Язык:
Контакты
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • Cобственные разработки
  • Продукты других производителей
  • Услуги и решения
  • Управление ИБ
  • Разработка и внедрение СОБИ
  • Compliance
  • Консалтинг и поддержка
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
    •

    Персональные данные

    Если информационную систему администрируют работники другого юридического лица, без допуска к самим данным, это юрлицо все равно является оператором?

    Нет, в этом случае юридическое лицо, осуществляющее администрирование системы не является оператором персональных данных, так как, во-первых, не оно установило цели обработки информации, во-вторых, оно не обрабатывает сами персональные данные, а только обслуживает оборудование информационной сети, в-третьих, не имеет доступа к этим персональным данным. Правда, при этом необходимо четко доказать, что администратор сети не имеет доступа к самой информации (как правило, системный администратор в силу своих обязанностей имеет доступ ко всей информации в информационной системе и необходимо применение специальных технических и программных средств, исключающих такую возможность, так называемая «защита от инсайдера»).

    Как правильно создать систему защиты персональных данных?

    Рекомендуется создавать систему защиты персональных данных, объединяющую комплекс мер правового, организационного и технического характера. При этом с технической и организационной точек зрения должны присутствовать следующие подсистемы:

    • управления доступом
    • регистрации и учета
    • обеспечения целостности
    • антивирусной защиты
    • криптозащиты (при необходимости)
    • обнаружения вторжений (при необходимости)
    • защиты от утечки за счет ПЭМИН (при необходимости)

    Как правило, первые 4 подсистемы существуют и в данном случае главная цель – убедиться в их соответствии требованиям регламентирующих документов и усовершенствовать в случае необходимости. Отсутствие всякой технической защиты практически нивелирует принятые меры защиты ПДн нормативного (правового) и организационного характера.

    После создания технической системы защиты ПДн необходимо провести оценку ее соответствия предъявляемым требованиям (для систем 1-2 класса – аттестация, для 3 класса – либо аттестация, либо декларирование соответствия).

    Всегда ли необходимо применять криптосредства при передаче персональных данных по каналам связи?

    Вопрос применять или не применять криптосредства лежит в компетенции Оператора исходя из целей и технологии обработки персональных данных. При передаче обезличенных персональных данных такие требования, скорее всего, применяться не будут.

    Если в описании процесса обработки ПДн будет указано, что по каналам связи передаются обезличенные персональные данные, то применять криптосредства, очевидно, не обязательно. Вопрос в том, устроит ли передача именно обезличенных данных самого Оператора, и каким образом они будут обрабатываться в дальнейшем.

    Способы передачи персональных данных, осуществляемые в рамках одной компании, но между различными филиалами?

    Зависит от выбора Оператором варианта построения (сегментирования) ИСПДн.

    1. Можно объявить всю филиальную сеть единой ИСПДн, с необходимостью защиты центра, каналов связи и филиалов с выполнением всех обязательных требований по защите персональных данных одновременно ко всем элементам.

    2. Выполнить сегментирование, т.е. разделить на сегменты центр и отдельные филиалы, объединив их каналами связи. В этом случае защищаются по отдельности центр и филиалы (возможно с выполнением различных требований), отделяются с помощью межсетевых экранов, а требования относительно защиты каналов связи могут быть предъявлены провайдерам, либо может использоваться шифрование при передаче информации по открытым каналам.

    Вопросы по классификации. Чем отличаются классы защищённости ИС ПДн К1 и К2?

    Отличие состоит в более высоком уровне защиты. Для ИС ПДн класса К1 должны быть дополнительно (относительно ИСПДн класса К2) реализованы:

    • более жёсткие требования в подсистемах управления доступом, регистрации и учёта, обеспечения целостности;
    • соответствующий уровень контроля НДВ для ПО СЗИ;
    • программно-аппаратные средства (системы) анализа защищённости;
    • в значительно большем объёме мероприятия по защите ПДн от утечки по каналам ПЭМИН;
    • мероприятия по защите акустической (речевой) информации (в случае использования функции голосового ввода или воспроизведения информации акустическими средствами).

    Каков должен быть уровень внедрения защиты персональных данных, к примеру на рабочие станции — средства доверенной загрузки, аутентификации, доступа непосредственно к приложениям, чем определяется данный уровень (моделью угроз, классом ИСПДн)?

    1. В соответствии с руководящими документами ФСТЭК России уровень требований, предъявляемых по обеспечению безопасности персональных данных, обрабатываемых в конкретной ИСПДн, зависит от состава актуальных угроз, определяемого по результатам моделирования угроз, и класса ИСПДн .

    Для обеспечения безопасности персональных данных при их обработке в ИСПДн операторы должны создавать систему защиты персональных данных (СЗПДн), которая должна включать следующие подсистемы:

    • управления доступом;
    • регистрации и учёта;
    • обеспечения целостности;
    • криптографической защиты;
    • антивирусной защиты;
    • обнаружения вторжений;
    • защиты от утечки за счёт ПЭМИН (только для ИСПДн 1 и 2 классов).

    Требования, предъявляемые к каждой подсистеме СЗПДн, определяются дифференцированно, по результатам обследования ИСПДн, моделирования угроз и на основании присвоенного класса ИСПДн.

    2. В случае применения средств криптографической защиты, требования к необходимому уровню криптографической защиты персональных данных определяются в зависимости от типа возможного нарушителя, который определяется по результатам моделирования угроз на основании нормативных документов ФСБ России.

    Какие общие требования по защите правильно закладывать для только проектируемых ИСПДн, в каких документах это прописано (до проведения этапов обследования и тех.проектирования СЗПДн)?

    Согласно РД ФСТЭК России «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (п. 3.6) для вновь создаваемых (проектируемых) информационных систем персональных данных (ИСПДн) требования по обеспечению безопасности ПДн также определяются в зависимости от класса ИСПДн и результатов моделирования угроз.

    В этом случае разработка конкретных требований по обеспечению безопасности персональных данных, включаемых в техническое (частное техническое) задание на разработку СЗПДн, осуществляется на предпроектной стадии и должна осуществляться с учётом следующих факторов:

    • характера (перечня) ПДн, подлежащих защите;
    • условий расположения ИСПДн относительно границ контролируемой зоны (КЗ);
    • конфигурации и топологии ИСПДн в целом, и её отдельных компонент, физических, функциональных и технологических связей как внутри этих систем, так и с другими системами различного уровня назначения;
    • состава технических средств и систем, предполагаемых к использованию в разрабатываемой ИСПДн, условий их расположения, общесистемных и прикладных программные средств, имеющихся и предлагаемые к разработке;
    • режимов обработки ПДн в ИСПДн в целом и в отдельных компонентах;
    • класса ИСПДн;
    • степени участия персонала в обработке ПДн, характера их взаимодействия между собой;
    • угроз безопасности ПДн.

    Возможно ли, теоретически и практически, снижение категории ИСПДн для систем, обрабатывающих медицинские данные?

    Да, такие прецеденты имеют место. Не раскрывая профессиональных секретов, скажем, что это было достигнуто рядом мер по обезличиванию персональных данных и правильного сегментирования ИСПДн в рамках информационной системы (ИС) в целом.

    Соотношение требований в области персональных данных, установленных Трудовым кодексом Российской Федерации (ТК РФ) и Законом о персональных данных?

    Если говорить кратко, то требования Закона и ТК РФ не противоречат друг другу. Закон выдвигает общие требования, направленные на обеспечение защиты прав и свобод человека и гражданина (Ст.2 Закона), а ТК РФ определяет некоторые особенности обработки персональных данных применительно к трудовым отношениям. В частности, он оперирует с понятием не просто «персональные данные», а именно «персональные данные работника» (ст. 85ТК РФ), конкретизирует обязанности работодателя при обработке и передаче таких данных, дает определенные гарантии работнику. В этом смысле требования главы 14 ТК РФ надо рассматривать, как дополнительные («отраслевые») требования по отношению к Закону. Надо так же отметить, что в ТК РФ есть отсыл к иным федеральным законам, устанавливающим требования по обработке персональных данных (например, ст.ст. 86, 87 ТК РФ).

    Нужен или нет для соблюдения требования ст. 88 ТК РФ о доступе к персональным данным работников только специально уполномоченных лиц утвержденный локальным нормативным актом список лиц, имеющих доступ к персональным данным работников?

    Скорее да, чем нет. Если в организации имеется специально уполномоченное лицо (например, работник отдела кадров, руководитель подразделения и пр.), то свою трудовую деятельность он осуществляет на основании приказа (локального нормативного акта) и утвержденной должностной инструкции. Если в инструкции прописаны обязанности по ознакомлению и работе с определенными персональными данными работника, а приказе оговорено, что это лицо имеет право допуска к определенной категории персональных данных работника, то требования ст. 88 ТК РФ формально выполнены. Однако, этого в этих приказах может и не быть. В этом случае потребуется специальный локальный нормативный акт (приказ) со списком и правами допуска сотрудников. Практика же показывает, что при проведении государственного контроля и надзора, регуляторы спрашивают список лиц, допущенных к работе с персональными данными (этого так же требует и новое Положение). Поэтому такой отдельный список целесообразно иметь.