Профессиональные решения в области информационной безопасности для государственных и коммерческих организаций
doc@infoline-rk.ru
Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Другими словами, если набор данных позволяет определить (установить личность) субъекта, то это персональные данные. Но также верно то, что в случае если субъект уже определен (например, работник организации), то любые сведения о нем – это уже персональные данные. Даже, если бы этих сведений самих по себе было недостаточно для установления его личности.
Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» регулирует деятельность по обработке (использованию) персональных данных. В частности, он определяет условия, когда возможна обработка персональных данных, права субъектов, обязанности операторов и порядок государственного контроля обработки персональных данных.
Оператор – организация или физическое лицо, организующие и (или) осуществляющие обработку персональных данных.
Оператор может поручать обработку персональных данных другим лицам (организациям), которые будут ее осуществлять. Такие организации несут ответственность за действия с персональными данными перед Оператором. Однако такие организации всегда являются Операторами собственных персональных данных.
Организация, осуществляющая любые действия с персональными данными, с использованием средств автоматизации или без них становится оператором персональных данных.
Зачастую организации могут не знать, что являются операторами персональных данных, что не отменяет их обязанностей, установленных законодательством РФ.
Все организации должны соблюдать требования 152-ФЗ, так как обрабатывают как минимум персональные данных своих работников. Но наибольшая ответственность ложится на компании, работающие с клиентами – физическими лицами.
Сотрудники DocShell не могут разрабатывать документы за клиента, так как при подготовке документов должны быть учтены особенности обработки данных, функционирования информационных систем и распределение обязанностей работников компании-клиента. Такими исходными данными обладает только клиент.
Если по каким-то причинам вы не можете самостоятельно ответить на вопросы системы и указать необходимую информацию, то вы можете обратится к нашим Партнерам, которые проведут обследование в Вашем офисе и внесут всю необходимую информацию в Сервис.
Для выполнения Требований недостаточно только разработать документы — они должны быть утверждены, подписаны и доведены до работников. Также работников необходимо ознакомить с основными положениями законодательства РФ в области персональных данных и правилами защиты этих данных принятыми в компании. Необходимо постоянно контролировать, что принятые компании и документированные меры действительно выполняются работниками.
Мы гарантируем что экспертный контент, заложенный в систему DocShell (документы, перечни мероприятий, инструктажи) соответствует текущему законодательству РФ и актуальным требованиям регуляторов в области защиты персональных данных.
Система DocShell подходит и действительно используется операторами персональных данных из многих отраслей. В систему заложены подсказки и типовые значения для наиболее часто встречаемых случаев обработки персональных данных. Для экзотических и редко встречаемых случаев система позволяет пользователям добавлять собственные варианты.
Организация, имеющая работников обязана заключить трудовые договоры / соглашения с ними, выплачивать заработную плату и выполнять другие обязанности в отношении работников. Всё это влечет необходимость обработки персональных данных как минимум собственных работников.
Посмотреть информацию об обработке персональных данных в конкретной организации можно по адресу https://pd.rkn.gov.ru/operators-registry/operators-list/
Операторы персональных данных обязаны уведомить Роскомнадзор как можно скорее и информировать этого регулятора о любых изменениях ранее поданного уведомления.
План проверок Роскомнадзора публикуется отдельно на портале каждого территориального органа – раздел 5 Плана деятельности Управления на 2018 год.
Выполнять Требования по персональным данным должны оба контрагента (каждый обязан готовить документы по своей организации). Можно поручить подготовку документов по защите персональных данных организации на аутсорсинге, при этом подписаны и утверждены такие документы должны быть в основной организации.
За нарушение требований законодательства в области обработки и защиты персональных данных предусмотрена административная и уголовная ответственность. При множественных нарушениях за административные правонарушения по статьям 13.11, 13.12 и 19.7 суммарно может превысить 300 тыс. рублей. За уголовные правонарушения по статье 137 предусмотрена ответственность с лишением свободы на срок до 5 лет.
- Сбор информации об информационных системах персональных данных, процессах обработки персональных данных и применении средств защиты
- Распределение ответственности в области организации обработки персональных данных, защиты персональных данных и эксплуатации средств защиты
- Допуск пользователей к обработке персональных данных, местам хранения персональных данных, эксплуатации средств защиты. Актуализация перечней
- Разработка и утверждение организационно-распорядительной документации (ОРД)
- Классификация информационных систем, моделирование угроз, определение контрмер
- Публикация политики, ознакомление работников с ОРД, правилами защиты персональных данныхи эксплуатации средств защиты
- Внутренний контроль соблюдения законодательства РФ
Роскомнадзор осуществляет государственный контроль и надзор за соответствием обработки персональных данных требованиям 152-ФЗ и подзаконных нормативно правовых актов.
ФСТЭК России осуществляет контроль деятельности по технической защите персональных данных.
ФСБ России осуществляет контроль эксплуатации средств криптографической защиты информации.
DocShell – эффективное решение задач в сфере информационной безопасности для государственных и муниципальных предприятий, а также коммерческих организаций. Например, задач по разработке документов, проведению инструктажей планирования мероприятий по защите персональных данных, обеспечению информационной безопасности и эксплуатации СКЗИ.
DocShell – единственная система, сочетающая в себе возможности управления процессами информационной безопасности организации с возможностями разработки внутренних документов по вопросам защиты персональных данных и эксплуатации средств криптографической защиты информации.
В сервисе DocShell учитывается опыт реализации множества проектов и регулярного прохождения проверок регуляторов в области обработки и защиты персональных данных.
ГИС и МИС — аббревиатуры, соответственно «государственная информационная система» и «муниципальная информационная система». В соответствии с определением, приведенным в ст.14 Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», ГИС создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях. Информация, содержащаяся в ГИС, является официальной. Требования к порядку реализации мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации ГИС утверждены постановлением Правительства РФ от 06.07.2015 г. №676. Требования о защите информации в ГИС и МИС утверждены приказом ФСТЭК России от 11.02.2013 №17. Пакет документации для операторов ГИС включен в состав документов DocShell.
Требования, утвержденные приказом ФСТЭК России от 11.02.2013 №17, являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении.
Основным документом, регламентирующим порядок работы с СКЗИ, является инструкция, утвержденная приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ) от 13.06.2001 №152. Из особенностей можно назвать необходимость документального оформления факта обучения пользователей работе с СКЗИ. Документом, подтверждающим подготовку пользователей, является заключение, составленное комиссией на основании принятых от этих лиц зачетов по программе обучения. В DocShell есть возможность как подготовки необходимых документов, так и проведения обучения с документальным оформлением его результатов.
14 дней тестового периода позволят сформировать документы, проверить готовность к проверкам и получить рекомендации наших экспертов.