пятница, 19 августа 2016 г.

ФЗ №152 и перечень мероприятий по защите ПДн!

В этом сообщение хотел бы написать об перечне мероприятий, которые необходимо выполнить оператору согласно ФЗ №152 и начну я со ст.18.1

Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами.

и далее описаны действия оператора.....

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

Это обычный приказ руководителя, о назначении ответственного за организацию обработки персональных данных.

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

Оператор обязан разработать свою политику в отношении обработки персональных данных.

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;

Осуществить различные меры защите ПДн. Об этой статье я опишу подробней, чуть ниже...

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

Периодически осуществлять внутренний удит выполненных работ в организации. Отслеживать изменения в законодательстве и в нормативных актах регуляторов. Ну и  соответственно изменения своих локальных актов.

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным Законом;

Должна произведена оценка вреда. Какая форма и что должно быть в этой форме увы, не написано. Оператор должен сам разработать форму оценки вреда.

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Оператор должен обеспечить ознакомление работников с политикой в отношении обработки персональных данных под роспись.

2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Оператору необходимо разместить политику в отношении обработки персональных данных на своём сайте либо на информационном стенде. А лучше конечно и там и там.
Далее посмотрим на статью 19 ФЗ №152 и что в ней содержится.

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Опять подчёркиваю, что оператор обязан принимать все необходимые меры.
Далее описаны меры для оператора....

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

Другими словами напишу. Оператор должен разработать документ - модель угроз (МУ). В котором будут определены угрозы безопасности ПДн. А если в ИСПДн используется и криптография, то ещё необходимо дополнить угрозами на СКЗИ и разработать модель нарушителя.

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

Оператор обязан принимать меры описанные в ПП №1119. Более подробно, касаемо мер, рассмотрю чуть позже в своём блоге.

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

Регуляторы понимают написанное, как сертификация средств защиты т.е., все используемые средства защиты информации должны быть сертифицированы ФСТЭК и (или) ФСБ. (Хотя форм "оценки соответствия" множество и не обязательно это сертификация).

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

Ссылаюсь на разъяснения ФСТЭК (Информационное сообщение ФСТЭК России от 15 июля 2013 г. N 240/22/2637) В соответствии с пунктом 6 Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. При этом Составом и содержанием мер, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21, форма оценки эффективности, а также форма и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены.

Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных.

5) учетом машинных носителей персональных данных;

Необходимо вести учёт машинных носителей ПДн. Маркируются носители ПДн и регистрируются в журнале учёта машинных носителей.

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Пункты 6,7,8,9 для них необходимо описать целую процедуру реагирования на инциденты, где так же будет описана и процедура восстановления ПДн в случае НСД. В отдельных документах должна быть описана процедура контроля за применяемыми мерами по обеспечению безопасности ПДн, такие как периодический анализ защищённости, периодический анализ угроз, периодический контроль за действиями пользователей, документирование процедур и результатов контроля.

Продолжение в следующем сообщении....







Комментариев нет:

Отправить комментарий