- Защита персональных данных
- Аттестация объектов, предназначенных для сведений, составляющих государственную тайну
- Аттестация объектов, предназначенных для персональных данных и конфиденциальной информации
- Контроль эффективности защиты информации на объектах
- Подготовка организаций к получению лицензий ФСТЭК и ФСБ
- Проектирование и монтаж систем безопасности
- Шифрование информации
- Средства поиска каналов утечки информации
- Аппаратные средства гарантированного уничтожения информации
- Электронные замки
- Автономные системы разграничения доступа
- Комплексные решения
- Средства защиты информации по каналам ПЭМИН
- Многоканальный комплекс оповещения "ВЕСТНИК"
- Программные средства контроля защищенности АС
- Электронные ключи и идентификаторы
- Сетевые системы разграничения доступа
- Средства защиты акустической речевой информации
- Досмотровые устройства
- Многоканальный цифровой комплекс регистрации "SELENA"
- Программно-аппаратные комплексы Altell NEO (ПАК Altell NEO)
- Серверы Altell FORT
- Средства защиты от несанкционированного применения сотовых телефонов, диктофонов и радиопередатчиков
Термины и определения в соответствии с Федеральным Законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»
1. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
2. Оператор - государственный орган, муниципальный орган, юридическое или фи-
зическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
3. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
4. Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
5. Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
6. Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
7. Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Обеспечение безопасности персональных данных
Конкретные методы и способы защиты информации в ИСПДн установлены методическими документами Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности Российской Федерации.
Законодательные основы и нормативно-методическое обеспечение безопасности персональных данных применяемые в информационных системах, в установленном порядке должны проходить процедуру оценки соответствия. Оценку достаточности принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах предписано проводить при проведении государственного контроля и надзора.
Уполномоченный орган по защите прав субъектов персональных данных имеет право:
1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
З) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
Перечень персональных данных раскрыт в таких нормативных правовых актах, как Трудовой кодекс Российской Федерации от 30.12.2001 (гл. 14, ст. 85-90), закон Российской Федерации от 27.12.91 №2124-1 «О средствах массовой информации», Федеральный закон от 15.11.97 №143-ФЗ «Об актах гражданского состояния» (ст. 12), Налоговый кодекс Российской Федерации (ст. 84), Федеральный закон от 02.12.90 №395-1 «О банках и банковской деятельности» (ст. 26- банковская тайна).
Постановлением Правительства Российской Федерации от 17.11.2007г. №781 утверждено «Положение об обеспеченности безопасности персональных данных при их обработке в информационных системах персональных данных». Указанным положением установлены требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.
Нарушения в области защиты персональных данных:
1.за отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ);
2. нарушение установленного законом порядка сбора, хранения, использования или
распространения персональных данных (ст. 13.11 КоАП РФ);
3. разглашение информации, доступ к которой ограничен федеральным законом (за
исключением случаев, когда разглашение такой информации влечет за собой уго-
ловную ответственность), лицом, получившим доступ к такой информации в связи
с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).
Помимо административной и уголовной ответственности на оператора возлагается и гражданско-правовая ответственность. Статьей 17 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» преду-смотрено, что лица, права и законные интересы которых были нарушены в связи с разглаше- нием информации ограниченного доступа или иным неправомерным использованием такой информации, могут обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.
В соответствии с «Трудовым Кодексом РФ» (ст. 90) лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дис- циплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
Статья 13.12. Нарушение правил защиты информации
1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда: на должностных лиц - от пяти до десяти минимальных размеров оплаты труда; на юридических лиц - от пятидесяти до ста минимальных размеров оплаты труда.
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от десяти до двадцати минимальных размеров оплаты труда; на юридических лиц - от ста до двухсот минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой.
Статья 24 ФЗ-152 «О персональных данных» гласит, что лица, виновные в нарушении требований Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Ответственность за нарушения требований обязательной сертификации в явном виде определена в КоАП. Так, в ст.13.2. п.2 говорится: «Использование несертифицированных СЗИ (за исключением средств защиты информации, составляющей государственную тайну) влечет наложение административного штрафа на юридических лиц - от 100 до 200 МРОТ с конфискацией несертифицированных средств защиты информации или без таковой, на должностных лиц - от 10 до 20 МРОТ». К концу следующего года оператор ПДн должен определиться: конфискация или сертификация.
Кроме того, нарушителей правил и условий использования ИСПДн можно классифицировать по ст. 13.2, 13.13 и 13.14 КоАП. Нарушения такого рода приведут к отзыву лицензии и конфискации оборудования. По утверждению Россвязькомнадзора в самое ближайшее время ожидается развитие ст.13 КоАП в сторону уточнения нарушений при обработке ПДн.
Появление ФЗ-184 «О техническом регулировании» отменило ряд законов, предусматривающих уголовную ответственность за использование несертифицированных средств. Однако это не означает, что игнорирование обязательной сертификации пройдет безнаказанно. В ст. 171 УК РФ установлено наказание за нарушение лицензионных требований и условий (конечно, распространяемых и на использование сертифицированных СЗИ) сроком до 6 месяцев. Следует указать, что в УК РФ около 10 глав, статьи которых могут касаться деяний, при совершении которых нарушитель может использовать системы обработки и защиты идентификационной информации в разных сферах жизни, будь-то военная служба, правосудие, компьютерная сфера, экономическая деятельность или конституционные права. Как правило, это разглашение, халатность, нарушение правил, злоупотребление при организации работ по созданию и эксплуатации информационных систем.
Принятый в 2006 году закон о защите персональных данных обязал практически все компании, ведущие финансовую или иную деятельность, внедрять в бизнес-процессы средства защиты информации. Федеральный закон о защите персональных данных требует, чтобы операторами персональных данных осуществлялась защита информации, в особенности защита персональных данных и защита конфиденциальной информации, от несанкционированного доступа, уничтожения, блокирования и прочих угроз. Дело в том, что любая фирма, как минимум, ведет карточки сотрудников, не говоря уже о сборе, обработке и хранении реквизитов клиентов, поэтому попадает под закон о защите персональных данных и должна получить лицензию оператора персональных данных (сертификация по защите информации).
Для соблюдения всех требований закона необходимо провести аудит информационных систем, выявить возможные угрозы, реорганизовать работу с данными, выделить сотрудников, ответственных за средства защиты персональных данных, и предпринять ряд других мер, которые без должного опыта и знаний потребуют значительных финансовых и временных затрат.
В такой ситуации за консалтингом лучше обратиться к профессионалам. Компания «Единство» предлагает весь спектр услуг, с которыми связана организационная и техническая защита информации (защита персональных данных).
Аудит информационных систем — один из важнейших этапов внедрения эффективной системы, которой обеспечивается защита конфиденциальной информации в соответствии с российским законодательством. Аудит информационных систем позволяет классифицировать имеющиеся базы данных по категориям. Чем ниже категория, тем меньше затраты на средства защиты информации (средства защиты персональных данных), быстрее модернизируются рабочие процессы, проще проходит сертификация по защите информации.
После предпроектного обследования разрабатывается техническое задание, в соответствии с которым внедряется система и обеспечивается защита конфиденциальной информации. Мы порекомендуем и поможем приобрести подходящие вашей компании активные средства защиты информации и программные средства защиты персональных данных, одобренные ФСБ и ФСТЭК, обучим сотрудников работе с ними, подготовим всю необходимую документацию и т.д.
После нашего взаимовыгодного сотрудничества сертификация по защите информации станет понятной и быстрой процедурой, а представители Роскомнадзора и ФСТЭК, проверяющие, чтобы существующая защита информации (защита персональных данных) отвечала установленным нормам, не найдут изъянов.