Бухгалтерский учет, налогообложение, отчетность, МСФО, анализ бухгалтерской информации, 1С:Бухгалтерия

Вход или Регистрация

Защита персональных данных: новые документы регуляторов

29.04.2010
Бухгалтерский ДЗЕН подписывайтесь на наш канал

Защита персональных данных: новые документы регуляторов
Напомним, что к 1 января 2011 года все информационные системы персональных данных должны быть приведены в соответствие с требованиями Федерального закона от 27.07.2006 № 152-ФЗ. Отсрочка на год была предоставлена Федеральным законом от 27.12.2009 № 363-ФЗ, однако время течет быстро и новый 2011 год с новыми требованиями уже не за горами. В рамках данной статьи И.А. Баймакова (фирма "1С") познакомит вас с двумя новыми документами регуляторов - приказом Министерства связи и массовых коммуникаций РФ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 01.12.2009 № 630, определяющим порядок проведения проверок в части соблюдения требований законодательства по защите персональных данных, и приказом Федеральной службы по техническому и экспортному контролю от 05.02.2010 № 58, утвердившим методы и способы защиты информации в информационных системах персональных данных.

Содержание


Не секрет, что с окончательным вступлением Федерального закона от 27.07.2006 № 152-ФЗ увеличится количество проверок операторов персональных данных, которыми являются практически все организации и предприниматели.

Подробнее о том, какие организационно-распорядительные меры необходимо предпринять, читайте в номере 12 (декабрь) "БУХ.1С" за 2009 год в статье "Организационные вопросы защиты персональных данных".

В связи с чем, одним из значимых документов для оператора персональных данных будет являться Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Служба) при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее - Регламент), утвержденный приказом Министерства связи и массовых коммуникаций РФ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 01.12.2009 № 630 (зарегистрировано в Минюсте России 28.01.2010 № 16095).

Данный регламент определяет сроки и последовательность действий (административных процедур) Службы и ее территориальных органов, а также порядок взаимодействия с операторами персональных данных (далее - ПДн), в рамках проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки ПДн требованиям законодательства РФ в области персональных данных.

Регламентом определены следующие административные процедуры:

  • принятие решений о проведении проверок;
  • проведение проверок;
  • оформление результатов и принятие мер по результатам проверок.

Рассмотрим наиболее интересные для оператора ПДн положения.

В первую очередь необходимо отметить, что проверки могут проводиться двух видов - плановые и внеплановые и в двух формах - документарной и выездной. Важно учитывать, что проверки независимо от вида и формы могут проводиться как в отношении операторов, включенных в реестр операторов, осуществляющих обработку ПДн, так и в отношении операторов, не включенных в Реестр, но осуществляющих обработку ПДн.

В связи с чем следует напомнить, что избежать проведения проверки в случае отсутствия организации в реестре операторов ПДн вряд ли удастся.

С целью упрощения изучения Регламента предлагаем следующую справочную информацию в отношении проведения государственного контроля органами Роскомнадзора - см. таблицу.

Количественный состав участников проверки (проверяющих)

Не менее двух должностных лиц, в том числе должностное лицо, отвечающее за вопросы правового обеспечения (п. 17)

Основание проведения проверки

Приказ руководителя Службы или руководителя территориального органа

Срок уведомления оператора о начале проведения

плановой проверки

Не позднее чем в течение трех рабочих дней до начала проведения проверки (п. 23)

внеплановой проверки

Не позднее чем за 24 часа до начала ее проведения (п. 29)

Порядок предварительного уведомления о начале проведения

плановой проверки

Направление оператору копии приказа руководителя (заместителя) службы или его территориального органа (п. 23)

внеплановой проверки

Любым доступным способом (п. 29)

Срок проведения проверки

20 рабочих дней (продление возможно на срок не более 20 рабочих дней) (п. 31 и п. 32)

Срок представления требуемых документов

10 рабочих дней

Срок представления пояснений

10 рабочих дней

Плановые и внеплановые проверки

Плановые проверки проводятся на основании ежегодного плана проведения плановых проверок.

Что же является основанием для включения оператора в план проверок?

Ответ на этот вопрос содержится в пункте 22 Регламента. Данным пунктом определено, что "основанием для включения плановой проверки в План является начало осуществления Оператором деятельности по обработке персональных данных, а также истечение трех лет со дня:
- государственной регистрации Оператора в качестве юридического лица, индивидуального предпринимателя;
- окончания проведения последней плановой проверки Оператора."

Таким образом, включить в план проверок могут практически любую организацию, либо предпринимателя, осуществляющего обработку ПДн. С планом проверок на 2010 год можно ознакомиться на сайте Роскомнадзора по ссылке http://www.rsoc.ru/plan-and-reports/contolplan/.

В плане на 2010 года предусмотрены проверки операторов ПДн, работающих в различных сферах деятельности, - органы власти, налоговые и таможенные органы, охранные структуры, центры занятости и т. п.

Внеплановые проверки проводятся по основаниям, поименованным в пункте 27 Регламента, в том числе:

  • истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства РФ в области ПДн;
  • поступление в Службу или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о возникновение угрозы причинения вреда жизни, здоровью граждан; причинение вреда жизни, здоровью граждан;
  • нарушение прав и законных интересов граждан действиями (бездействиями) Операторов при обработке их персональных данных;
  • приказ руководителя Службы, изданный в соответствии с поручениями Президента РФ или Правительства РФ.

Как не трудно предположить, наиболее часто проведение внеплановой проверки может быть инициировано при поступлении в Роскомнадзор жалобы физического лица на нарушение прав и законных интересов граждан. В связи с чем стоит помнить, что на все обращения субъектов ПДн необходимо отвечать в сроки, установленные пунктом 4 статьи 16 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", т. е. в течение 7 рабочих дней.

В ходе проведения проверки Служба или ее территориальный орган осуществляют рассмотрение документов Оператора, а также исследование (обследование) информационной системы персональных данных, в части касающейся персональных данных субъектов персональных данных, обрабатываемых в ней.

Операторам ПДн следует обратить особое внимание на те документы, которые будут рассматриваться в ходе проведения проверки. К таким документам в соответствии с пунктом 64.1 Регламента относятся:

  • уведомление об обработке персональных данных;
  • документы, необходимые для проверки фактов, содержащих признаки нарушения законодательства РФ в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Службу или ее территориальный орган;
  • документы, подтверждающие выполнение Оператором предписаний об устранении ранее выявленных нарушений законодательства РФ в области персональных данных;
  • письменное согласие субъекта персональных данных на обработку его персональных данных;
  • документы, подтверждающие соблюдение требований законодательства РФ при обработке специальных категорий и биометрических персональных данных;
  • документы, подтверждающие уничтожение Оператором персональных данных субъектов персональных данных по достижении цели обработки;
  • локальные акты Оператора, регламентирующие порядок и условия обработки персональных данных.

Также один из наиболее важных аспектов, которые необходимо знать Оператору, - это права должностных лиц Роскомнадзора при проведении проверки, поименованные в пункте Регламента.

К ним относятся:

  • выдача предписаний об устранении выявленных нарушений;
  • составление протоколов об административных правонарушениях;
  • обращение в суд с исковыми заявлениями в защиту прав субъектов ПДн;
  • использование техники и оборудования, принадлежащих Службе или ее территориальному органу;
  • получение необходимых документов (сведений).

Форма проведения проверки

Как отмечалось ранее, плановые и внеплановые проверки проводятся в форме документарной или выездной проверки.

Форма проведения определяется Службой или ее территориальным органом самостоятельно. Рассмотрим основные отличия.

Документарная, в отличии от выездной, проводится по месту нахождения Службы или ее территориального органа. Предметом документарной проверки являются сведения, содержащиеся в документах Оператора, устанавливающих их организационно-правовую форму, права и обязанности, документы, используемые при осуществлении деятельности по обработке персональных данных и связанные с исполнением обязательных требований, установленных нормативными правовыми актами в области персональных данных, исполнением предписаний Службы или ее территориального органа. Т. е. в ходе документарной проверки в основном изучаются документы, находящиеся в распоряжении проверяющих.

Если же достоверность сведений, содержащихся в документах, вызывает обоснованные сомнения, либо эти данные не позволяют оценить исполнение Оператором требований, установленных нормативными правовыми актами, то проверяющие

вправе направить мотивированный запрос о предоставлении необходимых для проверки документов.

Оператор ПДн обязан представить необходимые документы в течение 10 рабочих дней со дня получения запроса.

При этом все необходимые документы предоставляются Оператором в виде копий, заверенных печатью (при ее наличии) и подписью руководителя или иного уполномоченного представителя Оператора.

В пункте 67.7 Регламента содержится прямой запрет на истребование нотариального удостоверения копий документов.

В случае, если при проведении документарной проверки выявлены ошибки и (или) противоречия или несоответствия в представленных документах, то Оператору может быть направлено требование о предоставлении в течение 10 рабочих дней необходимых пояснений в письменной форме.

Если в результате проведенных мероприятий с учетом дополнительно представленных документов и пояснений будут выявлены признаки нарушений обязательных требований, установленных нормативными правовыми актами в области персональных данных, то должностные органы Службы или ее территориального органа вправе провести выездную проверку.

Таким образом, выявление нарушений в ходе проведения документальной проверки является одним из оснований для проведения выездной проверки. Также решение о проведении выездной проверки может быть принято в случаях, если Оператор не представил запрашиваемые документы в установленные законодательством сроки, т. е. в течение 10 рабочих дней.

Целью проведения выездной проверки является проверка полноты и достоверности сведений, содержащихся в уведомлении об обработке ПДн, а также в иных документах, имеющихся в распоряжении Службы или ее территориального органа.

Выездная проверка проводится на территории/территориях Оператора. Операторы обязаны предоставить должностным лицам регулятора возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, а также обеспечить доступ проверяющих в здания, строения, сооружения, помещения и к оборудованию, используемому Оператором для обработки ПДн.

Следует учитывать, что должностные лица Службы или ее территориального органа не вправе изымать оригиналы документов.

Оформление результатов проверки

Независимо от вида и формы по результатам проведения проверки составляется акт проверки. Требования к оформлению проверки содержаться в пункте 75 Регламента. Пунктом 83 Регламента предусмотрено, что в случае выявления нарушений Оператору вместе с актом выдается предписание об устранении нарушений (п. 83 Регламент).

Напомним, что формы применяемых документов (приказа, акта, журнала учета проверок) при осуществлении государственного контроля (надзора) утверждены приказом Минэкономразвития России от 30.04.2009 № 141.

Возможные результаты проведения проверок могут быть следующими:

  1. Выдача предписания об устранении выявленного нарушения и осуществление контроля за его исполнением.
  2. Выявление административного правонарушения и, соответственно, составление протокола об административном правонарушении, направление протокола с материалами проверки в суд либо в прокуратуру.
  3. Выявление уголовно наказуемого деяния и, соответственно, направление материалов проверки в органы прокуратуры, другие правоохранительные органы для рассмотрения вопроса о возбуждении уголовного дела.

Дополнительно представляют интерес блок-схемы, приведенные в приложениях № 2-4 к рассматриваемому Регламенту, в том числе блок-схема административной процедуры о принятии решения о проведении проверок, блок-схема административной процедуры проведения проверок, блок-схема административной процедуры оформления результатов и принятия мер по результатам проверок.

Регламент проведения проверок органами Роскомнадзора

Не секрет, что с окончательным вступлением Федерального закона от 27.07.2006 № 152-ФЗ увеличится количество проверок операторов персональных данных, которыми являются практически все организации и предприниматели.

Подробнее о том, какие организационно-распорядительные меры необходимо предпринять, читайте в номере 12 (декабрь) "БУХ.1С" за 2009 год в статье "Организационные вопросы защиты персональных данных".

В связи с чем, одним из значимых документов для оператора персональных данных будет являться Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Служба) при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (далее - Регламент), утвержденный приказом Министерства связи и массовых коммуникаций РФ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 01.12.2009 № 630 (зарегистрировано в Минюсте России 28.01.2010 № 16095).

Данный регламент определяет сроки и последовательность действий (административных процедур) Службы и ее территориальных органов, а также порядок взаимодействия с операторами персональных данных (далее - ПДн), в рамках проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки ПДн требованиям законодательства РФ в области персональных данных.

Регламентом определены следующие административные процедуры:

  • принятие решений о проведении проверок;
  • проведение проверок;
  • оформление результатов и принятие мер по результатам проверок.

Рассмотрим наиболее интересные для оператора ПДн положения.

В первую очередь необходимо отметить, что проверки могут проводиться двух видов - плановые и внеплановые и в двух формах - документарной и выездной. Важно учитывать, что проверки независимо от вида и формы могут проводиться как в отношении операторов, включенных в реестр операторов, осуществляющих обработку ПДн, так и в отношении операторов, не включенных в Реестр, но осуществляющих обработку ПДн.

В связи с чем следует напомнить, что избежать проведения проверки в случае отсутствия организации в реестре операторов ПДн вряд ли удастся.

С целью упрощения изучения Регламента предлагаем следующую справочную информацию в отношении проведения государственного контроля органами Роскомнадзора - см. таблицу.

Количественный состав участников проверки (проверяющих)

Не менее двух должностных лиц, в том числе должностное лицо, отвечающее за вопросы правового обеспечения (п. 17)

Основание проведения проверки

Приказ руководителя Службы или руководителя территориального органа

Срок уведомления оператора о начале проведения

плановой проверки

Не позднее чем в течение трех рабочих дней до начала проведения проверки (п. 23)

внеплановой проверки

Не позднее чем за 24 часа до начала ее проведения (п. 29)

Порядок предварительного уведомления о начале проведения

плановой проверки

Направление оператору копии приказа руководителя (заместителя) службы или его территориального органа (п. 23)

внеплановой проверки

Любым доступным способом (п. 29)

Срок проведения проверки

20 рабочих дней (продление возможно на срок не более 20 рабочих дней) (п. 31 и п. 32)

Срок представления требуемых документов

10 рабочих дней

Срок представления пояснений

10 рабочих дней

Плановые и внеплановые проверки

Плановые проверки проводятся на основании ежегодного плана проведения плановых проверок.

Что же является основанием для включения оператора в план проверок?

Ответ на этот вопрос содержится в пункте 22 Регламента. Данным пунктом определено, что "основанием для включения плановой проверки в План является начало осуществления Оператором деятельности по обработке персональных данных, а также истечение трех лет со дня:
- государственной регистрации Оператора в качестве юридического лица, индивидуального предпринимателя;
- окончания проведения последней плановой проверки Оператора."

Таким образом, включить в план проверок могут практически любую организацию, либо предпринимателя, осуществляющего обработку ПДн. С планом проверок на 2010 год можно ознакомиться на сайте Роскомнадзора по ссылке http://www.rsoc.ru/plan-and-reports/contolplan/.

В плане на 2010 года предусмотрены проверки операторов ПДн, работающих в различных сферах деятельности, - органы власти, налоговые и таможенные органы, охранные структуры, центры занятости и т. п.

Внеплановые проверки проводятся по основаниям, поименованным в пункте 27 Регламента, в том числе:

  • истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства РФ в области ПДн;
  • поступление в Службу или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о возникновение угрозы причинения вреда жизни, здоровью граждан; причинение вреда жизни, здоровью граждан;
  • нарушение прав и законных интересов граждан действиями (бездействиями) Операторов при обработке их персональных данных;
  • приказ руководителя Службы, изданный в соответствии с поручениями Президента РФ или Правительства РФ.

Как не трудно предположить, наиболее часто проведение внеплановой проверки может быть инициировано при поступлении в Роскомнадзор жалобы физического лица на нарушение прав и законных интересов граждан. В связи с чем стоит помнить, что на все обращения субъектов ПДн необходимо отвечать в сроки, установленные пунктом 4 статьи 16 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", т. е. в течение 7 рабочих дней.

В ходе проведения проверки Служба или ее территориальный орган осуществляют рассмотрение документов Оператора, а также исследование (обследование) информационной системы персональных данных, в части касающейся персональных данных субъектов персональных данных, обрабатываемых в ней.

Операторам ПДн следует обратить особое внимание на те документы, которые будут рассматриваться в ходе проведения проверки. К таким документам в соответствии с пунктом 64.1 Регламента относятся:

  • уведомление об обработке персональных данных;
  • документы, необходимые для проверки фактов, содержащих признаки нарушения законодательства РФ в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Службу или ее территориальный орган;
  • документы, подтверждающие выполнение Оператором предписаний об устранении ранее выявленных нарушений законодательства РФ в области персональных данных;
  • письменное согласие субъекта персональных данных на обработку его персональных данных;
  • документы, подтверждающие соблюдение требований законодательства РФ при обработке специальных категорий и биометрических персональных данных;
  • документы, подтверждающие уничтожение Оператором персональных данных субъектов персональных данных по достижении цели обработки;
  • локальные акты Оператора, регламентирующие порядок и условия обработки персональных данных.

Также один из наиболее важных аспектов, которые необходимо знать Оператору, - это права должностных лиц Роскомнадзора при проведении проверки, поименованные в пункте Регламента.

К ним относятся:

  • выдача предписаний об устранении выявленных нарушений;
  • составление протоколов об административных правонарушениях;
  • обращение в суд с исковыми заявлениями в защиту прав субъектов ПДн;
  • использование техники и оборудования, принадлежащих Службе или ее территориальному органу;
  • получение необходимых документов (сведений).

Форма проведения проверки

Как отмечалось ранее, плановые и внеплановые проверки проводятся в форме документарной или выездной проверки.

Форма проведения определяется Службой или ее территориальным органом самостоятельно. Рассмотрим основные отличия.

Документарная, в отличии от выездной, проводится по месту нахождения Службы или ее территориального органа. Предметом документарной проверки являются сведения, содержащиеся в документах Оператора, устанавливающих их организационно-правовую форму, права и обязанности, документы, используемые при осуществлении деятельности по обработке персональных данных и связанные с исполнением обязательных требований, установленных нормативными правовыми актами в области персональных данных, исполнением предписаний Службы или ее территориального органа. Т. е. в ходе документарной проверки в основном изучаются документы, находящиеся в распоряжении проверяющих.

Если же достоверность сведений, содержащихся в документах, вызывает обоснованные сомнения, либо эти данные не позволяют оценить исполнение Оператором требований, установленных нормативными правовыми актами, то проверяющие

вправе направить мотивированный запрос о предоставлении необходимых для проверки документов.

Оператор ПДн обязан представить необходимые документы в течение 10 рабочих дней со дня получения запроса.

При этом все необходимые документы предоставляются Оператором в виде копий, заверенных печатью (при ее наличии) и подписью руководителя или иного уполномоченного представителя Оператора.

В пункте 67.7 Регламента содержится прямой запрет на истребование нотариального удостоверения копий документов.

В случае, если при проведении документарной проверки выявлены ошибки и (или) противоречия или несоответствия в представленных документах, то Оператору может быть направлено требование о предоставлении в течение 10 рабочих дней необходимых пояснений в письменной форме.

Если в результате проведенных мероприятий с учетом дополнительно представленных документов и пояснений будут выявлены признаки нарушений обязательных требований, установленных нормативными правовыми актами в области персональных данных, то должностные органы Службы или ее территориального органа вправе провести выездную проверку.

Таким образом, выявление нарушений в ходе проведения документальной проверки является одним из оснований для проведения выездной проверки. Также решение о проведении выездной проверки может быть принято в случаях, если Оператор не представил запрашиваемые документы в установленные законодательством сроки, т. е. в течение 10 рабочих дней.

Целью проведения выездной проверки является проверка полноты и достоверности сведений, содержащихся в уведомлении об обработке ПДн, а также в иных документах, имеющихся в распоряжении Службы или ее территориального органа.

Выездная проверка проводится на территории/территориях Оператора. Операторы обязаны предоставить должностным лицам регулятора возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, а также обеспечить доступ проверяющих в здания, строения, сооружения, помещения и к оборудованию, используемому Оператором для обработки ПДн.

Следует учитывать, что должностные лица Службы или ее территориального органа не вправе изымать оригиналы документов.

Оформление результатов проверки

Независимо от вида и формы по результатам проведения проверки составляется акт проверки. Требования к оформлению проверки содержаться в пункте 75 Регламента. Пунктом 83 Регламента предусмотрено, что в случае выявления нарушений Оператору вместе с актом выдается предписание об устранении нарушений (п. 83 Регламент).

Напомним, что формы применяемых документов (приказа, акта, журнала учета проверок) при осуществлении государственного контроля (надзора) утверждены приказом Минэкономразвития России от 30.04.2009 № 141.

Возможные результаты проведения проверок могут быть следующими:

  1. Выдача предписания об устранении выявленного нарушения и осуществление контроля за его исполнением.
  2. Выявление административного правонарушения и, соответственно, составление протокола об административном правонарушении, направление протокола с материалами проверки в суд либо в прокуратуру.
  3. Выявление уголовно наказуемого деяния и, соответственно, направление материалов проверки в органы прокуратуры, другие правоохранительные органы для рассмотрения вопроса о возбуждении уголовного дела.

Дополнительно представляют интерес блок-схемы, приведенные в приложениях № 2-4 к рассматриваемому Регламенту, в том числе блок-схема административной процедуры о принятии решения о проведении проверок, блок-схема административной процедуры проведения проверок, блок-схема административной процедуры оформления результатов и принятия мер по результатам проверок.

Рекомендации ФСТЭК о методах и способах защиты информации

В соответствии с пунктом 3 Положения об обеспечении безопасности ПДн при их обработке в информационных системах ПДн, утвержденного постановлением Правительства РФ от 17.11.2007 № 781, ФСТЭК России разработано и утверждено приказом от 05.02.2010 № 58 (регистрация в Минюсте России 19.02.2010, регистрационный № 16456) Положение о методах и способах защиты информации в информационных системах персональных данных (далее - Положение).

На что необходимо обратить внимание в данном документе?

В первую очередь представляет интерес пункт 1.2 Положения, определяющий методы и способы защиты информации в информационных системах персональных данных, к которым относятся:

  • методы и способы защиты информации, обрабатываемые техническими средствами информационной системы, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий;
  • методы и способы защиты речевой информации, а также информации, представленной в виде информативных электрических сигналов, физических полей, от несанкционированного доступа к персональным данным, результатом которого может стать копирование, распространение персональных данных, а также иных несанкционированных действий.

Во вторую очередь следует ознакомиться с методами и способами защиты информации от несанкционированных действий, которые поименованы в пункте 2.1 Положения, в том числе:

  • реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
  • ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
  • разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
  • регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
  • учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
  • резервирование технических средств, дублирование массивов и носителей информации;
  • использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия; использование защищенных каналов связи;
  • размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
  • организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
  • предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.

Как нетрудно заметить приведенный перечень содержит комплекс мероприятий организационного, правового, режимного и технического характера. К организационно-режимным мероприятиям, которые не зависят от вида используемых технических средств и программного оборудования, можно отнести организацию допуска пользователей в помещения, к документам и информационным ресурсам, порядок учета и хранения съемных носителей и т. п. В отношении технических мер поименованных выше следует учитывать, что часть из них реализована с помощью прикладных программных продуктов, разработанных фирмой "1С", а иные должны быть реализованы посредством иных средств (например, антивирусная защита, межсетевые экраны, средства защиты информации и т. п.)

Напомним, что в настоящее время в "зарплатных" решениях фирмы "1С" на платформе "1С:Предприятие 8" реализованы следующие возможности:

  • настройка режима защиты ПДн по областям данных (личные данные, данных о доходах, данные о профессии и образовании, данные об имуществе);
  • просмотр сведений о зарегистрированных событиях аутентификации и отказа в аутентификации, доступа и отказе в доступе;
  • уничтожение ПДн по запросу субъекта.

Платформа "1С:Предприятие 8.2" позволяет, в том числе регистрировать события аутентификации и отказа в аутентификации, доступа и отказа в доступе к персональным данным.

Методы и способы защиты информации от утечки по техническим каналам (в том числе в отношении речевой информации, информации, представленной в виде информативных электрических сигналов и физических полей и т. п.) рассмотрены в третьем разделе комментируемого Положения и в рамках настоящей статьи не анализируются в связи с тем, что данные вопросы не связаны непосредственно с обработкой ПДн в прикладных программных продуктах фирмы "1С" и находятся в сфере интересов исключительно технических специалистов операторов.

С учетом изложенного, для реализации требований законодательства о защите персональных данных необходимо проводить именно комплекс мероприятий, а не отдельные его элементы.

Важно отметить, что конкретные требования к информационным системам персональных данных 4 и 3 классов поименованы в Приложении "Методы и способы защиты информации от несанкционированного доступа в зависимости от класса информационной системы" к Положению. Приведенные в документе требования не являются новыми, так как аналогичные требования также содержатся в нормативном правовом акте ФСТЭК России "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн", утвержденном заместителем директора ФСТЭК России 15.02.2008.

В заключении стоит обратить внимание на пункт 1.3 Регламента, которым предусмотрено, что для выбора и реализации методов и способов защиты информации в ИСПДн оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных, либо может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации. Напомним, что работы по защите персональных данных в информационных системах 1 и 2 класса могут проводиться только организациями, имеющими лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Отправить на почту
Печать
Написать комментарий

Предложения партнеров
Обучение пользователей продуктов 1С

1С бесплатно 1С-Отчетность 1С:ERP Управление предприятием 1С:Бесплатно 1С:Бухгалтерия 8 1С:Бухгалтерия 8 КОРП 1С:Бухгалтерия автономного учреждения 1С:Бухгалтерия государственного учреждения 1С:Бюджет муниципального образования 1С:Бюджет поселения 1С:Вещевое довольствие 1С:Деньги 1С:Документооборот 1С:Зарплата и кадры бюджетного учреждения 1С:Зарплата и кадры государственного учреждения 1С:Зарплата и управление персоналом 1С:Зарплата и управление персоналом КОРП 1С:Комплексная автоматизация 8 1С:Лекторий 1С:Предприятие 1С:Предприятие 7.7 1С:Предприятие 8 1С:Розница 1С:Управление нашей фирмой 1С:Управление производственным предприятием 1С:Управление торговлей 1СПредприятие 8

Все теги