Рубрикатор

Каковы требования к защите персональных данных по 152-ФЗ?

0
Рейтинг Добавить в избранное В избранное
Поделиться

Требования к защите персональных данных представляют собой перечень законодательно определенных характеристик, которым должна соответствовать система обеспечения безопасности информации о сотрудниках, хранящейся на предприятии. Из статьи далее вы узнаете, какие сведения могут быть отнесены к персональным данным и какие требования предъявляются законодателем к обеспечению их защиты от несанкционированного доступа. 

Персональные данные — понятие и сущность

Понятие «персональные данные» установлено п. 1 ст. 3 федерального закона «О персональных данных» № 152 от 27.07.2006, в соответствии с которым таковыми признается любая относящаяся к физическому лицу информация, на основании которой это лицо может быть определено. Таким образом, к персональным данным (далее — ПД) могут быть отнесены:

  • Ф. И. О.;
  • дата и место рождения;
  • адрес регистрации и проживания;
  • семейное и материальное положение;
  • образование;
  • место работы;
  • размер дохода;
  • профессия и пр.

Такие данные хранятся в любой организации, выступающей в качестве работодателя, т. к. еще на стадии трудоустройства каждый работник представляет пакет документации, содержащей сведения, позволяющие его идентифицировать. Работодатель в этом случае получает статус оператора ПД, под которым, в соответствии с п. 2 ст. 3 ФЗ № 152, понимается юридическое лицо, которое организует и осуществляет обработку таких данных, определяет цели такой обработки, состав обрабатываемых данных и перечень осуществляемых над ними операций.

Конфиденциальность персональных данных

Согласно положениям ст. 7 ФЗ № 152, работодатель обязан обеспечить защиту конфиденциальности используемых им ПД работника. За невыполнение требований законодателя оператор ПД может быть привлечен к административной и даже уголовной ответственности, а деятельность организации — приостановлена на основании требования Роскомнадзора.

Для обеспечения безопасности ст. 19 ФЗ № 152 вменяет оператору ПД обязанность по внедрению в практическую деятельность определенных организационных и технических мероприятий, позволяющих защитить используемые ПД от неправомерного доступа к ним третьих лиц, несанкционированного копирования, распространения, уничтожения, изменения и иных подобных действий.

К организационным мероприятиям, в частности, могут быть отнесены:

  • формирование упорядоченных систем хранения ПД;
  • разработка внутренней нормативной документации, определяющий порядок сбора, обработки и хранения ПД;
  • обучение персонала, в обязанности которого входит работа с ПД.

В качестве технических мероприятий могут выступать:

  • использование программных средств защиты информации;
  • применение антивирусных программ и межсетевых экранов;
  • создание VPN-каналов для передачи ПД за пределы созданной на предприятии системы защиты информации, и пр.

Технические требования к обработке персональных данных по 152 ФЗ

В тексте ФЗ № 152 не содержится прямых указаний на то, какие именно методики должен использовать оператор для технического обеспечения безопасности используемых данных. Однако ч. 3 указанной статьи содержит ссылку на принимаемые Правительством РФ постановления, устанавливающие требования к обработке персональных данных.

В частности, ч. 4 постановления Правительства РФ «Требования к материальным носителям…» от 06.07.2008 № 512 установлено, что материальные носители, используемые оператором для хранения ПД, должны обеспечивать:

  1. Защиту от несанкционированного внесения третьими лицами исправлений и дополнений в информацию после ее извлечения из информационной системы ПД.
  2. Обеспечение лицам, обладающим соответствующими полномочиями, доступа к хранящимся на носителе данным.
  3. Возможность идентификации информационной системы, в которую были внесены ПД, и оператора, которым они были внесены.
  4. Невозможность несанкционированного доступа к хранящимся на носителе ПД.

Срок использования оператором ПД материального носителя, в соответствии с п. 6 постановления № 512, не должен превышать указанного производителем максимального срока эксплуатации.

Подпишитесь на рассылку
Яндекс.Дзен ВКонтакте Telegram

Примечание: действие указанных требований не распространяется на бумажные носители, хранящие ПД работников.

Требования закона к 4-му и 3-му уровням защиты персональных данных на предприятии

Помимо ссылки на постановление Правительства РФ № 512 ч. 3 ст. 19 ФЗ № 152 содержит ссылку на постановление Правительства «Об утверждении требований…» № 1119 от 01.11.2012. Установленные данным актом требования (далее — Требования) определяют общие вопросы, касающиеся защиты данных, обрабатываемых оператором ПД.

Согласно п. 4 Требований, оператор ПД может самостоятельно определить перечень программных продуктов, применяемых для защиты ПД, но при этом ему стоит руководствоваться нормативными актами, принимаемыми ФСБ РФ и ФСТЭК РФ. Уровень защиты информации, который должен обеспечить оператор, зависит от того, какие угрозы актуальны для конкретной системы хранения информации, внедренной на предприятии. Виды угроз определены п. 6 Требований, п. 8 устанавливает условия, при наличии которых оператор ПД обязан обеспечить определенный уровень защиты (от 4-го до 1-го).

Так, для обеспечения 4-го уровня защиты необходимо (п. 13):

  1. Ограничить круг лиц, имеющих доступ к помещениям, в которых хранятся ПД, а также предотвратить возможность несанкционированного доступа к таким хранилищам.
  2. Обеспечить сохранность носителей, содержащих ПД.
  3. Определить круг сотрудников, имеющих доступ к ПД.
  4. Использовать средства, обеспечивающие защиту ПД, характеристики которых соответствуют законодательно установленным требованиям.

Для обеспечения 3-го уровня защиты оператору необходимо выполнить перечисленные выше требования, а также назначить сотрудника, на которого будут возложены обязанности по обеспечению безопасности размещенных в информационной системе данных (п. 14).

Требования закона ко 2-му и 1-му уровням защиты

Ко 2-му и 1-му уровням защиты законодатель предъявляет более жесткие требования, чем к 4-му и 3-му. Для обеспечения 2-го уровня безопасности оператору необходимо выполнить требования, установленные для 3-го уровня, а также ограничить доступ к сведениям, хранящимся в электронном журнале сообщений, со стороны лиц, не имеющих полномочий по их использованию в ходе осуществления своей трудовой деятельности (п. 15).

Для обеспечения 1-го уровня защиты оператор ПД обязан выполнять требования, предъявляемые к системе безопасности 2-го уровня, а также (п. 16):

  1. Автоматически фиксировать в электронном журнале безопасности сведения об изменениях объема полномочий сотрудников, обладающих доступом к хранящимся в информационной системе персональным данным.
  2. Создать на предприятии подразделение, функционал которого включает обеспечение безопасности ПД, хранящихся в информационной системе, или возложить указанные обязанности на иное подразделение предприятия.

Итак, работодатель обязан обеспечивать сохранность конфиденциальности информации, получаемой им от работников и имеющей статус персональных данных. Законодатель устанавливает перечень определенных требований, которым должна отвечать система обеспечения безопасности обрабатываемых и хранимых организацией сведений. В зависимости от того, какие угрозы вероятны для используемой информации, устанавливаются различные уровни ее защиты. Чем выше уровень защиты, тем более жесткие требования к ее реализации предъявляет законодатель.

Рейтинг Добавить в избранное В избранное
Поделиться
Предыдущий материал
Следующий материал
Ваши комментарии