Ukkaskadgel.ru

Документооборот онлайн
6 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Технические и организационные средства защиты персональных данных

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

Информация об изменениях:

Федеральным законом от 25 июля 2011 г. N 261-ФЗ статья 19 настоящего Федерального закона изложена в новой редакции, распространяющейся на правоотношения, возникшие с 1 июля 2011 г.

Статья 19 . Меры по обеспечению безопасности персональных данных при их обработке

ГАРАНТ:

См. комментарии к статье 19 настоящего Федерального закона

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

ГАРАНТ:

Об утверждении требований по обеспечению безопасности персональных данных в таможенных органах РФ, организациях, находящихся в ведении ФТС России, при их обработке в информационных системах персональных данных таможенных органов РФ см. приказ ФТС России от 11 августа 2015 г. N 1611

Об организации и проведении работ по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных в Росреестре см. приказ Росреестра от 29 января 2013 г. N П/31

Об обеспечении безопасности персональных данных при их обработке в автоматизированных информационных системах налоговых органов см. приказ ФНС России от 21 декабря 2011 г. N ММВ-7-4/959@

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

Информация об изменениях:

Пункт 6 изменен с 10 января 2021 г. — Федеральный закон от 30 декабря 2020 г. N 515-ФЗ

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

ГАРАНТ:

См. Инструкцию по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел РФ, утвержденную приказом МВД РФ от 6 июля 2012 г. N 678

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

Читать еще:  В каких случаях банк может досрочно взыскать сумму кредита и проценты?

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Защита персональных данных

Защи́та персональных данных — комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Защита персональных данных включена в раздел охраны труда на предприятии, является самостоятельным элементом. Государство гарантирует работникам защиту их персональных данных, а также их права на труд, с учетом использования их персональных данных (например, паспорт).

Содержание

  • 1 Этапы работ по защите персональных данных
  • 2 В ЕС
  • 3 В РФ
  • 4 См. также
  • 5 Ссылки

Этапы работ по защите персональных данных [ править | править код ]

Обязательные (в том числе предварительные) этапы работ по защите персональных данных:

  • Определить все ситуации, когда требуется проводить обработку персональных данных (ПДн).
  • Выделить бизнес-процессы, в которых обрабатываются персональные данные.
  • Выбрать ограниченное число бизнес-процессов для проведения аналитики. На этом этапе формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности.
  • Определить круг информационных систем и совокупность обрабатываемых ПДн.
  • Провести категорирование ПДн и предварительную классификацию информационных систем (ИС).
  • Выработать меры по снижению категорий обрабатываемых ПДн.
  • Сформировать актуальную модель угроз для каждой информационной системы обработки персональных данных (ИСПДн).
  • Подготовить техническое задание (ТЗ) по созданию требуемой системы защиты.
  • Провести уточнение классов ИС, с последующей подготовкой рекомендаций по использованию технических средств защиты ПДн.
  • Подать уведомление о начале обработки персональных данных в Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) для регистрации в качестве оператора ПДн.
  • Отправить заявку на получение экземпляров руководящих документов ФСТЭК России по организации системы защиты.
  • Разработать требования для конкретной ИСПДн, с учетом присвоенного класса защиты.
  • Подготовить технический проект по защите ИСПДн и помещений.
  • Разработать пакет организационно-распорядительных документов для СЗПДн (положения, приказы, инструкции, регламенты);
  • Спроектировать и внедрить систему защиты персональных данных (СЗПДн);
  • Взять согласия на обработку ПДн с субъектов персональных данных;
  • Проводить контрольные мероприятия по выявлению нарушений защиты персональных данных.
Читать еще:  Как установить отцовство после смерти отца в судебном порядке

Проверить при трансграничной передаче находится ли получатель персональных данных в стране, где осуществляется надлежащая защита персональных данных.

В ЕС [ править | править код ]

В РФ [ править | править код ]

В Российской Федерации защита персональных данных сводится к созданию режима обработки персональных данных, включающего:

  • Создание внутренней документации по работе с персональными данными.
  • Создание организационной системы защиты персональных данных.
  • Внедрение технических мер защиты.
  • Получение лицензий регулирующих органов (ФСБ, ФСТЭК). Лицензия ФСТЭК России на Техническую защиту конфиденциальной информации нужна только в случае если организация оказывает услуги по созданию системы защиты персональных данных для других лиц. При создании системы защиты персональных данных силами организации (для собственных нужд) как техническими средствами, так и организационными — данная лицензия не нужна.
  • Получение сертификатов регулирующих органов (ФСБ, ФСТЭК) на средства защиты информации.

Комплексная защита персональных данных в Туле

  • Комплексная защита персональных данных
    • Нарушение законодательства Российской Федерации в области персональных данных
  • Защита конфиденциальной информации
  • Построение защищенных каналов
  • Комплексное сопровождение ИСПДн
  • Безопасность критической информационной инфраструктуры (КИИ)
  • Подключение к системе электронных паспортов (АС СЭП)
  • Информационный аудит организаций
  • Комплексные сертифицированные антивирусные решения
  • Подключение учебных заведений
  • Внедрение DLP- систем
  • Аттестация объектов информатизации
  • Подключение МФЦ
  • Защита государственной тайны
  • Поставка ПЭВМ в защищенном исполнении
  • Продажа экранирующих заглушек
  • Проведение специальных проверок технических средств
  • Проведение специальных исследований технических средств
  • Подключение к ГИС ТЭК
  • Подключение к ГИС ЕПТ

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора?

На сегодняшний день деятельность каждой компании связана с хранением и обработкой данных не только сотрудников и партнеров, но и клиентов. Утеря, столь ценных данных может нанести весомый ущерб вашему бизнесу:

  • потеря дохода
  • упущенная выгода
  • потеря клиентов
  • штрафы за несоблюдение закона 152-ФЗ «О персональных данных»

Вследствие участившихся кибератак на сервера компаний, вопрос о защите персональных данных клиентов и сотрудников выходит на первый план. Киберпреступники находят все более изощренные схемы взлома, и защищать информационные системы становится все сложнее. Поэтому во избежание потери конфиденциальной информации, стоит доверить профессионалам защиту персональных данных.

Когда вы начинаете разрабатывать план безопасности, то стоит начать именно с информационной безопасности, потому что это основа безопасности данных вашей компании. За последнее время число киберприступлений возросло, по статистике каждый второй малый и средний бизнес понес убытки из-за утечки информации.

Что делать владельцу сайта, чтобы избежать штрафов Роскомнадзора? — Применять организационные меры и технические средства защиты персональных данных.

Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы. Стоит понимать, что предоставление данных может быть добровольным и обязательным. Например, доставка почтовых отправлений, здесь согласие на обработку данных необязательно.

Меры внутренней защиты персональных данных:

  • Ограничение числа работников, которым открыт доступ к персональным данным
  • Назначение ответственного лица, которое обеспечивает исполнение организаций законодательства в своей сфере.
  • Утверждение списка документов, содержащих персональные данные.
  • Разработка собственных, внутренних документов по защите персональных данных.
  • Ознакомление работников с действующими документами о защите данных.
  • Порядок уничтожения информации.
  • Устранение нарушений требований.

Обеспечение безопасности персональных данных при их обработке в информационной системе — обязательное для соблюдения оператором этой системы требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Система обеспечения безопасности персональных данных включает в себя организационные меры и (или) технические средства защиты персональных данных, определенные с учетом актуальных угроз и информационных технологий, используемых в информационных системах

Почему мы?

Компания «Интелком» предлагает свои услуги по построению систем защиты персональных данных, начиная с этапа предпроектного обследования и заканчивая проведением аттестации. Наши специалисты, с учетом существующей инфраструктуры и пожеланий заказчика, помогут с выбором средств защиты информации, осуществят их установку и настройку, разработают необходимые организационно-распорядительные документы, проведут аттестацию, а также обеспечат сопровождение системы комплексной защиты персональных данных.

Профессионализм
Все сотрудники являются
сертифицированными
специалистами		Качество
Даем гарантию на
выполненные работы		Надежность
Лицензиаты ФСТЭК и ФСБ		Точно в срок
Мы придерживаемся
установленных планов и
сроков

Организационные меры комплексной защиты персональных данных

Организационные меры защиты – это меры организационного характера, регламентирующие процессы функционирования ИСПДн, использование ресурсов ИСПДн, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с ИСПДн таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

Технические средства защиты персональных данных

Технические меры защиты основаны на использовании программных и(или) программно-аппаратных средств защиты. Выбор средств защиты информации осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».

Защита информационных систем персональных данных

Защита персональных данных – это комплекс мероприятий, позволяющий выполнить требования законодательства РФ, касающиеся обработки, хранения и передачи персональных данных граждан.

Читать еще:  Обстоятельства при которых вам придется расплачиваться по долгам родственников

Согласно требованиям Федерального Закона РФ от 27.07.2006 г. № 152-ФЗ «О защите персональных данных», оператор персональных данных обязан выполнить ряд организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Безопасность персональных данных при их обработке в ИСПДн может быть обеспечена путем создания системы защиты персональных данных (СЗПДн), включающей:

  • организационные меры и средства защиты информации, в том числе:
    • шифровальные (криптографические) средства,
    • средства предотвращения несанкционированного доступа,
    • средства предотвращения утечки информации по техническим каналам,
    • средства предотвращения программно-технических воздействий на технические средства обработки персональных данных,
  • а также используемые в информационной системе информационные технологии.

После чего систему защиты персональных данных объекта информатизации подвергают оценке соответствия в зависимости от характеристик объекта: аттестации или декларированию соответствия.

Сертификация информационной системы как единого комплекса в данном случае не рассматривается из-за неоправданной дороговизны, длительности и проблем в дальнейшей эксплуатации и модернизации. Поэтому на практике для защиты объекта информатизации используют сертифицированные средства защиты. А информационная система проходит процедуру аттестации, обязательную для операторов государственных информационных систем, или декларирования.

Аттестация по требованиям безопасности информации проводится лицензиатами ФСТЭК и представляет собой заключение лицензиата о возможности эксплуатации объекта информатизации при условии соблюдения требований, соответствующих заявленному классу информационной системы. Заключение делается на основе проверочных мероприятий – аттестационных испытаний, в ходе которых выясняются особенности обработки и защиты информации.

Информационная безопасность в Липецкой области

«Информационно-технический центр» как оператор информационных систем обеспечил со своей стороны на центральном сегменте необходимый уровень защищенности персональных данных. Но конечные сегменты государственных информационных систем, подключаемые через защищенные каналы связи, согласно проведенному опросу не обеспечивают должный уровень защищенности персональных данных. Что может привести к нарушению целостности, конфиденциальности, доступности ПДн, содержащихся в этих системах и, как следствие, повлечь административную и уголовную ответственность.

ФСТЭК в приказе № 17 от 11 февраля 2013 года «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» приводит перечень мероприятий, обязательных к исполнению всеми операторами информационных систем персональных данных на этапе ввода в эксплуатацию. Это разработка и внедрение системы защиты информации, проведение аттестационных мероприятий системы защиты, а также обеспечение ее защищенности в ходе эксплуатации.

В Липецкой области все региональные органы исполнительной власти и другие государственные учреждения имеют доступ к государственным информационным системам и, как следствие, обязаны обеспечить должный уровень защищенности своих ИСПДн.

Информационно-технический центр, являясь оператором ряда государственных информационных систем области, имея полное представление об их структуре, крайне заинтересован в приведении этих информационных систем в соответствие требованиям законодательства РФ.

В связи с вышесказанным, «Информационно-технический центр» предлагает региональным органам исполнительной власти и другим государственным учреждениям:

  • Предусмотреть финансовые средства на закупку средств защиты информации и на проведение аттестационных мероприятий при формировании бюджета на 2020 — 2022 гг.
  • Привести рабочие места, имеющие доступ к государственным информационным системам, в соответствие требованиям законодательства РФ в сфере информационной безопасности.
  • Принять к сведению информацию о готовности Информационно-технического центра к проведению работ по оказанию услуг в сфере информационной безопасности.

Защита государственных информационных систем

Защита информации в государственных информационных системах (далее – ГИС) – это комплекс мероприятий, позволяющий выполнить требования законодательства РФ, касающиеся обработки, хранения и передачи информации в государственных информационных системах.

Согласно требованиям Федерального Закона РФ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», оператор информационной системы обязан выполнить ряд организационных и технических мер для защиты информации в ГИС от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования или распространения, а также от иных неправомерных действий.

Безопасность информации при её обработке в ГИС может быть обеспечена путем создания системы защиты информации (далее – СЗИ), включающей:

  • организационные меры и средства защиты информации, в том числе:
    • шифровальные (криптографические) средства,
    • средства предотвращения несанкционированного доступа,
    • средства предотвращения утечки информации по техническим каналам,
    • средства предотвращения программно-технических воздействий на технические средства обработки персональных данных,
  • а также используемые в информационной системе информационные технологии.

После чего систему защиты персональных данных объекта информатизации подвергают обязательной аттестации соответствия по требованиям защиты информации.

Аттестация по требованиям безопасности информации проводится лицензиатами ФСТЭК и представляет собой заключение лицензиата о возможности эксплуатации объекта информатизации при условии соблюдения требований, соответствующих заявленному классу информационной системы. Заключение делается на основе проверочных мероприятий – аттестационных испытаний, в ходе которых выясняются особенности обработки и защиты информации.

  • Сайты ОГИВ
  • Сайты партнеров
  • Форма обратной связи

понедельник – четверг: с 8.30 до 17.30
пятница: с 8.30 до 16.30
суббота, воскресенье: выходной
перерыв на обед: с 13.00. до 13.48.

0 0 голоса
Рейтинг статьи
Оценка статьи:
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...
Ссылка на основную публикацию
Похожие публикации
ВсеИнструменты
© 2023 Все права защищены. Копирование материалов разрешено только при наличии активной обратной ссылки