27 июля 2006 г. был принят Федеральный Закон № 152-ФЗ «О персональных данных» (с изменениями от 25 ноября, 27 декабря 2009 г., 28 июня, 27 июля 2010 г.) для обеспечения защиты прав и свобод граждан при обработке их персональных данных.
Операторы персональных данных обязаны привести информационные системы персональных данных (ИСПДн) в соответствие с требованиями закона 152-ФЗ.
Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Отзыв согласия на обработку персональных данных — ВИДЕОИНСТРУКЦИЯ
Ни в одном из документов по регулированию вопросов защиты Персональных данных(ПДн) не сказано, что должно быть сертифицировано все ПО.
Сертифицированы по требованиям ФСТЭК России должны быть средства защиты информации, но никак не системное, прикладное или специальное ПО, не участвующее в защите ИСПДн.
Часто Заказчики спрашивают у производителей, удовлетворяет ли их СЭД (Система Электронного Документооборота) требованиям закона о персональных данных, рассчитывая таким образом решить проблему соответствия своей ИСПДн требованиям закона.
Следует понимать, что СЭД, как тиражный программный продукт, не является той ИСПДн, о которой идет речь в законе «О персональных данных».
По определению, данному в законе: «Информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств».
Таким образом, ИСПДн Заказчика – это нечто много большее, чем программный продукт, используемый в ее составе.
В терминах ГОСТ по информационным технологиям ИСПДн – это автоматизированная система, а СЭД как программный продукт – это часть комплекса технических средств, средство вычислительной техники.
Закон требует приведения в соответствие требованиям именно ИСПДн Заказчика, как оператора персональных данных, и никакой документ о соответствии программного продукта СЭД каким-либо требованиям не решит этой проблемы.
Для того чтобы привести свои ИСПДн в соответствие с требованиями 152-ФЗ, предприятию необходимо выполнить следующие этапы работ:
— обследование предприятия на предмет работы с персональными данными;
— классификацию ИСПДн;
Новые требования к обработке персональных данных
— разработку модели угроз нарушения безопасности данных;
— формирование требований по обеспечению безопасности ПДн;
— проектирование системы защиты данных;
— внедрение системы защиты данных;
— аттестацию или декларирование соответствия ИСПДн.
На основании классификации ИСПДн определяются требования к защите обрабатываемых персональных данных, тот объем работ, который предстоит провести, и средств, которые придется затратить на приведение ИСПДн компании в соответствие с требованиями закона.
В зависимости от характера обработки персональных данных может потребоваться регистрация в качестве оператора персональных данных, изменение класса системы, выполнение конкретных работ и требований по защите персональных данных.
От этого будут зависеть требования, предъявляемые к используемым техническим средствам защиты Персональных данных.
При создании системы защиты ПДн необходимо использовать лицензионное программное обеспечение (системное, прикладное и специальное ПО) и сертифицированные средства защиты информации и антивирусной защиты (это могут быть СрЗИ от несанкционированного доступа, антивирусные продукты, межсетевые экраны, средства обнаружения вторжений, средства анализа защищенности, соответствующие определенному классу).
Если в ИСПДн устанавливаются криптографические средства защиты информации (СКЗИ), то они должны быть сертифицированы по требованиям ФСБ России.
Устанавливать сертифицированные СрЗИ имеет право только лицензиат ФСТЭК, а СКЗИ – лицензиат ФСБ.
Вы можете заказать обследование и сертификацию рабочих мест на соответствие закону 152-ФЗ в компании «Softline», которая обладает соответствующими лицензиями ФСБ и ФСТЭК. «Softline» имеет опыт реализации проектов в области информационной безопасности для государственных и коммерческих организаций.
Наши программы:
Регистрация документов организации — программа для автоматизации рабочего места секретаря.
Ведение договоров — программа база договоров, контрагентов, счетов, накладных и прочих документов.
Юридический офис — программа для юридических отделов.
Сотрудники предприятия — программа для автоматизации отдела кадров.
Проходная — программа для проходной, автоматическое распознавание лица и паспорта, возможно фото автомобиля с дополнительной камеры, распознавание номера.
Источник: araxgroup.ru
Защита данных
В данной подборке собран инструментарий для защиты персональных данных и корпоративного коммерческого конфидента. Список включает в себя менеджеры, позволяющие хранить и управлять паролями от всевозможных сервисов, защищённые почтовые службы, шифрующие отправления, службы мониторинга безопасности сайтов, которые помогают вовремя отследить и предотвратить недружественные или зловредные действия. Отдельная категория инструментов — прокси и виртуальные защищённые комнаты для работы с документами.
Подбор по параметрам
Айри.рф
Использую Отметьте, если используете. Это улучшит ваши персональные рекомендации.
Ускорение и защита сайта. Это страховка от проблем хостинга, ошибок разработчиков и сторонних сервисов.
Выбрать для сравнения
eXpress Есть бесплатный тариф
Использую Отметьте, если используете. Это улучшит ваши персональные рекомендации.
Платформа корпоративных коммуникаций
Выбрать для сравнения
Bopup Есть бесплатный тариф Актуальная информация
Использую Отметьте, если используете. Это улучшит ваши персональные рекомендации.
Офисный мессенджер для обмена зашифрованными мгновенными сообщениями и файлами с независимым локальным сервером сообщений
Выбрать для сравнения
Стахановец Есть бесплатный тариф Актуальная информация
Использую Отметьте, если используете. Это улучшит ваши персональные рекомендации.
Комплекс мониторинга сотрудников предназначен для учета рабочего времени, контроля присутствия и активности сотрудников, анализа эфективности и вовлеченности команды, а также предотвращения утечки информации (DLP).
Выбрать для сравнения
SFLetter Есть бесплатный тариф
Использую Отметьте, если используете. Это улучшит ваши персональные рекомендации.
Веб-сервис защищенной электронной почты, который позволяет защищать письма и вложения от несанкционированного распространения и просмотра третьими лицами.
Выбрать для сравнения
monitorus.PRO
Использую Отметьте, если используете. Это улучшит ваши персональные рекомендации.
Мониторинг работоспособности сайта. Контроль целостности файлов. Проверка на вирусы и редиректы. SMS и E-mail уведомления.
Выбрать для сравнения
Backups24
Использую Отметьте, если используете. Это улучшит ваши персональные рекомендации.
Сервис предотвращает потерю пользовательских данных в CRM-системах с помощью автоматического резервного копирования в облако
Выбрать для сравнения
Транскрипт
Использую Отметьте, если используете. Это улучшит ваши персональные рекомендации.
Сервис «Транскрипт» предназначен для обмена юридически значимыми формализованными и неформализованными электронными документами.
Выбрать для сравнения
ProxyWhite.com
Использую Отметьте, если используете. Это улучшит ваши персональные рекомендации.
Качественные прокси для Ваших целей.
Выбрать для сравнения
WorksPad
Использую Отметьте, если используете. Это улучшит ваши персональные рекомендации.
Защищенное корпоративное мобильное рабочее место
Выбрать для сравнения
StaffCounter Есть бесплатный тариф
Использую Отметьте, если используете. Это улучшит ваши персональные рекомендации.
Учет рабочего времени, анализ продуктивности и защита информации.
Выбрать для сравнения
Quidox Есть бесплатный тариф
Использую Отметьте, если используете. Это улучшит ваши персональные рекомендации.
Веб-сервис мгновенного обмена электронными документами с ЭЦП
Выбрать для сравнения
Google Сейф
Использую Отметьте, если используете. Это улучшит ваши персональные рекомендации.
Служба для защиты и архивирования личной или корпоративной почты.
Выбрать для сравнения
Malwarebytes
Использую Отметьте, если используете. Это улучшит ваши персональные рекомендации.
Кибербезопасность для систем Windows, Mac, Android и iOS
Выбрать для сравнения
Centrify
Использую Отметьте, если используете. Это улучшит ваши персональные рекомендации.
Сервис для повышения производительности конечных пользователей, доступа к облаку и их защиты с системой многофакторной аутентификации.
Выбрать для сравнения
Cloudflare Есть бесплатный тариф
Использую Отметьте, если используете. Это улучшит ваши персональные рекомендации.
Сервис для поддержки и защиты цифровой инфраструктуры.
Выбрать для сравнения
AdGuard
Использую Отметьте, если используете. Это улучшит ваши персональные рекомендации.
Блокировщик рекламы со встроенной защитой личных данных и родительским контролем
Источник: startpack.ru
Автоматизированная обработка персональных данных
Обработка персональных данных может производиться автоматизированно либо без использования систем автоматизации. В свете последних изменений законодательства перед большим числом компаний встал вопрос о разграничении этих видов обработки данных. Что собой представляет автоматизированная обработка персданных, изложим в нашей статье.
Обработка персональных данных (ПДн) может производиться:
• с использованием систем автоматизации;
• без использования таких систем.
Под автоматизированной обработкой понимается обработка ПДн с помощью средств вычислительной техники (п. 4 ст. 3 Закона «О персональных данных» от 27.07.2006 № 152-ФЗ). Под неавтоматизированной – обработка персданных, содержащихся в информационной системе либо извлеченных из такой системы, если такие действия с данными, как использование, уточнение, распространение, уничтожение в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека (п. 1 положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687).
Разграничить автоматизированную и неавтоматизированную обработку персданных с 01.09.2022 стало особенно важным. Дело в том, что с указанной даты все компании обязаны уведомлять Роскомнадзор о планах обрабатывать ПДн:
• физлиц – для однократного пропуска на территорию или в аналогичных целях;
• клиентов, когда данные о них нужны исключительно для заключения и исполнения договоров;
• граждан – только в части Ф.И.О.;
• физлиц, которые разрешили их распространять.
Без уведомления Роскомнадзора по-прежнему можно обрабатывать персданные (ч. 2 ст. 22 закона № 152-ФЗ):
• включенные в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (п. 7 ч. 2 ст. 22 закона № 152-ФЗ);
• обрабатываемые в случаях, предусмотренных законодательством РФ о транспортной безопасности, для обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства (п. 9 ч. 2 ст. 22 закона № 152-ФЗ);
• обрабатываемые без использования средств автоматизации (п. 8 ч. 2 ст. 22 закона № 152-ФЗ).
Таким образом, компании осуществляющие (планирующие осуществлять) автоматизированную обработку пресданных своих сотрудников, посетителей и клиентов-физлиц, должны об этом уведомить Роскомнадзор. Фирмы, обрабатывающие такие сведения без использования средств автоматизации, от такой обязанности освобождены.
В качестве примера автоматизированной обработки персданых можно назвать различные программы, позволяющие переформатировать ПДн, в том числе из формата бухгалтерской программы в формат, например, программы пенсионного фонда и осуществляющие их автоматический ввод и дальнейшую передачу без обращения к каждой конкретной записи о работнике.
Другой пример, когда гражданин оплачивает товар с помощью банковской карты через Интернет и товар отгружается автоматически, например, предоставляется доступ к компьютерной игре или к тексту книги в электронном виде.
В этих случаях происходит автоматизированная обработка ПДн, осуществляемая без прямого участия человека.
В положении № 687 сформулированы критерии, при которых обработка персданных признается неавтоматизированной либо не признается таковой, то есть является автоматизированной.
Неавтоматизированной считается обработка ПДн, содержащихся в информационной системе персданных либо извлеченных из нее, если такие операции с персональными данными, как использование, уточнение, распространение, уничтожение (в отношении каждого из субъектов персональных данных), осуществляются при непосредственном участии человека. Обработка данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что эти данные содержатся в информационной системе персональных данных либо извлечены из нее (п. 2 положения № 687).
Нужно отметить, что приведенные критерии недостаточно конкретны для разграничения случаев, в которых подача уведомления для обработки персональных данных с применением вычислительной техники требуется или не требуется. Поэтому при возникновении сложностей с определением того, нужно ли подавать уведомление при различных вариантах использования вычислительной техники в процессе обработки персданных, следует уточнять этот вопрос в Роскомнадзоре. Контактную информацию Роскомнадзора и его территориальных подразделений можно посмотреть на сайте http://pd.rkn.gov.ru.
У многих компаний возникает вопрос: нужно ли уведомлять Роскомнадзор, если персональные данные обрабатываются на компьютере?
С одной стороны – обработка производится с помощью средств вычислительной техники.
С другой стороны – в большинстве операций задействован человек, даже в наиболее распространенном бухгалтерском программном обеспечении. Ведь все лицевые карточки в этих системах вносятся и правятся в соответствующих окнах вручную. Для уничтожения лицевых карточек также необходимо их выделение в списке оператором и нажатие специальной клавиши для удаления данных. Для создания архивации данных требуется выбрать архивируемый каталог и нажать кнопку «Создание резервной копии».
Есть судебное решение, где к числу операций, обработка которых осуществляется с использованием средств автоматизации, относится обработка персональных данных работников, которая заключается в сборе, использовании, распространении этих данных, и осуществляется автоматизированно — путем использования информационной системы «1С:Зарплата и управление персоналом» (Постановление ФАС Восточно-Сибирского округа от 05.04.2011 по делу № А19-25289/09).
Официальной позиции госорганов по этому вопросу нет. Поэтому рекомендуем уточнять ответ на этот вопрос в Роскомнадзоре.
Напомним, что непредставление в Роскомнадзор уведомления об обработке ПДн, его несвоевременное представление либо представление уведомления, содержащего неполные или недостоверные сведения – это административное правонарушение. Ответственность за него установлена ст. 19.7 КоАП РФ в виде предупреждения или штрафа в размере:
• для компаний – от 3 до 5 тыс. рублей;
• ее должностных лиц — от 300 до 500 рублей.
Источник: www.v2b.ru