ операторами

Архив номеров / 2010 / Выпуск №2 (2) / Первые шаги к январю. О соблюдении требований №152-ФЗ операторами

Рубрика: Безопасность /  Закон есть закон
Елена Голованова ЕЛЕНА ГОЛОВАНОВА, генеральный директор компании «ИнфоТехноПроект»
Виктор Минин ВИКТОР МИНИН, член правления МОО СОДИТ

Первые шаги к январю
О соблюдении требований №152-ФЗ операторами

Члены Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных (Роскомнадзор) решили проинформировать ИТ-сообщество о тех шагах, которые необходимо выполнить, независимо от назначения новой критической даты – 1 января 2011 года

В соответствии с Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» оператор при их обработке обязан предпринимать необходимые организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий (ст. 19).

Операторы ПДн оказываются той категорией, которая в большей степени должна задуматься об организации своей деятельности в соответствии с существующим законодательством и провести комплекс определенных мероприятий. При этом первый шаг не должен быть связан с информационными системами, в которых обрабатываются персональные данные. Он должен быть направлен на бизнес-процессы, т.е. внутрь самой организации – оператора персональных данных. Как говорится, надо войти в организацию и ответить на основные вопросы: кто, что и когда.

Кто?

Независимо от того, будет ли приглашен для выполнения данного проекта сторонний исполнитель или нет, руководству компании придется создавать внутреннюю комиссию (рабочую группу), в состав которой войдут руководители направлений (отделов) – владельцы информационных ресурсов, в которых потенциально есть персональные данные. Пример таких подразделений – бухгалтерия, кадры, юридический отдел, отдел по работе с клиентами. Таким образом, в состав комиссии должны войти: руководитель финансового блока, начальник кадров, юрист, начальник по работе с клиентами, руководители ИТ-службы и ИБ-службы (если таковая имеется), начальник службы безопасности. Руководство этой комиссией возлагается на первое лицо компании или на одного из его замов, курирующих ИТ или безопасность.

Что?

С чего же следует начинать? Отнюдь не с уведомления, упоминаемого в законе, и не с выбора мер и средств защиты информационной системы, в которой обрабатываются ПДн. Начинать надо с четкого определения трех основных позиций, от которых в основном и будет зависеть соблюдение требований ФЗ (кстати, и величина затрат на защиту персональных данных): категории обрабатываемых ПДн, объема и цели их обработки. В результате во всех организациях должна появиться документация, регулирующая все вопросы обработки персональных данных.

Первый шаг

Основным должно стать «Положение об обработке персональных данных компании-оператора», т.е. документ, аккумулирующий информацию о ПДн, обрабатываемых оператором. Практика его создания уже существует: так, пункт 8 статьи 86 ТК РФ определяет, что «работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области». Впрочем, такой документ полезно иметь всем операторам, а не только тем, кто обрабатывает данные лишь своих сотрудников. Ведь даже для подачи уведомления в уполномоченный орган оператор должен: сформулировать правовые основания, цель и способы обработки ПДн; определить категории обрабатываемых ПДн и субъектов, чьи данные обрабатываются; составить перечень действий с персональными данными; изложить меры, которые оператор осуществляет с целью обеспечения безопасности; зафиксировать дату начала обработки, срок или условие ее прекращения.

Кстати, в связи с тем, что эти критерии меняются с течением времени, такой документ в организации тоже должен быть изменяемым. Помимо этого настоятельно рекомендуем включить в положение информацию об основаниях и порядке уничтожения персональных данных, а в качестве приложения включить форму согласия субъекта персональных данных на их обработку, разработанную с учетом требований ФЗ №152.

Второй шаг

Далее нужно закрепить порядок обработки, т.е. описать все бизнес-процессы компании, связанные с обработкой ПДн, с указанием конкретных должностных лиц, персональных данных и используемых мер и средств защиты. Поскольку нормативная правовая база упоминает два способа – с использованием средств автоматизации и без них, то целесообразно на основании анализа деятельности компании разработать две инструкции о порядке обработки ПДн. В компании могут применяться и оба документа одновременно.

Третий шаг

Обязательно необходим блок административно-распорядительных документов компании. Что в него войдет?

Для начала издайте приказ о назначении должностного лица, ответственного за организацию работы с персональными данными – в комплексе, включая организационно-правовые действия и направление технической защиты информации. Именно это лицо будет нести ответственность за осуществление компанией деятельности в качестве оператора персональных данных.

Еще одним приказом настоятельно рекомендуем назначить лиц, ответственных как за автоматизированную обработку ПДн, так и за обработку персональных данных без использования средств автоматизации. Они могут быть из разных областей: специалист по ИТ или ИБ, юрист или лицо, отвечающее за работу с персоналом. В этом же приказе можно определить и те должности, при занятии которых сотрудник непосредственно участвует в обработке персональных данных. Как только эти позиции будут закреплены в приказе по компании, в должностные инструкции каждого специалиста должны быть внесены дополнения, касающиеся работы с ПДн. Одновременно с этим компании-оператору необходимо заключить соглашения с работниками о неразглашении персональных данных клиентов компании.

О мелочах

Практика показывает, что только тогда, когда компания смогла сформулировать и принять эти документы, уведомление будет содержать фактическую и осознанную самим оператором информацию о действительном положении дел в компании. Это позволит избежать жалоб и судебных тяжб с субъектами персональных данных, чьи права нарушены, а также недоразумений при общении с уполномоченными органами и при проведении контрольных мероприятий надзорными органами. При отправке уведомления не забудьте оставить у себя в деле копию с отметкой о его получении уполномоченным органом.

О схемах работ

Перечень предлагаемых документов далеко не полон, но в целом отражает структуру организации работы с персональными данными оператора ПДн. В некотором смысле это типовое решение. Для каждой организации такая система должна учитывать особенности сферы деятельности, бизнес-процессов и структуру компании.

Подводя итог, предлагаем операторам следующую схему организации защиты персональных данных: при наличии единого управленческого звена в организации необходимо создать техническое направление по формированию обеспечения защиты ПДН – и это, как правило, ИТ- и ИБ-подразделения. И направление «нетехнической» защиты, обязанности которого, в свою очередь, можно перераспределить по структурным подразделениям согласно целям обработки. Это может быть, например, защита персональных данных в кадровом делопроизводстве, в контрольно-пропускной системе, юридическом структурном подразделении (при учете договоров с субъектами ПДн). При этом внутренним документом (должностной инструкцией) должна быть установлена персональная ответственность работников этих направлений за надлежащую защиту персональных данных.

Когда?

Призываем не откладывать, по русской традиции, «на потом» первый шаг, потому как выполнение данной работы с привлечением экспертной организации занимает в среднем три-четыре месяца. При выполнении этих работ собственными силами процесс может занять от трех до шести месяцев, а до обозначенной законом даты осталось не так много.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru