340 likes | 825 Views
Компания «Партнер». Защита персональных данных. готовимся к выполнению 152-ФЗ. Практика проверок Роскомнадзором по состоянию на сегодняшний день:. Проводит проверку операторов персональных данных на предмет проверки сведений, содержащихся в уведомлении об обработке персональных данных
E N D
Компания «Партнер» Защита персональных данных готовимся к выполнению 152-ФЗ
Практика проверок Роскомнадзором по состоянию на сегодняшний день: • Проводит проверку операторов персональных данных на предмет проверки сведений, содержащихся в уведомлении об обработке персональных данных • По обращению субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки
Ответы на вопросы по защите персональных данных Необходимо ли получение согласия у работников для оформления полиса добровольного медицинского страхования (ДМС)? Возможно ли, прописав в Положении порядок обработки таких данных в соответствии с целями указанным в 14 главе ТК РФ, не получать письменное согласие? При оформлении ДМС работодателю необходимо получить согласие работника на передачу его персональных данных страховой компании. Закрепление порядка обработки персональных данных, необходимых для оформления ДМС, в Положении, установленном гл. 14 ТК РФ, не является основанием, исключающим необходимость получения соответствующего согласия работника.
Ответы на вопросы по защите персональных данных Через "Такском" передаем отчет по НДФЛ в налоговую и по пенсионным взносам в ПФР. Необходимо ли перезаключать договор с Такскомом, подавать данные в Роскомнадзор? Обязанность передачи данных в налоговые органы и ПФР в отношении своих работников вытекает из норм Налогового кодекса РФ и требований Федерального закона от 24.07.2009 № 212-ФЗ "О страховых взносах в Пенсионный фонд РФ, Фонд социального страхования РФ, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования". В соответствии с подпунктом 1 пункта 2 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" оператор персональных данных вправе осуществлять без уведомления Роскомнадзора обработку персональных данных относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения. Соответственно направление уведомления в Роскомнадзорв рассматриваемом случае не требуется. Кроме того, указанная деятельность подпадает под исключения п. 1 ч. 2 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" и не требует согласия субъекта на обработку его персональных данных. Перезаключать договоров с Такскомом в данной ситуации также не нужно.
Ответы на вопросы по защите персональных данных Наша организация выплачивает зарплату сотрудникам в рамках "зарплатного проекта". На основании договора с банком осуществляются Перечисления по безналичному расчету на карточки сотрудника. Каждый из сотрудников персонально заключает с банком договор. Подавать данные в Роскомнадзор? Если в тексте договора отражена обязанность работодателя передать банку сведения о работниках для последующего заключения договоров, то в данном случае работодатель обязан уведомить работника о передаче его персональных данных и получить его согласие. Если в тексте договора отражены только общие условия, в том числе обязанность работодателя обеспечить заключение договоров банка с работниками, то согласие работников не требуется, но работодатель обязан уведомить работников о заключенном договоре с банком. Указанный договор, в обоих случаях, обязан содержать существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке. Принимая во внимание, что указанная деятельность не подпадает под обязательные требования трудового законодательства, работодатель обязан представить уведомление об обработке персональных данных в адрес уполномоченного органа.
Ответы на вопросы по защите персональных данных На вопросы отвечал Ю.Е. Контемиров, начальник отдела организации контроля и надзора соответствия требованиям обработки персональных данных Управления по защите персональных данных Роскомнадзора
152-ФЗ и 1С-Предприятие Из ответа, полученного из Россвязькомнадзора РФ: «Субъекты предпринимательской деятельности, осуществляющие обработку персональных данных работников с помощью программных продуктов ЗАО «1С», являются операторами, осуществляющими обработку персональных данных».
152-ФЗ Требования к 1С: Ряд дополнительных требований предъявляется и к программному обеспечению, не признаваемому средством защиты информации. Именно к данной категории относятся программные продукты, разрабатываемые фирмой "1С". В связи с чем, фирмой "1С" проводятся работы по направлениям: • организация сертификации в системе ФСТЭК России защищенного программно-аппаратного комплекса «1С:Предприятие, версии 8.1z» на соответствие требованиям руководящих документов по защите от несанкционированного доступа, а также на соответствие требованиям, предъявляемым к средствам защиты информации, входящих в состав ИСПДн, по обработке персональных данных до класса К2 включительно; • доработка прикладных программных продуктов, в том числе "1С:Зарплата и управление персоналом" (реализовано в версии 2.5.19, 16.12.2009) и "1С:Зарплата и кадры бюджетного учреждения"; • разработка методических рекомендаций для пользователей и партнеров фирмы "1С" с целью организации и проведения работ по защите персональных данных. • ведутся подготовительные работы к сертификации ПП «1С: Предприятие, версии 8.1(8.2)» на гостайну в системах ФСТЭК и Минобороны РФ • сертификация продуктов 1С-Битрикс Технические возможности платформы "1С:Предприятие 7.7" позволяют обеспечить выполнение требований закона 152-ФЗ только до класса 3. Это следует учитывать пользователям при выборе систем автоматизации, построении и классификации информационных систем персональных данных
Организационные вопросы защиты персональных данных Пример проведения классификации: Возьмем для примера сведения, подлежащие учету в программе "1С:Бухгалтерия 8". Например, при внесении записи в Справочник Физические лица подлежат указанию следующие сведения: ФИО, дата рождения, пол, место рождения, паспортные данные, гражданство, инвалидность, страховой номер свидетельства в ПФР, ИНН. Кроме того, в базе данных будет также содержаться информация об адресе места жительства физического лица, телефоне, должности и другие сведения, в том числе финансового характера. В ряде случаев могут возникнуть вопросы по поводу таких сведений как гражданство и инвалидность. Но ведь мы понимаем, что гражданство не является синонимом национальной принадлежности, а понятия состояние здоровья и инвалидность не тождественны. Данные сведения необходимы для правильного исчисления налогов с учетом требований законодательства. Соответственно, можно говорить, что персональные данные, вводимые и обрабатываемые в "1С:Бухгалтерии 8", соответствуют классу К3. Необходимо учитывать, что в случае дополнения базы дополнительными реквизитами, организация рискует понизить класс и соответственно повысить требования по защите этой информации. Например, в случае внесения в информационную систему данных о состоянии здоровья (например, о заболеваниях) класс информационной системы будет К1, а требования, предъявляемые по защите таких данных максимальными
Организационные вопросы защиты персональных данных Пример проведения классификации: Кроме того, среди факторов, подлежащих анализу, необходимо учитывать: • структуру информационной системы (автономные, локальные вычислительные системы с и без удаленного доступа); • наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена; • режим обработки персональных данных (однопользовательский или многопользовательский); • наличие системы с разграничением прав доступа пользователей информационной системы или без; • местонахождение технических средств информационной системы - целиком в России или нет.
Рекомендации по защите ПДн Важно отметить, что в целях снижения расходов на проведение мероприятий по защите ПДн может быть рекомендовано: • проведение тщательного анализа и возможное сокращение перечня получаемых и обрабатываемых сведений в отношении субъектов ПДн (далеко не каждый реквизит на самом деле будет необходим для осуществления деятельности); • осуществление обработки некоторых сведений без использования средств автоматизации; • обезличивание части ПДн; • минимизация мест хранения и обработки ПДн, разделение/сегментирование информационных систем, снижение требований к части сегментов; • сокращение числа сотрудников, имеющих доступ к ПДн; • выделение рабочих мест, где используются ПДн, в отдельную локальную вычислительную систему и организация защиты только ее; • передача по каналам связи только обезличенной информации.
Обработка персональных данных в "зарплатных" конфигурациях "1С:Предприятия 8" • Механизм доступен в конфигурациях "Зарплата и управление персоналом" 2.5.19 и "Зарплата и кадры бюджетного учреждения" 1.0.8 при использовании платформы "1С:Предприятие" версии 8.2.10 • Согласно подзаконным актам степень защиты данных зависит от класса информационной системы, который в свою очередь определяется количеством субъектов (в нашем случае физических лиц), количеством организаций и спецификой персональных данных. Инструментарий конфигураций способен обеспечить защиту персональных данных в соответствии с требованиями Федерального закона от 27.06.2006 № 152-ФЗ (далее - Федеральный закон № 152-ФЗ) к информационным системам классов 3 и 2, в которые и входят большинство систем пользователей 1с.
Обработка персональных данных в "зарплатных" конфигурациях "1С:Предприятия 8" Для защиты персональных данных в информационных системах класса 3 необходимо фиксировать события аутентификации (входа в систему) и отказа от аутентификации, которые по умолчанию включены. Для соответствия требованиям Федерального закона № 152-ФЗ к информационным системам класса 2 необходимо в числе прочего регистрировать события доступа и отказа в доступе к конкретным персональным данным. Иначе говоря, нужно "уметь" ответить на вопросы "Кто, когда, получил доступ к зарплате Иванова?", и "Кто и когда его получить пытался, но не смог" (из-за ограничения прав)?". В новой версии 8.2.10 платформы "1С:Предприятие 8" добавлены возможности, которые решают эту задачу. А именно: регистрация событий доступа и отказа в доступе к данным и, соответственно, просмотр сведений о зарегистрированных событиях с точностью до полей данных.
Обработка персональных данных в "зарплатных" конфигурациях "1С:Предприятия 8" Итак, данные, подпадающие под определение "персональные", разбиваются на четыре области: • личные сведения; • сведения об образовании и компетенциях; • сведения об имуществе; • сведения о доходах. Пользователю (администратору информационной системы) предлагается установить области данных, для которых будет выполняться регистрация событий доступа и отказа в доступе:
Форма настройки режима защиты персональных данных:
Обработка персональных данных в "зарплатных" конфигурациях "1С:Предприятия 8" Это вовсе не означает, что частично "включив" регистрацию событий, мы "частично" выполняем требования закона. Просто наиболее вероятным кажется сценарий, при котором доступ к таким областям данных, как сведения о доходах, например, находится в руках у очень ограниченного круга лиц и детально регистрировать каждое отдельное событие нет необходимости. В этом случае область данных можно "отключить" и снизить нагрузку на систему. Регистрация списка лиц при доступе к данным определяет "детальность" сведений о событии. От этой настройки зависит, будет ли в журнале расшифровано "чья именно зарплата была прочитана" или будет указано: "была прочитана зарплата" без расшифровки по записям.
Обработка персональных данных в "зарплатных" конфигурациях "1С:Предприятия 8" Все события фиксируются в журнале регистрации, но просмотреть новые события в удобной форме "ответов на вопросы" можно в форме Управление персональными данными. В форму отбираются: фиксированный набор видов событий, одновременно отражается список объектов и данных субъектов для событий доступа и отказ в доступе. Благодаря отбору по субъекту фактически появляется возможность получить ответ на вопрос: "Кто читал данные Иванова? Петрова? Сидорова?"
Обработка персональных данных в "зарплатных" конфигурациях "1С:Предприятия 8" • Еще одна настройка связана с обеспечением конфиденциальности сведений о доходах. Необходимо исключить возможность сотрудников видеть сумму зарплаты коллег. Это может произойти при выплате зарплаты по кассовым ведомостям. Настройка Ограничивать количество сотрудников при печати платежных ведомостей запрещает формирование печатной формы для платежных ведомостей, содержащих больше одного сотрудника. Выплату зарплаты в таком случае следует оформлять при помощи расходного кассового ордера. • В законе упоминается обязанность оператора в ряде случаев уничтожить персональные данные по запросу субъекта. Таким образом, по заявлению физического лица работодатель обязан удалить: данные о его доходах, ИНН, страховой номер ПФР и другие сведения, хранить которые работодателя обязывает законодательство. Учитывая специфику зарплатных конфигураций, принято решение выполнять уничтожение только тех персональных данных, которые не подлежат обязательному хранению. Предполагается, что уничтожение данных может быть выполнено, например, по требованию кандидата, который предоставлял свои сведения на этапе подбора персонала, но в последствии так и не стал сотрудником. • Уничтожение сведений выполняется только пользователем с полными правами в новой форме Управление персональными данными (той же, где и производится просмотр событий). При уничтожении выполняется замена значений защищаемых полей пустыми значениями, иначе говоря, очистка полей, а ссылочная целостность базы данных сохраняется.
Технические мероприятия по защите ПД Угрозы: Утечка, копирование, хищение, разглашение, утрата, уничтожение, модификация, блокирование информации Источники угрозы безопасности Физические лица (внутренние, внешние), аппаратные закладки, программные закладки, вредоносные программы (в т.ч. вирусы), специальное воздействие на информационные системы, утечка (перехват) информации по техническим каналам
Технические мероприятия по защите ПД Уменьшают степень защищенности: • распределенные информационные системы • имеющиеся подключения к интернету • ЛВС • без ограничений по видам операций с информацией • без ограничений доступа к базе данных • многофирменная база данных • необезличенная информация в базе данных • программа, выдающая всю информацию без обработки • отсутствие системы резервного копирования • отсутствие антивирусов и сетевых экранов • свободный доступ к компьютерам и носителям информации
Обеспечение защиты персональных данных (+CD) Основной задачей данного пособия является оказание практической помощи при организации и проведении мероприятий по защите персональных данных с точки зрения планирования и проведения мероприятий, а также подготовки организационно-распорядительной документации. Предлагаемое пособие содержит пошаговые инструкции и типовые формы документов, наличие которые обязательно при осуществлении мероприятий по защите персональных данных. В отдельном разделе пособия рассмотрены вопросы применения программных продуктов, разработанных фирмой "1С", с учетом требований, предъявляемых законодательством Российской Федерации о защите персональных данных. К книге прилагается CD содержащий в электронном виде типовые формы документов, которые могут быть использованы при организации и проведении мероприятий по защите персональных данных, и необходимые нормативные правовые акты. Авторы книги: методисты фирмы "1С" Баймакова И.А., Новиков А.В., Рогачев А.И., Хыдыров А.Х. Пособие подготовлено при участии члена консультативного совета при уполномоченном органе по защите прав субъектов персональных данных Ю. Шойдина. Издательство "1С-Паблишинг", ISBN 978-5-9677-1279-1, 215 стр. Стоимость 700 руб.
Компания «Партнер» предлагает: • Методические пособия • Программные продукты по защите информации (антивирусы, сетевые экраны и так далее…) • Программные продукты 1С:Предприятие 8 (в том числе апгрейды с 1С:7.7) • Услуги по установке и настройке программных продуктов • Услуги по переносу (конвертированию) данных из других систем • Консультации по организации защиты ПД • Аутсорсинг кадрового учета и расчета заработной платы, бухгалтерского и налогового учета
Компания «Партнер» тел./факс (3955) 52-20-99, 52-91-02 partner@svline.irmail.ru www.ini.ru адрес: 47 кв-л, дом 27