Защищаем персональные данные в информационных системах

313
О специальных требованиях к защите персональных данных сотрудников при их обработке в информационных системах мы уже говорили. В этой статье мы расскажем о том, какие действия должен предпринять работодатель для обеспечения сохранности этой информации в электронных системах создания и хранения документов.

Особенности защиты персональных данных при их обработке в информационных системах и уровни защищенности установлены Требованиями к защите персональных данных при их обработке в информационных системах, утв. постановлением Правительства РФ от 01.11.2012 № 1119 (далее – Требования). Чтобы соблюдать режим, установленный Требованиями, и не нарушать нормы о защите персональных данных в информационных системах для всех уровней безопасности работодателю необходимо выполнить определенные действия.

Защита персональных данных сотрудников: пошаговая инструкция

Шаг 1. Назначить ответственного за обеспечение защиты персональных данных при их обработке в информационных системах.

Для этого работодателю придется издать приказ о назначении ответственного за обеспечение безопасности персональных данных при их обработке в информационных системах (приложение 1).

Может ли работодатель вменить в обязанность сотруднику, ответственному за организацию обработки персональных данных, обеспечение их безопасности при обработке в информационных системах?

Полагаем, что на работника, отвечающего за обработку персональных данных, могут быть возложены дополнительные обязанности по обеспечению их защиты. Но можно поручить эту работу и отдельному сотруднику.

Руководитель решил назначить ответственным за обеспечение безопасности персональных данных в информационных системах начальника департамента информационных технологий. Как правильно возложить на него новые обязанности?

Статьей 60 Трудового кодекса РФ запрещается требовать от сотрудника выполнения работы, не обусловленной трудовым договором, за исключением случаев, предусмотренных ТК РФ и иными федеральными законами.

Как следует из нормы ст. 72 ТК РФ, изменение определенных сторонами условий трудового договора допускается только по соглашению сторон, за исключением случаев, предусмотренных ТК РФ.

Таким образом, возложить на работника обязанности, не предусмотренные его трудовым договором или приложенной к нему должностной инструкцией, нельзя. Для внесения изменений в договор начальника департамента информационных технологий в части корректировки его трудовой функции (вменения обязанности по обеспечению безопасности персональных данных в информационных системах) следует заключить дополнительное соглашение к трудовому договору, предусмотрев в нем все необходимые условия.

Шаг 2. Поручить лицу, ответственному за обеспечение защиты персональных данных, определить ее уровень в информационных системах на основании типов угроз и вида обрабатываемых данных.

Шаг 3. Установить в соответствии с определенным уровнем безопасности перечень мер, необходимых для обеспечения защиты персональных данных в информационных системах (пп. 13–16 Требований).

Шаг 4. Утвердить локальный нормативный акт, определяющий перечень работников, которые получают доступ к персональным данным, обрабатываемым в информационной системе, необходимый им для выполнения должностных обязанностей.

В этом документе – например, Положении об обработке персональных данных в информационных системах – должен быть установлен и порядок учета лиц, получивших доступ к персональным данным, содержащимся в информационной системе (приложение 2).

Шаг 5. Организовать контроль обеспечения безопасности персональных данных в информационных системах.

Контроль за выполнением организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

С какой периодичностью должен проводиться контроль обеспечения безопасности персональных данных?

Такой контроль проводится не реже одного раза в три года в сроки, определяемые оператором (уполномоченным лицом).

В случае осуществления оператором самостоятельного контроля за обеспечением защиты данных в информационных системах:

  1. требования к его проведению должны быть зафиксированы в локальных нормативных актах;
  2. необходимо определить лицо, ответственное за проведение контроля.

Шаг 6. Организовать доступ к содержанию электронного журнала сообщений исключительно для работников, которым эти сведения необходимы для выполнения должностных обязанностей.

Доступ к электронному журналу сообщений должны получить только те сотрудники оператора или уполномоченного им лица, которым информация из этого журнала требуется по работе. Необходимо организовать контроль доступа к указанному журналу и назначить лиц, отвечающих за соблюдение установленного порядка.

Мероприятия по защите персональных данных

Дополнительно для обеспечения первого уровня безопасности следует предпринять следующие действия.

Действие 1. Создать структурное подразделение, ответственное за обеспечение защиты персональных данных в информационной системе, либо возложить эту обязанность на один из существующих отделов.

Принято решение о создании нового подразделения, в функции которого будет входить обеспечение безопасности персональных данных при их обработке в информационных системах. Каким должен быть порядок действий работодателя в этой ситуации?

Прежде всего нужно издать приказ о внесении изменений в штатное расписание (введение новой структурной единицы), определить штат подразделения, размер заработной платы сотрудников.

Также следует разработать локальные нормативные акты о структурном подразделении, о порядке обработки персональных данных в информационных системах, должностные обязанности сотрудников подразделения (приложение 3).

Руководителя данного отдела имеет смысл назначить ответственным за обеспечение безопасности персональных данных.

Оформить сотрудников в новое структурное подразделение работодатель может двумя способами:

  1. взять новых работников (в том числе по внешнему совместительству);
  2. поручить эти обязанности работающим сотрудникам в порядке перевода, совмещения или внутреннего совместительства.

Действие 2. Автоматически регистрировать в электронном журнале безопасности изменения полномочий сотрудника по доступу к персональным данным, содержащимся в информационной системе.

Осуществление автоматической регистрации требует своевременного доведения информации об изменившихся трудовых обязанностях работника до лиц, вносящих соответствующие сведения в систему.

«Руководители сотрудников, имеющих доступ к информационным системам, совместно с сотрудниками кадровой службы осуществляют контроль и взаимное информирование относительно изменения полномочий доступа таких работников к информационной системе 1С: Зарплата и управление персоналом 8.2. Данная информация доводится до сведения ответственного за обеспечение безопасности персональных данных в информационных системах».

Защита персональных данных с использованием криптосредств

К криптосредствам, в частности, относятся средства криптографической защиты информации (СКЗИ) – шифровальные (криптографические) способы защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утв. приказом ФСБ РФ от 09.02.2005 № 66).

Пункт 2.3 Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не составляющей государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных персональных данных, утв. ФСБ России 21.02.2008 № 149/6/6-622, определяет, что при разработке и реализации мероприятий по организации и обеспечению защиты персональных данных при их обработке в информационной системе оператор или уполномоченное оператором лицо:

  • составляет для каждой информационной системы модели угроз безопасности персональных данных;
  • разрабатывает на основе модели угроз систему защиты персональных данных, обеспечивающую нейтрализацию этих угроз;
  • определяет необходимость использования криптосредств для обеспечения безопасности персональных данных, в случае положительного решения на основе модели угроз определяет цели применения криптосредств для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования и (или) иных неправомерных действий при их обработке;
  • устанавливает и вводит в эксплуатацию криптосредства в соответствии с эксплуатационной и технической документацией;
  • проверяет готовность криптосредств к использованию, составляя заключение о возможности их эксплуатации; • обучает лиц, использующих криптосредства, работе с ними;
  • ведет поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним, носителей персональных данных;
  • следит за соблюдением условий использования криптосредств, предусмотренных эксплуатационной и технической документацией к ним и др.

Обратите внимание!

Конкретный перечень мер по обеспечению защиты персональных данных при их обработке в информационных системах должен быть закреплен на локальном уровне.

Приложение 1. Пример оформления приказа о назначении ответственного за обеспечение безопасности персональных данных при обработке в информационных системах

Защищаем персональные данные в информационных системах

Приложение 2. Пример оформления Положения об обработке персональных данных в информационных системах (фрагмент) Приложение 3 Пример оформления должностной инструкции начальника отдела защиты персональных данных (фрагмент)

Защищаем персональные данные в информационных системах

Приложение 3. Пример оформления должностной инструкции начальника отдела защиты персональных данных (фрагмент)

Защищаем персональные данные в информационных системах

Статья опубликована в журнале "Справочник кадровика" №3, 2014г.



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

Актуально


Рассылка




PRO-personal.ru: сайт для специалистов по кадрам и управлению персоналом

Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции сайта. Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

Свидетельство о регистрации электронных СМИ № ФС77-40332 от 23 июня 2010 года


  • Мы в соцсетях
Статья для специалистов по работе с кадрами!

Зарегистрируйтесь, чтобы продолжить чтение.

Дополнительно Вы сможете:
- прочитать еще 5600 рекомендаций по кадровой и HR-тематике
- скачать 4800 готовых образцов документов
- посмотреть 54 видеолекции по трудовому законодательству

Подарок дня: Справочник должностных инструкций по профстандартам

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Зарегистрируйтесь на сайте и скачайте файл!

Это бесплатно и займет всего одну минуту! Вам станут доступны для скачивания более 2000 форм и образцов документов.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль