Ответить в теме: О персональных данных
Для входа нажмите здесь
Вы можете выбрать иконку, характеризующую сообщение
Преобразит www.example.com в [URL]http://www.example.com[/URL].
Здравствуйте, я пишу диплом по ПДн. Есть некоторые вопросы, не могли бы помочь?
Где найти инструкцию по выполнению мероприятий по обеспечению безопасности ПДн?
Сообщение от Urban Если вы в положении пишите что работает без средств автоматизации, то у вас все в ажуре. Самые проблемы у тех у кого есть эти самые средства автоматизации. Причем что это за средства непонятно. Компьютер? Калькулятор? Дырокол и папка? Кароче как обычно - никто не знает, кроме проверяющих и тех, кто "написал" закон. но пока все молчат. Не стоит заблуждаться! Защищать нужно ИСПДн при использовании средств автоматизации и без использования этих средств! информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. Из ПП781: 1. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы). Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах. Об этом ответил тут: http://forum.klerk.ru/showthread.php...3#post52476333
Сообщение от Аноним Коллеги, вторгнусь в вашу беседу мы, например, непосредственно, обрабатываем персональные данные не только работников, но и клиентов, просто, приняли у себя в организации положение о порядке работы с персональными данными. в чем сложность-то? нарисовать его что ли сложно??? Если вы в положении пишите что работает без средств автоматизации, то у вас все в ажуре. Самые проблемы у тех у кого есть эти самые средства автоматизации. Причем что это за средства непонятно. Компьютер? Калькулятор? Дырокол и папка? Кароче как обычно - никто не знает, кроме проверяющих и тех, кто "написал" закон. но пока все молчат.
Сообщение от Аноним Коллеги, вторгнусь в вашу беседу мы, например, непосредственно, обрабатываем персональные данные не только работников, но и клиентов, просто, приняли у себя в организации положение о порядке работы с персональными данными. в чем сложность-то? нарисовать его что ли сложно??? Пост 9 почитайте
Коллеги, вторгнусь в вашу беседу мы, например, непосредственно, обрабатываем персональные данные не только работников, но и клиентов, просто, приняли у себя в организации положение о порядке работы с персональными данными. в чем сложность-то? нарисовать его что ли сложно???
Сообщение от Egregor Системы защиты данных продаете? Пожалуй не я один так думаю. http://forum.klerk.ru/showthread.php?t=303628
Сообщение от kzi Утечка ПДн непосредственно относиться к жизни граждан. Т.к. утечка ПДн о состоянии здоровья, или заработкам, или о частной жизни, или другой информации, отнесенной к ПДн, может серьезно повлиять (изменить) жизнь данного субъекта, если такая информация будет предана огласке. Дружище, kzi, не надо из кожи вон лезть, пытаясь всех здесь запугать. Системы защиты данных продаете? Я говорю о самом факте наличии неаттестованной системы в организации, в честности малом предприятии, коих львиная доля, никто за это деятельность не приостановит, а если произойдет утечка ПД, которая повлечет ущерб и вина будет доказана, наличие системы будет слабым утешением.
Наказание: Согласно Трудовому кодексу: Максимальное Увольнение и денежное вознаграждение по согласованию (сотруднику, получившему ущерб от воздействия на его персональные данные со стороны работодателя); Согласно Кодексу административных правонарушений: Максимально – штраф 500 000 руб., конфискация и приостановление деятельности организации на срок до 90 суток, дисквалификация должностного лица до 3-х лет; Согласно Уголовному кодексу: Максимально – штраф 300.000 руб., обязательные работы на срок до 1-го года, арест до 6-ти месяцев, лишение права занимать должность на срок до 5-ти лет. Утечка ПДн непосредственно относиться к жизни граждан. Т.к. утечка ПДн о состоянии здоровья, или заработкам, или о частной жизни, или другой информации, отнесенной к ПДн, может серьезно повлиять (изменить) жизнь данного субъекта, если такая информация будет предана огласке.
Сообщение от kzi еще есть одна мера наказания - вплоть до останвки основной деятельности организации (в которой ведеться обработка ПДн) kzi, я ведь не призываю игнорировать закон. Вопрос в том, а чего, собственно, будет стоить малому предприятию пройти такую чудную аттестацию? Можно назвать еще с десяток оснований, помимо ПД, когда эта мера может применяться, но используется она, прежде всего, когда дело касается жизни и здоровья сотрудников.
Сообщение от Egregor И даже после всего этого найдут за что прихватить. Поэтому с одной стороны пугаемся, а с другой не забываем про ст. 13.11 КоАПа и сопоставляем свои затраты. Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей. Есть еще, конечно, УК 137, 140, 272 и 13.14, 5.39 КоАПа хранить и использовать персональные данные нужно, соблюдая требования Трудового кодекса и других федеральных законов (ст. 87 ТК). еще есть одна мера наказания - вплоть до останвки основной деятельности организации (в которой ведеться обработка ПДн). А это уже .... Поэтому новый закон дополняет ТК (главу 14). Про ответственность: ТК - ст. 81, 90, 195, 237, 391. КоАп - ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 20.25, 32.2. УК - ст. 137, 140, 155, 171, 183, 272, 273, 274.
Сообщение от kzi Для выполненияе работ по обеспечению безопасности ПДн необходимо получить необходимые лицензии ФСТЭК или обратиться к лицензиату ФСТЭК, чтобы тот провел комплекс мероприятий (создание системы защиты, установка-настройка, разработка необходимых организационно-распорядительных документов, аттестация). И даже после всего этого найдут за что прихватить. Поэтому с одной стороны пугаемся, а с другой не забываем про ст. 13.11 КоАПа и сопоставляем свои затраты. Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей. Есть еще, конечно, УК 137, 140, 272 и 13.14, 5.39 КоАПа
Начать нужно с классификации системы. Читайте Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных". Потом читаем Постановление Правительства N 781, там описаны общие мероприятия: 11. При обработке персональных данных в информационной системе должно быть обеспечено: а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; б) своевременное обнаружение фактов несанкционированного доступа к персональным данным; в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование; г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; д) постоянный контроль за обеспечением уровня защищенности персональных данных. 12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз; б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем; в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации; г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией; д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними; е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных; ж) учет лиц, допущенных к работе с персональными данными в информационной системе; з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; к) описание системы защиты персональных данных. Более конкретные требования (мероприятия), ОБЯЗАТЕЛЬНЫЕ к исполнению, прописаны в 4х документах ФСТЭК (они ДСП) и 2х документах ФСБ. Для выполненияе работ по обеспечению безопасности ПДн необходимо получить необходимые лицензии ФСТЭК или обратиться к лицензиату ФСТЭК, чтобы тот провел комплекс мероприятий (создание системы защиты, установка-настройка, разработка необходимых организационно-распорядительных документов, аттестация).
Сообщение от kzi Julia111 – Вы явно путаете! Оператор – это организация, обрабатывающая ПДн, субъект – это лицо, чьи данные обрабатывает Оператор. Субъект не может быть Оператором. Все ответственность за обработку ПДн лежит на Операторе (организации), который и будет отвечать за несоблюдение закона № 152-ФЗ при проверках надзирающих органов или при исках со стороны Субъектов. Согласно Федеральному закону "О персональных данных" (№ 152-ФЗ от 27.07.2006г.) информационные системы персональных данных (ИСПДн), созданные до дня вступления в силу Федерального закона, должны быть приведены в соответствие с требованиями Федерального закона не позднее 1 января 2010 года, все вновь создаваемые информационные системы персональных данных также должны соответствовать требованиям Федерального закона. Такие системы есть на каждом предприятии, в любой организации. Информационной системой персональных данных может быть, например, система автоматизации бухгалтерского учета ("1С Бухгалтерия"), или система автоматизации расчета зарплаты и кадрового учета ("1С Зарплата"), или система персонифицированного учета для ПФР, или базы данных клиентов, сотрудников организации, анкеты в электронном виде и т.п. Речь идет не только о согласии субъектов на обработку своих ПДн, но прежде всего о комплексе мероприятий, которые необходимо провести для обеспечения безопасности ПДн и соответствии требованиям ФЗ 152 и постановления правительства № 781. В большей части это касается информационных систем, в которых обрабатываются ПДн. Обработка ПДн без средств автоматизации изменилась мало. О каком комплексе мероприятий идет речь? С чего начать?
Сообщение от Julia111 А как вы думаете - попадает ли наша деятельность под "обработку персональных данных, осуществляющихся в целях исполнения договора, одной из сторон которого является субъект персональных данных"? ведь сотрудник - часть организации, которая является субъектом, заключившим договор... Julia111 – Вы явно путаете! Оператор – это организация, обрабатывающая ПДн, субъект – это лицо, чьи данные обрабатывает Оператор. Субъект не может быть Оператором. Все ответственность за обработку ПДн лежит на Операторе (организации), который и будет отвечать за несоблюдение закона № 152-ФЗ при проверках надзирающих органов или при исках со стороны Субъектов. Согласно Федеральному закону "О персональных данных" (№ 152-ФЗ от 27.07.2006г.) информационные системы персональных данных (ИСПДн), созданные до дня вступления в силу Федерального закона, должны быть приведены в соответствие с требованиями Федерального закона не позднее 1 января 2010 года, все вновь создаваемые информационные системы персональных данных также должны соответствовать требованиям Федерального закона. Такие системы есть на каждом предприятии, в любой организации. Информационной системой персональных данных может быть, например, система автоматизации бухгалтерского учета ("1С Бухгалтерия"), или система автоматизации расчета зарплаты и кадрового учета ("1С Зарплата"), или система персонифицированного учета для ПФР, или базы данных клиентов, сотрудников организации, анкеты в электронном виде и т.п. Речь идет не только о согласии субъектов на обработку своих ПДн, но прежде всего о комплексе мероприятий, которые необходимо провести для обеспечения безопасности ПДн и соответствии требованиям ФЗ 152 и постановления правительства № 781. В большей части это касается информационных систем, в которых обрабатываются ПДн. Обработка ПДн без средств автоматизации изменилась мало.
А как вы думаете - попадает ли наша деятельность под "обработку персональных данных, осуществляющихся в целях исполнения договора, одной из сторон которого является субъект персональных данных"? ведь сотрудник - часть организации, которая является субъектом, заключившим договор...
http://forum.klerk.ru/showthread.php...E0%ED%ED%FB%E5 вот здесь например обсуждали, со ссылками на статьи закона. А вообще - внимательно прочитайте сам закон.
Что-то не очень получается... А если дело касается не работодателя, а фирмы, которая ведет кадровый учет?
пасип
Надо читать закон о персональных данных, там есть оговорка - кроме работодателей или что-то в этом роде. Тема здесь уже обсуждалась, поищите поиском
Здравствуйте! Сегодня служба персонала прислала письмо примерно такого содержания: "Есть такой закон о персональных данных (от 2006), согласно этому закону оператор персональных данных (любая организация, которая собирает, обрабатывает, т.е. любым образом использует персональные данные физ. лица) должен: 1. уведомить Федеральную службу по надзору в сфере связи и массовых коммуникаций о своем намерении осуществлять обработку персональных данных. 2. получить письменное разрешение на использование персональных данных самого носителя персональных данных. Таким образом, получается, что мы должны известить Россвязькомнадзор и получать письменные разрешения наших работников и работников наших клиентов о возможности обрабатывать их персональные данные?" Честно говоря, я в растерянности, т.к. первый раз о таком слышу... Кто-то уже получал такие разрешения?
Правила форума