Бухгалтерский учет, налогообложение, отчетность, МСФО, анализ бухгалтерской информации, 1С:Бухгалтерия

Защита персональных данных: новые документы регуляторов

29.04.2010
Защита персональных данных: новые документы регуляторов
Напомним, что к 1 января 2011 года все информационные системы персональных данных должны быть приведены в соответствие с требованиями Федерального закона от 27.07.2006 № 152-ФЗ. Отсрочка на год была предоставлена Федеральным законом от 27.12.2009 № 363-ФЗ, однако время течет быстро и новый 2011 год с новыми требованиями уже не за горами. В рамках данной статьи И.А. Баймакова (фирма "1С") познакомит вас с двумя новыми документами регуляторов - приказом Министерства связи и массовых коммуникаций РФ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 01.12.2009 № 630, определяющим порядок проведения проверок в части соблюдения требований законодательства по защите персональных данных, и приказом Федеральной службы по техническому и экспортному контролю от 05.02.2010 № 58, утвердившим методы и способы защиты информации в информационных системах персональных данных.

Содержание


Не секрет, что с окончательным вступлением Федерального закона от 27.07.2006 № 152-ФЗ увеличится количество проверок операторов персональных данных, которыми являются практически все организации и предприниматели.

Подробнее о том, какие организационно-распорядительные меры необходимо предпринять, читайте в номере 12 (декабрь) "БУХ.1С" за 2009 год в статье "Организационные вопросы защиты персональных данных".

В связи с чем, одним из значимых документов для оператора персональных данных будет являться Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Служба) при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее - Регламент), утвержденный приказом Министерства связи и массовых коммуникаций РФ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 01.12.2009 № 630 (зарегистрировано в Минюсте России 28.01.2010 № 16095).

Данный регламент определяет сроки и последовательность действий (административных процедур) Службы и ее территориальных органов, а также порядок взаимодействия с операторами персональных данных (далее - ПДн), в рамках проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки ПДн требованиям законодательства РФ в области персональных данных.

Регламентом определены следующие административные процедуры:

  • принятие решений о проведении проверок;
  • проведение проверок;
  • оформление результатов и принятие мер по результатам проверок.

Рассмотрим наиболее интересные для оператора ПДн положения.

В первую очередь необходимо отметить, что проверки могут проводиться двух видов - плановые и внеплановые и в двух формах - документарной и выездной. Важно учитывать, что проверки независимо от вида и формы могут проводиться как в отношении операторов, включенных в реестр операторов, осуществляющих обработку ПДн, так и в отношении операторов, не включенных в Реестр, но осуществляющих обработку ПДн.

В связи с чем следует напомнить, что избежать проведения проверки в случае отсутствия организации в реестре операторов ПДн вряд ли удастся.

С целью упрощения изучения Регламента предлагаем следующую справочную информацию в отношении проведения государственного контроля органами Роскомнадзора - см. таблицу.

Количественный состав участников проверки (проверяющих)

Не менее двух должностных лиц, в том числе должностное лицо, отвечающее за вопросы правового обеспечения (п. 17)

Основание проведения проверки

Приказ руководителя Службы или руководителя территориального органа

Срок уведомления оператора о начале проведения

плановой проверки

Не позднее чем в течение трех рабочих дней до начала проведения проверки (п. 23)

внеплановой проверки

Не позднее чем за 24 часа до начала ее проведения (п. 29)

Порядок предварительного уведомления о начале проведения

плановой проверки

Направление оператору копии приказа руководителя (заместителя) службы или его территориального органа (п. 23)

внеплановой проверки

Любым доступным способом (п. 29)

Срок проведения проверки

20 рабочих дней (продление возможно на срок не более 20 рабочих дней) (п. 31 и п. 32)

Срок представления требуемых документов

10 рабочих дней

Срок представления пояснений

10 рабочих дней

Плановые и внеплановые проверки

Плановые проверки проводятся на основании ежегодного плана проведения плановых проверок.

Что же является основанием для включения оператора в план проверок?

Ответ на этот вопрос содержится в пункте 22 Регламента. Данным пунктом определено, что "основанием для включения плановой проверки в План является начало осуществления Оператором деятельности по обработке персональных данных, а также истечение трех лет со дня:
- государственной регистрации Оператора в качестве юридического лица, индивидуального предпринимателя;
- окончания проведения последней плановой проверки Оператора."

Таким образом, включить в план проверок могут практически любую организацию, либо предпринимателя, осуществляющего обработку ПДн. С планом проверок на 2010 год можно ознакомиться на сайте Роскомнадзора по ссылке http://www.rsoc.ru/plan-and-reports/contolplan/.

В плане на 2010 года предусмотрены проверки операторов ПДн, работающих в различных сферах деятельности, - органы власти, налоговые и таможенные органы, охранные структуры, центры занятости и т. п.

Внеплановые проверки проводятся по основаниям, поименованным в пункте 27 Регламента, в том числе:

  • истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства РФ в области ПДн;
  • поступление в Службу или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о возникновение угрозы причинения вреда жизни, здоровью граждан; причинение вреда жизни, здоровью граждан;
  • нарушение прав и законных интересов граждан действиями (бездействиями) Операторов при обработке их персональных данных;
  • приказ руководителя Службы, изданный в соответствии с поручениями Президента РФ или Правительства РФ.

Как не трудно предположить, наиболее часто проведение внеплановой проверки может быть инициировано при поступлении в Роскомнадзор жалобы физического лица на нарушение прав и законных интересов граждан. В связи с чем стоит помнить, что на все обращения субъектов ПДн необходимо отвечать в сроки, установленные пунктом 4 статьи 16 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", т. е. в течение 7 рабочих дней.

В ходе проведения проверки Служба или ее территориальный орган осуществляют рассмотрение документов Оператора, а также исследование (обследование) информационной системы персональных данных, в части касающейся персональных данных субъектов персональных данных, обрабатываемых в ней.

Операторам ПДн следует обратить особое внимание на те документы, которые будут рассматриваться в ходе проведения проверки. К таким документам в соответствии с пунктом 64.1 Регламента относятся:

  • уведомление об обработке персональных данных;
  • документы, необходимые для проверки фактов, содержащих признаки нарушения законодательства РФ в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Службу или ее территориальный орган;
  • документы, подтверждающие выполнение Оператором предписаний об устранении ранее выявленных нарушений законодательства РФ в области персональных данных;
  • письменное согласие субъекта персональных данных на обработку его персональных данных;
  • документы, подтверждающие соблюдение требований законодательства РФ при обработке специальных категорий и биометрических персональных данных;
  • документы, подтверждающие уничтожение Оператором персональных данных субъектов персональных данных по достижении цели обработки;
  • локальные акты Оператора, регламентирующие порядок и условия обработки персональных данных.

Также один из наиболее важных аспектов, которые необходимо знать Оператору, - это права должностных лиц Роскомнадзора при проведении проверки, поименованные в пункте Регламента.

К ним относятся:

  • выдача предписаний об устранении выявленных нарушений;
  • составление протоколов об административных правонарушениях;
  • обращение в суд с исковыми заявлениями в защиту прав субъектов ПДн;
  • использование техники и оборудования, принадлежащих Службе или ее территориальному органу;
  • получение необходимых документов (сведений).

Форма проведения проверки

Как отмечалось ранее, плановые и внеплановые проверки проводятся в форме документарной или выездной проверки.

Форма проведения определяется Службой или ее территориальным органом самостоятельно. Рассмотрим основные отличия.

Документарная, в отличии от выездной, проводится по месту нахождения Службы или ее территориального органа. Предметом документарной проверки являются сведения, содержащиеся в документах Оператора, устанавливающих их организационно-правовую форму, права и обязанности, документы, используемые при осуществлении деятельности по обработке персональных данных и связанные с исполнением обязательных требований, установленных нормативными правовыми актами в области персональных данных, исполнением предписаний Службы или ее территориального органа. Т. е. в ходе документарной проверки в основном изучаются документы, находящиеся в распоряжении проверяющих.

Если же достоверность сведений, содержащихся в документах, вызывает обоснованные сомнения, либо эти данные не позволяют оценить исполнение Оператором требований, установленных нормативными правовыми актами, то проверяющие

вправе направить мотивированный запрос о предоставлении необходимых для проверки документов.

Оператор ПДн обязан представить необходимые документы в течение 10 рабочих дней со дня получения запроса.

При этом все необходимые документы предоставляются Оператором в виде копий, заверенных печатью (при ее наличии) и подписью руководителя или иного уполномоченного представителя Оператора.

В пункте 67.7 Регламента содержится прямой запрет на истребование нотариального удостоверения копий документов.

В случае, если при проведении документарной проверки выявлены ошибки и (или) противоречия или несоответствия в представленных документах, то Оператору может быть направлено требование о предоставлении в течение 10 рабочих дней необходимых пояснений в письменной форме.

Если в результате проведенных мероприятий с учетом дополнительно представленных документов и пояснений будут выявлены признаки нарушений обязательных требований, установленных нормативными правовыми актами в области персональных данных, то должностные органы Службы или ее территориального органа вправе провести выездную проверку.

Таким образом, выявление нарушений в ходе проведения документальной проверки является одним из оснований для проведения выездной проверки. Также решение о проведении выездной проверки может быть принято в случаях, если Оператор не представил запрашиваемые документы в установленные законодательством сроки, т. е. в течение 10 рабочих дней.

Целью проведения выездной проверки является проверка полноты и достоверности сведений, содержащихся в уведомлении об обработке ПДн, а также в иных документах, имеющихся в распоряжении Службы или ее территориального органа.

Выездная проверка проводится на территории/территориях Оператора. Операторы обязаны предоставить должностным лицам регулятора возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, а также обеспечить доступ проверяющих в здания, строения, сооружения, помещения и к оборудованию, используемому Оператором для обработки ПДн.

Следует учитывать, что должностные лица Службы или ее территориального органа не вправе изымать оригиналы документов.

Оформление результатов проверки

Независимо от вида и формы по результатам проведения проверки составляется акт проверки. Требования к оформлению проверки содержаться в пункте 75 Регламента. Пунктом 83 Регламента предусмотрено, что в случае выявления нарушений Оператору вместе с актом выдается предписание об устранении нарушений (п. 83 Регламент).

Напомним, что формы применяемых документов (приказа, акта, журнала учета проверок) при осуществлении государственного контроля (надзора) утверждены приказом Минэкономразвития России от 30.04.2009 № 141.

Возможные результаты проведения проверок могут быть следующими:

  1. Выдача предписания об устранении выявленного нарушения и осуществление контроля за его исполнением.
  2. Выявление административного правонарушения и, соответственно, составление протокола об административном правонарушении, направление протокола с материалами проверки в суд либо в прокуратуру.
  3. Выявление уголовно наказуемого деяния и, соответственно, направление материалов проверки в органы прокуратуры, другие правоохранительные органы для рассмотрения вопроса о возбуждении уголовного дела.

Дополнительно представляют интерес блок-схемы, приведенные в приложениях № 2-4 к рассматриваемому Регламенту, в том числе блок-схема административной процедуры о принятии решения о проведении проверок, блок-схема административной процедуры проведения проверок, блок-схема административной процедуры оформления результатов и принятия мер по результатам проверок.

Регламент проведения проверок органами Роскомнадзора

Не секрет, что с окончательным вступлением Федерального закона от 27.07.2006 № 152-ФЗ увеличится количество проверок операторов персональных данных, которыми являются практически все организации и предприниматели.

Подробнее о том, какие организационно-распорядительные меры необходимо предпринять, читайте в номере 12 (декабрь) "БУХ.1С" за 2009 год в статье "Организационные вопросы защиты персональных данных".

В связи с чем, одним из значимых документов для оператора персональных данных будет являться Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Служба) при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее - Регламент), утвержденный приказом Министерства связи и массовых коммуникаций РФ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 01.12.2009 № 630 (зарегистрировано в Минюсте России 28.01.2010 № 16095).

Данный регламент определяет сроки и последовательность действий (административных процедур) Службы и ее территориальных органов, а также порядок взаимодействия с операторами персональных данных (далее - ПДн), в рамках проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки ПДн требованиям законодательства РФ в области персональных данных.

Регламентом определены следующие административные процедуры:

  • принятие решений о проведении проверок;
  • проведение проверок;
  • оформление результатов и принятие мер по результатам проверок.

Рассмотрим наиболее интересные для оператора ПДн положения.

В первую очередь необходимо отметить, что проверки могут проводиться двух видов - плановые и внеплановые и в двух формах - документарной и выездной. Важно учитывать, что проверки независимо от вида и формы могут проводиться как в отношении операторов, включенных в реестр операторов, осуществляющих обработку ПДн, так и в отношении операторов, не включенных в Реестр, но осуществляющих обработку ПДн.

В связи с чем следует напомнить, что избежать проведения проверки в случае отсутствия организации в реестре операторов ПДн вряд ли удастся.

С целью упрощения изучения Регламента предлагаем следующую справочную информацию в отношении проведения государственного контроля органами Роскомнадзора - см. таблицу.

Количественный состав участников проверки (проверяющих)

Не менее двух должностных лиц, в том числе должностное лицо, отвечающее за вопросы правового обеспечения (п. 17)

Основание проведения проверки

Приказ руководителя Службы или руководителя территориального органа

Срок уведомления оператора о начале проведения

плановой проверки

Не позднее чем в течение трех рабочих дней до начала проведения проверки (п. 23)

внеплановой проверки

Не позднее чем за 24 часа до начала ее проведения (п. 29)

Порядок предварительного уведомления о начале проведения

плановой проверки

Направление оператору копии приказа руководителя (заместителя) службы или его территориального органа (п. 23)

внеплановой проверки

Любым доступным способом (п. 29)

Срок проведения проверки

20 рабочих дней (продление возможно на срок не более 20 рабочих дней) (п. 31 и п. 32)

Срок представления требуемых документов

10 рабочих дней

Срок представления пояснений

10 рабочих дней

Плановые и внеплановые проверки

Плановые проверки проводятся на основании ежегодного плана проведения плановых проверок.

Что же является основанием для включения оператора в план проверок?

Ответ на этот вопрос содержится в пункте 22 Регламента. Данным пунктом определено, что "основанием для включения плановой проверки в План является начало осуществления Оператором деятельности по обработке персональных данных, а также истечение трех лет со дня:
- государственной регистрации Оператора в качестве юридического лица, индивидуального предпринимателя;
- окончания проведения последней плановой проверки Оператора."

Таким образом, включить в план проверок могут практически любую организацию, либо предпринимателя, осуществляющего обработку ПДн. С планом проверок на 2010 год можно ознакомиться на сайте Роскомнадзора по ссылке http://www.rsoc.ru/plan-and-reports/contolplan/.

В плане на 2010 года предусмотрены проверки операторов ПДн, работающих в различных сферах деятельности, - органы власти, налоговые и таможенные органы, охранные структуры, центры занятости и т. п.

Внеплановые проверки проводятся по основаниям, поименованным в пункте 27 Регламента, в том числе:

  • истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства РФ в области ПДн;
  • поступление в Службу или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о возникновение угрозы причинения вреда жизни, здоровью граждан; причинение вреда жизни, здоровью граждан;
  • нарушение прав и законных интересов граждан действиями (бездействиями) Операторов при обработке их персональных данных;
  • приказ руководителя Службы, изданный в соответствии с поручениями Президента РФ или Правительства РФ.

Как не трудно предположить, наиболее часто проведение внеплановой проверки может быть инициировано при поступлении в Роскомнадзор жалобы физического лица на нарушение прав и законных интересов граждан. В связи с чем стоит помнить, что на все обращения субъектов ПДн необходимо отвечать в сроки, установленные пунктом 4 статьи 16 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", т. е. в течение 7 рабочих дней.

В ходе проведения проверки Служба или ее территориальный орган осуществляют рассмотрение документов Оператора, а также исследование (обследование) информационной системы персональных данных, в части касающейся персональных данных субъектов персональных данных, обрабатываемых в ней.

Операторам ПДн следует обратить особое внимание на те документы, которые будут рассматриваться в ходе проведения проверки. К таким документам в соответствии с пунктом 64.1 Регламента относятся:

  • уведомление об обработке персональных данных;
  • документы, необходимые для проверки фактов, содержащих признаки нарушения законодательства РФ в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Службу или ее территориальный орган;
  • документы, подтверждающие выполнение Оператором предписаний об устранении ранее выявленных нарушений законодательства РФ в области персональных данных;
  • письменное согласие субъекта персональных данных на обработку его персональных данных;
  • документы, подтверждающие соблюдение требований законодательства РФ при обработке специальных категорий и биометрических персональных данных;
  • документы, подтверждающие уничтожение Оператором персональных данных субъектов персональных данных по достижении цели обработки;
  • локальные акты Оператора, регламентирующие порядок и условия обработки персональных данных.

Также один из наиболее важных аспектов, которые необходимо знать Оператору, - это права должностных лиц Роскомнадзора при проведении проверки, поименованные в пункте Регламента.

К ним относятся:

  • выдача предписаний об устранении выявленных нарушений;
  • составление протоколов об административных правонарушениях;
  • обращение в суд с исковыми заявлениями в защиту прав субъектов ПДн;
  • использование техники и оборудования, принадлежащих Службе или ее территориальному органу;
  • получение необходимых документов (сведений).

Форма проведения проверки

Как отмечалось ранее, плановые и внеплановые проверки проводятся в форме документарной или выездной проверки.

Форма проведения определяется Службой или ее территориальным органом самостоятельно. Рассмотрим основные отличия.

Документарная, в отличии от выездной, проводится по месту нахождения Службы или ее территориального органа. Предметом документарной проверки являются сведения, содержащиеся в документах Оператора, устанавливающих их организационно-правовую форму, права и обязанности, документы, используемые при осуществлении деятельности по обработке персональных данных и связанные с исполнением обязательных требований, установленных нормативными правовыми актами в области персональных данных, исполнением предписаний Службы или ее территориального органа. Т. е. в ходе документарной проверки в основном изучаются документы, находящиеся в распоряжении проверяющих.

Если же достоверность сведений, содержащихся в документах, вызывает обоснованные сомнения, либо эти данные не позволяют оценить исполнение Оператором требований, установленных нормативными правовыми актами, то проверяющие

вправе направить мотивированный запрос о предоставлении необходимых для проверки документов.

Оператор ПДн обязан представить необходимые документы в течение 10 рабочих дней со дня получения запроса.

При этом все необходимые документы предоставляются Оператором в виде копий, заверенных печатью (при ее наличии) и подписью руководителя или иного уполномоченного представителя Оператора.

В пункте 67.7 Регламента содержится прямой запрет на истребование нотариального удостоверения копий документов.

В случае, если при проведении документарной проверки выявлены ошибки и (или) противоречия или несоответствия в представленных документах, то Оператору может быть направлено требование о предоставлении в течение 10 рабочих дней необходимых пояснений в письменной форме.

Если в результате проведенных мероприятий с учетом дополнительно представленных документов и пояснений будут выявлены признаки нарушений обязательных требований, установленных нормативными правовыми актами в области персональных данных, то должностные органы Службы или ее территориального органа вправе провести выездную проверку.

Таким образом, выявление нарушений в ходе проведения документальной проверки является одним из оснований для проведения выездной проверки. Также решение о проведении выездной проверки может быть принято в случаях, если Оператор не представил запрашиваемые документы в установленные законодательством сроки, т. е. в течение 10 рабочих дней.

Целью проведения выездной проверки является проверка полноты и достоверности сведений, содержащихся в уведомлении об обработке ПДн, а также в иных документах, имеющихся в распоряжении Службы или ее территориального органа.

Выездная проверка проводится на территории/территориях Оператора. Операторы обязаны предоставить должностным лицам регулятора возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, а также обеспечить доступ проверяющих в здания, строения, сооружения, помещения и к оборудованию, используемому Оператором для обработки ПДн.

Следует учитывать, что должностные лица Службы или ее территориального органа не вправе изымать оригиналы документов.

Оформление результатов проверки

Независимо от вида и формы по результатам проведения проверки составляется акт проверки. Требования к оформлению проверки содержаться в пункте 75 Регламента. Пунктом 83 Регламента предусмотрено, что в случае выявления нарушений Оператору вместе с актом выдается предписание об устранении нарушений (п. 83 Регламент).

Напомним, что формы применяемых документов (приказа, акта, журнала учета проверок) при осуществлении государственного контроля (надзора) утверждены приказом Минэкономразвития России от 30.04.2009 № 141.

Возможные результаты проведения проверок могут быть следующими:

  1. Выдача предписания об устранении выявленного нарушения и осуществление контроля за его исполнением.
  2. Выявление административного правонарушения и, соответственно, составление протокола об административном правонарушении, направление протокола с материалами проверки в суд либо в прокуратуру.
  3. Выявление уголовно наказуемого деяния и, соответственно, направление материалов проверки в органы прокуратуры, другие правоохранительные органы для рассмотрения вопроса о возбуждении уголовного дела.

Дополнительно представляют интерес блок-схемы, приведенные в приложениях № 2-4 к рассматриваемому Регламенту, в том числе блок-схема административной процедуры о принятии решения о проведении проверок, блок-схема административной процедуры проведения проверок, блок-схема административной процедуры оформления результатов и принятия мер по результатам проверок.

Рекомендации ФСТЭК о методах и способах защиты информации

В соответствии с пунктом 3 Положения об обеспечении безопасности ПДн при их обработке в информационных системах ПДн, утвержденного постановлением Правительства РФ от 17.11.2007 № 781, ФСТЭК России разработано и утверждено приказом от 05.02.2010 № 58 (регистрация в Минюсте России 19.02.2010, регистрационный № 16456) Положение о методах и способах защиты информации в информационных системах персональных данных (далее - Положение).

На что необходимо обратить внимание в данном документе?

В первую очередь представляет интерес пункт 1.2 Положения, определяющий методы и способы защиты информации в информационных системах персональных данных, к которым относятся:

  • методы и способы защиты информации, обрабатываемые техническими средствами информационной системы, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий;
  • методы и способы защиты речевой информации, а также информации, представленной в виде информативных электрических сигналов, физических полей, от несанкционированного доступа к персональным данным, результатом которого может стать копирование, распространение персональных данных, а также иных несанкционированных действий.

Во вторую очередь следует ознакомиться с методами и способами защиты информации от несанкционированных действий, которые поименованы в пункте 2.1 Положения, в том числе:

  • реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
  • ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
  • разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
  • регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
  • учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
  • резервирование технических средств, дублирование массивов и носителей информации;
  • использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия; использование защищенных каналов связи;
  • размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
  • организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
  • предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.

Как нетрудно заметить приведенный перечень содержит комплекс мероприятий организационного, правового, режимного и технического характера. К организационно-режимным мероприятиям, которые не зависят от вида используемых технических средств и программного оборудования, можно отнести организацию допуска пользователей в помещения, к документам и информационным ресурсам, порядок учета и хранения съемных носителей и т. п. В отношении технических мер поименованных выше следует учитывать, что часть из них реализована с помощью прикладных программных продуктов, разработанных фирмой "1С", а иные должны быть реализованы посредством иных средств (например, антивирусная защита, межсетевые экраны, средства защиты информации и т. п.)

Напомним, что в настоящее время в "зарплатных" решениях фирмы "1С" на платформе "1С:Предприятие 8" реализованы следующие возможности:

  • настройка режима защиты ПДн по областям данных (личные данные, данных о доходах, данные о профессии и образовании, данные об имуществе);
  • просмотр сведений о зарегистрированных событиях аутентификации и отказа в аутентификации, доступа и отказе в доступе;
  • уничтожение ПДн по запросу субъекта.

Платформа "1С:Предприятие 8.2" позволяет, в том числе регистрировать события аутентификации и отказа в аутентификации, доступа и отказа в доступе к персональным данным.

Методы и способы защиты информации от утечки по техническим каналам (в том числе в отношении речевой информации, информации, представленной в виде информативных электрических сигналов и физических полей и т. п.) рассмотрены в третьем разделе комментируемого Положения и в рамках настоящей статьи не анализируются в связи с тем, что данные вопросы не связаны непосредственно с обработкой ПДн в прикладных программных продуктах фирмы "1С" и находятся в сфере интересов исключительно технических специалистов операторов.

С учетом изложенного, для реализации требований законодательства о защите персональных данных необходимо проводить именно комплекс мероприятий, а не отдельные его элементы.

Важно отметить, что конкретные требования к информационным системам персональных данных 4 и 3 классов поименованы в Приложении "Методы и способы защиты информации от несанкционированного доступа в зависимости от класса информационной системы" к Положению. Приведенные в документе требования не являются новыми, так как аналогичные требования также содержатся в нормативном правовом акте ФСТЭК России "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн", утвержденном заместителем директора ФСТЭК России 15.02.2008.

В заключении стоит обратить внимание на пункт 1.3 Регламента, которым предусмотрено, что для выбора и реализации методов и способов защиты информации в ИСПДн оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных, либо может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации. Напомним, что работы по защите персональных данных в информационных системах 1 и 2 класса могут проводиться только организациями, имеющими лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Комментарии 0

1С бесплатно 1С-Отчетность 1С-Такском 1С:ERP Управление предприятием 1С:Бесплатно 1С:Бухгалтерия 8 1С:Бухгалтерия 8 КОРП 1С:Бухгалтерия автономного учреждения 1С:Бухгалтерия государственного учреждения 1С:Бюджет муниципального образования 1С:Бюджет поселения 1С:Вещевое довольствие 1С:Деньги 1С:Документооборот 1С:Зарплата и кадры бюджетного учреждения 1С:Зарплата и кадры государственного учреждения 1С:Зарплата и управление персоналом 1С:Зарплата и управление персоналом КОРП 1С:Комплексная автоматизация 8 1С:Лекторий 1С:Предприятие 1С:Предприятие 7.7 1С:Предприятие 8 1С:Розница 1С:Управление небольшой фирмой 1С:Управление производственным предприятием 1С:Управление торговлей 1СПАРК-Риски 1СПредприятие 8 2-НДФЛ 3-НДФЛ 4-ФСС 5 минут 6-НДФЛ CRM Агентский договор. Учет административная ответственность адресный классификатор акцизы алкоголь алкогольная продукция амортизационная премия амортизация арбитражная практика аттестация рабочих мест аудит аудиторские организации база 1с база для начисления страховых взносов база по страховым взносам база по налогу на прибыль банк и касса в 1с банкротство безнадежная задолженность безналичные расчеты бланки строгой отчетности больничное пособие больничный листок бухгалтер бухгалтерия автономного учреждения бухгалтерская отчетность бухгалтерские события бухгалтерский баланс бухгалтерский учет бухучет Бытовые услуги. Учет бюджет муниципального образования бюджет поселения бюджетная отчетность бюджетный учет ВАС РФ Вахтовый метод.Оплата ввоз товаров взаимозависимые_лица взноcы в ПФР взносы в ФОМС взносы в ФСС взносы на травматизм видео 1С водный налог возврат переплаты восстановление НДС вывоз товаров выездная налоговая проверка выездная проверка выплата зарплаты выплаты иностранному работнику выплаты работникам выплаты физическим лицам высококвалифицированные специалисты вычет НДС вычеты по НДФЛ ВЭД ГК РФ госпошлина государственная регистрация государственные и муниципальные закупки гражданско-правовой договор графики работы двойное налогообложение дебиторка декларация по алкоголю декларация по ЕНВД декларация по НДС денежные документы День Бухгалтерии детские пособия ДиректБанк договор комиссии договор подряда договор поставки договор транспортной экспедиции договорная политика документальное оформление документооборот долговые обязательства должная осмотрительность доходы организации ЕГАИС ЕГРЮЛ ежемесячная отчетность ЕНВД ЕСН ЕСХН задержка заработной платы задолженность по налогам займы закон о бухгалтерском учете занимательная бухгалтерия заработная плата зарплата зарплатные налоги зарубежная командировка защита персональных данных заявление о постановке на учет земельный налог изменения 2015 изменения в законодательстве изменения в законодательстве 2012 изменения в законодательстве 2013 имущественные вычеты имущественный налоговый вычет индивидуальный предприниматель иностранные компании иностранный работник интернет-компании интернет-магазины ИП ИП на ЕНВД ИС 1С:ИТС исправление бухгалтерских ошибок исправление ошибок ИТС ИФНС кадастровая стоимость кадровое оформление камеральная проверка кассовая дисциплина кассовые операции КБК квоты на иностранных рабочих КИК ККТ КЛАДР ключевая ставка книга на УСН книга покупок книга продаж КоАП РФ коды видов продукции командировка командировочные расходы компенсации работникам компенсационные выплаты компенсация за отпуск консервация основных средств консолидированная группа контролируемые сделки корректировочный счет-фактура коэффициент-дефлятор крупнейшие налогоплательщики курортный сбор курсовые разницы лизинг лизинговое имущество ликвидация организации лицензирование льготы по ндс малый бизнес маркировка изделий маркировка изделий из натурального меха маркировка меховых изделий маркировка товара материальная выгода материальная помощь материнский капитал международные стандарты миниденьги модернизация основных средств МРОТ МСФО наличные расчеты налог на игорный бизнес налог на имущество налог на имущество физических лиц налог на прибыль налоги физических лиц налоговая база по налогу на прибыль налоговая база по ндс налоговая база по НДС налоговая декларация налоговая ответственность налоговая отчетность налоговая политика налоговая проверка налоговое администрирование налоговые каникулы налоговые льготы налоговые проверки налоговый агент налоговый агент НДФЛ налоговый агент по НДС налоговый агент по НДФЛ налоговый агент по ндфл налоговый вычет налоговый контроль налоговый мониторинг налоговый учет налогообложение доходов налогоплательщик начисление пени НДПИ НДС НДС по ставке 10% НДС при ввозе НДС при экспорте НДС-2015 НДФЛ некоммерческие организации учет неотделимые улучшения нерезиденты НИОКР НК РФ НМА новая форма декларации новая форма расчета новости нормы естественной убыли нулевая декларация нулевая ставка обзор обзор бухгалтерских событий обзор новостей обмен документами обновление КЛАДР обособленное подразделение обособленные подразделения обучение 1с оказание услуг ОКВЭД2 ОКПД2 онлайн-касса онлайн-ккт онлайн-ККТ освобождение от налогообложения освобождение от ндс освобождение от НДС основные средства отпускные отходы отчетность в ПФР отчетность в росстат отчетность в Росстат отчетность организации отчетность по страховым взносам отчетность предпринимателя оформление счета-фактуры охрана труда патентная система ПБУ 18 первичные документы перенос убытков персонифицированный учет план счетов плата за негативное воздействие на окружающую среду плата за проезд грузовиков платежи платежное поручение платежные документы 1с платежный агент платежный терминал повышение ставок подакцизные товары подтверждающие документы подтверждение расходов полномочия налоговых органов пониженные тарифы поправки в НК РФ поправки в тк рф поправки в ТК РФ порядок маркировки товаров пособие по беременности и родам пособие по временной нетрудоспособности пособие по нетрудоспособности пособия за счет ФСС посреднические договоры постановка на учет постановка на учет в налоговом органе права налогоплательщика представление сведений приказ Минфина применение ККТ приостановление операций по счету проверка ИНН/КПП проверка контрагентов продажа алкогольной продукции производственный календарь проф. Пятов профессиональные вычеты ПСН псн путевой лист работники-иностранцы раздельный учет расходы на ГСМ расходы на рекламу расходы организации расчет больничного листа расчет заработной платы расчет НДПИ расчет отпускных расчет себестоимости расчет страховых взносов расчетный счет расчеты с работниками регистрация недвижимости регистрация юридических лиц реконструкция основных средств ремонт основных средств реорганизация росалкогольрегулирование РСВ-1 рыночные цены самозанятые граждане свод отчетов сдача имущества в аренду секреты 1С:ЗУП сельскохозяйственный товаропроизводитель система "Платон" служебная командировка снижение ставок совместители совмещение налоговых режимов составление и сдача отчетности составление и сдача отчетности социальное страхование социальные вычеты социальный налоговый вычет спецоценка условий труда средний заработок ставка НДС Ставка НДФЛ ставка рефинансирования ставка УСН стандартные вычеты стандарты бухучета статистика статистическая отчетность статотчетность страхование страховые взносы страховые взносы в пфр страховые взносы в фсс страховые взносы в ФСС страховые взносы для самозанятых страховые взносы на травматизм страховые тарифы судебные издержки суммовые разницы суточные счет-фактура такси таможенные платежи таможенный союз ТК РФ торг-12 торговый сбор транспортный налог трудовая книжка трудовой договор увольнение по инициативе руководителя увольнение по соглашению сторон уголовная ответственность удержание алиментов УКД универсальный корректировочный документ УПД уплата налога уплата налогов упрощенная система налогообложения УСН уставный капитал уточненка утрата права на усн учет аренды учет в АО учет в ООО учет в сельском хозяйстве учет в строительстве учет в туризме учет дивидендов учет доходов при УСН учет доходов при усн учет импорта учет лизинга учет МПЗ учет на производстве учет ОС учет основных средств учет премий учет расходов учет расходов при УСН учет расходов при усн учет реализации учет скидок учет субсидий учет товаров учет ценных бумаг учет экспорта учетная политика учредительные документы факсимиле ФИАС финансовый анализ финансовый результат ФНС РФ форма 6-НДФЛ формы документов ФСС штрафные санкции ЭДО экологические платежи экспорт в страны ЕАЭС экспорт продукции электронная отчетность электронная подпись электронные счета-фактуры электронный документооборот электронный формат энциклопедия проверок

Все теги
X

Яндекс-виджет: Новости
Яндекс-виджет: Полезные материалы
Информеры