ЖКХ, ТСЖ и прочие компании обязаны защищать собранные сведения от модификации и разглашения. За соблюдением нормативных требований следит "Роскомнадзор" - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, ведущая реестр операторов персональных данных. Подзаконные акты ФСТЭК и ФСБ требуют от операторов построения современной системы защиты с использованием антивирусных решений, межсетевых экранов, систем предотвращения вторжений, управления идентификацией пользователей и контроля доступа, шифрования, защиты от утечек, системы управления событиями безопасности и других защитных механизмов, перечисленных в руководящем документе ФСТЭК "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" от 18 февраля 2013 г. N 21. На предприятиях ЖКХ используются информационные системы для работы с населением, предприятиями, различными учреждениями и службами. Так же ведется бухгалтерский, управленческий, налоговый учет, как и на других предприятиях, они практически не отличаются от аналогичных задач на других типах предприятий.

Анализируя построение баз данных, используемых для хранения и обработки информации в системах ЖКХ, выделяются два момента: основа построения и территориальное расположение. Наиболее старая и наиболее широко используемая основа для базы данных - это dbf-файлы. Но для сегодняшних комплексных автоматизированных систем они не подходят по двум основным причинам: ограниченное количество записей в одной таблице и недостаточная надежность.

Современные базы данных построены на основе клиент - серверных технологий. Существуют различные системы управления базами данных, обладающими своими достоинствами и недостатками. Каждая из них используется хотя бы в одной системе, предназначенной для автоматизации ЖКХ. Наиболее распространенной является MS SQL 2000. Так как она предназначена для популярной операционной системы персональных компьютеров - Windows. Далее по популярности идет Interbase. Имеются также реализации базы данных ЖКХ под управлением Oracle, одной из наиболее развитых, но дорогих и громоздких систем управления базами данных.

Следует отметить также тенденцию поставщиков систем управления базами данных, направленную на распространение их программных продуктов - предложение бесплатных версий с определенными ограничениями, в которые вписываются не крупные и не богатые пользователи, к которым относятся ЖЭКи и пункты приема платежей. Примером таких систем являются MSDE 2000, MSDE 2005 корпорации Microsoft.

Наиболее простая топология базы данных - это расположение всей информации на одном сервере. Клиенты подключаются по удаленным линиям и решают свои текущие задачи.

Другой вариант реализации - распределенная база данных по всем или по части участников ЖКХ. Недостаток - необходимость синхронизации данных.

Синхронизация данных ведется различными способами. Наиболее распространенный - экспорт / импорт. Данные на носителе или по электронной почте перемещаются между участниками ЖКХ. В этом существенное влияние на работоспособность системы имеет человеческий фактор - все надо делать вовремя и очень аккуратно.

Второй уровень синхронизации - обмен данных между модулями системы путем связи с удаленными серверами. Этот обмен вызывается либо по команде пользователя, либо по заданному расписанию. Он состоит в том, что некоторая процедура на одном из связанных серверов "считывает к себе" или "записывает к нему" необходимые для синхронизации данные.

И, наконец, наиболее высокий уровень - синхронизация базы данных путем репликаций. Эти средства позволяют менять данные как на одной стороне линии связи, так и на другой. По заданному расписанию или по команде пользователя сервера соединяются и выполняют синхронизацию баз данных.

Защиту персональных данных можно обеспечить только в той информационной системе, где злоумышленник не может вмешаться в работу ее базовых элементов - сетевых устройств, операционных систем, приложений и СУБД.

Основные угрозы безопасности персональных данных, а именно уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе. Утечка информации может быть из-за вирусов, вредоносных программ, сетевых атак. Для защиты используют антивирусы, межсетевые экраны, системы предотвращения вторжений (Intrusion Prevention System, IPS) (Они служат для выявления в проходящем трафике признаков нападения и для блокировки обнаруженной наиболее популярной атаки. В отличие от шлюзовых антивирусов, IPS анализируют не только содержимое IP-пакетов, но и используемые протоколы и корректность их использования.), сканеры уязвимостей (Они проверяют информационную систему на наличие различных "брешей" в операционных системах и программном обеспечении. Как правило, это отдельные программы или устройства, тестирующие систему путем посылки специальных запросов, имитирующих атаку на протокол или приложение.). Набор средств для защиты конфиденциальных данных от утечек состоит из трех продуктов: системы контроля над периферийными устройствами, системы защиты от утечек (Data Leak Prevention, DLP) и средства шифрования для полной безопасности имеет смысл сочетать все три типа продуктов. С помощью этих средств ЖКХ и другие управляющие компании могут удовлетворить требования ФСТЭК по защите персональных данных.

Контроль над устройствами. Нередко утечка данных происходит через съемные носители информации и несанкционированные каналы связи: флэш-память, USB-диски, Bluetooth или Wi-Fi, поэтому контроль за использованием USB-портов и другого периферийного оборудования также является одним из способов контроля утечек.

DLP. Системы защиты от утечек позволяют с помощью специальных алгоритмов выделить из потока данных конфиденциальные и заблокировать их несанкционированную передачу. В DLP-системах предусмотрены механизмы контроля разнообразных каналов передачи информации: электронной почты, мгновенных сообщений, Web-почты, печати на принтере, сохранения на съемном диске и др. Причем модули DLP блокируют утечку только конфиденциальных данных, поскольку имеют встроенные механизмы для определения того, насколько та или иная информация является секретной.

Шифрование. Защита данных от утечек так или иначе использует механизмы шифрования, а эта отрасль всегда контролировалась ФСБ, и все требования по сертификации систем шифрования публикуются и проверяются этим ведомством. Следует отметить, что шифровать нужно не только сами базы персональных данных, но и их передачу по сети, а также резервные копии баз данных. Шифрование используется и при передаче персональных данных по сети в распределенной системе. С этой целью можно применять предлагаемые различными разработчиками продукты класса VPN, которые, как правило, базируются на шифровании, однако подобные системы должны быть сертифицированы и тесно интегрированы с базами данных, в которых хранятся персональные данные.

Следует отметить, что в подзаконных актах ФСТЭК имеется разделение на небольшие, средние и распределенные базы данных, требования к защите которых сильно различаются. Так, для защиты распределенных баз, как правило, нужны дополнительные инструменты защиты, что и понятно - распределенная база должна иметь каналы связи между своими частями, которые также необходимо защищать

В информационной системе ЖКХ главной проблемой для руководителя является правильная организация доступа сотрудников к различным ресурсам - от корректной настройки прав доступа часто зависит сохранность конфиденциальных данных, поэтому система управления правами доступа должна быть включена в систему защиты крупной информационной системы. Система блокирует попытки изменить права доступа без разрешения оператора безопасности, что обеспечивает защиту от локальных операторов.

Крупная система защиты может генерировать множество сообщений о потенциальных нападениях, которые лишь потенциально способны привести к реализации той или иной угрозы. Часто такие сообщения являются лишь предупреждениями, однако у операторов безопасности большой системы должен быть инструмент, который позволил бы им разобраться в сущности происходящего. Таким инструментом анализа может стать система корреляции событий, позволяющая связать несколько сообщений от устройств защиты в единую цепь событий и комплексно оценить опасность всей цепочки. Это позволяет привлечь внимание операторов безопасности к наиболее опасным событиям.

Системы централизованного управления защитными механизмами позволяют полностью контролировать все события, связанные с безопасностью информационной системы. Продукты этого уровня могут обнаруживать защитные механизмы, установленные на предприятии, управлять ими и получать от них отчеты о происходящих событиях. Эти же продукты могут автоматизировать решение наиболее простых проблем или помогать администраторам быстро разобраться в сложных атаках.

Все три выше перечисленных продукта не являются обязательными для защиты крупных информационных систем, однако они позволяют автоматизировать большинство задач, решаемых операторами безопасности, и минимизировать количество сотрудников, необходимых для защиты большой системы, как информационная система ЖКХ.

Ответственность за нарушение требований по защите персональных данных

Лица, виновные в нарушении требований Закона о персональных данных, несут предусмотренную законодательством Российской Федерации ответственность (например, гражданскую, уголовную, административную, дисциплинарную). На это указывает пункт 1 статьи 24 Закона о персональных данных.

На настоящий момент административная ответственность для операторов (за исключением лиц, для которых обработка персональных данных является профессиональной деятельностью и подлежит лицензированию) предусмотрена:

· за неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации (статья 5.39 КоАП РФ). Исключением из данной нормы являются случаи, предусмотренные статьей 7.23.1 КоАП РФ;

· за нарушение требований законодательства о раскрытии информации организациями, осуществляющими деятельность в сфере управления многоквартирными домами (статья 7.23.1 КоАП РФ);

· за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных (статья 13.11 КоАП РФ);

· за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда ее разглашение влечет за собой уголовную ответственность), лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей (статья 13.14 КоАП РФ).

Преступлениями, влекущими за собой уголовную ответственность, являются:

· незаконные сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующийся произведении или средствах массовой информации (статья 137 УК РФ);

· неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (статья 140 УК РФ);

· неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации (статья 272 УКРФ)

Всем организациям в Российской Федерации приходится работать с тем или иным количеством персональных данных, и зачастую руководители даже не имеют понятия о том, сколь много информации о сотрудниках предприятия или компании обрабатывается с нарушением норм действующего законодательства.

Следует отметить, что в большинстве случаев нарушения здесь допускаются вовсе не из-за наличия желания как-то обойти закон. Причина более банальна – это элементарное незнание. Можно привести достаточно распространенный в России пример нарушения – новый сотрудник подает пакет документов согласно определенному списку. Работодатели, принимая такие документы, не берут согласия владельца на обработку его персональных данных, а это уже нарушение требований законодательства, пускай даже непреднамеренное. Впрочем, такого рода рисков можно избежать, обладая определенными знаниями. В частности, нужно знать, что к персональным данным в России относятся:

• Ф. И. О., дата рождения;
• имущественное и семейное положение;
• сведения о полученном образовании;
• информация о месте работы и профессии;
• сведения о членах семьи человека.

В документах, которые являются обязательными к предъявлению при трудоустройстве, есть значительное количество персональных данных. Перечень данных документов можно найти в статье 65 Трудового кодекса, на основании которой работодатель имеет право обрабатывать имеющиеся там персональные данные без получения согласия от их владельца. Однако в данный перечень не входят такие документы, как справка о состоянии здоровья или о составе семьи.

При этом предоставление сотрудником ИНН, запрашиваемого многими компаниями при приеме на работу, требует получения согласия на обработку содержащихся здесь данных. Ряд работодателей, скорее всего, в силу оставшейся с прежних времен привычки, требуют вклеивать в личную карточку Т2 фотографию сотрудника, причем согласия самого работника на такое действие не спрашивается. Согласно достаточно распространенному мнению, фото к персональным данным не относится. Это довольно спорное мнение, поскольку закон гласит, что персональные данные – это сведения, по которым можно идентифицировать человека, без использования его Ф. И. О. и даты рождения. Понятно, что идентифицировать человека по фотографии, конечно же, можно. Между тем работодатели, запрашивая у работника его фото, не берут у него письменного согласия на обработку персональных данных – это неправильный подход.

Работодатель, в соответствии с пунктом 7 статьи 86 ТК, должен обеспечить защиту от утраты или от неправомерного использования персональные данные своих рабочих, причем закон обязует его это делать за собственный счет. Помимо этого, законодательство предусматривает еще и соблюдение определенного порядка хранения таких данных, и их использования.

Для того чтобы соответствовать требованиям закона, руководство предприятия издает локальный нормативный акт. Данным документом осуществляется регулирование всех вопросов, связанных с хранением персональных данных, а также с их использованием. Помимо этого, он еще и обеспечивает защиту данных от утраты или от их неправомерного использования.

Такой локальный нормативный акт должен содержать в себе:

• описание доступа к данным – как внешнего, так и внутреннего;
• список сотрудников, имеющих такой доступ;
• порядок работы с данными;
• ответственность за разглашение информации;
• регламент защиты.

Как правило, таким локальным нормативным актом становиться положение о защите персональных данных. Структура такого документа состоит из нескольких разделов, в которых указываются:

• цели создания данного документа, общие моменты, сфера действия;
• используемые определения;
• перечень данных и цели их обработки – то есть, какие из сведений могут использовать операторы;
• условия, обязательные к соблюдению при обработке;
• порядок передачи персональных данных, как внутри предприятия или компании, так и государственным органам и третьим лицам;
• порядок доступа, как внутренний, так и внешний;
• ответственность в случае нарушения действующих норм;
• угрозы безопасности – модель угрозы и ее степени. Помимо этого, указываются меры, предпринимаемые для защиты информации;
• положения, касающиеся самого акта – о вступлении его в силу, периоде действий, порядке внесения изменений.

Защищаем личную информацию сотрудников

Как уже говорилось выше, обязанностью работодателя, прописанной на законодательном уровне, является создание всех условий, необходимых для защиты персональной информации сотрудников. Иными словами, должна быть создана система, способная обеспечить недоступность такой информации, ее конфиденциальность, а также ее безопасность и целостность в процессе работы предприятия или организации.

Нормами российского законодательства предусмотрена внешняя и внутренняя защита. В частности, для того чтобы обеспечить внутреннюю защиту, компания может определить состав сотрудников, функциональные обязанности которых требуют доступа к личным данным их коллег. Одновременно с этим нужно обоснованно и избирательно распределить документы с такой информацией между сотрудниками, уполномоченными на ведение работы с личными данными. Серьезного подхода здесь требуют непосредственно рабочие места – они должны быть оборудованы таким образом, чтобы полностью исключить возможность беспрепятственного несанкционированного проникновения и просмотра.

Для того чтобы обеспечить внешнюю защиту, руководство компании может, например, ввести для всех посетителей пропускной режим. Еще одним вариантом здесь является использование для защиты информации, хранящейся на электронных носителях, специального защитного программно-технического комплекса.

Принимая комплекс мер, направленных на защиту личной информации, следует в первую очередь исходить из уровня реальной угрозы безопасности. Естественно, чем более высоким будет этот уровень, тем большее количество мер для защиты персональных данных нужно предпринять.

Можно выделить 3 типа угроз, создающих реальную опасность незаконного доступа к личной информации. При этом работодатель самостоятельно определяет, какой из этих типов является характерным для возглавляемого им предприятия или организации. Для того чтобы обеспечить безопасность на действительно высоком уровне, есть целый ряд требований, которых следует придерживаться неукоснительно. В частности, для того чтобы обеспечить минимальный, 4-й уровень защиты, нужно предпринять следующие меры:

• обезопасить помещения с находящейся внутри них информационной системой от возможного несанкционированного проникновения;
• обеспечить безопасное хранение носителей, на которых хранится информация;
• защитить информацию, используя прошедшие через процедуру оценки соответствия средств;
• определиться с сотрудниками, имеющими доступ к персональным данным в силу своих трудовых обязанностей.

Следует также определиться и с техническими средствами защиты информации, которые препятствуют несанкционированному доступу. Такими средствами являются, например, криптографические средства, межсетевые экраны и антивирусное программное обеспечение. Следует отметить один очень важный момент: все используемые здесь средства в обязательном порядке сперва должны пройти процедуру сертификации. Ознакомиться с перечнем сертифицированных средств защиты персональных данных можно, зайдя на официальный интернет-сайт ФСТЭК. Но это еще не все. Выбрав средство защиты и установив его, необходимо еще и сделать правильные настройки, в ином случае работа может быть попросту заблокирована из-за неточностей, допущенных на данном этапе.

Как поступать с персональной информацией, содержащейся в резюме

Хотелось бы остановить внимание на еще одном, достаточно любопытном моменте – речь идет о персональных данных претендентов на получение работы и о действиях, которые можно предпринимать работодателю с такой информацией. Здесь следует напомнить, согласно законодательству, резюме соискателя работы – это общедоступная информация, поэтому письменного согласия на ее обработку от владельца можно не получать. Но если же претенденту на ту или иную должность заполнить анкету, предусматривающую указание персональных данных, или же потенциальным работодателям снимаются копии с документов претендента, таких как диплом, паспорт и так далее, то здесь письменное согласие владельца будет уже обязательным.

Для посетителей нашего сайта действует специальное предложение - вы можете совершенно бесплатно получить консультацию профессионального юриста, просто оставив свой вопрос в форме ниже.

Работа с персональными данными – это очень высокий уровень ответственности, поэтому недооценивать важность создания надежной защиты, получения согласия и пренебрегать установленными правилами явно не стоит. Также следует помнить, что трудовая инспекция в настоящее время очень строго следит за выполнением норм Трудового кодекса, стараясь не упустить ни одну из нынешних нормативных сфер. Поэтому всего лишь один документ – письменное согласие на обработку персональных данных – может в будущем защитить работодателя от многих проблем.

Создание системы защиты персональных данных (СЗПДн) — это комплекс мер технического и организационного характера, направленных на защиту сведений, отнесенных в соответствии с Федеральным Законом от 27 июля 2006 г. N 152-ФЗ к персональным данным.

Каждая компания, обрабатывающая персональные данные, заинтересована в обеспечении безопасности их обработки. Необходимость построения систем защиты признают в равной степени и коммерческие организации, и государственные структуры.

На основании уже реализованных проектов по внедрению СЗПДн, можно выделить следующие преимущества:

Во-первых, это минимизация правовых и репутационных рисков, связанных с несоблюдением существующего законодательства в области персональных данных.

Во-вторых, грамотно построенная система защиты обеспечивает сохранность при обработке персональных данных клиентов и работников, что особенно важно при работе с частными лицами и информацией для служебного пользования. К наиболее распространенным угрозам, которые нейтрализует СЗПДн, относятся воздействия вредоносных программ и воровство клиентских баз бывшими сотрудниками.

В-третьих, обеспечение конфиденциальности персональных данных в компании положительно сказывается на ее имидже, повышая доверие у клиентов и партнеров.

Многие компании при заключении партнерских отношений придают высокое значение мерам защиты информации, принятым в компаниях-контрагентах. Нередко одним из условий договора или тендера является документированное соответствие системы защиты персональных данных требованиям нормативных актов.

Система защиты персональных данных является средством поддержания непрерывности бизнеса, позволяющее компаниям продолжать свою деятельность, не опасаясь претензий со стороны клиентов, сотрудников и регулирующих органов.

Создание системы защиты персональных данных состоит из трех стадий, которые выполняются в несколько этапов:

	Обследование информационных систем персональных данных	С Т А Д И Я
Предпроектное обследование позволяет получить актуальную информацию процессах обработки и защиты персональных данных в компании, а также провести анализ соответствия имеющихся документов и мероприятий, проводимых в компании, нормативной базе в области защиты персональных данных.
	Разработка концепции защиты персональных данных и выработка рекомендаций по оптимизации процессов обработки и защиты информации
Данный документ позволяет оценить варианты реализации проекта, установить отправные точки и ограничения внедрения проекта, проблемные вопросы и описания предлагаемых решений, а также перечень и стоимость предполагаемых к использованию технических и программных средств защиты информации.
	Определение уровня защищенности персональных данных
Определяется тип угроз безопасности персональных данных, актуальных для информационной системы, а также состав персональных данных и количество субъектов персональных данных. На основании этой информации определяется уровень защищенности персональных данных.
	Разработка модели угроз безопасности персональных данных и модели нарушителя
Документ содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Эти угрозы могут быть обусловлены преднамеренными или непреднамеренными действиями физических лиц, действиями зарубежных спецслужб или организаций, а также криминальных группировок, создающих условия (предпосылки) для нарушения безопасности персональных данных, которое ведет к ущербу жизненно важным интересам Общества, субъектов ПДн и государства.
	Разработка Технического задания на создание системы защиты персональных данных
Частное техническое задание на создание системы защиты персональных данных для информационной системы, обрабатывающей персональные данные, определяет назначение, цели создания системы, требования к основным видам технического и организационного обеспечения, порядок разработки и внедрения СЗПДн.
	Проектирование системы защиты персональных данных
Целью работы является разработка технического проекта на систему защиты информационных систем, обрабатывающих персональные данные, с учетом требований нормативных документов по защите персональных данных.
	Разработка комплекта организационно-распорядительной документации
Комплект организационно-распорядительных документов, регламентирующих процессы обработки и защиты ПДн состоит из нескольких десятков документов, наличие которых требуется для приведения процессов организации обработки и защиты персональных данных в соответствие с действующим законодательством.
	Поставка средств защиты информации	С Т А Д И Я
Поставка средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации.
	Установка и настройка средств защиты информации
Установка и настройка средств защиты информации с условием обеспечения корректности функционирования информационной системы персональных данных и совместимостью выбранных средств защиты информации с программным обеспечением и техническими средствами информационной системы персональных данных.
	Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных	С Т А Д И Я
Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных производится до ввода в эксплуатацию информационной системы персональных данных. Указанная оценка проводится не реже одного раза в 3 года. Проводится для коммерческих организаций
	Аттестация информационных систем персональных данных по требованиям безопасности информации
Аттестация информационной системы включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации информационной системы требованиям безопасности информации. Проводится для государственных организаций .

Федеральный закон № 152-ФЗ и подзаконные акты (Приказ ФСТЭК № 21 от 18.02.2013, Постановление Правительства РФ №1119 от 01.11.2012), устанавливают ряд обязательных требований, в том числе технического характера, которые должны выполняться организациями, осуществляющими обработку персональных данных (операторами персональных данных) с использованием информационных систем, включая меры защиты персональных данных от случайного или неправомерного доступа к ним, изменения, копирования, блокирования, уничтожения, распространения и других неправомерных действий.

Мероприятия по защите персональных данных

АМТЕЛ-СЕРВИС предоставляет услуги защиты персональных данных для организаций различных отраслей, в т.ч. хранящих и обрабатывающих данные в корпоративном или публичном облаке, осуществляющих трансграничную передачу персональных данных россиян. Наша компания работает с проектами в области защиты ПДн среднего и крупного масштаба, стоимостью от 250 тыс. рублей. Всю документацию мы разрабатываем индивидуально и учитываем всю специфику процессов вашей компании, а не просто адаптируем универсальные шаблоны, как это делают многие ИТ-поставщики в целях экономии.

АМТЕЛ-СЕРВИС реализует весь комплекс организационных и технических мероприятий для обеспечения защиты персональных данных (ИСПДн):

• Аудит на соответствие требованиям 152-ФЗ, 242-ФЗ, разработку детального отчета
• Разработку модели угроз, классифицирование информационных систем персональных данных (ИСПДн)
• Разработку комплекта организационно-распорядительной документации
• Разработку технического задания на создание системы защиты
• Проектирование системы защиты ИСПДн
• Внедрение системы безопасности ИСПДн, включая поставку, монтаж, настройку оборудования и ПО, проведение пуско-наладочных работ, разработку эксплуатационной документации, опытную эксплуатацию системы, проведение приемочных испытаний
• Аттестационные испытания
• Консультационную поддержку и сопровождение, включая консультации при проведении проверок Регуляторами (Роскомнадзор, ФСТЭК России, ФСБ России).

Альтернативой построению ИСПДн для небольших компаний может стать облачный сервис «Облако ФЗ-152». Это позволит сэкономить на обслуживании и гарантировать обеспечение защиты персональных данных за разумные деньги.

Преимущества сотрудничества с нами

Защита ПДн, включая аттестацию, аудит защиты персональных данных, а также внедрение системы защиты, — одна из самых востребованных услуг АМТЕЛ-СЕРВИС в сфере ИБ. Заказывая услуги по обеспечению защиты ИСПДн предприятия из Москвы и регионов получают:

• Полный комплекс мероприятий - от проверки на соответствие требованиям 152-ФЗ до проектирования и внедрения системы ЗПДн и прохождения аттестационные испытаний
• Доступ к глубокой экспертизе в области информационной безопасности для полной и всесторонней оценки эффективности работы системы ИБ - в АМТЕЛ-СЕРВИС работают квалифицированные специалисты с многолетним опытом работы
• Решение, реализованное на передовых технологиях и средствах защиты информации, обеспечивающее комплексную и надежную защиту ИТ-систем при оптимальном бюджете.

Качество услуг АМТЕЛ-СЕРВИС подтверждено международными сертификатами, большим опытом работы и многочисленными клиентами. Мы входим в ТОП-30 ведущих компаний в сфере защиты информации. У нас в наличии есть все необходимые для проведения работ лицензии ФСТЭК и ФСБ России. Позаботьтесь о защите ПДн: обращайтесь в нашу компанию.

1. Настоящий документ устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) и уровни защищенности таких данных.

2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19

Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

3. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.

4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".

5. Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.

Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.

Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона "О персональных данных".

Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные в абзацах первом - третьем настоящего пункта.

Информационная система является информационной системой, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора.

6. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".

8. При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.

9. Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

10. Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;

г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

11. Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;

д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

12. Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.