Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

Защита персональных данных — теперь это закон!

Защита персональных данных — теперь это закон!

1 июля 2011 года миновало — а ведь именно до этой даты всем компаниям, обрабатывающим персональные данные физических лиц (неважно, сотрудники это вашей компании или клиенты) необходимо было отправить заявки на получение статуса оператора персональных данных в Роскомнадзор. Не успели? Не страшно, согласно ФЗ-152, он же федеральный закон “О персональных данных”, вся полнота ответственности за нарушения положений данного закона лежит на руководителе предприятия. Но начальник, конечно, узнав об этом, переложил всю ответственность за реализацию требований данного закона на вас. С чего начать?

Первым делом в компании издаётся приказ о назначении ответственного (или комиссии) по приведению информационной системы персональных данных (ПДн) к требованиям федерального закона. Второй необходимый документ — это Положение о защите персональных данных в вашей компании, в котором указываются состав обрабатываемых вами Пдн, обязанности ответственного по защите ПДн, организационные мероприятия по защите ПДн, обязанности компании в области защиты Пдн, права субъектов ПДн и прочие тонкости, согласно которых вы будете осуществлять свою работу в области защиты персональных данных.

Теперь вы готовы направить “Уведомление об обработке персональных данных” (образец есть на сайте Роскомнадзора ) в территориальный орган Роскомнадзора по месту юридической регистрации вашей компании. Это уведомление нужно отправлять и в электронном и в бумажном виде. Какие могут возникнуть вопросы на этапе заполнения уведомления?

Один из самых неоднозначных моментов — это пункт “класс информационной системы”. Всего существует четыре класса от К1 (наивысший) до К4 (Совместный приказ ФСТЭК, ФСБ И Минсвязи):

класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Принадлежность данных к определённому классу определяется соотношением категории обрабатываемых персональных данных (Хпд) к количеству субъектов (Хнпд). Категорий всего четыре:

категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;

категория 4 — обезличенные и (или) общедоступные персональные данные.

По количеству субъектов система подразделяется на три подкатегории:

1 — в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;

2 — в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных.данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;

3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

Таким образом, мы можем определить класс информационной системы по таблице:

Хорошая новость — класс информационной системы ПДн определяется самой компанией, однако следует помнить, что при проверке вашей деятельности органами-регуляторами, вам придётся доказать, что заявленный класс выбран вами правильно и обоснованно. Впрочем, при грамотном подходе к организации обработки данных, класс почти всегда можно снизить, манипулируя либо категорией персональных данных, либо количеством субъектов (разбив их, например, на подгруппы по различным признакам), тем самым снизив и требования к защите информации.

На этой оптимистичной ноте позвольте закончить первую вводную часть в наш небольшой ликбез по организации защиты персональных данных.

Дополнительные материалы

Комментарии (5)

  • Аватар

    Рубинштейн Кирилл [krubinshteyn], 07 июля 2011, 17:26

    0
    Самая подстава в том, что интерпритировать категорию данных можно как угодно.
    Вот e-mail и ФИО -- это какая категория?
  • Аватар

    Солодовников Кирилл [KS], 08 июля 2011, 09:25

    0
    Интерпретировать можно по разному, но класс определяется еще и от объёма данных, например у вас есть база данных в которой указаны только ФИО человека и идентификатор БД (PrimaryKey) при этом в БД хранятся данные о физических лицах по всей стране, в итоге имеем ИСПДн класса К4, так как в БД может быть несколько Ивановых Иван Ивановичей, вместе с тем есть вторая БД, которая содержит все остальные сведения о клиенте, в итоге имеем две системы класса К4. В случае же обработки ПДн на рабочем месте сотрудника, данные можно одновременно не отображать. Кроме того, в статье потерян пункт приказа о специальных ИСПДн, к которым относятся по факту все ИСПДн, так как (цитата):

    "Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий)."

    а также:

    "16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"3."

    А значит определить класс можно исходя из угроз и требований бизнеса и данные мероприятия будут выполнены  в рамках закона.

Также рекомендуем