Организационно-правовая база защиты персональных данных

Введение

 

Защита персональных данных в информационных системах предприятий в настоящее время является актуальной задачей, как в среде государственных учреждений, так и в коммерческих организациях.

Задача по построению системы защиты персональных данных необходима не только для выполнения требований законодательства, но также для защиты ценных ресурсов каждой организации — информации о сотрудниках, клиентах, данных о состоянии здоровья граждан..

Государство в целях защиты прав и свобод гражданина, в том числе права на неприкосновенность частной жизни, личной и семейной тайны ввело в действие федеральный закон и ряд нормативных документов устанавливающие определенные требования по защите информационных систем в которых осуществляется обработка персональных данных граждан.

ФЗ-152 «О персональных данных», обязало все организации осуществляющие обработку ПДн (операторы персональных данных), провести комплекс мероприятий по защите своих информационных систем персональных данных (ИСПДн) в срок до 1 января 2011 г.

Требования законодательства касаются всех организаций. Ведь к информационным системам персональных данных могут быть отнесены, кроме кадровых и бухгалтерских, автоматизированные системы клиентов и автоматизированные системы бюро пропусков. формация о клиентах, контрагентах, партнерах, посетителях является крайне ценным ресурсом любого коммерческого предприятия. Каждая организация имеет собственные клиентские базы, которые являются важным фактором в коммерческом успехе компании, особенно в среде с жесткой конкуренцией. Хищение, потеря или несанкционированное изменение персональных данных приводит к финансовому, репутационному ущербу, а порой и к полной остановке деятельности компании. Поэтому персональные данные нуждаются в адекватной защите.

Ряд нормативных документов регламентирует работу Оператора ПДн. В соответствии с ними, обеспечение безопасности ПД является неотъемлемой частью работ по созданию и поддержке информационных систем. Закон обязывает Оператора ПД принимать организационные и технические меры для защиты персональных данных от несанкционированного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.

Организационные меры защиты персональных данных включают в себя комплекс мероприятий по разработке организационно-распорядительных документов, регламентирующих весь процесс получения, обработки, хранения, передачи и защиты персональных данных.

Отсутствие на предприятии организационных мер, направленных на защиту персональных данных работников, может способствовать образованию каналов утечки (утраты) персональной информации работников. К таким каналам относятся:

- утеря или неправильное уничтожение  документа, пакета с документами, личного дела, иных конфиденциальных  записей, содержащих персональные  данные;

- излишняя разговорчивость сотрудника  с коллегами по работе, родственниками, друзьями, с иными лицами, особенно  в общественных местах (важно  отметить, что переход информации  от сотрудника организации к  постороннему лицу - явление достаточно  распространенное, хотя и не всегда приемлемое);

- работа с документами ограниченного  доступа при посторонних лицах, а также несанкционированная  передача их другому сотруднику;

- использование сведений ограниченного  доступа в открытой документации, публикациях, интервью, личных записях, дневниках;

- наличие в повседневных документах  информации ограниченного доступа;

- самовольное копирование сотрудником  информации из кадровой документации  в личных целях [Маркевич А.С. Организационно-правовая защита персональных данных в служебных и трудовых отношениях / Дис. на соиск. уч. ст. канд. юр. наук. Воронеж, 2006., с. 12 - 127].

Объектом дипломной работы является общество с ограниченной ответственностью охранное предприятие  «Сириус».

Предметом исследования являются системы защиты персональных данных сотрудников и клиентов общества с ограниченной ответственностью охранное предприятие  «Сириус».

Цели и задачи дипломной работы:

Исследовать эффективность систем защиты персональных данных охранного предприятия и разработать комплекс организационных мероприятий защиты персональных данных сотрудников и клиентов при их обработке в информационных системах. Для выполнения поставленной цели, необходимо выполнение ряда задач :

1. Проанализировать нормативно-методическую документацию в области защиты персональных данных ;

2. Рассмотреть организационную  структуру общества с ограниченной ответственностью охранное предприятие  «Сириус»., в частности отдела кадров и бухгалтерии в обработке персональных данных сотрудников и клиентского отдела при работе с персональными данными клиентов ;

3. Рассмотреть все информационные потоки персональных данных охранного предприятия и их циркуляцию в информационной системе обработки персональных данных отдела кадров, бухгалтерии и клиентского отдела ;

4. Построить ИСПДн отдела кадров и бухгалтерии и ИСПДн клиентского отдела разработать организационные мероприятия по их защите;

5. Обосновать выбранные мероприятия  и проанализировать экономическую  эффективность.

 

 

 

1 ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ  ПОСТРОЕНИЯ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ОХРАННЫХ ПРЕДПРИЯТИЙ

 

 

1.1 Организационно-правовая база защиты персональных данных

 

Федеральный закон «О персональных данных» (Закон №152-ФЗ «О персональных данных») - нормативный правовой акт, являющийся основой нормативного регулирования обработки (использования) персональных данных. Закон был принят 27 июля 2006 года и вступил в законную силу 26 января 2007 года. Согласно изменениям, внесенным Законом №363-ФЗ от 27 декабря 2009 года, операторы персональных данных должны привести свои системы обработки персональных данных, запущенных до 1 января 2010 года, в соответствие с законом до 1 января 2011 года. Федеральным законом от 23 декабря 2010 г. N 359-ФЗ "О внесении изменения в статью 25 Федерального закона "О персональных данных" срок приведения информационных систем персональных данных, созданных до 1 января 2011 года, в соответствие с требованиями Закона №152-ФЗ – не позднее 1 июля 2011 года.

Целью закона является защита прав и свобод человека при обработке его персональных данных. В соответствии с законом №152-ФЗ «О персональных данных», в России существенно возрастают требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, которые хранят, собирают, передают или обрабатывают персональные данные (в т.ч. фамилия, имя, отчество). Такие компании, организации и физические лица относятся к операторам персональных данных.

Согласно закону, а также ряду подзаконных актов и руководящих документов регулирующих органов операторы ПД должны выполнить ряд требований по защите персональных данных физических лиц (своих сотрудников, клиентов и т. д.) обрабатываемых в информационных системах Компании, и предпринять ряд действий:

1. Направить  уведомление об обработке персональных  данных (Закон №152-ФЗ Ст. 22 п. 3)

2. Получать  письменное согласие субъекта  персональных данных на обработку  своих персональных данных (Закон  №152-ФЗ ст. 9 п. 4)

3. Уведомлять  субъекта персональных данных  о прекращении обработки и  об уничтожении персональных  данных (Закон №152-ФЗ ст. 21 п. 4)

В соответствии со статьей 9 Федерального закона Российской Федерации от 26.07.2006 г. № 152-ФЗ обработка персональных данных должна осуществляться с письменного согласия субъектов персональных данных или их законных представителей. Письменное согласие, заполняемое и подписываемое каждым гражданином (субъектом персональных данных) должно включать:

фамилию, имя, отчество, адрес субъекта персональных данных, номер документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

наименование и адрес оператора, получающего согласие субъекта персональных данных;

цель обработки персональных данных;

перечень персональных данных, на обработку которых дается согласие субъекта;

перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

срок, в течение которого действует согласие, а также порядок его отзыва по инициативе субъекта персональных данных.

 

1.2 Этапы построения системы защиты персональных данных

 

Организационные меры защиты персональных данных включают в себя комплекс мероприятий по разработке организационно-распорядительных документов, регламентирующих весь процесс получения, обработки, хранения, передачи и защиты персональных данных.

Шаг 1. Создать специальную комиссию по защите персональных данных или назначить ответственного за обеспечение информационной безопасности.

В зависимости от величины организации целесообразно назначить либо одного человека, ответственного за обеспечение информационной безопасности, либо создать специальную комиссию по защите персональных данных. В качестве председателя комиссии целесообразно назначить кого – либо из первых заместителей руководителя организации, начальника службы безопасности организации или руководителя кадровой службы организации. В состав комиссии рекомендуется включить главного бухгалтера, руководителей подразделений организации обрабатывающих персональные данные, так как они знают структуру обрабатываемых персональных данных, задачи проводимой обработки, а также сотрудников организации, ведущих обработку персональных данных. В качестве лиц, обладающих специальным образованием в области защиты информации и необходимыми познаниями, в состав комиссии следует включить сотрудников организации, имеющей лицензию на техническую защиту конфиденциальной информации, если таковые имеются в штате организации.

Шаг 2. Произвести инвентаризацию информационной системы, обрабатывающей персональные данные.

Часто проведение этого этапа предпроектного обследования считают неразумным или нерациональным, но для построения сбалансированной системы защиты информации он необходим. На этом этапе составляется перечень всех информационных и аппаратных ресурсов организации. Данный перечень будет использоваться в дальнейшем для проведения категорирования, переконфигурирования локальной сети, выработки рекомендаций по построению системы защиты.

Выявляется топология локальной сети, ее архитектура и технологические связи внутренней сети, а также основные информационные потоки.

Также на данном этапе осуществляется определение физической и логической структуры будущей системы защиты информационной системы персональных данных. Устанавливается наличие средств защиты и существующей системы разграничения доступа к информационным ресурсам. Также изучаются имеющиеся сертификаты на средства защиты информации и выясняется необходимость сертификации уже установленных программных и программно-аппаратных комплексов защиты информации.

По итогам данного этапа составляется акт инвентаризации информационных ресурсов.

Шаг 3. Пересмотреть договоры с субъектами и контрагентами

Пересмотреть договоры с работниками и клиентами. Необходимо выяснить, содержаться ли в них пункты, касающиеся обработки и защиты персональных данных. В случае отсутствия подготовить дополнительные соглашения, ознакомить сотрудников и контрагентов. Подписать их.

Шаг 4. Сформировать перечень персональных данных.

В первую очередь, необходимо установить перечень персональных данных физических лиц, которые обрабатываются в учреждении. Если кадровый учет и бухгалтерия есть в любом учреждении, то другие направления деятельности, где используются персональные данные, требуется установить: это могут быть данные  посетителей, партнеров, контрагентов и т.п.

Также нужно определить цели обработки персональных данных: трудовые отношения с работниками; договор оказания услуг и т.п.

Сроки обработки и хранения. Хранение ПДн должно быть не дольше, чем этого требуют цели их обработки, по достижению которых ПДн подлежат уничтожению. Установить перечень ПДн, по которым цели обработки достигнуты.

Шаг 5. Составить и направить в Управление Роскомнадзора "Уведомление об обработке персональных данных".

Начав деятельность, организация обязана подать уведомление о начале обработки персональных данных в Управление Роскомнадзора. На основании уведомления организация регистрируется в реестре операторов, осуществляющих обработку персональных данных.

Уведомление должно быть направлено в письменной форме и подписано руководителем или направлено в электронной форме и подписано электронной цифровой подписью.

Одной из самых распространенных ошибок операторов, не желающих выполнять требования Закона, является ссылка на начало п. 2 ст. 22 Закона:

Операторы ссылаются на оформление договорных отношений с субъектами и размышляют так: «Уведомление подавать не обязательно, значит, работы по созданию системы защиты персональных данных проводить излишне».