Контакты
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • Персональные данные

    Кто ответственен за разглашение переданных персональных данных 3-ей стороне, Оператор ПДн или 3-я сторона, где и как это должно быть определено?

    Как указано в ответе на 2-й вопрос, передача персональных данных третьим лицам согласно ч. 4 ст. 6 ФЗ «О персональных данных» может осуществляться только на основании договора, в котором в том числе должна быть предусмотрена ответственность за нарушение требований законодательства по обеспечению безопасности персональных данных. В этом случае ответственность за разглашение переданных 3-му лицу персональных данных будет нести это лицо.

    Обязательно ли использовать в информационных системах персональных данных (ИСПДн) общесистемное ПО, сертифицированное по требованиям ФСТЭК России?

    В том случае, если встроенные средства безопасности общесистемного ПО заявлены в ИСПДн как средства защиты, такое ПО должно быть сертифицировано по требованиям ФСТЭК России.

    Если же используется стороннее ПО (СЗИ), реализующее функции защиты ПДн, тогда такой сертификации общесистемного ПО не требуется.

    Каким образом должны удаляться персональные данные после их использования?

    Здесь необходимо привести ссылку на ч. 4 ст. 21 ФЗ «О персональных данных», которая устанавливает: «В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган».

    В настоящее время порядок уничтожения персональных данных никакими нормативными документами не регламентирован. С учётом этого мы рекомендуем факт уничтожения персональных данных оформлять внутренним актом оператора, в котором должно указываться какие персональные данные, когда, кем и каким образом были уничтожены. Кроме того, рекомендуем формальную процедуру уничтожения персональных данных прописать отдельным разделом в разрабатываемом оператором внутреннем Положении об обработке персональных данных.

    Сколько по срокам должны храниться: журнал обращений субъектов ПДн, журнал регистрации о выдаче копий документов, журнал передачи ПДн третьей стороне, журнал регистрации электронных носителей?

    Сроки хранения отдельных видов документов устанавливаются Федеральным законом РФ от 22.10.2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации» и Приказом Министерства культуры РФ от 25.09.2010 г. N 558 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения».

    Данный приказ устанавливает следующие сроки хранения документов:

    • п. 183. Обращения граждан (предложения, заявления, жалобы, претензии и др.); документы (справки, сведения, переписка) по их рассмотрению — 5 лет. 
    • п. 258. Книги, карточки (базы данных), реестры, журналы регистрации и контроля обращений граждан — 5 лет.
    • п. 252. Книги, журналы, карточки, базы данных регистрации выдачи архивных справок, копий, выписок из документов — 5 лет.
    • п. 230. Журналы учета машинных носителей информации, программно-технических средств защиты информации от несанкционированных действий, накопителей на жестких дисках, предназначенных для работы с конфиденциальной информацией — 5 лет.
    • п. 260. Книги, журналы учета электронных носителей — 5 лет.

    Учитывая это можно сказать, что упомянутые: «Журнал обращений субъектов ПДн», «Журнал регистрации о выдаче копий документов» и «Журнал регистрации электронных носителей» должны хранится не менее 5 лет.

    Ведение же «Журнала передачи ПДн третьей стороне» руководящими документами, определяющими порядок обработки персональных данных, не предусматривается. Согласно части 3 ст. 6 Федерального закона № 152-ФЗ «О персональных данных», при передаче персональных данных субъекта для обработки другому лицу, требуется согласие субъекта.

    Правильно ли я понимаю, что алгоритмы Электронной подписи (ЭП) с открытыми ключами всегда работают через Удостоверяющие центры (УЦ)?
    Нет, это не так. Средства формирования ЭП стоят на Вашем компьютере и все операции по подписанию документа проводятся именно у Вас на компьютере. Получив подписанное Вами сообщение Ваш визави либо с использованием автоматических средств, которые обращаются по указанному в сертификате адресу сервера УЦ и сверяют: действует ли ваша подпись, и потом на Вашем компьютере проводят необходимые преобразования для проверки подлинности подписи (так, к примеру действует браузер Explorer), либо может обратиться в УЦ и там ему проверят подлинность. Главная роль УЦ в этой процедуре – обеспечить открытый доступ каждому к серверу, где хранятся действующие открытые ключи и сведения об отозванных сертификатах (как правило, это делается через Интернет). Так что бояться нечего: вся переписка через УЦ не идет и мощностей хватит.
    Как определяется необходимость получения лицензий ФСБ на разные виды деятельности, в том числе на использование ПО криптографической защиты передаваемых данных?

    Действующая нормативные правовые акты в области обеспечения безопасности персональных данных не обязывают оператора получать какие-либо лицензии ФСБ России.

    Вместе с тем для обеспечения безопасности персональных данных оператором могут использоваться криптографические средства защиты информации (в основном в случае необходимости передачи персональных данных по открытым (незащищённым) каналам связи).

    В этом случае порядок применения криптографических средств защиты персональных данных устанавливается следующими нормативными документами ФСБ России:

    • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. № 149/6/6-622, 2008 г.
    • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. № 149/54-144, 2008 г.

    В случае необходимости применения криптографических средств защиты персональных данных оператор имеет право воспользоваться услугами специализированных организаций, имеющих лицензии ФСБ России на соответствующие виды деятельности (на право предоставления услуг в области шифрования информации и деятельности по техническому обслуживанию шифровальных (криптографических) средств).

    Вместе с тем по желанию оператора он имеет право получить лицензии ФСБ России на следующие виды деятельности, связанные с шифровальными (криптографическими) средствами:

    • предоставление услуг в области шифрования информации;
    • деятельность по техническому обслуживанию шифровальных (криптографических) средств;
    • деятельность по распространению шифровальных (криптографических) средств;
    • деятельность по разработке, производству шифровальных (криптографических) средств, защищенных использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.

    Порядок лицензирования по этим видам деятельности устанавливается Федеральным законом «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. № 128-ФЗ и Постановлениями Правительство Российской Федерации от 26 января 2006 г. № 45 «Об организации лицензирования отдельных видов деятельности» и от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».

    Необходимо ли наличие лицензии, если оператор персональных данных самостоятельно проводит работы по установке СКЗИ?

    Вопросы лицензирования деятельности, связанной с шифровальными (криптографическими) средствами (за исключением шифровальных (криптографических) средств, предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну) регулируются Постановлением Правительства Российской Федерации от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами». В соответствии с этим постановлением лицензированию подлежат следующие виды деятельности:

    • деятельность по распространению шифровальных (криптографических) средств;
    • деятельность по техническому обслуживанию шифровальных (криптографических) средств;
    • предоставление услуг в области шифрования информации;
    • разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.

    Согласно положениям этого документа:

    1. Если оператор персональных данных приобретает СКЗИ для собственных нужд и самостоятельно проводит работы по его установке, то ему нет необходимости получать лицензию на деятельность по техническому обслуживанию шифровальных (криптографических) средств. Вместе с тем, если в технической документации СКЗИ содержится требование по его установке (встраиванию) только организацией, имеющей лицензию ФСБ России, то оператор принимает решение или о получении самому лицензии на этот вид деятельности, или о привлечении для проведения этих работ сторонней организации, имеющей соответствующую лицензию ФСБ России.
    2. Если приобретаемое СКЗИ используется только в интересах организации и она (организация) не предоставляет услуг в области шифрования, то получение лицензии на этот вид деятельности также не требуется.

    Что это за лицензия по персональным данным, которую выдает Россвязьнадзор и когда её надо получать?

    Получение каких бы то ни было лицензий на право обработки персональных данных ФЗ «О персональных данных» не предусматривает.

    Что будет если класс выбран неверно и проверка надзорных органов это выявит? Есть ли отличие последствий для К1, К2, К3 классов?

    1. В соответствии с п. 19 «Порядка проведения классификации информационных систем персональных данных» (совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20) класс информационной системы может быть пересмотрен по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе. Правом проведения контроля в этом случае обладают ФСТЭК России и ФСБ России. Если в ходе проверки будет установлено, что класс ИСПДн занижен, то скорее всего надзорный орган потребует приведения его в соответствие с реальным состоянием ИСПДн. Порядок проведения государственного контроля и надзора будет установлен специальным документом - «Порядком осуществления контроля и надзора за соблюдением требований законодательства РФ в области защиты персональных данных», который будет утверждаться совместным приказом Минкомсвязи, ФСБ России и ФСТЭК России. Ориентировочный срок принятия этого документа – 3-4 квартал 2009 г.
    2. Никакой разницы для ИСПДн классов К1, К2, К3 нет.

    В соответствии со статьей 22 пункт 2 оператор персональных данных не обязан уведомлять надзорные органы, следовательно он не подлежит проверкам?

    Абсолютно неверное трактование этого положения. Согласно ст.23 ФЗ «О персональных данных» надзорный орган (Роскомнадзор) на основании жалоб и обращений граждан или юридических лиц имеет право проверять любого оператора персональных данных независимо от того, уведомил ли он этот орган о своём намерении осуществлять обработку ПДн или нет.