Персональные данные сотрудников в информационных системах

83
В век высоких технологий никого не удивляет, что компании все чаще переходят на электронные системы создания и хранения документации. При этом документам кадровой службы, содержащим конфиденциальные сведения – персональные данные сотрудников, – уделяется особое внимание. Обрабатывая и сохраняя эти документы в информационных системах, работодатель должен обеспечить высокую степень их защиты. Нельзя допустить, чтобы персональные данные были случайно изменены, распространены или уничтожены. Есть ли какие-то специальные требования к защите этих сведений при их обработке в информационных системах? Расскажем в нашей статье.

Согласно ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) оператор при обработке персональной информации обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты этих данных:

  • от неправомерного или случайного доступа к ним;
  • уничтожения, изменения, блокирования, копирования, предоставления, распространения;
  • иных неправомерных действий.

В настоящее время особенности защиты персональных данных при их обработке в информационных системах и уровни защищенности установлены Требованиями к защите персональных данных при их обработке в информационных системах, утв. постановлением Правительства РФ от 01.11.2012 № 1119 (далее – Требования).

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах (далее – Состав и содержание организационных и технических мер) утверждены приказом ФСТЭК России от 18.02.2013 № 21.

Обратите внимание!

Каждый оператор обязан привести порядок защиты персональных данных, хранящихся и обрабатываемых в электронных информационных системах, в соответствие с требованиями нормативных актов.

Информационная система персональных данных – это система, представляющая собой совокупность персональных данных, хранящихся в специальной базе, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без них. В пункте 5 Требований выделено пять категорий информационных систем персональных данных (табл. 1).

При обработке персональных данных в информационных системах требуется обеспечить их безопасность.

Обработка персональных данных сотрудников: кому поручить

Бухгалтерия и отдел персонала нашей компании недавно перешли на систему 1С: Зарплата и управление персоналом 8.2. Сейчас пытаемся решить, кому поручить обеспечение защиты персональных данных при их обработке в этой системе. Подскажите, на кого можно возложить эти обязанности?

Согласно п. 2 Состава и содержания организационных и технических мер выполнение работ по обеспечению безопасности персональных данных при их обработке в информационной системе работодатель может поручить:

  1. оператору информационной системы;
  2. юридическому лицу, имеющему лицензию на деятельность по технической защите конфиденциальной информации;
  3. индивидуальному предпринимателю, имеющему лицензию на деятельность по технической защите конфиденциальной информации.

Во втором и третьем случаях с уполномоченным лицом заключается договор об обеспечении защиты персональных данных при их обработке в информационной системе.

Безопасность персональных данных обеспечивается с помощью системы защиты, устраняющей угрозы, актуальные при том или ином способе обработки информации.

Актуальные угрозы безопасности персональных данных совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Модели угроз безопасности персональных данных сотрудников

Модель угроз формируется и утверждается оператором согласно методическим документам, разработанным в соответствии с п. 2 Требований. Базовая модель угроз безопасности персональных данных при их обработке в информационной системе утверждена ФСТЭК 15.02.2008.

Цитируем документ: часть 2 ст. 19 Закона о персональных данных

 Обеспечение безопасности персональных данных достигается, в частности:

  1. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  2. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивают установленные Правительством Российской Федерации уровни защищенности персональных данных;
  3. применением средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
  4. оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  5. учетом машинных носителей персональных данных;
  6. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
  7. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  8. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  9. контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Какими документами необходимо руководствоваться при формировании модели угроз?

В случае обеспечения защиты персональных данных без криптосредств для формирования модели угроз используются методические документы ФСТЭК России. Если же оператор применяет криптосредства, при формировании модели угроз используются методические документы ФСТЭК России и Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах с использованием средств автоматизации, утв. ФСБ РФ от 21.02.2008 № 149/54-144. При этом из двух описанных в документах ФСТЭК России и Методических рекомендациях однотипных угроз выбирается более опасная.

Выделяют три типа угроз безопасности персональных данных (табл. 2).

При их обработке в информационных системах в зависимости от типа угроз обеспечивается соответствующий уровень защищенности данных. Пунктом 8 Требований установлены четыре таких уровня (табл. 3). Каждый из них предполагает выполнение ряда требований (табл. 4).

Меры по обеспечению безопасности персональных данных

В соответствии со ст. 18.1 Закона о персональных данных оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных этим Законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено федеральными законами.

Общие меры, принимаемые для защиты всех персональных данных, перечислены в ч. 1 ст. 18.1 Закона о персональных данных. Вместе с тем в целях нейтрализации предполагаемых угроз безопасности персональных данных при их обработке в информационных системах выбор средств защиты информации должен осуществляться оператором в соответствии с нормативными правовыми актами ФСБ и ФСТЭК (ч. 4 ст. 19 Закона о персональных данных, п. 4 Требований).

Так, приказом ФСТЭК России от 18.02.2013 № 21 определены состав и содержание организационных и технических мер по обеспечению защиты персональных данных в информационных системах (табл. 5).

В целях реализации Требований к защите персональных данных в информационных системах для всех уровней безопасности работодателю необходимо:

  1. Назначить сотрудника, ответственного за обеспечение защиты персональных данных при их обработке в информационных системах, отразить эти обязанности в трудовом договоре (должностной инструкции).
  2. Определить уровень защиты персональных данных в информационных системах на основании типов угроз и вида обрабатываемых данных.
  3. Установить в соответствии с определенным уровнем безопасности перечень мер, необходимых для обеспечения защиты персональных данных в информационных системах.
  4. Разработать и утвердить локальные нормативные акты, определяющие порядок работы с персональными данными, обрабатываемыми в информационных системах, меры и способы их защиты, а также перечень работников, которые получают к ним доступ.
  5. Организовать контроль обеспечения безопасности персональных данных в информационных системах.
  6. Организовать доступ к информационным системам, в которых обрабатываются персональные данные, исключительно для работников, которым эти сведения необходимы для выполнения должностных обязанностей. 

Таблица 1. Категории информационных систем, обрабатывающих персональные данные

Персональные данные сотрудников в информационных системах

 Таблица 2. Типы угроз безопасности персональных данных

Персональные данные сотрудников в информационных системах

Таблица 3. Уровни защищенности персональных данных в информационных системах

Персональные данные сотрудников в информационных системах

Таблица 4. Требования, обязательные для обеспечения безопасности персональных данных в зависимости от уровня защищенности

Персональные данные сотрудников в информационных системах

Таблица 5. Меры по обеспечению защиты персональных данных в информационных системах

Персональные данные сотрудников в информационных системах



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией


Опрос

Начинка для торта

  • Суфле 10.77%
  • Мусс из черной спородины 1.54%
  • Сырное "Парфе" 4.62%
  • Три шоколада 13.85%
  • Чизкейк Нью-Йорк 12.31%
  • Медовый Торт 4.62%
  • Медовый классический торт 0%
  • Фисташковое пралине 15.38%
  • Йогуртовый мусс с маскарпоне 7.69%
  • Шоколадно ментоловый мусс 6.15%
  • Черничный торт со свежей голубикой 9.23%
  • Шоколадный торт с ирландским муссом 7.69%
  • Ореховый торт 13.85%
  • Профитроли с карамелью 0%
  • Эстерхази 10.77%
  • Тирамису 15.38%
  • Мильфей 4.62%
  • Торт Мокко 7.69%
  • Десерт Павлова (без муки) 4.62%
  • Немецкий молочный торт 1.54%
  • Сметанный домашний торт 16.92%
  • Мусс из чернослива 4.62%
  • Мусс манго - малина или манго - маракуйя 9.23%
  • Норвежский торт Най 0%
  • Домашний бисквитный ягодный торт 30.77%
Другие опросы

Рассылка



PRO-personal.ru: сайт для специалистов по кадрам и управлению персоналом

Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции сайта. Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

Свидетельство о регистрации электронных СМИ № ФС77-40332 от 23 июня 2010 года


  • Мы в соцсетях
Ознакомительный период завершен

Продолжить чтение можно после бесплатной регистрации.

В дополнение вы получите шаблоны самых востребованных и учитывающих профстандарты должностных инструкций:

  • выберите нужную инструкцию
  • скачайте ее БЕСПЛАТНО после регистрации



У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Зарегистрируйтесь, чтобы скачать

Скачивание материалов доступно только для зарегистрированных участников


У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль