Инструкция по охране персональных данных


Автор: Алексей Залецкий

Зачем нужно защищать персональные данные

В 2022 году исполняется 16 лет с момента принятия закона «О персональных данных» и 13 лет со вступления его в силу. Казалось бы, за это время персональные данные должны были защитить все, кто обязан это сделать по закону. Но реальность такова, что до сих пор существует большой процент предприятий и организаций, которые либо не выполнили требования, либо выполнили только частично. Об этом свидетельствует нахождение множества нарушений во время проверок регуляторами.

Кому нужно защищать персональные данные

Любое предприятие или организация для своей работы взаимодействует как минимум с бухгалтерией и кадрами, а также поддерживает клиентскую базу, поэтому практически все юридические лица и индивидуальные предприниматели по закону должны обязательно защищать ПДн.

Защищать персональные данные нужно как минимум, чтобы обеспечить выполнение требований регуляторов, чтобы в результате проверок не понести наказание за отклонения от требований. Но кроме этого мотива нужно помнить, что количество киберугроз и выявленных инцидентов растёт год от года, и это при том, что почти все компании и организации переводят в формат онлайн многие бизнес-процессы. Защита персональных данных – отличный повод создать эффективную систему защиты своего бизнеса от кибератак.

Основные этапы защиты ПДн

Мы разделили процесс на 9 этапов, о которых ниже расскажем более подробно:

  1. обследование;

  2. моделирование угроз;

  3. разработка технического задания;

  4. проектирование системы защиты;

  5. реализация технической части системы защиты;

  6. реализация организационных мер;

  7. оценка эффективности принятых мер;

  8. аттестация;

  9. поддержание необходимого уровня защиты в процессе эксплуатации.

Нулевым этапом назовём осознание необходимости защиты персональных данных. Определите, в каких системах ПДн обрабатываются в вашей организации. 

Принимая решение о старте активности по защите персональных данных, ориентируйтесь на информацию от Роскомнадзора о результатах проверок.  Максимально возможный штраф в случае нарушений может составлять 8 млн. рублей, также возможна  приостановка деятельности юридического лица до устранения несоответствий.

Защита персональных данных: пошаговый план

Этап 1. Детальное обследование бизнес-процессов компании для определения, в каких из них и каким образом обрабатываются персональные данные. Нужно выявить все информационные системы персональных данных: от стандартных бухгалтерии и кадров до заказа визиток и корпоративной оплаты спортзала. Результатом  этого этапа должен стать аналитический отчёт с указанием несоответствий закону. 

Этап 2. Моделирование угроз. Модель угроз – это основа для построения системы защиты персональных данных. Чтобы защищать свои информационные системы от угроз, нужно понимать, какие из них актуальны. Для этого существует методика определения актуальности угроз. Вместе с моделированием угроз обычно производят оценку уровня защищённости персональных данных, более подробно об этом можно прочитать в нашей  статье «Модель угроз». Про моделирование угроз вскоре выйдет отдельная статья, в которой мы рассмотрим обновления законодательства и требований к предприятиям в 2022 году.

Этап 3. Разработка технического задания. Источником требований к системе защиты персональных данных являются модель угроз (МУ) и уровень защищённости информационной системы персональных данных (УЗ). Система призвана нейтрализовать те угрозы, которые будут описаны в вашей МУ, а базовый набор мер защиты определяется 21 Приказом ФСТЭК и зависит от УЗ.

Разработать Модель угроз для вашей ИСПДн.

Этап 4. Проектирование системы защиты персональных данных. В соответствии с техническим заданием разрабатывается технический проект на создание СЗПДн (системы защиты персональных данных). В техническом проекте должны быть определены программные и программно-аппаратные средства защиты информации, к которым могут относиться:

  • средства защиты от несанкционированного доступа, включая средства доверенной загрузки;

  • средства антивирусной защиты;

  • средства анализа защищённости;

  • система обнаружения вторжений;

  • межсетевой экран;

  • ряд других СЗИ.

Этап 5. Внедрение или развёртывание системы защиты персональных данных. Технический проект содержит спецификацию средств защиты информации, которые необходимо закупить либо получить в виде услуги. 

Этап 6. Реализация организационных мер. Разрабатываются организационно-распорядительные документы, проводится обучение сотрудников и т.д. На этом этапе будет готова вся необходимая информация для уведомления в Роскомнадзор, его необходимо заполнить и отправить в РКН.

Этап 7. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится после создания системы защиты ПДн и до её ввода в эксплуатацию.  Выполняются испытания созданной системы на соответствие техническому заданию, для чего необходимо разработать программу и методики испытаний. Испытания состоят из 3 последовательных стадий: предварительных испытаний, опытной эксплуатации и приёмочных испытаний. По результатам каждого этапа оформляются протоколы и акты. Испытания могут быть проведены в формате услуги, точнее система безопасности как услуга будет предоставляться уже в виде испытанной системы.

Этап 8. Проведение аттестации. Форма аттестации обязательна для госорганов, коммерческие предприятия могут выполнять её по желанию.

Этап 9. Эксплуатация. Техническая поддержка СЗИ – важная часть работы, о которой не следует забывать.

После выполнения всех этапов требуется поддержание системы защиты персональных данных в актуальном состоянии. Для этого выполняются периодические проверки состояния защищённости информационных систем ПДн. Периодичность проверок определяется регламентом контроля за состоянием защищённости и задаётся каждым предприятием самостоятельно, но обычно составляет от раза в неделю до раза в месяц в зависимости от типа проверки. 

Например, на существующем сайте появилась форма обратной связи, предполагающая введение ПДн. Нужно проанализировать возможные угрозы, которые возникают в связи с этим и понять, достаточно ли будет простого электронного согласия на передачу персональных данных или нужно будет внедрить дополнительные средства защиты информации.

Итак, подытожим. Если в вашей компании есть хотя бы одна система типа бухгалтерии, кадров или CRM, то вы обязаны защищать персональные данные. Для выполнения требований законодательства необходимо разработать регламенты, политики, приказы, положения, журналы, инструкции и т.д., подписать их, внедрить средства защиты информации и проверить, что всё это эффективно работает. Альтернативным вариантом может быть передача всех этих вопросов на аутсорсинг. Проще всего это сделать, разместив систему в защищённом в облаке, воспользовавшись инфраструктурой, ПО и средствами защиты информации поставщика услуг. Можно также отдать на аутсорсинг и подготовку всех организационных мер. Но компания, которая предоставляет такие услуги, должна обладать лицензиями ФСТЭК и ФСБ и иметь именно те средства защиты информации, которые позволяют выполнить требования закона.

Хостинг ИСПДн с соблюдением требований законодательства.

Источник

С каждым годом все чаще появляются сообщения об утечке персональных данных. Только в начале 2022 года Роскомнадзор сообщил о 40 инцидентах. Как правило, нападкам злоумышленников подвергаются крупные компании, которые не оказали меры по достаточной защите своих баз данных.Такие кражи и кибератаки наносят владельцам бизнесов непоправимые потери и вредят репутации.

Рассказываем, как организовать защиту персональных данных в организации и соблюсти все требования 152-ФЗ, чтобы не получить штраф.

Какие данные сотрудника считаются персональными?

Персональными данными считается любая информация, которая прямо или косвенно относится к работнику и позволяет его идентифицировать. Информация об этом содержится в статье 3 Федерального закона «О персональных данных», от 27.07.2006 № 152-ФЗ.

Стоит отметить, что hr-специалист имеет дело с персональными данными не только сотрудников, но и кандидатов на вакансии. Например, уже на этапе просмотра резюме, оформлении у охраны пропуска на собеседование или заключении трудового договора.

Что может считаться персональными данными?

В список входят место и дата рождения, ФИО сотрудника, место проживания, фото или видео, номер телефона, e-mail, паспортные данные, СНИЛС, ИНН, сведения о родственниках и семейном положении, индивидуальные личные данные, биометрические данные. Однако следует учитывать некоторые нюансы. Так, определенные данные могут и не быть персональными без связки с другой информацией. Например, номер телефона без указания фамилии, имени и отчества. Однако, если компания укажет на сайте только ФИО сотрудника, не указав при этом должность или дату рождения, Роскомнадзор все равно посчитает это персданными.

Как организовать защиту персональных данных в организации?

Работодатель выступает оператором персональных данных: в его обязательства входят сохранность конфиденциальной информации.

Чтобы организовать защиту пнд, необходимо:

1)  Начать с приказа о назначения ответственного за организацию обработки персданных.

Для этого может быть создана новая должность или дополнительные функции для действующего сотрудника. Также ему необходимо предоставить должностную инструкцию.

2)  Издать внутренние документы, которые определят действия работодателя в отношении обработки пнд, и предоставить их сотрудникам. Собрать у работников согласия на обработку персональных данных.

Исходя из ст. 87 ТК РФ, каждый работодатель обязан утвердить порядок хранения и использования персданных в Положении о персональных данных. В данном документе прописывают: Общие положения, Основные понятия, Состав персональных данных, Обработка персональных данных, Передача персональных данных (внутри организации и третьим лицам), Доступ к персональным данным, Ответственность за нарушения и т.д.

Кроме того, у работодателя должна быть Политика обработки персональных данных согласно ч. 2 ст. 18.1 Закона № 152-ФЗ.

3)  Проконтролировать, соответствует ли обработка пнд законам и локальным актам организации. Ответственное лицо должно контролировать исполнение требований и соблюдение правил, отслеживать изменения действующего законодательства, оптимизировать способы и методы защиты и т.п.

4)  Оценить вред, который может быть причинен сотрудникам при нарушении защиты пнд. Законодательно подобная оценка не закреплена, поэтому работодатель может осуществлять ее по собственному усмотрению.

5)  Применять организационные и технические меры по защите персональных данных. Они должны защищать пнд от неправомерного доступа, блокирования, изменения, копирования и многого другого. Подробнее о них мы поговорим в следующем пункте.

Чтобы не пропустить новые материалы «MDS Media», подписывайтесь на наш Телеграм-канал.

Какие меры необходимо предпринять по защите персональных данных сотрудников?

При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.

Среди мер защиты выделяют:

  • ограниченное число работников, которые имеют доступ к персданным;

  • принятие нормативных документов;

  • утверждение перечня документов, которые содержат пнд;

  • внедрение программных для защиты информации на эл. носителях – например, антивирусную защиту;

  • проведение профилактических работ с сотрудниками – тесты на знание правил хранения пнд;

  • установление режима по пропускам;

Этот список можно продолжать до бесконечности, так как перечень защитных мер работодатели вправе определять самостоятельно.

Как соблюсти все требования Закона № 152-ФЗ и не получить штраф?

1.  Согласно новым правилам, с 1 сентября 2022 года работодатели обязаны сообщать Роскомнадзору об обработке персональных данных работников. Причем сделать это необходимо еще до получения первого резюме и приема сотрудников.

Таким образом, работодателя внесут в реестр как оператора персональных данных. Форму уведомление можно найти на сайте Роскомнадзора.

2.  Не забывать получать разрешение у сотрудников на сбор и обработку данных.

3.  Следует помнить о том, что собирать и хранить пнд можно только для достижения определенных целей и на определенный срок. После  достижения целей сбора или истечению срока по заявлению работников уничтожать.

4.  Вовремя отвечать на обращения субъектов и предоставлять им всю информацию.

 5.  Хранить и защищать персональные данные по закону и правовым актам. Кроме того, обеспечивать их сохранность, тайну и точность данных, не передавая третьим лицам. Если же передача необходима, то обязательно документальное подтверждение и только аттестованным.

Узнать подробнее, как защитить персональные данные, изучить особенности их сбора, хранения и обработки вы можете на онлайн курсе «Защита персональных данных». 

Источник

В России действует закон о защите персональных данных. Его обязаны соблюдать все, кто хранит любые персональные данные, то есть те, у кого есть сотрудники или база клиентов. Расскажем, как соответствовать 152-ФЗ и какими штрафами грозит несоблюдение закона.

Обеспечить защиту данных

Если вы храните персональные данные, то по статье 3 152-ФЗ являетесь оператором персональных данных и отвечаете за их защиту. Основные требования общие для всех:

  1. Обеспечить аутентификацию, чтобы к данным имели доступ только те, у кого есть на это право.
  2. Поставить серверы с данными в защищенном месте, чтобы посторонний не мог войти в помещение и подключиться к серверу напрямую.
  3. Установить антивирусные программы, межсетевые экраны и другое ПО, которое должно защитить от угроз.
  4. Использовать для защиты информации ПО, сертифицированное ФСТЭК — оно считается безопасным. Например, такой сертификат есть у антивируса от «Лаборатории Касперского». Если используете ПО собственной разработки,
    можно получить на него сертификат самостоятельно.

Если вы храните не просто ФИО, а важные данные, например фотографии, нужно обеспечить более серьезную защиту — к примеру, настроить систему обнаружения вторжений. Подробнее об этом можно почитать в нашей статье «Защита персональных данных в облаке: как сделать все по закону 152-ФЗ» — там мы рассказываем о типах угроз, уровнях защищенности и технических требованиях по безопасности.

Если вы храните данные в защищенном облаке от VK Cloud (бывш. MCS), часть требований выполняем мы. В публичном облаке VK можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

Что будет, если не защитить данные

Ответственность за нарушение закона о персональных данных зависит от вида нарушения. Если оператор не защитит данные и кто-то случайно или намеренно получит к ним доступ, его оштрафуют:

  • Физлицо — на 700–2000 рублей.
  • Должностное лицо — на 4 000–10 000 рублей.
  • ИП — на 10 000–20 000 рублей.
  • Юрлицо — на 25 000–50 000 рублей.

Может случиться, что из-за неправомерного доступа к персональным данным человек пострадает. Например, кто-то узнает его адрес и проникнет в квартиру. В таком случае компания, которая допустила утечку данных, должна будет компенсировать ущерб по закону о защите персональных данных.

Разработать документы, описывающие порядок работы с персональными данными

Публичные документы: их показываем тем, у кого берем персональные данные

Согласие на обработку персональных данных. Базовый документ — его нужно давать на подпись тем, чьи персональные данные вы собираете лично, а не через интернет. В документе нужно прописать, какие именно данные и с какими целями вы собираете.

Если собираете данные только через интернет, этот документ не нужен. Понадобится опубликованная на сайте политика конфиденциальности, а получать согласие можно будет через форму.

Положение об обработке и защите персональных данных. Этот документ нужно показывать тем, кто лично подписывает с вами согласие на обработку персональных данных. В положении о персональных данных прописывают цель и сроки обработки и хранения данных, порядок их уничтожения.

Политика конфиденциальности. Это документ для тех, кто собирает данные через интернет. Его нужно разместить на сайте, чтобы пользователи могли узнать, как и для чего вы собираете их персональные данные. Он похож на «Положение об обработке и защите персональных данных».

Ссылку на политику нужно добавить в пользовательское соглашение. А в формах, где пользователь оставляет свои данные, нужно добавить галочку с текстом: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности».

Политику можно подготовить по шаблону. Такие шаблоны часто есть у конструкторов сайтов, например у Tilda.

Внутренние документы компании: в них описываем корпоративный порядок работы с персональными данными

Модель угроз безопасности. Этот документ показывает, какие опасности угрожают вашей системе хранения и обработки персональных данных. Его нужно составлять обязательно — без него нельзя понять, как именно вы обязаны защитить свою систему. При составлении нужно ориентироваться на базовую модель от ФСТЭК.

Приказ о назначении ответственного за безопасность персональных данных. Если вы ИП, то сами отвечаете за безопасность, и приказ не нужен. Если у вас ООО, в нем должен быть ответственный — должностное лицо, которое следит за персональными данными. Его нужно назначить приказом.

Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которые имеют доступ к персональным данным. Важно, чтобы это было обосновано — нельзя вписать туда людей, которым по работе не нужны персональные данные, например, уборщицу или программиста.

Инструкция пользователя системы персональных данных. В этой инструкции нужно прописать, как правильно общаться с персональными данными. С ней должны ознакомиться все, кто имеет доступ к данным.

Практически все эти документы стандартные, так что можно взять шаблоны и доработать под нужды своей компании. Или заказать пакет у юристов, чтобы все формулировки точно были правильными.

Что будет, если не разработать документы

Можно получить сразу два штрафа:

  1. За обработку данных без модели угроз и прописанных целей: 1 000—3 000 для физлиц, 5 000–10 000 для должностных лиц, 30 000–50 000 для юрлиц.
  2. За отсутствие положения об обработке персональных данных или политики конфиденциальности: 700–1 000 для физлиц, 3 000—6 000 для должностных лиц, 5 000–10 000 для ИП, 15 000–30 000 для юрлиц.

Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение. Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.

Уведомить Роскомнадзор

Если вы собираете персональные данные сотрудников, уведомлять никого не нужно. А вот если работает с персональными данными клиентов, придется отправить уведомление в Роскомнадзор — зарегистрироваться как оператор персональных данных.

Отправить уведомление можно онлайн, на сайте Роскомнадзора.

Что будет, если не отправить уведомление

Вы совершите административное правонарушение — не уведомите контролирующий орган, хотя обязаны были это сделать. За это положен штраф:

  • 100–500 рублей для физлиц
  • 300–500 рублей для должностных лиц.
  • 3 000—5 000 рублей для юрлиц.

Получать согласие на хранение и обработку персональных данных

Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными. Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете. По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.

Получить согласие можно двумя способами:

  1. Подписать письменное соглашение. Так обычно делают, если собирают данные в письменном виде — например, при приеме человека на работу или поступлении в ВУЗ.
  2. Получить согласие через интернет. Для этого можно снабдить форму сбора данных галочкой, поставив которую пользователь соглашается на обработку персональных данных. На сайте при этом должна быть размещена Политика конфиденциальности, чтобы человек мог с ней ознакомиться.

Что будет, если не спрашивать разрешения

За это нарушение положен большой штраф:

  • 3 000–5 000 рублей для физлиц.
  • 10 000–20 000 рублей для должностных лиц и ИП.
  • 15 000–75 000 рублей для юрлиц.

Краткая инструкция по выполнению федерального закона о персональных данных 152-ФЗ

  1. Обеспечить защиту данных: установить антивирус, предотвратить доступ к данным посторонних.
  2. Разработать пакет документов: соглашение об обработке, политику конфиденциальности, модель угроз.
  3. Назначить ответственного за обработку персональных данных и составить список тех, кто имеет доступ к данным.
  4. Уведомить Роскомнадзор о том, что вы обрабатываете персональные данные.
  5. Подготовить форму согласия на обработку персональных данных и получать согласие от каждого человека, чьи данные вы собираете.

Читать по теме:

  • Защита персональных данных в облаке: как сделать все по закону 152-ФЗ.
  • Соблюдение законов о персональных данных.
  • Westwing Russia: мы переехали из AWS в облако VK, чтобы предлагать российским клиентам все необходимое.
Источник

Это тоже интересно:

  • Инструкция по охране окружающей среды на предприятии образец
  • Инструкция по охране объекта для чоп
  • Инструкция по охране медсестры по массажу
  • Инструкция по охране жизни и здоровья обучающихся в школе
  • Инструкция по оформлению билета втт

    • Понравилась статья? Поделить с друзьями:
    0 0 голоса
    Рейтинг статьи
    Подписаться
    Уведомить о
    guest

    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии