Защита персональных данных. На вопросы читателей «СА» отвечает эксперт::Журнал СА 6.2010
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6409
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7114
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4392
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3085
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3881
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3896
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6385
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3231
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3528
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7361
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10724
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12443
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14095
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9192
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7140
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5445
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4683
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3494
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3211
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3449
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3090
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Защита персональных данных. На вопросы читателей «СА» отвечает эксперт

Архив номеров / 2010 / Выпуск №6 (91) / Защита персональных данных. На вопросы читателей «СА» отвечает эксперт

Рубрика: Закон есть закон

Денис Иванов ДЕНИС ИВАНОВ, старший консультант департамента проектирования и консалтинга компании «Информзащита»

Защита персональных данных
На вопросы читателей «СА» отвечает эксперт

Как трактовать статью 22 ФЗ №152? Что делать, если ИТ-инфраструктура находится в России, но сопровождают системы безопасности специалисты из Европы? Нужно ли всем операторам проводить мероприятия, указанные в законе?

Можно ли подключать систему обработки ПДн к общей сети?

Конечно, можно, только при этом необходимо учесть дополнительные меры безопасности при взаимодействии с сетями связи общего пользования, описанные в «Положении о методах и способах защиты информации в информационных системах персональных данных», утвержденном приказом ФСТЭК России №58 от 5 февраля 2010 года. При подключении информационных систем, обрабатывающих государственные информационные ресурсы, к сетям связи общего пользования необходимо также учитывать Указ Президента Российской Федерации от 17 марта 2008 г. №351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».

При решении вопроса о подключении системы к сетям связи общего пользования в первую очередь необходимо в модели угроз безопасности ПДн рассмотреть дополнительные угрозы, связанные с межсетевым взаимодействием. Во вторую очередь необходимо выбрать и реализовать методы и способы защиты, которые должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных, связанных с взаимодействием информационной системы с сетями связи общего пользования. В зависимости от того, с какой целью осуществляется подключение к сетям связи общего пользования, как правило, потребуется применение дополнительных средств защиты информации:

  • системы межсетевого экранирования, обеспечивающие управление доступом, фильтрацию сетевых пакетов и трансляцию сетевых адресов, для скрытия структуры информационной системы;
  • системы обнаружения вторжений в информационную систему;
  • системы анализа защищенности информационных систем (сканеры безопасности);
  • системы антивирусной защиты, обеспечивающие в том числе анализ принимаемой из сети информации на наличие компьютерных вирусов;
  • другие специализированные комплексы, обеспечивающие в том числе защиту информации при ее передаче по каналам связи.

Как трактовать статью 22 – «Уведомление об обработке персональных данных»?

Из статьи следует, что организация не обязана никого уведомлять, если это работники организации или контрагенты.

«П. 2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

  • относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
  • полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.»

Действительно, под описанные в ч. 2 ст. 22 исключения достаточно часто подпадают организации, обрабатывающие только ПДн своих работников, а также контрагентов в рамках договоров гражданско-правового характера и клиентов  рамках оказания услуг по заключенным договорам. На практике таких организаций встречается достаточно много.

Вместе с тем необходимо учесть, что существует несколько типовых факторов, не подпадающих под данные исключения, таких как:

  • Обработка ПДн потенциальных работников (кандидатов на вакансии), которые есть у любой организации. Если вы обрабатываете данные по кандидатам на вакансии в автоматизированном виде (в информационной системе), то эта обработка не подпадает под исключения ст. 22 ФЗ №152, что ведет к необходимости уведомления уполномоченного органа по защите прав субъектов персональных данных.
  • Случаи, когда ПДн субъектов получены не от самого субъекта ПДн, а, например, от организации, в которой работает контрагент, или от другого юридического лица (заключившего договор с клиентом) и входящего в вашу группу компаний. Данная обработка ПДн также не подпадает под исключения ст. 22, что ведет к необходимости уведомления уполномоченного органа по защите прав субъектов персональных данных.

Если не надо уведомлять, проводить ли все мероприятия, указанные в ФЗ №152, по защите и обработке ПДн?

Безусловно, поскольку требования Федерального закона от 27.07.2006 г. №152 «О персональных данных» являются обязательными для всех операторов, определенных в ст. 1 данного закона, независимо от того, требуется им уведомлять уполномоченный орган по защите прав субъектов персональных данных или нет. Необходимость уведомления уполномоченного органа по защите прав субъектов персональных данных об обработке персональных данных определено в ст. 22 данного ФЗ и является лишь одной из обязанностей оператора по обеспечению защиты прав и свобод человека и гражданина при обработке его персональных данных.

Если сеть предприятия, распределенная настолько, что персональные данные обрабатываются в ЦОД, который находится в Европе. К серверам – доступ в терминальном режиме. Каким образом в данном случае будет проводиться сертификация технических средств и пр. на предмет соответствия требованиям закона?

В описанном случае осуществляется трансграничная передача персональных данных, причем, скорее всего, в страну, подписавшую и ратифицировавшую Конвенцию о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. ETS №108. В соответствии со ст. 12 Федерального закона от 27.07.2006 г. №152 «О персональных данных» оператору, осуществляющему трансграничную передачу персональных данных, необходимо руководствоваться законодательством Российской Федерации в области защиты прав субъектов персональных данных.

В соответствии с Федеральным законом от 27 декабря 2002 г. №184 «О техническом регулировании» объектом обязательного подтверждения соответствия может быть только продукция, выпускаемая в обращение на территории Российской Федерации. Так как все технические средства информационных систем в описанном случае расположены за пределами Российской Федерации, при решении вопросов обеспечения безопасности информационных систем обрабатывающих персональные данные необходимо руководствоваться законодательством иностранного государства, на территорию которого осуществляется передача персональных данных, а также международными нормативными актами, в том числе Конвенцией о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. ETS №108.

Данные (технические) вопросы рекомендуется закрепить в соглашении об уровне предоставления услуг (Service Level Agreement) с центром обработки данных, обеспечив на предприятии (на территории РФ) законность и порядок непосредственно процесса обработки персональных данных в соответствии с требованиями законодательства Российской Федерации в области защиты прав субъектов персональных данных. Кроме того, нельзя забывать об обеспечении безопасности рабочих мест на территории РФ, на которых осуществляются операции экспорта/импорта персональных данных, также требующих защиты.

Если ИТ-инфраструктура находится в России, но сопровождают системы безопасности специалисты из Европы. Такие варианты вообще как-то «легализуются» в соответствии с Законом о персональных данных?

Следуя ч. 4 ст. 6 ФЗ от 27.07.2006 г. №152 «О персональных данных» необходимо с соответствующей организацией, сопровождающей информационные системы (независимо от ее месторасположения), заключить соответствующий договор или соглашение об уровне предоставляемых услуг (Service Level Agreement), в котором оговорить обязанность обеспечения данной организацией конфиденциальности и безопасности ПДн при сопровождении системы.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru