Контакты Скачать
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии и сертификаты
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • ПО ElvisSIM.OS
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • Персональные данные

    Соотношение требований в области персональных данных, установленных Трудовым кодексом Российской Федерации (ТК РФ) и Законом о персональных данных?

    Если говорить кратко, то требования Закона и ТК РФ не противоречат друг другу. Закон выдвигает общие требования, направленные на обеспечение защиты прав и свобод человека и гражданина (Ст.2 Закона), а ТК РФ определяет некоторые особенности обработки персональных данных применительно к трудовым отношениям. В частности, он оперирует с понятием не просто «персональные данные», а именно «персональные данные работника» (ст. 85ТК РФ), конкретизирует обязанности работодателя при обработке и передаче таких данных, дает определенные гарантии работнику. В этом смысле требования главы 14 ТК РФ надо рассматривать, как дополнительные («отраслевые») требования по отношению к Закону. Надо так же отметить, что в ТК РФ есть отсыл к иным федеральным законам, устанавливающим требования по обработке персональных данных (например, ст.ст. 86, 87 ТК РФ).

    Нужен или нет для соблюдения требования ст. 88 ТК РФ о доступе к персональным данным работников только специально уполномоченных лиц утвержденный локальным нормативным актом список лиц, имеющих доступ к персональным данным работников?

    Скорее да, чем нет. Если в организации имеется специально уполномоченное лицо (например, работник отдела кадров, руководитель подразделения и пр.), то свою трудовую деятельность он осуществляет на основании приказа (локального нормативного акта) и утвержденной должностной инструкции. Если в инструкции прописаны обязанности по ознакомлению и работе с определенными персональными данными работника, а приказе оговорено, что это лицо имеет право допуска к определенной категории персональных данных работника, то требования ст. 88 ТК РФ формально выполнены. Однако, этого в этих приказах может и не быть. В этом случае потребуется специальный локальный нормативный акт (приказ) со списком и правами допуска сотрудников. Практика же показывает, что при проведении государственного контроля и надзора, регуляторы спрашивают список лиц, допущенных к работе с персональными данными (этого так же требует и новое Положение). Поэтому такой отдельный список целесообразно иметь.

    В нормативных документах РФ, имеющих отношение к обработке ПД, а также близких к ним документах всплывают термины: Информационная система, Подсистема, Автоматизированная система, Информационный ресурс. Причем в некоторых документах есть определения этих т

    1. Вообще-то в целом, все термины коррелируют. Действительно, некоторые термины могут иметь разный смысл. С этой целью каждый федеральный закон содержит статью «ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ», в которой и дается толкование того или иного термина применительно к положениям данного закона. В этом случае надо исходить из духа, а не буквы закона.

    2. Есть целый ряд стандартов работающих в этой предметной области, например, ГОСТ Р 50.1.053-2005 «Информационные технологии. Основные термины и определения в области технической защиты информации», ГОСТ Р 50922-96 «Защита информации. Термины и определения», ГОСТ Р 516240-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» и другие.

    3. Наконец, есть «Сборник терминов и определений. Информационная безопасность и защита информации»

    Дать конкретный ответ по этому вопросу невозможно. Провести детальный анализ всех представленных документов и имеющихся в них терминах потребует много времени. Надо говорить о конкретных терминах. Если будет список терминов, требующих разъяснения – можно сделать анализ отдельно. В принципе всегда действует правило: термин в старшем документе – более правильный. Таким образом за основу надо брать цепочку: Конституция – кодекс – федеральный закон – национальный стандарт – отраслевой стандарт, руководящий документ, ведомственный приказ – словарь – прочие источники.

    Распространяется ли закон №152-ФЗ на персональные данные иностранных граждан?

    Да, распространяется.

    Существуют ли какие-либо дополнительные аспекты в отношении персональных данных граждан иностранных государств, отличных от требований, предъявляемых в отношении российских граждан?

    Если они находятся на территории Российской федерации – нет не существуют. Они в силу ГК РФ пользуются равными правами с гражданами России.

    Как закон №152-ФЗ соотносится с Конвенцией о защите физических лиц при автоматизированной обработке персональных данных Евросоюза ETS N 108?

    Полностью соотносится. Более того, его принятие как раз и было вызвано тем, что Россия присоединилась к Конвенции и должна была привести свое внутреннее законодательство в соответствии с этой Конвенцией. Положения Закона коррелируют, а во многом повторяют положения Конвенции и Директивы Европарламента 95/46/ЕС.

    Урегулирование вопросов с обработкой персональных данных в правовой плоскости?

    Для внесения ясности в этом вопросе, в первую очередь, мы рекомендуем разработать Внутреннее положение об обработке персональных данных, отражающее, в частности:

    1. правовые вопросы обработки ПДн, цели и задачи такой обработки;
    2. категории и перечни обрабатываемых ПДн;
    3. категории субъектов ПДн;
    4. порядок обработки ПДн;
    5. порядок предоставления ПДн (кому, на каком основании и пр.);
    6. условия начала и прекращения обработки ПДн;
    7. основания и порядок уничтожения ПДн (в т.ч. разработка процедуры уничтожения, актов подтверждения уничтожения и пр.);
    8. форму согласия субъекта на обработку ПДн (при необходимости);
    9. обязанности персонала при обработке ПДн.

    Что такое модель угроз?

    Модель угроз — это документ, определяющий перечень и характеристики основных (актуальных) угроз безопасности персональных данных и уязвимостей при их обработке в ИСПДн, которые должны учитываться в процессе организации защиты информации, проектирования и разработки систем защиты информации, проведения проверок (контроля) защищенности ПДн.

    Цель разработки модели угроз — определение актуальных для конкретной ИСПДн угроз безопасности, источников угроз и уязвимостей. Результаты моделирования должны использоваться для классификации ИСПДн, а также в качестве исходных данных для построения (проектирования) обоснованной и эффективной системы защиты персональных данных.

    Как правильно передавать персональные данные 3-ей стороне из компании, какие документы должны регламентировать этот порядок?

    Согласно ч. 4 ст. 6 ФЗ «О персональных данных» оператор имеет право на основании договора передать персональные данные для обработки другому (третьему) лицу. В этом случае существенным условием договора должна являться обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

    В договоре должны быть определены цели обработки персональных данных третьим лицом, требование обеспечения им конфиденциальности и безопасности персональных данных при их обработке, а также ответственность третьего лица в случае нарушения им требований законодательства.

    Какие документы по защите персональных данных и каким надзорным органом согласуются, в каких случаях, порядок согласования (акт классификации, модель и т.д.)?

    Согласование никаких документов по обеспечению безопасности персональных данных никакими надзорными органами не предусматривается.