Перейти к основному содержанию

Консалтинговые услуги

Казань:+7(843)528-22-18, +7(8552) 25-01-99
+7 (917) 272-13-90, +7(843) 278-19-00

152-ФЗ обработка перс данных в инф системе: сколько у вас информационных систем? обычно имеется минимум две информационные системы (далее – ИС). Помимо ИС «CRM», имеется ИС «Бухгалтерия», «Предприятие», «Кадры», «Склад» - каждая ИС имеет ряд особенностей

Консультация по персональным данным Заказчика по вопросам :

1) перечень персональных данных, обрабатываемых сайтом по ссылке

2) определение типа информационной системы Заказчика;

3) определение типа угроз, актуальных для информационной системы;

4) требования к защите, к уровню защищенности, необходимого для анализируемой информационной системы, необходимые документы;

5) оценка соблюдения норм Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ с рекомендациями по необходимым действиям для их соблюдения.

 

152-ФЗ: что такое сайт в сети "Интернет"

В п. 13 ст. 2 Федерального закона «Об информации, информационных технологиях и о защите информации» дано определение понятия сайт в сети "Интернет" – это совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети "Интернет" по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети "Интернет".

 

152-ФЗ: что такое Информационная система

В п. 3 ст. 2 Федерального закона «Об информации, информационных технологиях и о защите информации» понятие Информационная система определено как совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Для целей настоящего заключения можно говорить об информационной системе как совокупности технологического, информационного, коммуникационного компонентов и человеческих ресурсов, которые позволяют собирать, обрабатывать, хранить и распространять данные для достижения конкретных целей, в том числе персональные данные.

 

152-ФЗ: что такое Персональные данные

Перечень информации, подпадающий под понятие персональные данные, довольно обширен и не четко определен, кроме того разными органами даются разные правовые оценки данного определения.

В данный перечень стоит отнести данные людей, которые регистрируются на сайте, а также

  • cookies,
  • IP-адреса
  • и ID посетителей сайта, которые обрабатываются информационной системой.

Стоит обратить внимание, что обычно имеется минимум две информационные системы (далее – ИС). Помимо ИС «CRM», имеется ИС «Бухгалтерия», «Предприятие», «Кадры», «Склад», которая имеет ряд особенностей.

Cписок персональных данных ИС «Бухгалтерия и кадры» состоит из других элементов.

В него входит совокупность данных:

  • ФИО,
  • место,
  • дата рождения,
  • место постоянной или временной регистрации,
  • фотография или видеозапись человека, позволяющие идентифицировать человека,
  • сведения о детях, семейном положении,
  • сведения о заработной плате,
  • информация о судимостях, или их отсутствии,
  • номер телефона,
  • адрес электронной почты,
  • иные идентификаторы в соц. сетях или мессенджерах,
  • паспортные данные,
  • СНИЛС,
  • ИНН,
  • фотографии и другая информация, которая относится прямо или косвенно к определенному или определяемому работнику.

Отметим, что некоторые из перечисленных данных приобретают статус персональных данных лишь при наличии и других данных, например, ИНН, адрес электронной почты, если не состоит из имени и фамилии и т.д.

В соответствии с п.5 Постановления Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – ПП №1119) и представленной Заказчиком информации можно сделать вывод, что ИС Заказчика – это информационная система, обрабатывающая иные категории персональных данных и персональные данные субъектов персональных данных, не являющихся сотрудниками оператора. ИС «Бухгалтерия и кадры» – это информационная система, обрабатывающая персональные данные сотрудников оператора и биометрические персональные данные, в случае обработки паспортов работников, включая фотографии в них, если же обработка биометрических данных отсутствует, то будет считаться ИС, обрабатывающая персональные данные сотрудников оператора и иные категории персональных данных.

Также следует отметить применение Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687). Согласно представленной информации при работе ИС «Клиенты» не происходит использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных непосредственно при участии человека, что стоит трактовать так, что информационная система персональных данных функционирует с использованием средств автоматизации и потому данное положение к ней не относится.

Данная оценка не распространяется на вторую информационную систему (Бухгалтерия и кадры). Согласно предоставленной анкете использование, уточнение, распространение, уничтожение персональных данных осуществляются при непосредственном участии человека, что свидетельствует о том, что данная информационной система считается функционирующей без использования средств автоматизации, и к ней нормы обсуждаемого положения применимы.

С момента вступления в силу ПП №1119 типы угроз, которые необходимы для установления уровня защищенности, не связываются с видом информационной системы.

В п.6 ПП №1119 устанавливает угрозы 3-х типов, а именно:

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Согласно п.7 ПП №1119 определение, к какому типу относится угроза, возложено на оператора. При этом определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".

Например, организация может задокументировать выбранный тип угроз с помощью создания комиссии, которая утверждает такой тип для всей организации или для конкретной ИС.

В соответствии с Руководящим документом «Защита от несанкционированного доступа к информации» Ч.1 (утв. решением Государственной технической комиссии при Президенте РФ от 4 июня 1999 г. N 114) недекларированные возможности - это функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Реализацией недекларированных возможностей, в частности, являются программные закладки.

С учётом предоставленной информации и всего вышеизложенного можно предположить о соответствии ИС Заказчика критериям угрозы 3-го типа.

С целью ответа на п.4 следует проанализировать п.8 ПП №1119, который устанавливает четыре уровня защищенности.

Категории ПДн

Специальные

Биометрические

Иные

Общедоступные

Собственные работники

нет

нет

да

 

нет

нет

да

нет

нет

да

Количество субъектов

Более 100 тыс

До 100 тыс

   

Более 100 тыс

До 100 тыс

 

Более 100 тыс

До 100 тыс

 

Тип актуальных угроз

1

1 УЗ

1 УЗ

1 УЗ

1 УЗ

1 УЗ

2 УЗ

2 УЗ

2 УЗ

2 УЗ

2 УЗ

2

1 УЗ

2 УЗ

2 УЗ

2 УЗ

2 УЗ

3 УЗ

3 УЗ

2 УЗ

3 УЗ

3 УЗ

3

2 УЗ

3 УЗ

3 УЗ

3 УЗ

3 УЗ

4 УЗ

4 УЗ

4 УЗ

4 УЗ

4 УЗ

Требования к уровню защищенности определяются по нескольким критериям:

  1. Тип угрозы.
  2. Категория персональных данных обрабатываемая информационной системой.
  3. Количество субъектов персональных данных.

С учётом предоставленных показателей можно говорить о том, что Заказчику необходим 3 или 4 уровень защищенности. Для точного установления необходим такой показатель, как количество субъектов персональных данных обрабатываемых информационной системой. В случае, если количество субъектов более 100 000, то необходим 3-ый уровень защищенности, а если менее 100 000, то достаточно будет 4-го уровня.

Субъекты персональных данных представляют собой физические лица, которых можно определить по имеющимся в ИС персональным данным.

Правовая оценка не распространяется на информационную систему «Бухгалтерия и кадры», которая в случае обработки фотографий и иных биометрических данных будет однозначно отнесена к системе с необходимостью обеспечения 3-го уровня защищенности.

Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных;

в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; - в списке необходимой документации присутствует.

г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных для 4-го уровня, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе (в перечне необходимых документов имеется).

Более детально информация приведена ФСТЭК России: приказ № 21 от 18.02.2013 утверждает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных. Именно в этом документе четко прописано, что нужно обеспечить для ИС с 4, 3, 2 и 1 уровнем защищенности.

Список требуемой документации согласно нормам российского права:

1) политика организации в отношении защиты персональных данных – согласно п. 2 ч. 1 ст. 18.1 ФЗ "О персональных данных". Уже имеется у Заказчика.

2) локальный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений – п. 2 ч. 1 ст. 18.1 ФЗ.

3) приказ о назначении лиц, ответственных за обработку и защиту персональных данных – согласно п. 1 ч. 1 ст. 18.1, ст. 22.1 ФЗ "О персональных данных" и п. 13 ПП №1119.

4) приказ о допуске работников к обработке персональных данных – согласно п. 8 ч. 2 ст. 19 ФЗ "О персональных данных", пп. "в" п. 13 ПП №1119.

5) договор с третьим лицом, которому оператор поручает обработку персональных данных, или которым передает персональные данные – при наличии такой передачи. В соответствии с представленной информацией такой договор имеет место быть. В ч. 3 ст. 6 ФЗ "О персональных данных" установлены требования к там договорам.

6) правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных – согласно пп.8 ч.2 ст. 19 ФЗ "О персональных данных".

7) акты внутреннего аудита обработки персональных данных – согласно пп. 4 ч. 1 ст. 18.1 ФЗ "О персональных данных".

8) документ, подтверждающий, что работник и их представители были ознакомлены с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области – согласно ст. 86 ТК РФ.

Также в связи с наличием информационной системы «Бухгалтерия и кадры» следует отметить обязанность по обеспечению наличия дополнительно таких документов:

1) положение о порядке обработки персональных данных работников – согласно п. 8 ст. 86 Трудового Кодекса РФ;

2) положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации – согласно п.п. 3, 8, 15 Постановление Правительства N 687;

3) согласие на обработку персональных данных работников для их дальнейшего распространения – согласно ст. 10.1 ФЗ "О персональных данных".

Заключение:

В зависимости от субъектов персональных данных и определения уровня защищенности рекомендуется обеспечить необходимый уровень защищенности.

Следует сверить наличие всех необходимых документов или обеспечить их составление с целью соответствия нормам ФЗ "О персональных данных".

Также Заказчику следует обратить внимание на согласие на обработку персональных данных. Так при обработке персональных данных зарегистрированных или регистрирующих пользователей можно ссылаться на конклюдентные действия, на надпись: «Регистрируясь на сайте, ты соглашаешься с публичным договором и политикой конфиденциальности сайта», а также на толкование ст. 6 ФЗ "О персональных данных", по которому согласие, необходимое для исполнения договора или для заключения договора, не требуется. Но такое согласие необходимо и на обработку иных персональных данных, например, IP адрес, файлы из cookies и т.д.

Согласно п.1 ст. 9 ФЗ "О персональных данных" согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Заказчику можно исходить из того, что Пользователь при самостоятельном посещении сайта без регистрации на нём, тем самым инициирующий использование сайта, сознательно определяет свои запросы и контролирует технические параметры используемого им оборудования, а также ознакомился с Вашей Политикой конфиденциальности в полном объеме. Кроме того, возможны другие варианты. Так, используют подход проставления отметки в электронном виде о согласии на обработку персональных данных или метод создания уведомления о том, что дальнейшее использование сайта соответствует согласию на обработку cookies, IP адрес и т.д.

Следует отметить, что необходимо письменное согласие (или приравниваемое к таковому) в ряде случаев, например, если собирается информация о расовой или национальной принадлежности, политических взглядах, о мировоззрении и об убеждениях, о здоровье или личной жизни, обрабатываются биометрические персональные данные или при трансграничной передаче персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты.

В связи с наличием ИС «Бухгалтерия и кадры» следует отметить, что работодатель не имеет право обрабатывать данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни в силу п.4 ст. 86 ТК.

Следует также обратить внимание, что для владельца сайта, имеющего хоть одну форму для сбора ПД, необходимо соблюсти ряд условий: обеспечить размещение сайта на хостинге, соответствующем 152-ФЗ; обеспечить сайт антивирусной защитой; оснастить системой обнаружения вторжений (СОВ), средствами контроля уязвимостей. Данные требования могут быть реализованы как самостоятельно, так и путем приобретения данной услуги как сервис (аутсорсинг).

Приложение 1

Пример схемы организации защиты для 3 класса ИС:

  1. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора.

ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов.

ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации.

ИАФ.5 Защита обратной связи при вводе аутентификационной информации.

ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей).

  1. Управление доступом субъектов доступа к объектам доступа (УПД)

УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей.

УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа.

УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами ИС, а также между ИС.

УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование ИС.

УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование ИС.

УПД.6 Ограничение неуспешных попыток входа в ИС (доступа к ИС).

УПД.10 Блокирование сеанса доступа в ИС после установленного времени бездействия (неактивности) пользователя или по его запросу.

УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации.

УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети.

УПД.14 Регламентация и контроль использования в ИС технологий беспроводного доступа.

УПД.15 Регламентация и контроль использования в ИС мобильных технических средств.

УПД.16 Управление взаимодействием с ИС сторонних организаций (внешние ИС).

  1. Ограничение программной среды (ОПС)
  2. Защита машинных носителей персональных данных (ЗНИ)

ЗНИ.8 Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания.

  1. Регистрация событий безопасности (РСБ)

РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения.

РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации.

РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения.

РСБ.7 Защита информации о событиях безопасности.

  1. Антивирусная защита (АВЗ)

АВЗ.1 Реализация антивирусной защиты.

АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов).

  1. Обнаружение вторжений (СОВ)
  2. Контроль (анализ) защищенности персональных данных (АРЗ)

АРЗ.1 Выявление, анализ уязвимостей ИС и оперативное устранение вновь выявленных уязвимостей.

АРЗ.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации.

АРЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации.

АРЗ.4 Контроль состава технических средств, программного обеспечения и средств защиты информации.

  1. Обеспечение целостности ИС и персональных данных (ОЦЛ)

 

  1. Обеспечение доступности персональных данных (ОДТ)
  2. Защита среды виртуализации (ЗСВ)

ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации.

ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин.

ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре.

ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре.

ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей.

  1. Защита технических средств (ЗТС)

ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования ИС, в помещения и сооружения, в которых они установлены.

ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр.

  1. Защита ИС, ее средств, систем связи и передачи данных (3ИС)

ЗИС.3 Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи.

ЗИС.20 Защита беспроводных соединений, применяемых в ИС.

  1. Выявление инцидентов и реагирование на них (ИНЦ)
  2. Управление конфигурацией ИС и системы защиты персональных данных (УКФ)

УКФ.1 Определение лиц, которым разрешены действия по внесению изменений в конфигурацию ИС и системы защиты персональных данных.

УКФ.2 Управление изменениями конфигурации ИС и системы защиты персональных данных.

УКФ.3 Анализ потенциального воздействия планируемых изменений в конфигурации ИС и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации ИС с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных.

УКФ.4 Документирование информации (данных) об изменениях в конфигурации ИС и системы защиты персональных данных.

Сотрудники компании "Верное решение" оказывают услуги консультационного сопровождения для предпринимателей, консультируют по финансово-экономическим, правовым вопросам, маркетингу, иным вопросам развития бизнеса.

Мы предлагаем Вам воспользоваться комплексом услуг Компании:

  • консультационная и информационная поддержка и сопровождение участников федеральных и региональных мер государственной поддержки в том числе налоговых льгот, грантов и субсидий (мы помогли нашим клиентам привлечь более 11 миллиардов рублей государственных средств)
  • разработка бизнес-плана, технико-экономического обоснования (ТЭО), меморандума, презентации, паспорта проекта, концепции развития (стратегии), подготовка пакета документации по проекту (мы оказали уже 1 160 комплексов таких услуг),
  • проведение исследований рынков (маркетинговых) продукта, работ, услуг, поиск рыночных ниш, анализ конкурентной среды и перспектив развития,
  • помощь финансиста, экономиста, юриста, маркетолога - для использования льготных налоговых режимов, льготных ресурсов, привлечения льготных государственных инвестиций в проект, бизнес (мы провели более 11 400 консультаций для малого и среднего бизнеса),

Мы будем рады помочь Вам в решении Ваших задач. По любым возникающим вопросам, пожалуйста, обращайтесь.