Главная » Ваш юрист » Каковы требования к защите персональных данных по 152-ФЗ?

Каковы требования к защите персональных данных по 152-ФЗ?

Каковы требования к защите персональных данных по 152-ФЗ?

Требования к защите персональных данных представляют собой перечень законодательно определенных характеристик, которым должна соответствовать система обеспечения безопасности информации о сотрудниках, хранящейся на предприятии. Из статьи далее вы узнаете, какие сведения могут быть отнесены к персональным данным и какие требования предъявляются законодателем к обеспечению их защиты от несанкционированного доступа.

Персональные данные — понятие и сущность

Понятие персональные данные установлено п. 1 ст. 3 федерального закона О персональных данных № 152 от 27.07.2006, в соответствии с которым таковыми признается любая относящаяся к физическому лицу информация, на основании которой это лицо может быть определено. Таким образом, к персональным данным (далее — ПД) могут быть отнесены:

  • Ф. И. О.;
  • дата и место рождения;
  • адрес регистрации и проживания;
  • семейное и материальное положение;
  • образование;
  • место работы;
  • размер дохода;
  • профессия и пр.

Такие данные хранятся в любой организации, выступающей в качестве работодателя, т. к. еще на стадии трудоустройства каждый работник представляет пакет документации, содержащей сведения, позволяющие его идентифицировать. Работодатель в этом случае получает статус оператора ПД, под которым, в соответствии с п. 2 ст.

3 ФЗ № 152, понимается юридическое лицо, которое организует и осуществляет обработку таких данных, определяет цели такой обработки, состав обрабатываемых данных и перечень осуществляемых над ними операций.

Конфиденциальность персональных данных

Согласно положениям ст. 7 ФЗ № 152, работодатель обязан обеспечить защиту конфиденциальности используемых им ПД работника.

За невыполнение требований законодателя оператор ПД может быть привлечен к административной и даже уголовной ответственности, а деятельность организации — приостановлена на основании требования Роскомнадзора.




Для обеспечения безопасности ст. 19 ФЗ № 152 вменяет оператору ПД обязанность по внедрению в практическую деятельность определенных организационных и технических мероприятий, позволяющих защитить используемые ПД от неправомерного доступа к ним третьих лиц, несанкционированного копирования, распространения, уничтожения, изменения и иных подобных действий.

К организационным мероприятиям, в частности, могут быть отнесены:

  • формирование упорядоченных систем хранения ПД;
  • разработка внутренней нормативной документации, определяющий порядок сбора, обработки и хранения ПД;
  • обучение персонала, в обязанности которого входит работа с ПД.

В качестве технических мероприятий могут выступать:

  • использование программных средств защиты информации;
  • применение антивирусных программ и межсетевых экранов;
  • создание VPN-каналов для передачи ПД за пределы созданной на предприятии системы защиты информации, и пр.

Технические требования к обработке персональных данных по 152 ФЗ

В тексте ФЗ № 152 не содержится прямых указаний на то, какие именно методики должен использовать оператор для технического обеспечения безопасности используемых данных. Однако ч. 3 указанной статьи содержит ссылку на принимаемые Правительством РФ постановления, устанавливающие требования к обработке персональных данных.

В частности, ч. 4 постановления Правительства РФ Требования к материальным носителям… от 06.07.2008 № 512 установлено, что материальные носители, используемые оператором для хранения ПД, должны обеспечивать:

  1. Защиту от несанкционированного внесения третьими лицами исправлений и дополнений в информацию после ее извлечения из информационной системы ПД.
  2. Обеспечение лицам, обладающим соответствующими полномочиями, доступа к хранящимся на носителе данным.
  3. Возможность идентификации информационной системы, в которую были внесены ПД, и оператора, которым они были внесены.
  4. Невозможность несанкционированного доступа к хранящимся на носителе ПД.




Срок использования оператором ПД материального носителя, в соответствии с п. 6 постановления № 512, не должен превышать указанного производителем максимального срока эксплуатации.

Примечание: действие указанных требований не распространяется на бумажные носители, хранящие ПД работников.

Требования закона к 4-му и 3-му уровням защиты персональных данных на предприятии

Помимо ссылки на постановление Правительства РФ № 512 ч. 3 ст. 19 ФЗ № 152 содержит ссылку на постановление Правительства Об утверждении требований… № 1119 от 01.11.2012.

Установленные данным актом требования (далее — Требования) определяют общие вопросы, касающиеся защиты данных, обрабатываемых оператором ПД.

Согласно п. 4 Требований, оператор ПД может самостоятельно определить перечень программных продуктов, применяемых для защиты ПД, но при этом ему стоит руководствоваться нормативными актами, принимаемыми ФСБ РФ и ФСТЭК РФ. Уровень защиты информации, который должен обеспечить оператор, зависит от того, какие угрозы актуальны для конкретной системы хранения информации, внедренной на предприятии.

Виды угроз определены п. 6 Требований, п. 8 устанавливает условия, при наличии которых оператор ПД обязан обеспечить определенный уровень защиты (от 4-го до 1-го).

Так, для обеспечения 4-го уровня защиты необходимо (п. 13):

  1. Ограничить круг лиц, имеющих доступ к помещениям, в которых хранятся ПД, а также предотвратить возможность несанкционированного доступа к таким хранилищам.
  2. Обеспечить сохранность носителей, содержащих ПД.
  3. Определить круг сотрудников, имеющих доступ к ПД.
  4. Использовать средства, обеспечивающие защиту ПД, характеристики которых соответствуют законодательно установленным требованиям.

Для обеспечения 3-го уровня защиты оператору необходимо выполнить перечисленные выше требования, а также назначить сотрудника, на которого будут возложены обязанности по обеспечению безопасности размещенных в информационной системе данных (п. 14).




Требования закона ко 2-му и 1-му уровням защиты

Ко 2-му и 1-му уровням защиты законодатель предъявляет более жесткие требования, чем к 4-му и 3-му. Для обеспечения 2-го уровня безопасности оператору необходимо выполнить требования, установленные для 3-го уровня, а также ограничить доступ к сведениям, хранящимся в электронном журнале сообщений, со стороны лиц, не имеющих полномочий по их использованию в ходе осуществления своей трудовой деятельности (п.

15).

Для обеспечения 1-го уровня защиты оператор ПД обязан выполнять требования, предъявляемые к системе безопасности 2-го уровня, а также (п. 16):

  1. Автоматически фиксировать в электронном журнале безопасности сведения об изменениях объема полномочий сотрудников, обладающих доступом к хранящимся в информационной системе персональным данным.
  2. Создать на предприятии подразделение, функционал которого включает обеспечение безопасности ПД, хранящихся в информационной системе, или возложить указанные обязанности на иное подразделение предприятия.

Итак, работодатель обязан обеспечивать сохранность конфиденциальности информации, получаемой им от работников и имеющей статус персональных данных. Законодатель устанавливает перечень определенных требований, которым должна отвечать система обеспечения безопасности обрабатываемых и хранимых организацией сведений. В зависимости от того, какие угрозы вероятны для используемой информации, устанавливаются различные уровни ее защиты.

Чем выше уровень защиты, тем более жесткие требования к ее реализации предъявляет законодатель.

О admin

x

Check Also

Совет Федерации запретил рекламу на платежках ЖКХ

Принят закон о запрете размещения рекламы на платежках ЖКХ В Федеральный закон No38-ФЗ «О рекламе» от 13 марта 2006 года, были внесены существенные изменения. Теперь ...

Собственный капитал в балансе — это…

Собственный капитал в балансе — это… Собственный капитал — это… Капитал (в широком смысле слова) — это все, что способно приносить доход, или ресурсы, созданные ...

Собственники квартир будут оплачивать защищенность дома от террористов

Собственники квартир будут оплачивать защищенность дома от террористов Минстрой разработал проект правительственного постановления с требованиями к антитеррористической защищенности многоквартирных домов. Согласно документу, организационные мероприятия по ...

Собрание кредиторов при банкротстве

Собрание кредиторов при банкротстве Собрание кредиторов при банкротстве является важным мероприятием, в компетенцию участников которого входит принятие стратегических решений, направленных на реализацию процедуры банкротства и ...