Отчет о результатах проведения внутреннего контроля обеспечения защиты персональных данных в информационных системах персональных данных
Администрация муниципального образования Айгурский сельсовет | Об утверждении инструкции осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации муниципального образования Айгурского сельсовета Апанасенковского района Ставропольского края
Закрыть
Глава 2. Классификация информационной продукции
Статья 6. Осуществление классификации информационной продукции
Информация об изменениях:
Федеральным законом от 28 июля 2012 г. N 139-ФЗ в часть 1 статьи 6 настоящего Федерального закона внесены изменения
См. текст части в предыдущей редакции
1. Классификация информационной продукции осуществляется ее производителями и (или) распространителями самостоятельно (в том числе с участием эксперта, экспертов и (или) экспертных организаций, отвечающих требованиям статьи 17 настоящего Федерального закона) до начала ее оборота на территории Российской Федерации.
2. При проведении исследований в целях классификации информационной продукции оценке подлежат:
1) ее тематика, жанр, содержание и художественное оформление;
2) особенности восприятия содержащейся в ней информации детьми определенной возрастной категории;3) вероятность причинения содержащейся в ней информацией вреда здоровью и (или) развитию детей.
ГАРАНТ:
Об определениии возрастного ценза основной телевизионной передачи с учетом содержания сообщений “бегущей строки” см.информацию Роскомнадзора от 22 января 2013 г.
Акт проверки (обследования) обеспечения защиты ПДн
| (Полное наименование оператора) |
| “УТВЕРЖДЕНО” | ||
| (должность) | (личная подпись) | (расшифровка подписи) |
| № |
о результатах проведения проверки обеспечения защиты персональных данных
Внутренняя проверка (далее – Проверка) произведена на основании Приказа № . Проверка проводилась на территории предприятия по адресу .
Проверка проводилась в соответствии с принципами и положениями Концепции информационной безопасности и Политики информационной безопасности.
В ходе проверки была выявлена ИСПДн:
В ходе проверки для ИСПДн определялось:
1) Состав и структура объектов защиты.
2) Конфигурация и структура ИСПДн.
3) Режим обработки ПДн.
4) Перечень лиц, участвующих в обработке ПДн.
5) Права доступа лиц, допущенных к обработке ПДн.
6) Угрозы безопасности персональных данных. Оценивалась вероятность их реализации, реализуемость, опасность и актуальность.
7) Существующие меры защиты ПДн.
8) Список необходимых мер защиты ПДн.
Данные Проверки служат информационной основой для других нормативно-организационных документов.
Данные о составе и структуре объектов защиты отражаются в Перечне персональных данных, подлежащих защите.
Данные о составе и структуре обрабатываемых персональных данных, конфигурации ИСПДн и режиме обработке являются основой для составления Акта классификации информационной системы персональных данных.
Данные о лицах, допущенных к обработке ПДн, и уровне их доступа отражаются в Положении о разграничении прав доступа к обрабатываемым персональным данным.
Данные об угрозах безопасности ПДн служат основной для составления Модели угроз безопасности персональных данных.Данные о существующих и необходимых мерах защиты ПДн служат основной для составления Плана мероприятий по обеспечению защиты ПДн.
Данные о технических средствах защиты отражаются в Перечне по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним.
Структура информационной системы:
Наличие подключений к сетям связи общего пользования и (или) сетям международного информационного обмена:
Местонахождение технических средств информационных систем персональных данных:
2.
Состав и структура персональных данных.
2.1.
Обрабатываемые персональные данные:
Иные персональные данные: .
2.2.
Состав и структура персональных данных сотрудников:
Исходя из состава обрабатываемых персональных данных, можно сделать вывод, что ИСПДн является информационной системой, обрабатывающей .
Объем обрабатываемых персональных данных записей о субъектах персональных данных.
3.1.
Технологическая информация.
Технологическая информация, подлежащая защите, включает:
– управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.) :
– информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;
– информационные ресурсы (базы данных, файлы и другие), содержащие информацию о информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;
3.2.
Программно-технические средства обработки.
Программно-технические средства включают в себя:
– резервные копии общесистемного программного обеспечения;
– инструментальные средства и утилиты систем управления ресурсами ИСПДн;
3.3.
Каналы информационного обмена и телекоммуникации.
Каналы информационного обмена и телекоммуникации являются объектами защиты, так как по ним передаются обрабатываемая и технологическая информация.
3.4.
Объекты и помещения, в которых размещены компоненты ИСПДн.
Объекты и помещения являются объектами защиты, так как в них происходит обработка обрабатываемой и технологической информации, установлены технические средства обработки и защиты.
4.1.
Конфигурация элементов ИСПДн.
4.2.
Территориальное расположение ИСПДн относительно контролируемой зоны.
5.
Структура обработки персональных данных.
В ИСПДн обработка персональных данных происходит по следующим этапам:
| № | Этап обработки данных в ИСПДн |
6.
Режим обработки персональных данных.
Режим обработки персональных данных в информационной системе: .
| ФИО пользователя | Должность пользователя | Уровень доступа |
8.
Угрозы безопасности ПДн.
При обработке персональных данных в ИСПДн можно выделить следующие угрозы:
| № | Наименование угрозы | Описание угрозы |
9.
Существующие меры защиты ИСПДн.
9.1. Технические меры защиты ИСПДн.
| Элемент ИСПДн | Программное средство обработки ПДн | Установленные средства защиты |
9.2. Организационные меры защиты ИСПДн.
| № | Наименование организационной меры защиты ИСПДн |
10.
Необходимые меры защиты.
На основании анализа актуальности выявленных угроз безопасности, для достижения требуемого уровня защиты рекомендуется осуществить следующие мероприятия:
| № | Наименование мероприятия по обеспечению сохранности ПДн |
Источник: https://www.freshdoc.ru/zashita_personalnyh_dannyh/docs/akts/akt_proverka_zashity_personalnyh_dannyh/
Создание системы защиты персональных данных
Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.
Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.
Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:
- Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
- Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
- Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
- Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
- Разработка технического задания на создание системы защиты персональных данных.
- Приобретение средств защиты информации.
- Внедрение системы защиты персональных данных.
- Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.
Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.
Обеспечьте защиту персональных данных в вашей компании
Узнать больше
Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.
Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.
В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).
В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.
Модель угроз безопасности ПДн: пример
Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:
* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.
Основными источниками угроз в данном случае будут выступать:
- внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
- внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.
Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.
Определение уровня защищенности ПДн
В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.
Построение системы защиты персональных данных
В соответствии с Приказом ФСТЭК России от 18.02.
2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.
Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:
Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации.
Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.
ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.
Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.
Выводы
Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.
Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности
Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.
Источник: https://kontur.ru/articles/1723
Защита персональных данных: результаты контроля
Напомним, что федеральными органами, регулирующими деятельность в сфере обработки персональных данных, являются:
- Роскомнадзор – осуществляет контроль и надзор за соответствием обработки ПДн требованиям законодательства;
- ФСТЭК России – осуществляет контроль и надзор за методами и способами защиты информации в информационных системах с использованием технических средств;
- ФСБ России – осуществляет контроль за методами и способами защиты информации в информационных системах с использованием криптографических средств защиты информации.
Результаты проведенного государственного контроля (надзора) за соблюдением обязательных требований законодательства Российской Федерации в области персональных данных приводятся в ежегодном отчете Уполномоченного органа по защите прав субъектов персональных данных.
Подготовка такого отчета предусмотрена частью 7 статьи 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон). На сайте Роскомнадзора (http://www.rsoc.ru/plan-and-reports/reports/) размещены отчеты за 4 года существования Уполномоченного органа: с 2008 по 2011 год.
Следует отметить, что впервые в ежегодном отчете отражены результаты деятельности ФСБ России и ФСТЭК России в пределах их компетенции. В частности, ФСБ России проведено 270 проверок, в том числе 265 проверок касались государственных информационных систем персональных данных.
ФСТЭК России и его территориальными органами было проведено 83 проверки, в том числе 76 в органах исполнителей власти и 6 в организациях жилищно-коммунального хозяйства (ЖКХ).
За то же время Роскомнадзором проведено 2 250 проверок. В связи с чем, наиболее пристальное внимание предлагаем уделить результатам осуществления государственного контроля Роскомнадзором за 4 года его существования.
Отчеты Роскомнадзора по проверкам: делаем выводы
В своих ежегодных отчетах Роскомнадзор отмечает этапы становления и развития системы контроля за деятельностью операторов по защите персональных данных (далее – ПДн).
Так, 2009 год является периодом создания государственной системы контроля и надзора за соответствием обработки персональных данных требованиям законодательства, а в 2010 году отмечается повышение качественной составляющей деятельности по защите прав субъектов ПДн.
В 2011 году акцент сделан на разработку отраслевых стандартов. В отчете отмечено, что при проведении проверок особое внимание уделяется инициативам операторов по выработке предложений, направленных на унификацию отраслевых подходов в деятельности по обработке ПДн.
При этом специалисты Роскомнадзора обращают внимание, что «разработка отраслевых стандартов не только позволяет обеспечить реализацию требований закона с учетом особенностей соответствующей профессиональной деятельности, но и существенно снижает общий объем нарушений, допускаемых определенными категориями операторов».В качестве примера в отчете за 2011 год приведены результаты проверок кредитных организаций, в которых уровень выявленных нарушений снизился в сравнении с 2010 годом с 61 % до 48 %.
С точки зрения операторов ПДн наибольший интерес представляет деятельность Роскомнадзора по следующим направлениям:
- осуществление контроля (надзора) за соответствием обработки ПДн требованиям законодательства РФ в области ПДн;
- рассмотрение обращений граждан и юридических лиц;
- ведение реестра операторов, осуществляющих обработку ПДн.
Результаты контрольной деятельности
Сводные статистические данные, наглядно отражающие результаты контрольной деятельности Роскомнадзора и его территориальных органов, приведены в следующей таблице:
2011 | 2010 | 2009 | 2008 | |
Государственный контроль за соблюдением требований законодательства РФ в части обработки персональных данных | ||||
Проведено проверок | 2197 | 1253 | 432 | 76 |
В т. ч. внеплановых (в % от общего числа проведенных проверок) | 791 (36%) | 449 (36%) | 148 (34%) | 40 (53%) |
Выдано предписаний об устранении выявленных нарушений | 2250 | 1908 | 557 | 19 |
Составлено протоколов об административных правонарушениях | 4901 | 2996 | 54 | 11 |
Направлены материалы проверок в органы прокуратуры | 900 | 506 | 86 | 24 |
Общая сумма штрафов, наложенных на операторов ПДн (руб.) | 7 900 000 | 4 480 000 | 75 000 | 5 500 |
Деятельность по рассмотрению обращений граждан и юридических лиц в сфере персональных данных | ||||
Получено обращений или заявлений на действия (бездействие) операторов ПДн | 3920 | 1829 | 465 | 146 |
В т. ч. жалобы на неправомерные действия операторов | 3214 | 1433 | 40 | 31 |
Как видно из приведенных в таблице данных, с каждым годом возрастает количество проводимых поверок и сумма штрафов, наложенных на операторов персональных данных, а также количество обращений граждан и юридических лиц, в том числе на неправомерные действия операторов.
Типичные нарушения
В отчете отмечено, что наиболее типичными нарушениями требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» являются следующие:
- статья 7 Закона – нарушение требований конфиденциальности при обработке информации (например, доставка платежных документов в незаконвертированном виде);
- часть 3 статьи 18 Закона – неуведомление гражданина о начале обработки его персональных данных;
- пункт 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утв. Постановлением Правительства РФ от 15.09.2008 № 687 в части касающейся несоблюдения оператором условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ (например, отсутствие утвержденных перечня мер в части обеспечения требований по защите персональных данных и перечня лиц, имеющих право доступа к персональным данным);
- часть 1 статьи 6 Закона – обработка персональных данных без согласия субъектов ПДн;
- часть 4 статьи 9 Закона – несоответствие содержания письменного согласия субъекта на обработку его ПДн требованиям действующего законодательства.
Следует отметить, что 2011 году наиболее пристальное внимание специалистов Роскомнадзора было обращено на организацию работы с персональными данными в кадровых и коллекторских агентствах, кредитных организациях и компаниях, осуществляющих пассажирские авиаперевозки. Существенное количество нарушений выявлено в организациях ЖКХ.
Помимо данных категорий операторов ПДн в плане проверок на 2012 год предусмотрено проведение проверок образовательных и медицинских учреждений, страховых организаций и т. п. Ознакомиться с планом проверок Роскомнадзора на 2012 год можно на сайте ведомства http://www.rsoc.ru/docs/plan_proverok_2012.doc
Размер штрафа
Как показывает практика, средний размер штрафа составляет порядка 3 000-5 000 руб., в связи с чем «операторам ПДн выгоднее оплатить такой штраф, чем реализовывать предусмотренные законодательством адекватные меры защиты персональных данных»*.
Учитывая изложенное, Роскомнадзором предпринимаются меры по внесению изменений в действующее законодательство в части усиления ответственности операторов ПДн. В частности, предлагается существенно увеличить размеры штрафов за нарушения порядка обработки ПДн (на юридических лиц – до 500 тыс. руб.
, а при совершении повторного правонарушения до – 1 млн руб.).
Примечание:
* Из пояснительной записки к проекту Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушения», размещено на сайте Минэкономразвития России http://www.economy.gov.ru.
Ведение реестра операторов
В отдельном разделе отчета отражены итоги работы Роскомнадзора по ведению реестра операторов, осуществляющих обработку ПДн. За 2011 год в реестр операторов было включено около 60 тыс. операторов ПДн. Всего в реестре зарегистрировано более 240 тыс. операторов.
В отчете содержатся данные о прогнозной численности операторов ПДн и проведен анализ об исполнении требования законодательства в части регистрации в реестре операторов ПДн.
В частности отмечено, что уведомления поданы практически половиной государственных и муниципальных органов, в то время как в отношении юридических лиц только 10 % от прогнозной численности исполнили свою обязанность.
Планы на 2012 год
С учетом достигнутых результатов деятельности за 2011 год Роскомнадзором определены приоритетные направления и задачи на 2012 год, среди которых можно выделить следующие:
- осуществление на постоянной основе мониторинга деятельности операторов, направленного на предупреждение, выявление и пресечение нарушений в области персональных данных;
- совершенствование форм методов контрольно-надзорной деятельности, направленной на качественное повышение уровня защиты прав субъектов персональных данных;
- разработка требований и методов обезличивания ПДн, обрабатываемых в информационных системах.
Источник: https://buh.ru/articles/documents/14955/
