Основные методы защиты персональных данных работников

Конституцией РФ предусматривается защита персональных данных – необходимая работодателю информация о сотруднике, предусматриваемая трудовыми отношениями и касающаяся конкретного человека. Узнайте в статье о защите персональных данных, основных методах и возможных сложностях.

Что следует подразумевать под персональными данными: ФИО человека; год, месяц и число рождения; место рождения; адреса; семейное положение; социальный статус; информация об имуществе; образование; профессия; доходы и прочее. Работодатель вправе производить сбор и обработку исключительно той информации о своем подчиненном, которая непосредственно касается их правоотношений. Как защитить персональные данные? Федеральный закон №149, а в частности его статья 16 предусматривает комплекс мер, направленных на защиту персональных данных работников организаций. В соответствии с законом, работодатель должен обеспечить защиту полученной им информации от каких-либо действий с третей стороны, которые могут быть выражаться в следующем: неправомерный доступ к информации; модифицирование; уничтожение; блокировка; копирование; распространение и пр.

Меры защиты информации: Для защиты информации личного характера работников, работодатель должен соблюдать элементарные правила конфиденциальности доступа к данным. Предотвращение неправомерного доступа к данным и последующей их передачи. В случае несанкционированного доступа – своевременное обнаружение данного факта и исключение возможных негативных последствий подобного действия. Предотвращение возможности воздействия на технические средства, которыми производится обработка информации во избежание нарушения их функционирования. Обеспечить наличие защищенных копий с целью незамедлительного восстановления данных в случае несанкционированного доступа к ним. Основной мерой является контроль, в частности – за уровнем защищенности данных.

Способы.

Поскольку информация о работниках чаще всего хранится в электронном виде, образуя базы данных в информационных системах, то целесообразно рассмотреть методы и способы защиты именно в этой области. Только в той информационной системе, возможно обеспечить защиту данных работников, к которой исключен доступ злоумышленников и созданы условия для исключения возможности вмешательства в работу ее базовых элементов. Рассмотрим основные способы защиты персональных данных сотрудников в информационной системе: самое первое, что необходимо сделать – ограничить доступ лиц к помещениям с техническими средствами, которые осуществляют обработку и хранение информации. Обеспечить охраной такие помещения; использование антивирусов. Подобные программы позволят предотвратить утечку информации, препятствуя работе вирусов и червей; обеспечение защиты межсетевыми экранами. Такой метод направлен на защиту от целенаправленных атак, в то время как цель антивируса – массовые; установка систем предотвращения вторжения, задача которых – выявление нападений и блокировка наиболее активных атак в проходящем трафике; обеспечение системы сканерами уязвимости позволяют проверять ее на наличие «брешей»; организовать регистрацию действий работников; осуществлять контроль входящей-исходящей информации; не менее значимы криптографические методы защиты информации (шифрование). Проблемы Проблемы, возникшие после появления закона, для некоторых остались актуальными. Так, среди основных вопросов: классификация сведений о сотруднике; необходимость получить лицензию ФСТЭК РФ, позволяющую действовать в рамках технической защиты конфиденциальных данных; не меньшую проблему представляют завышенные, по мнению экспертов, требования к системе защиты информации; вопрос по определению ответственного сотрудника за процесс защиты данных и пр. Решение этих проблем каждая отдельная организация находит сама, руководствуясь законами и прибегая к помощи опытных юристов. За нарушение норм защиты персональных данных предусмотрено наказание. На нарушителя может возлагаться материальная ответственность, дисциплинарная, административная и уголовная. Применение таких мер может применяться к обеим сторонам: к работодателю и к работнику. Не смотря на то, что многие эксперты считают Федеральный закон обобщенным и нуждающимся в доработке, этот документ все же обеспечивает выполнение права человека на конфиденциальность. Суть закона заключается в требовании к компаниям создавать безопасные и защищенные информационные системы, которые будут доступны не только для сохранения личных данных работников, но и любой другой конфиденциальной информации организации. Качество защиты информации не только о сотрудниках, но и компании в целом зависит от отношения руководителя к этому процессу, к правам работников и к своим собственным, поскольку именно администрация предприятий обязана осуществлять контроль за выполнением закона и соблюдением порядка хранения-защиты персональных данных.

Какие источники угрожают информационной безопасности?

Если описывать классификацию угроз, которые обходят защиту информационной безопасности, то можно выделить несколько классов. Понятие классов обязательно, ведь оно упрощает и систематизирует все факторы без исключения. В основу входят такие параметры, как:

1. Ранг преднамеренности совершения вмешательства в информационную систему защиты:

угроза, которую вызывает небрежность персонала в информационном измерении;

угроза, инициатором которой являются мошенники, и делают они это с целью личной выгоды.

2. Характеристики появления:

угроза информационной безопасности, которая провоцируется руками человека и является искусственной;

природные угрожающие факторы, неподконтрольные информационным системам защиты и вызывающиеся стихийными бедствиями.

3. Классификация непосредственной причины угрозы. Виновником может быть:

человек, который разглашает конфиденциальную информацию, орудуя с помощью подкупа сотрудников компании;

природный фактор, приходящий в виде катастрофы или локального бедствия;

программное обеспечение с применением специализированных аппаратов или внедрение вредоносного кода в техсредства, что нарушает функционирование системы;

случайное удаление данных, санкционированные программно-аппаратные фонды, отказ в работе операционной системы.

4. Степень активности действия угроз на информационные ресурсы:

в момент обрабатывания данных в информационном пространстве (действие рассылок от вирусных утилит);

в момент получения новой информации;

независимо от активности работы системы хранения информации (в случае вскрытия шифров или криптозащиты информационных данных).

Что такое “защита персональных данных”?

Фактически только этот закон ввел требование о неразглашении персональных данных теми организациями, которыми они были получены при ведении хозяйственной деятельности от граждан. В ст. 7 ФЗ-152 это правило сформулировано кратко: оператор должен соблюдать конфиденциальность. 

 Федеральный закон от 27 июля 2006 года 152-ФЗ «О персональных данных» в 2018-2019гг. состоит из 27 статей (в официальном тексте 25 статьей, но есть статьи с номерами 18.1 и 22.1). Последние изменения были внесены в 2017 году, однако они не были существенными. В ближайшее время глобальных поправок не планируется. Несмотря на то, что есть законодательные инициативы об изменениях, они вряд ли они будут приняты, но об этом позже.

Основная цель данного нормативного акта – защита личных, частных данных граждан, установление требований к порядку их распространения и использования. Федеральный закон ФЗ-152 от 27.07.2006 «О персональных данных» ввел такие важные положения, как необходимость получения согласия гражданина на использование данных сведений, порядок их сбора, обработки и хранения, ответственность за нарушения требований закона, недопустимость передачи сведений без согласия гражданина.

С необходимостью предоставлять свои персональные данные другим субъектам правоотношений граждане сталкиваются постоянно, но далеко не всегда эти данные используются на благо их владельцев. Более того, в руках преступников персональные данные могут стать серьезным оружием.

В целях защиты прав и свобод человека в этой области принят Федеральный закон ФЗ-152 «О персональных данных» – его последняя редакция 2018-2019гг. доступна для скачивания в конце статьи. Читайте подробный обзор основных положений документа ниже.

Она обозначена в ст. 1 закона – это отношения, связанные с обработкой информации о гражданах. Действие нормативного акта не распространяются на следующие правоотношения:

обработка физлицами в личных и семейных целях, при которой не нарушаются права субъектов;

взаимодействие с документами в Архивном фонде РФ;

обработка гостайны;

для судов принят отдельный закон ФЗ-262.

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ��ерсональными данными;

3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Защи́та персональных данных — комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Защита персональных данных включена в раздел охраны труда на предприятии, является самостоятельным элементом. Государство гарантирует работникам защиту их персональных данных, а также их права на труд, с учетом использования их персональных данных (например, паспорт).

В Указе Президента РФ от 06.03.97 № 188 конкретизируется, какие сведения подразумевают. Это информация о человеке и событиях его жизни, которая позволяет идентифицировать его как личность. Персональные данные физического лица – это: фамилия, имя, отчество гражданина; дата его рождения, а также место рождения; адрес постоянного и временного проживания; сведения о семье и социальном положении гражданина; данные о его образовании, профессии и должности; сведения о доходах и имущественном положении; биометрические персональные данные.

Любое использование материалов допускается только при наличии гиперссылки.

�� главе второй закона приведены принципы и условия обработки сведений. Основные принципы:

обработка должна соответствовать заранее установленным целям;

объединение баз данных не допускаются, если заявленные цели обработки персональных данных несовместимы;

при обработке соблюдается точность, достаточность и актуальность (в необходимых случаях) содержания данных;

хранении должно быть обеспечено в такой форме, чтобы можно было определить субъекта данных.

Основное условие – получение согласия. Без этого обработка сведений допускается только в строго установленных законом случаях, например, когда она необходима для защиты жизни и т.д. В этой же главе дано разъяснение понятия биометрические данные, трансграничная передача (на территории иностранных государств).

Этапы работ по защите персональных данных.

Обязательные (в том числе предварительные) этапы работ по защите персональных данных:

Определить все ситуации, когда требуется проводить обработку персональных данных (ПДн).

Выделить бизнес-процессы, в которых обрабатываются персональные данные.

Выбрать ограниченное число бизнес-процессов для проведения аналитики. На этом этапе формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности.

Определить круг информационных систем и совокупность обрабатываемых ПДн.

Провести категорирование ПДн и предварительную классификацию информационных систем (ИС).

Выработать меры по снижению категорий обрабатываемых ПДн.

Сформировать актуальную модель угроз для каждой информационной системы обработки персональных данных (ИСПДн).

Подготовить техническое задание (ТЗ) по созданию требуемой системы защиты.

Провести уточнение классов ИС, с последующей подготовкой рекомендаций по использованию технических средств защиты ПДн.

Подать уведомление о начале обработки персональных данных в Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) для регистрации в качестве оператора ПДн.

Отправить заявку на получение экземпляров руководящих документов ФСТЭК России по организации системы защиты.

Разработать требования для конкретной ИСПДн, с учетом присвоенного класса защиты.

Подготовить технический проект по защите ИСПДн и помещений.

Разработать пакет организационно-распорядительных документов для СЗПДн (положения, приказы, инструкции, регламенты);

Спроектировать и внедрить систему защиты персональных данных (СЗПДн);

Взять согласия на обработку ПДн с субъектов персональных данных;

Проводить контрольные мероприятия по выявлению нарушений защиты персональных данных.

Проверить при трансграничной передаче находится ли получатель персональных данных в стране, где осуществляется надлежащая защита персональных данных.

Изменения 2018-2019гг

Закон «О персональных данных» в 2018-2019гг. вряд ли подвергнется изменениям, никаких соответствующи�� законопроектов на рассмотрении в Госдуме нет. Единственная инициатива, исходящая от фонда «Сколково» пока находится в рабочей группе по нормативному регулированию цифровой экономики. Однако предложенные изменения вряд ли будут приняты, так как противоречат смыслу и положениям закона. Инициаторы поправок предлагают позволить операторам передавать сведения без согласия субъектов.