Правообладателям!
Представленный фрагмент книги размещен по согласованию с распространителем легального контента ООО "ЛитРес" (не более 20% исходного текста). Если вы считаете, что размещение материала нарушает ваши или чьи-либо права, то сообщите нам об этом.Читателям!
Оплатили, но не знаете что делать дальше?Текст бизнес-книги "Организационное и правовое обеспечение информационной безопасности. Методическое пособие для студентов"
Автор книги: Андрей Обласов
Раздел: Компьютеры: прочее, Компьютеры
Возрастные ограничения: +12
Текущая страница: 1 (всего у книги 1 страниц)
Организационное и правовое обеспечение информационной безопасности
Методическое пособие для студентов
Составитель Андрей Александрович Обласов
ISBN 978-5-0051-1071-8
Создано в интеллектуальной издательской системе Ridero
Введение
Данное пособие содержит рекомендации для самостоятельной подготовки к прохождению проверок государственных регуляторов в области защиты информации.
Федеральный закон от 07.06.2006 №152 «О персональных данных» обязывает индивидуальных предпринимателей, юридических и даже физических лиц, обрабатывающих персональные данные (далее – оператор), разработать пакет организационно-распорядительной документации по вопросу обработки и защиты персональных данных.
Закон вступил в силу 27.07.2006 и требует, чтобы каждый оператор, обрабатывающий персональные данные, и независимо от формы обработки:
• осуществлял обработку данных в соответствии с требованиями закона;
• осуществлял защиту данных при их обработке;
• был зарегистрирован в реестре операторов персональных данных;
• организовал взаимодействие с субъектами персональных данных и уполномоченным регулятором (Роскомнадзором) в соответствии с требованиями закона;
• брал согласие на обработку с субъектов персональных данных;
• оформлял взаимоотношения с контрагентами, к или от которых передаются персональные данные, в соответствии с требованиями закона.
Для подготовки к выполнению 152-ФЗ существуют следующие варианты:
1. Обратиться к организации, оказывающей услуги по полноценной подготовке по 152-ФЗ по договору с гарантией прохождения проверок регуляторов.
2. При наличии штатного специалиста по информационной безопасности оператор может подготовиться к прохождению проверок и оформлению требуемой документации самостоятельно.
Порядок самостоятельной подготовки оператором выглядит следующим образом:
1. Назначить ответственное лицо за обработку персональных данных в организации.
2. Изучить закон и оценить соответствие требованиям (статья 18.1 и 19 закона).
3. Провести классификацию информационных систем персональных данных в соответствии с постановлением Правительства №1119.
4. Скорректировать договоры с контрагентами путем подписания дополнительных соглашений в части обработки персональных данных.
5. Осуществить правовую подготовку организации в соответствии со статьей 18.1 закона.
6. Осуществить техническую подготовку (защиту и оценку защищенности) информационных систем персональных данных в соответствии со статьей 19 закона.
7. Взять согласие на обработку персональных данных с сотрудников и клиентов.
8. Разработать регламенты взаимодействия с субъектами и регулятором в области обработки персональных данных.
9. Правильно оформить бумажный документооборот с персональными данными в соответствии с постановлением Правительства 687.
10. Подать уведомление об обработке персональных данных в Роскомнадзор.
1 Подача уведомления в «Роскомнадзор»
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) – федеральное подразделение (служба) Минкомсвязи России, созданное в декабре 2008 года указом Президента России Дмитрия Медведева.
Персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Правила обработки персональных данных и обязанности компаний-операторов изложены в Федеральном законе от 27.07.2006 №152-«О персональных данных». В частности, в ст. 22 этого закона указали, что компания-оператор перед началом своей деятельности обязана известить «Роскомнадзор». Уведомление «Роскомнадзора» об обработке персональных данных осуществляют в соответствии с Методическими рекомендациями по уведомлению уполномоченного органа…, утв. приказом Роскомнадзора от 30 мая 2017 г. №94. Обратите внимание, что согласно приказу №94 утратили силу рекомендации по заполнению формы уведомления, утв. Роскомнадзором от 29 января 2016 г. Также с 21 августа 2017 года больше не действует приказ Минкомсвязи России от 21 декабря 2011 г. №346.
Пример уведомления об обработке персональных данных представлен в приложении А.
2 Аудиторская проверка «Роскомнадзора»
В задачи службы входят надзор за соблюдением Российского законодательства в сфере связи, информационных технологий и СМИ, а также надзор по защите персональных данных согласно закону о персональных данных в России и деятельность по организации радиочастотной службы.
Статья 23 федерального закона от 27.07.2006 «О персональных данных» №152-ФЗ выделяет два направления деятельности Роскомнадзора: защита прав субъектов персональных данных; контроль и надзор за соответствием обработки персональных данных требованиям законодательства. Для выполнения этих функций указанная статья закона наделяет Роскомнадзор определенными полномочиями. Рассмотрим самые, на наш взгляд, важные из них. Роскомнадзор: проверяет сведения, указанные организацией в Уведомлении; может требовать от оператора уничтожения недостоверных или полученных незаконным путем персональных данных; может ограничивать доступ к информации, обрабатываемой с нарушением законодательства; вправе обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять их в суде; наделен полномочиями по привлечению к административной ответственности лиц, виновных в нарушении настоящего Федерального закона; обязан рассматривать жалобы и обращения по вопросам, связанным с обработкой персональных данных, а также принимать по ним решения в пределах своих полномочий. На практике основные действия Роскомнадзора в соответствии с федеральным законом «О персональных данных» следующие: работа с обращениями и жалобами граждан; проведение контрольных и надзорных мероприятий; ведение Реестра операторов персональных данных. Роскомнадзор рассматривает жалобы по закону от 02.05.2006 №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации». Жалобы могут быть направлены как в письменном виде, так и через специальную форму на сайте Роскомнадзора или портала Госуслуг. Срок рассмотрения обращения – 30 календарных дней, за исключением случаев, установленных в законе. Сейчас в Правительстве ждет утверждения проект нового Административного регламента. Но на данный момент Роскомнадзор проводит проверочные мероприятия на основании Административного регламента, утвержденного приказом Министерства связи и массовых коммуникаций РФ №312 от 14.11.2011 года.
Перечень документов для сдачи «Роскомнадзору» представлен в приложении Б. Примеры документов можно найти в сети интернет. В приложении В приложены рекомендации Роскомнадзора по по составлению политики обработки персональных данных.
3 Аудиторская проверка «ФСТЭК РФ»
Федеральная служба по техническому и экспортному контролю (ФСТЭК России) – федеральный орган исполнительной власти России, осуществляющий реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности.
ФСТЭК России – общегосударственный орган исполнительной власти специальной компетенции, предусмотренный подзаконным актом и действующий неопределённый срок; созданное Российской Федерацией государственное учреждение; политическая, некоммерческая, формальная организация; часть государственного аппарата; юридическое лицо.
ФСТЭК России является федеральным органом исполнительной власти России, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:
• обеспечения безопасности (некриптографическими методами) информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере, в том числе в функционирующих в составе критически важных объектов Российской Федерации информационных системах и телекоммуникационных сетях, деструктивные информационные воздействия на которые могут привести к значительным негативным последствиям;
• противодействия иностранным техническим разведкам на территории Российской Федерации;
• обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения её утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях её добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации;
• защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;
• осуществления экспортного контроля.
ФСТЭК России является федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации, а также специально уполномоченным органом в области экспортного контроля.
ФСТЭК России является органом защиты государственной тайны, наделенным полномочиями по распоряжению сведениями, составляющими государственную тайну.
ФСТЭК России организует деятельность государственной системы противодействия техническим разведкам и технической защиты информации и руководит ею.
ФСТЭК России осуществляет свою деятельность непосредственно и (или) через свои территориальные органы. ФСТЭК России и её территориальные органы входят в состав государственных органов обеспечения безопасности. Деятельность ФСТЭК России обеспечивают Государственный научно-исследовательский испытательный институт проблем технической защиты информации ФСТЭК России (головная научная организация по проблемам защиты информации), а также другие подведомственные ФСТЭК России организации. ФСТЭК России осуществляет свою деятельность во взаимодействии с другими федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления и организациями.
Руководство деятельностью ФСТЭК России осуществляет Президент Российской Федерации. ФСТЭК России подведомственна Минобороны России.
ФСТЭК России:
• разрабатывает стратегию и определяет приоритетные направления деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации;
• разрабатывает и вносит в установленном порядке Президенту РФ и в Правительство РФ проекты законодательных и иных нормативных правовых актов по вопросам своей деятельности;
• издаёт нормативные правовые акты по вопросам своей деятельности;
• разрабатывает и утверждает в пределах своей компетенции методические документы, организует их издание за счёт средств, выделяемых из федерального бюджета ФСТЭК России на эти цели;
• организует и финансирует работы по изучению излучений различной физической природы, возникающих при использовании неинформационных излучающих комплексов, систем и устройств;
• осуществляет межотраслевую координацию деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях;
• осуществляет в пределах своей компетенции контроль за состоянием работ по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации;
• осуществляет в пределах своей компетенции межведомственный контроль за обеспечением защиты государственной тайны, контроль за соблюдением лицензионных требований и условий, а также рассмотрение дел об административных правонарушениях;
• вносит в установленном порядке представления о применении мер ответственности за нарушения законодательства Российской Федерации по вопросам своей деятельности;
• выдаёт предписания на приостановление работ на объектах федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления и организаций в случае выявления в ходе осуществления контроля нарушений норм и требований, касающихся противодействия техническим разведкам и технической защиты информации;
• организует радиоконтроль за соблюдением установленного порядка передачи служебной информации должностными лицами организаций, выполняющих работы, связанные со сведениями, составляющими государственную и (или) служебную тайну, при использовании открытых каналов радио-, радиорелейных, тропосферных, спутниковых и других линий и сетей радиосвязи, доступных для радиоразведки, подготавливает предложения, направленные на предотвращение утечки информации по указанным каналам;
Внимание! Это ознакомительный фрагмент книги.
Если начало книги вам понравилось, то полную версию можно приобрести у нашего партнёра - распространителя легального контента ООО "ЛитРес".Правообладателям!
Представленный фрагмент книги размещен по согласованию с распространителем легального контента ООО "ЛитРес" (не более 20% исходного текста). Если вы считаете, что размещение материала нарушает ваши или чьи-либо права, то сообщите нам об этом.Читателям!
Оплатили, но не знаете что делать дальше?