Как организовать защиту персональных данных сотрудников

Обеспечение безопасности персональных данных при их автоматизированной обработке включает в себя выполнение комплекса организационных и технических мероприятий (применения технических средств), в рамках системы (подсистемы) защиты персональных данных, развертываемой в ИСПДн (информационная система обработки персональных данных) в процессе ее создания или модернизации. Обоснование комплекса мероприятий и требований по обеспечению безопасности проводится с учетом результатов оценки опасности угроз и определения уровня защищенности ПДн и в соответствии с нормативными и методическими документами уполномоченных федеральных органов исполнительной власти. Как правило, данные работы успешно выполняют лицензиаты ФСТЭК России и ФСБ России.

Типовое содержание работ на стадиях проектирования и создания систем защиты персональных данных ИСПДн и требования изложены в документах:

  • ГОСТ 51583-2000. «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;
  • Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  • Постановление Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 1 ноября 2012 г. № 1119.
  • Специальные требования и рекомендации по технической защите конфиденциальной информации (Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. № 282);
  • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622) и в других руководящих и нормативных документах;
  • Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

На рисунке № 1 представлен вариант регламента по созданию системы защиты персональных данных ИСПДн. Работы, приведённые в регламенте, можно разделить на две основные категории, а именно: организационное обеспечение информационной безопасности и внедрение технических мер защиты. Очевидно, что основой в обеспечении информационной безопасности персональных данных является организационное обеспечение.

В соответствии с приведённым регламентом работа по созданию системы защиты персональных данных или приведению уже существующей системы в соответствие с требованиями действующего законодательства предлагаем проводить в три этапа:

  1. Анализ защищаемых активов (технические средства обработки и обрабатываемые персональные данные) и оценка угроз безопасности персональных данных (ПДн).
  2. Проектирование и создание системы защиты персональных данных (СЗПДн).
  3. Оценка соответствия ИСПДн требованиям безопасности информации.

Первый этап является очень важным, так как он во многом определяет силы и средства, привлекаемые для реализации этапа проектирования и создания СЗПДн, и необходимость проведения оценки соответствия ИСПДн требованиям безопасности информации.

С целью систематизации проводимых работ для сложных ИСПДн (распределенных; имеющих большое количество рабочих станций; с разветвленной топологией) первый этап предлагается разделить на три подэтапа или выделить в три самостоятельных этапа:

  1. Предпроектное обследование.
  2. Установления уровня защищённости ПДн.
  3. Разработка технического задания (ТЗ).

ЭТАП 1. Приказом по организации назначить подразделение или лицо ответственное за обеспечение безопасности ПДн при обработки их в ИСПДн и образовать комиссию с целью сбора и оценки сведений об ИСПДн. В соответствии со статьей 22.1 Федерального закона от 27 июля 2006 г. 152-ФЗ «О персональных данных» назначить лицо, ответственное за организацию обработки персональных данных в организации.

Председателем комиссии целесообразно назначить кого – либо из первых заместителей руководителя организации, начальника службы безопасности организации или руководителя кадровой службы организации. В состав комиссии рекомендуется включить главного бухгалтера, руководителей подразделений, обрабатывающих персональные данные, представителей кадровой службы, специалистов (инженеров) по компьютерным технологиям, а также сотрудников, отвечающих за безопасность персональных данных при их обработке в ИСПДн. В состав комиссии на договорной основе можно включить сотрудников со специальным образованием в области защиты информации организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации. Целью работы комиссии является определение защищаемых активов, а именно: технических средств обработки информации; перечня ПДн; применяемых средств защиты информации; используемых телекоммуникаций; систем обеспечения электропитания и заземления; персонала, имеющего доступ к защищаемым активам.

Рисунок 1

Результатом работы данной комиссии должна быть разработка проектов документов и сбор материалов для описания ИСПДн:

  1. Перечень ПДн, обрабатываемых в ИСПДн, и степень их конфиденциальности;
  2. Технический паспорт, в котором указано:
    • расположение ИСПДн относительно границ контролируемой зоны;
    • конфигурация и топология ИСПДн в целом и ее отдель­ных компонент;
    • физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назна­чения;
    • технические средства и системы, предполагаемые к ис­пользованию в разрабатываемой ИСПДн, условия их расположения, обще­системные и прикладные программные средства, имеющиеся и предлагаемые к разработке;
    • режимы обработки ПДн в ИСПДн в целом и в отдельных компонентах.
  3. Степень участия персонала в обработке ПДн, характер их взаимодействия между собой (матрица доступа).

ЭТАП 2. Этап, на котором устанавливается уровень защищённости ПДн, может быть совмещен с этапом проведения предпроектного обследования. Однако мы рекомендуем классификацию провести после анализа и изучения материалов 1 этапа. Это обусловлено тем, что присвоенный уровень защищенности ПДн ИСПДн является основой для выработки требований к создаваемой системе защиты персональных данных и в дальнейшем существенно определяет материальные затраты, необходимые для реализации этих требований.

Результаты проведения классификации оформляются актом. Форма акта нормативно-методическими документами не установлена. Акт классификации составляется по форме, принятой в организации. В нем отражаются следующие параметры об ИСПДн:

  • Категория, обрабатываемых персональных данных
  • Тип информационной системы
  • Значение объема обрабатываемых персональных данных в ИСПДн
  • Тип актуальных угроз ИСПДн
  • Структура ИСПДн (количество автоматизированных рабочих мест, серверов, входящих в состав ИСПДн)

Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится Оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных». Модель угроз формируется исходя из конкретных условий функционирования ИСПДн. Методическими документами для разработки являются:

  • «Базовая модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных», утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.
  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн», утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.
  • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденные руководством 8 Центра ФСБ России от 21 февраля 2008 г. № 149/54-144.

Модель угроз позволяет выявить актуальные угрозы безопасности и сориентировать на них систему защиты. Неактуальные угрозы в дальнейшем могут не рассматриваются.

Оценка актуальности той или иной угрозы определяется в зависимости от значения показателя опасности угрозы и от возможности ее реализации. Квалифицированное составление модели угроз имеет большое значение для организации. Именно от этого зависит выбор необходимых и достаточных способов защиты информационной системы, подбор средств защиты информации, а, следовательно, конечная стоимость всех работ по обеспечению безопасности персональных данных.

По результатам анализа вышеприведенных данных информационной системе в соответствии с требованиями Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» присваивается один из уровней защищенности ПДн: первый, второй, третий, четвертый. При присвоении уровня защищенности ИСПДн рекомендуется указывать режимы обработки персональных данных и разграничения прав доступа, наличие подключений ИСПДн к сетям общего пользования.

Условия установления уровня защищённости приведены в таблице № 1.

Таблица 1. Определение уровня защищенности ИСПДн

Уровень защищенности ПДн Тип актуальных угроз Категория ПДн Принадлежность ПДн Объем
1 1 – угрозы наличия недекларированных возможностей в системном ПО Специальные
Биометрические
Иные
2 – угрозы наличия недекларированных возможностей в прикладном ПО Специальные субъекты, не являющиеся сотрудниками оператора >100 000
2 1 – угрозы наличия недекларированных возможностей в системном ПО Общедоступные
2 – угрозы наличия недекларированных возможностей в прикладном ПО Специальные субъекты, являющиеся сотрудниками оператора
Специальные субъекты, не являющиеся сотрудниками оператора <100 000
Биометрические
Общедоступные субъекты, не являющиеся сотрудниками оператора >100 000
Иные субъекты, не являющиеся сотрудниками оператора > 100 000
3 – угрозы, не связанные с наличием недекларированных возможностей в прикладном и системном ПО Специальные субъекты, не являющиеся сотрудниками оператора > 100 000
3 2 – угрозы наличия недекларированных возможностей в прикладном ПО Общедоступные субъекты, являющиеся сотрудниками оператора
Общедоступные субъекты, не являющиеся сотрудниками оператора < 100 000
Иные субъекты, являющиеся сотрудниками оператора
Иные субъекты, не являющиеся сотрудниками оператора < 100 000
3 – угрозы, не связанные с наличием недекларированных возможностей в прикладном и системном ПО Специальные субъекты, являющиеся сотрудниками оператора
Специальные субъекты, не являющиеся сотрудниками оператора < 100 000
Биометрические
Иные субъекты, не являющиеся сотрудниками оператора > 100 000
4 3 – угрозы, не связанные с наличием недекларированных возможностей в прикладном и системном ПО Общедоступные
Иные субъекты, являющиеся сотрудниками оператора
Иные субъекты, не являющиеся сотрудниками оператора < 100 000

ЭТАП 3. На третьем этапе разрабатываются требования по обеспечению безопасности ПДн при обработке в ИСПДн. Рекомендуется привлекать специализированные организации, имеющие лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации. Мероприятия (требования) по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с уровнем защищённости ПДн. Данные мероприятия определены в методических документах ФСТЭК России и ФСБ России.

Результатами данного этапа является выработка требований к системе защиты персональных данных. Эти требования могут быть изложены в виде технического задания на разработку системы защиты персональных данных.

ЭТАП 4. На этапе проектирования и создания системы защиты ПДн проводятся мероприятия по разработке технического проекта на ИСПДн в части защиты информации, установка и настройка в соответствии с проектом сертифицированных технических, программных и про­граммно-технических средств защиты информации, разработка и реализация разрешительной системы доступа пользовате­лей к обрабатываемой на ИСПДн информации, определение подразделений и назначение лиц, ответственных за экс­плуатацию средств защиты информации с их обучением по направлению обеспечения безопасности ПДн, разработка эксплуатационной документации на ИСПДн, а также организационно-распорядительной документа­ции системы менеджмента информационной безопасностью (приказов, инструкций и других документов).

В ходе выполнения работ формируется вся необходимая техническая и организационно — распорядительная документация. Минимальный комплект такой документации должен в себя включать: технический паспорт на ИСПДн, матрицу доступа, «Положение об организации и проведении работ по обеспечению безопасности ПДн при их обработке в ИСПДн», должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн, рекомендации по использованию программных и аппаратных средств защиты информации (политика настройки средств защиты информации, установленных в ИСПДн).

При разработке Положения об организации и проведении работ по обеспечению безопасности ПДн при их обработке в ИСПДн рекомендуется учитывать положения и требования стандарта ГОСТ ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Система менеджмента информационной безопасности. Требования». В соответствии со стандартом требуется осуществлять обеспечение информационной безопасности на всех стадиях жизненного цикла самой информационной системы. То есть, это означает создание таких процессов, которыми необходимо постоянно управлять. При этом процессы управления обеспечением информационной безопасности должны являться неотъемлемой составной частью процессов функционирования ИСПДн.

ЭТАП 5. Оценка соответствия требованиям безопасности информации обязательно должна проводиться для ИСПДн, принадлежащих государственным органам, организациям и предприятиям.

При проведении оценки соответствия проводятся следующие испытания:

  • Оценка правильности классификации ИСПДн. Определение опасных факторов и угроз, снижающих уровень защиты.
  • Проверка достаточности представленных документов и соответствия их содержания требованиям по безопасности информации.
  • Проверка соответствия состава и структуры программно-технических средств ИСПДн представленной документации.
  • Оценка соответствия описания технологического процесса обработки и хранения ПДн реальной практике на ИСПДн.
  • Проверка уровня подготовки кадров и распределения ответственности персонала за обеспечение выполнения требований по безопасности информации.
  • Инструментальные испытания эффективности применяемых методов и средств защиты информации от утечки по техническим каналам.
  • Испытание ИСПДн на соответствие требованиям по защите от несанкционированного доступа к информации.

Схематично программа проведения аттестационных испытаний приведена на рисунке 2.

Рисунок 2

Накопленный опыт по созданию и внедрению систем защиты персональных данных и систем менеджмента информационной безопасностью выявил следующие проблемы:

  • Отсутствие методик оценки ущерба, возникающего вследствие реализации угроз безопасности ПДн, что позволило бы решить вопросы, связанные с компенсацией финансовых потерь от различного рода инцидентов информационной безопасности. Также важное значение приобретает вопрос возмещения ущерба населению при неправомочном использовании персональных данных. Указанные вопросы до настоящего времени не решены и должны решаться с использованием страховых механизмов на основе внедрение управления рисками и страхования ответственности операторов ИСПДн.
  • Отсутствие обязательных требований в нормативных и методических документах уполномоченных федеральных органов исполнительной власти к системам менеджмента информационной безопасностью (например, ISO/IEC 27001:2005).
  • Низкая квалификация персонала, отвечающего за обеспечение информационной безопасности ИСПДн.

В завершение подчеркнем, что обеспечение безопасности персональных данных является не правом организации, а ее обязанностью, установленной Законом «О персональных данных» и регламентированной рядом подзаконных актов. Данный блок нормативных правовых актов призван реализовать конституционные права граждан на неприкосновенность их частной жизни, личную и семейную тайну, закрепленные в ст. 23 Конституции РФ.

Таким образом, несоблюдение организацией требований по обеспечению безопасности персональных данных может повлечь не только ущерб для самой организации, но, в первую очередь, привести к нарушению конституционных прав граждан, повлечь за собой череду гражданско-правовых исков со стороны физических лиц, чьи права могут оказаться нарушенными, и, даже привлечение к административной или уголовной ответственности.

Авторы статьи: А. О. Куприянов, генеральный директор

В.А. Антонова, начальник отдела информационной безопасности
ООО «Научно-технический центр «ВЕЛЕС»

Что считать персональными данными

Персональные данные работника – это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. А именно:

  • паспортные данные;
  • семейное положение;
  • сведения об образовании;
  • номер страхового свидетельства обязательного пенсионного страхования;
  • сведения о трудовой деятельности и др.

Эта информация необходима работодателю, чтобы заключить трудовой договор, заполнить личную карточку № Т-2, помочь работнику в обучении, продвижении по службе, обеспечить его личную безопасность, контролировать количество и качество выполняемой им работы.

Понятие персональных данных содержит Перечень сведений конфиденциального характера (утвержден Указом Президента РФ от 6 марта 1997 г. № 188 «Об утверждении сведений конфиденциального характера»). Это сведения о фактах, событиях и обстоятельствах частной жизни человека. Однако статья 85 Трудового кодекса ограничивает персональные данные только теми сведениями и обстоятельствами, которые характеризуют гражданина как работника.

Персональные данные относятся к конфиденциальной информации, то есть к которой нет свободного доступа. Поэтому работодатель обязан получать все персональные данные о работнике только у него самого. Если по каким-то причинам сделать это невозможно, то запрашивать такие сведения у посторонних лиц работодатель вправе только с письменного согласия работника. При этом ему нужно сообщить о целях, источниках, способах получения персональных данных, о том, какая именно информация интересует работодателя, а также о последствиях отказа работника дать письменное согласие на получение этих сведений.

Из этого правила есть исключение: работодатель вправе запрашивать информацию, например, из различных медицинских учреждений о противопоказаниях и ограничениях в трудовой деятельности своих работников.

Главная цель такого исключения – предупредить и предотвратить угрозу жизни и здоровью работника.

Передавать конфиденциальную информацию о работнике другим лицам разрешается только с письменного согласия самого работника. Исключение возможно только в двух случаях:

  • это необходимо в целях защиты жизни и здоровья работника (степень угрозы определяет работодатель);
  • это предусмотрено в федеральном законе (например, ст. 228 ТК РФ прямо определяет, что если на производстве произошел несчастный случай, то об этом в обязательном порядке должны быть незамедлительно проинформированы родственники пострадавшего, а также ряд государственных и местных властных структур).

Обратите внимание

Не допускается передача личных сведений о работнике с коммерческой целью (ст. 88 ТК РФ).

Журналы учета персональных данных

Работодатель обязан соблюдать конфиденциальность при работе с персональными данными работников. Для этого следует вести специальные журналы учета.

Журнал учета внутреннего доступа к персональным данным работников

В журнале учета внутреннего доступа к персональным данным работников указывают: дату выдачи и возврата документов (личных дел) работникам организации; цели выдачи, наименование выдаваемых документов, срок пользования. Если документов было много, и их выдавали по описи, при возврате нужно проверить их наличие по описи. Сотрудник, возвращающий документы, обязан присутствовать при этом. Выдавая документы, предупредите, что делать в них пометки и исправления, вносить новые записи, извлекать документы (например, из личного дела) или помещать новые нельзя.

Журнал учета выдачи персональных данных работников организациям и государственным органам

В журнале учета выдачи персональных данных работников организациям и государственным органам регистрируют: поступающие запросы (дату получения, номер и дату входящего документа, от какого органа получен запрос); дату передачи персональных данных; содержание переданной информации; дату уведомления об отказе в предоставлении информации (в случае такового).

Кроме того, кадровик должен регулярно проверять наличие документов и других носителей информации, содержащих персональные данные работников. Для этого также следует вести специальный журнал.

Какие сведения указывают в Положении о защите персональных данных

Порядок хранения и использования персональных данных работников фирмы определяет Положение о защите персональных данных. Это обязательный внутренний (локальный) документ фирмы, его разрабатывает кадровая служба.

Закон не установил строгой формы этого документа, но он должен соответствовать требованиям, которые предъявляет к защите персональных данных работника ТК РФ.

В Положении должны быть указаны:

  • цель и задачи фирмы в области защиты персональных данных;
  • понятие и состав персональных данных;
  • в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
  • как происходит сбор персональных данных;
  • как они обрабатываются и используются;
  • кто (по должностям) в компании имеет к ним доступ;
  • как персональные данные защищаются от несанкционированного доступа;
  • права работника в целях обеспечения защиты своих персональных данных;
  • ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

Уведомление об обработке персональных данных

Согласно ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», с 1 июля 2011 года все юридические и физические лица, деятельность которых связана со сбором и обработкой персональных данных (ПД) в электронном виде (оператор ПД), должны уведомить об этом Роскомнадзор. Это госорганы, имеющие дело с персональными данными, практически все работодатели, имеющие кадровую службу, перевозчики, страховщики, банки. Приказом от 19 августа 2011 года № 706 Роскомнадзор утвердил рекомендации по заполнению формы уведомления, а форму утвердило Минкомсвязи России приказом от 21 декабря 2011 года № 346.

Уведомление формируют в виде таблицы на бланке оператора. В отдельном поле указывают полное и сокращенное наименование, организационно-правовую форму, ИНН и адрес оператора. В отдельном – «цели обработки данных», соответствующие уставным задачам и осуществляемой деятельности.

В поле «категории ПД» указывается, какие данные (персональные, биометрические, специальные) подвергаются обработке. В поле «категории субъектов, ПД которых обрабатываются» следует указать эту категорию, например, «работники, состоящие в трудовых отношениях с оператором».

В поле «правовое основание обработки ПД» указываются статьи нормативно-правового акта, касающиеся обработки ПД: например, «ст. 85–90 Трудового кодекса РФ», «ст. 85.1 Воздушного кодекса РФ», «ст. 12 Федерального закона «Об актах гражданского состояния”» и др. В отдельном поле указываются действия оператора и способы обработки ПД (неавтоматизированная, исключительно автоматизированная с передачей полученной информации по сети или без, смешанная).

В поле «дата начала обработки ПД» указываются число, месяц, год фактического начала любого действия.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *