Отчет о результатах проведения внутреннего контроля обеспечения защиты персональных данных в информационных системах персональных данных

Содержание

Администрация муниципального образования Айгурский сельсовет | Об утверждении инструкции осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации муниципального образования Айгурского сельсовета Апанасенковского района Ставропольского края

Отчет о результатах проведения внутреннего контроля обеспечения защиты персональных данных в информационных системах персональных данных

Закрыть

Глава 2. Классификация информационной продукции

Статья 6. Осуществление классификации информационной продукции

Информация об изменениях:

Федеральным законом от 28 июля 2012 г. N 139-ФЗ в часть 1 статьи 6 настоящего Федерального закона внесены изменения

См. текст части в предыдущей редакции

1. Классификация информационной продукции осуществляется ее производителями и (или) распространителями самостоятельно (в том числе с участием эксперта, экспертов и (или) экспертных организаций, отвечающих требованиям статьи 17 настоящего Федерального закона) до начала ее оборота на территории Российской Федерации.

2. При проведении исследований в целях классификации информационной продукции оценке подлежат:

1) ее тематика, жанр, содержание и художественное оформление;

2) особенности восприятия содержащейся в ней информации детьми определенной возрастной категории;

3) вероятность причинения содержащейся в ней информацией вреда здоровью и (или) развитию детей.

ГАРАНТ:

Об определениии возрастного ценза основной телевизионной передачи с учетом содержания сообщений “бегущей строки” см.информацию Роскомнадзора от 22 января 2013 г.

Акт проверки (обследования) обеспечения защиты ПДн

Отчет о результатах проведения внутреннего контроля обеспечения защиты персональных данных в информационных системах персональных данных

(Полное наименование оператора)
“УТВЕРЖДЕНО”
(должность)(личная подпись)(расшифровка подписи)
№  

о результатах проведения проверки обеспечения защиты персональных данных

Внутренняя проверка (далее – Проверка) произведена на основании Приказа № . Проверка проводилась  на территории предприятия  по адресу .

Проверка проводилась в соответствии с принципами и положениями Концепции информационной безопасности и Политики информационной безопасности.

В ходе проверки была выявлена ИСПДн:  

В ходе проверки для ИСПДн определялось:

1) Состав и структура объектов защиты.

2) Конфигурация и структура ИСПДн.

3) Режим обработки ПДн.

4) Перечень лиц, участвующих в обработке ПДн.

5) Права доступа лиц, допущенных к обработке ПДн.

6) Угрозы безопасности персональных данных. Оценивалась вероятность их реализации, реализуемость, опасность и актуальность.

7) Существующие меры защиты ПДн.

8) Список необходимых мер защиты ПДн.

Данные Проверки служат информационной основой для других нормативно-организационных документов.

Данные о составе и структуре объектов защиты отражаются в Перечне персональных данных, подлежащих защите.

Данные о составе и структуре обрабатываемых персональных данных, конфигурации ИСПДн и режиме обработке являются основой для составления Акта классификации информационной системы персональных данных.

Данные о лицах, допущенных к обработке ПДн, и уровне их доступа отражаются в Положении о разграничении прав доступа к обрабатываемым персональным данным.

Данные об угрозах безопасности ПДн служат основной для составления Модели угроз безопасности персональных данных.

Данные о существующих и необходимых мерах защиты ПДн служат основной для составления Плана мероприятий по обеспечению защиты ПДн.

Данные о технических средствах защиты отражаются в Перечне по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним.

Структура информационной системы:  

Наличие подключений к сетям связи общего пользования и (или) сетям международного информационного обмена:  

Местонахождение технических средств информационных систем персональных данных:

2.

 Состав и структура персональных данных.

2.1.

 Обрабатываемые персональные данные:

Иные персональные данные: .

2.2.

 Состав и структура персональных данных сотрудников:

Исходя из состава обрабатываемых персональных данных, можно сделать вывод, что ИСПДн  является информационной системой, обрабатывающей  .

Объем обрабатываемых персональных данных    записей о субъектах персональных данных.

3.1.

 Технологическая информация.

Технологическая информация, подлежащая защите, включает:

– управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.) :

 – информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

 – информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

3.2.

 Программно-технические средства обработки.

Программно-технические средства включают в себя:

 – резервные копии общесистемного программного обеспечения;

 – инструментальные средства и утилиты систем управления ресурсами ИСПДн;

3.3.

 Каналы информационного обмена и телекоммуникации.

Каналы информационного обмена и телекоммуникации являются объектами защиты, так как по ним передаются обрабатываемая и технологическая информация.

3.4.

 Объекты и помещения, в которых размещены компоненты ИСПДн.

Объекты и помещения являются объектами защиты, так как в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.

4.1.

 Конфигурация элементов ИСПДн.

4.2.

 Территориальное расположение ИСПДн относительно контролируемой зоны.

5.

 Структура обработки персональных данных.

В ИСПДн   обработка персональных данных происходит по следующим этапам:

Этап обработки данных в ИСПДн

6.

 Режим обработки персональных данных.

Режим обработки персональных данных в информационной системе:  .

ФИО пользователяДолжность пользователяУровень доступа

8.

 Угрозы безопасности ПДн.

При обработке персональных данных в ИСПДн можно выделить следующие угрозы:

Наименование угрозыОписание угрозы

9.

 Существующие меры защиты ИСПДн.

9.1. Технические меры защиты ИСПДн. 

Элемент ИСПДнПрограммное средство обработки ПДнУстановленные средства защиты

9.2. Организационные меры защиты ИСПДн.

Наименование организационной меры защиты ИСПДн

10.

 Необходимые меры защиты.

На основании анализа актуальности выявленных угроз безопасности, для достижения требуемого уровня защиты рекомендуется осуществить следующие мероприятия:

Наименование мероприятия по обеспечению сохранности ПДн

Источник: https://www.freshdoc.ru/zashita_personalnyh_dannyh/docs/akts/akt_proverka_zashity_personalnyh_dannyh/

Создание системы защиты персональных данных

Отчет о результатах проведения внутреннего контроля обеспечения защиты персональных данных в информационных системах персональных данных

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

  1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
  2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
  4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
  5. Разработка технического задания на создание системы защиты персональных данных.
  6. Приобретение средств защиты информации.
  7. Внедрение системы защиты персональных данных.
  8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Узнать больше

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал,  «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Модель угроз безопасности ПДн: пример

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

  • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
  • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Определение уровня защищенности ПДн

В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Построение системы защиты персональных данных

В соответствии с Приказом ФСТЭК России от 18.02.

2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации.

Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Выводы

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

Источник: https://kontur.ru/articles/1723

Защита персональных данных: результаты контроля

Отчет о результатах проведения внутреннего контроля обеспечения защиты персональных данных в информационных системах персональных данных

Напомним, что федеральными органами, регулирующими деятельность в сфере обработки персональных данных, являются:

  • Роскомнадзор – осуществляет контроль и надзор за соответствием обработки ПДн требованиям законодательства;
  • ФСТЭК России – осуществляет контроль и надзор за методами и способами защиты информации в информационных системах с использованием технических средств;
  • ФСБ России – осуществляет контроль за методами и способами защиты информации в информационных системах с использованием криптографических средств защиты информации.

Результаты проведенного государственного контроля (надзора) за соблюдением обязательных требований законодательства Российской Федерации в области персональных данных приводятся в ежегодном отчете Уполномоченного органа по защите прав субъектов персональных данных.

Подготовка такого отчета предусмотрена частью 7 статьи 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон). На сайте Роскомнадзора (http://www.rsoc.ru/plan-and-reports/reports/) размещены отчеты за 4 года существования Уполномоченного органа: с 2008 по 2011 год.

Следует отметить, что впервые в ежегодном отчете отражены результаты деятельности ФСБ России и ФСТЭК России в пределах их компетенции. В частности, ФСБ России проведено 270 проверок, в том числе 265 проверок касались государственных информационных систем персональных данных.

ФСТЭК России и его территориальными органами было проведено 83 проверки, в том числе 76 в органах исполнителей власти и 6 в организациях жилищно-коммунального хозяйства (ЖКХ).

За то же время Роскомнадзором проведено 2 250 проверок. В связи с чем, наиболее пристальное внимание предлагаем уделить результатам осуществления государственного контроля Роскомнадзором за 4 года его существования.

Отчеты Роскомнадзора по проверкам: делаем выводы

В своих ежегодных отчетах Роскомнадзор отмечает этапы становления и развития системы контроля за деятельностью операторов по защите персональных данных (далее – ПДн).

Так, 2009 год является периодом создания государственной системы контроля и надзора за соответствием обработки персональных данных требованиям законодательства, а в 2010 году отмечается повышение качественной составляющей деятельности по защите прав субъектов ПДн.

В 2011 году акцент сделан на разработку отраслевых стандартов. В отчете отмечено, что при проведении проверок особое внимание уделяется инициативам операторов по выработке предложений, направленных на унификацию отраслевых подходов в деятельности по обработке ПДн.

При этом специалисты Роскомнадзора обращают внимание, что «разработка отраслевых стандартов не только позволяет обеспечить реализацию требований закона с учетом особенностей соответствующей профессиональной деятельности, но и существенно снижает общий объем нарушений, допускаемых определенными категориями операторов».

В качестве примера в отчете за 2011 год приведены результаты проверок кредитных организаций, в которых уровень выявленных нарушений снизился в сравнении с 2010 годом с 61 % до 48 %.

С точки зрения операторов ПДн наибольший интерес представляет деятельность Роскомнадзора по следующим направлениям:

  • осуществление контроля (надзора) за соответствием обработки ПДн требованиям законодательства РФ в области ПДн;
  • рассмотрение обращений граждан и юридических лиц;
  • ведение реестра операторов, осуществляющих обработку ПДн.

Результаты контрольной деятельности

Сводные статистические данные, наглядно отражающие результаты контрольной деятельности Роскомнадзора и его территориальных органов, приведены в следующей таблице:

 

2011

2010

2009

2008

Государственный контроль за соблюдением требований законодательства РФ в части обработки персональных данных

Проведено проверок

2197

1253

432

76

В т. ч. внеплановых (в % от общего числа проведенных проверок)

791 (36%)

449 (36%)

148 (34%)

40 (53%)

Выдано предписаний об устранении выявленных нарушений

2250

1908

557

19

Составлено протоколов об административных правонарушениях

4901

2996

54

11

Направлены материалы проверок в органы прокуратуры

900

506

86

24

Общая сумма штрафов, наложенных на операторов ПДн (руб.)

7 900 000

4 480 000

75 000

5 500

Деятельность по рассмотрению обращений граждан и юридических лиц в сфере персональных данных

Получено обращений или заявлений на действия (бездействие) операторов ПДн

3920

1829

465

146

В т. ч. жалобы на неправомерные действия операторов

3214

1433

40 

31

Как видно из приведенных в таблице данных, с каждым годом возрастает количество проводимых поверок и сумма штрафов, наложенных на операторов персональных данных, а также количество обращений граждан и юридических лиц, в том числе на неправомерные действия операторов.

Типичные нарушения

В отчете отмечено, что наиболее типичными нарушениями требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» являются следующие:

  • статья 7 Закона – нарушение требований конфиденциальности при обработке информации (например, доставка платежных документов в незаконвертированном виде);
  • часть 3 статьи 18 Закона – неуведомление гражданина о начале обработки его персональных данных;
  • пункт 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 № 687 в части касающейся несоблюдения оператором условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ (например, отсутствие утвержденных перечня мер в части обеспечения требований по защите персональных данных и перечня лиц, имеющих право доступа к персональным данным);
  • часть 1 статьи 6 Закона – обработка персональных данных без согласия субъектов ПДн;
  • часть 4 статьи 9 Закона – несоответствие содержания письменного согласия субъекта на обработку его ПДн требованиям действующего законодательства.

Следует отметить, что 2011 году наиболее пристальное внимание специалистов Роскомнадзора было обращено на организацию работы с персональными данными в кадровых и коллекторских агентствах, кредитных организациях и компаниях, осуществляющих пассажирские авиаперевозки. Существенное количество нарушений выявлено в организациях ЖКХ.

Помимо данных категорий операторов ПДн в плане проверок на 2012 год предусмотрено проведение проверок образовательных и медицинских учреждений, страховых организаций и т. п. Ознакомиться с планом проверок Роскомнадзора на 2012 год можно на сайте ведомства http://www.rsoc.ru/docs/plan_proverok_2012.doc

Размер штрафа

Как показывает практика, средний размер штрафа составляет порядка 3 000-5 000 руб., в связи с чем «операторам ПДн выгоднее оплатить такой штраф, чем реализовывать предусмотренные законодательством адекватные меры защиты персональных данных»*.

Учитывая изложенное, Роскомнадзором предпринимаются меры по внесению изменений в действующее законодательство в части усиления ответственности операторов ПДн. В частности, предлагается существенно увеличить размеры штрафов за нарушения порядка обработки ПДн (на юридических лиц – до 500 тыс. руб.

, а при совершении повторного правонарушения до – 1 млн руб.).

Примечание:
* Из пояснительной записки к проекту Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушения», размещено на сайте Минэкономразвития России http://www.economy.gov.ru.

Ведение реестра операторов

В отдельном разделе отчета отражены итоги работы Роскомнадзора по ведению реестра операторов, осуществляющих обработку ПДн. За 2011 год в реестр операторов было включено около 60 тыс. операторов ПДн. Всего в реестре зарегистрировано более 240 тыс. операторов.

В отчете содержатся данные о прогнозной численности операторов ПДн и проведен анализ об исполнении требования законодательства в части регистрации в реестре операторов ПДн.

В частности отмечено, что уведомления поданы практически половиной государственных и муниципальных органов, в то время как в отношении юридических лиц только 10 % от прогнозной численности исполнили свою обязанность.

Планы на 2012 год

С учетом достигнутых результатов деятельности за 2011 год Роскомнадзором определены приоритетные направления и задачи на 2012 год, среди которых можно выделить следующие:

  • осуществление на постоянной основе мониторинга деятельности операторов, направленного на предупреждение, выявление и пресечение нарушений в области персональных данных;
  • совершенствование форм методов контрольно-надзорной деятельности, направленной на качественное повышение уровня защиты прав субъектов персональных данных;
  • разработка требований и методов обезличивания ПДн, обрабатываемых в информационных системах.

Источник: https://buh.ru/articles/documents/14955/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.