Пользователь информационных систем персональных данных

  • автор:

УТВЕРЖДАЮ

____________ (фамилия и инициалы)

«___» ______________ 201_ г.

ИНСТРУКЦИЯ № ____

пользователя ИСПДн _____________________________ по работе с ПДн

  1. Общие положения

1.3. Пользователь несёт персональную ответственность за свои действия.

  1. Обязанности Пользователя

2.1. Пользователь обязан соблюдать порядок обеспечения конфиденциальности при обращении с информацией, содержащей ПДн, ставшей ему известной (или доступной для обработки) в процессе работы. Свои обязательства по сохранению конфиденциальности при обращении с информацией, содержащей ПДн, он подтверждает при заключении трудового договора (контракта), подписывая «Соглашение (обязательство) об обеспечении конфиденциальности при обращении с информацией, содержащей персональные данные» или данные требования описаны в должностных регламентах Пользователей.

2.2. Пользователь обязан знать и выполнять требования действующих нормативных и руководящих документов в области защиты ПДн, а также внутренних инструкций, руководства по защите информации и распоряжений, регламентирующих порядок действий по защите сведений, отнесённых к категории «Персональные данные».

2.3. Пользователь должен выполнять на автоматизированном рабочем месте (далее – АРМ) только те процедуры, которые определены для него в «Положении о разграничении прав доступа к обрабатываемым персональным данным».

2.4. Пользователь должен знать и соблюдать установленные требования по режиму обработки ПДн, учёту, хранению и пересылке носителей информации, обеспечению безопасности ПДн, а также руководящих и организационно-распорядительных документов.

2.5. Пользователь должен соблюдать требования парольной политики, представленной в «Инструкции по организации парольной защиты».

2.6. Экран монитора в помещении Пользователя, где обрабатываются ПДн, Пользователь должен располагать во время работы так, чтобы исключалась возможность несанкционированного ознакомления с отображаемой на нём информацией посторонними лицами.

2.8. Для получения консультаций по вопросам работы и настройке элементов ИСПДн Пользователю необходимо обращаться к Администратору системы.

2.9. Пользователям запрещается:

  • Разглашать защищаемую информацию третьим лицам.
  • Копировать защищаемую информацию на внешние носители без разрешения своего руководителя.
  • Самостоятельно устанавливать, тиражировать, или модифицировать программное обеспечение и аппаратное обеспечение, изменять установленный алгоритм функционирования технических и программных средств.
  • Несанкционированно открывать общий доступ к папкам на своей рабочей станции.
  • Запрещено подключать к рабочей станции и корпоративной информационной сети личные внешние носители и мобильные устройства.
  • Отключать (блокировать) средства защиты информации.
  • Обрабатывать на АРМ информацию и выполнять другие работы, не предусмотренные перечнем прав пользователя по доступу к ИСПДн.
  • Сообщать (или передавать) посторонним лицам личные ключи и атрибуты доступа к ресурсам ИСПДн.
  • Привлекать посторонних лиц для производства ремонта или настройки АРМ, без согласования с ответственным за обеспечение защиты персональных данных.
  • Принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий в пределах возложенных на него функций.
  • использовать на АРМ, входящих в состав ИСПДн и обрабатывающих ПДн, коммуникационные сервисы сторонних лиц (провайдеров) (ICQ, Skype и иных сервисов).
  • запрещается на АРМ, входящих в состав ИСПДн и обрабатывающих ПДн, использование сторонних технологий передачи речи, кроме сервера обработки вызовов Call-центра и АРМ сотрудников, осуществляющих прием телефонных звонков.
  • запрещается на АРМ, входящих в состав ИСПДн и обрабатывающих ПДн, использование технологий передачи видеоинформации.

  1. Ответственность пользователя

Пользователь несет персональную ответственность за невыполнение требований настоящей Инструкции.

3.1. Согласно статьи 90 Трудового кодекса Российской федерации «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника»: лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

3.2. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации и (или) совершенные лицом с использованием своего служебного положения подпадает под действие статьи 137 Уголовного кодекса Российской Федерации «Нарушение неприкосновенности частной жизни».

3.3. Отказ в предоставлении гражданину информации. Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан подпадает под действие статьи 140.

3.4. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации подпадает под действие статьи 272 Уголовного кодекса Российской Федерации «Неправомерный доступ к компьютерной информации».

Персональные данные, полученные в результате обезличивания и обрабатываемые в установленном Правительством Москвы порядке, не могут быть переданы лицам, не являющимся участниками экспериментального правового режима (то есть участникам эксперимента передать их можно).
В случае утраты статуса участника экспериментального правового режима или прекращения эксперимента лицо, являвшееся участником экспериментального правового режима, утрачивает право на получение персональных данных, полученных в результате обезличивания, а хранящиеся у такого лица данные подлежат уничтожению в порядке, установленном уполномоченным Правительством Москвы органом по согласованию с Минкомсвязи России. Для уничтожения этих данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция уничтожения информации.
Участники экспериментального правового режима несут ответственность за соблюдение прав субъектов персональных данных в течение всего срока проведения эксперимента и после прекращения их участия в эксперименте. Уполномоченный орган и координационный совет экспериментального правового режима осуществляют в порядке, установленном Правительством Москвы по согласованию с Правительством РФ, мероприятия по контролю за соблюдением обязанности по уничтожению персональных данных, полученных в результате обезличивания (вот и еще один надзорный орган появился).
Все используемые участниками эксперимента обезличенные персональные данные хранятся на территории города Москвы.
В части 1 статьи 6 закона «О персональных данных» появится еще одно основание обработки персональных данных без согласия субъекта – обработка персональных данных, полученных в результате обезличивания персональных данных, в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом «О проведении эксперимента по установлению специального регулирования…», в порядке и на условиях, предусмотренных этим законом.
Обезличивать и использовать без согласия субъекта для проведения эксперимента в этих целях можно будет, в том числе и сведения о состоянии здоровья, для чего вносятся поправки в статью 10 закона «О персональных данных».
Закон вступит в силу уже 1 июля этого года, однако, кто и как определит порядок обезличивания персональных данных для проведения эксперимента, в нем не указывается. Как мне кажется, Приказ Роскомнадзора № 994 здесь вряд ли подойдет, поскольку, судя по количеству флажков (требований), которыми обставлено использование обезличенных данных, обезличиваться они будут, как бы помягче сказать, не совсем полностью, иначе зачем так беспокоиться о сертифицированных средствах уничтожения этих данных.
И главное. Из текста закона нельзя понять, для чего будут собираться, обезличиваться и передаваться участникам экспериментального правового режима персональные данные. Заявленные законом цели проведения эксперимента — обеспечение повышения качества жизни населения; повышение эффективности государственного или муниципального управления; повышение эффективности деятельности хозяйствующих субъектов в ходе внедрения технологий искусственного интеллекта; формирование комплексной системы регулирования общественных отношений, возникающих в связи с развитием и использованием технологий искусственного интеллекта с персональными данными связаны как-то слабо. Но вот требование о том, что результатом установления экспериментального правового режима не может быть ограничение конституционных прав и свобод граждан и введение для них дополнительных обязанностей заставляет задуматься.
Ну, и для полноты картины проведения эксперимента и сложившегося порядка написания законов, Правительство Москвы в этом же законе наделили полномочиями самостоятельно устанавливать порядок и случаи передачи собственниками систем фото- и видеонаблюдения полученных изображений органам государственной власти и организациям, осуществляющим публичные функции, перечень которых определит … ну, вы уже догадались – Правительство Москвы. Причем передавать без всякой связи с проводимым экспериментом, чтобы два раза уже не вставать.

Что такое персональные данные?

Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе:
— его фамилия, имя, отчество,
— год, месяц, дата и место рождения,
— адрес, семейное, социальное, имущественное положение, образование, профессия, доходы,
— другая информация (см. ФЗ-152, ст.3).
Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.

В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласияфизического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152, ст.8).
Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории.

Что такое оператор и субъект персональных данных?

Оператор персональных данных — это, как правило, организация, а точнее — государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Субъект персональных данных — это физическое лицо.
Оператор несет ответственность за защиту персональных данных субъекта в соответствии с действующим законодательством РФ.

Как классифицировать информационную систему персональных данных?

Для того, чтобы отнести типовую информационную систему персональных данных (ИСПДн) к тому или иному классу необходимо:
I. Определить категорию обрабатываемых персональных данных:
• категория 4 — обезличенные и (или) общедоступные персональные данные;
• категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
• категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
• категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
II. Определить объем персональных данных, обрабатываемых в информационной системе:
• объем 3 — в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации;
• объем 2 — в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
• объем 1 — в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
III. По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов (см. табл.):
• класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных;

• класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
• класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
• класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.

Объем / Категория Объем 3
(<1 000,
организация)
Объем 2
(1 000-100 000,
отрасль, город)
Объем1
(>100 000,
субъект Федерации)
Категория 4 (обезличенные, общедоступные) Класс 4 Класс 4 Класс 4
Категория 3 (идентификационные) Класс 3 Класс 3 Класс 2
Категория 2 (идентификационные и еще) Класс 3 Класс 2 Класс 1
Категория 1 (медицинские, социальные) Класс 1 Класс 1 Класс 1

См. Порядок проведения классификации информационных систем персональных данных, введенный Приказом ФСТЭК (Федеральная служба по техническому и экспортному контролю) России, ФСБ России, Мининформсвязи России N 55/86/20.

Судный день отсрочен до 1 января 2011 года

Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона РФ № 152 «О персональных данных», должны быть приведены в соответствие с требованиями данного Федерального закона не позднее 1 января 2010 года (см. ФЗ-152, ст.25).
Это означает, что операторы персональных данных, не сумевшие выполнить весьма жесткие требования ФЗ-152, с 1 января 2010 г. понесут соответствующую гражданскую, административную, дисциплинарную, а может быть (не дай Бог) и уголовную ответственность.
Все информационные системы, уже принятые в эксплуатацию после февраля-апреля 2008 г. (с момента рассылки методических документов ФСТЭК России и ФСБ России), но не соответствующие требованиям российского законодательства в области персональных данных, могут понести указанную ответственность и ранее, например, завтра утром.
Примечание. Изменения в УК РФ, существенно ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни, тоже вступят в силу с 1 января 2010 года.
ДОПОЛНЕНИЕ :
Но как всегда случается, операторы персональных данных особо не шевелились, и мало кто успел сделать все, что требуется. 16 декабря 2009 г. Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год – до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.

Обязательные требования по защите информационных систем персональных данных

Основные обязательные требования к организации системы защиты информации в зависимости от класса типовой ИСПДн:
Для ИСПДн класса 4:
Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)
Для ИСПДн класса 3:
• декларирование соответствия или обязательная аттестация по требованиям безопасности информации
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (для распределенных систем ИСПДн К3)
Для ИСПДн класса 2:
• обязательная аттестация по требованиям безопасности информации
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем
Для ИСПДн класса 1:
• обязательная аттестация по требованиям безопасности информации
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации

Порядок действий по защите информационной системы персональных данных

Последовательность действий при выполнении требований законодательства по обработке персональных данных:
1) Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации;
2) Предпроектное обследование информационной системы — сбор исходных данных;
3) Классификация системы обработки персональных данных;
4) Построение частной модели угроз с целью определения их актуальности для информационной системы;
5) Разработка частного технического задания на систему защиты персональных данных;
6) Проектирование системы защиты персональных данных;
7) Реализация и внедрение системы защиты персональных данных;
8) Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований;
9) Аттестация (сертификация) по требованиям безопасности информации;
10) Повышение квалификации сотрудников в области защиты персональных данных;
11) Сопровождение (аутсорсинг) системы защиты персональных данных.

Когда аттестация и сертификация обязательна?

Аттестация информационных систем по требованиям безопасности информации обязательна:
— для ИСПДн, в случае отнесения персональных данных к государственному информационному ресурсу (см.»Специальные требования и рекомендации по технической защите конфиденциальной информации», Гостехкомиссия России, 2001 г.) ;
— в остальных случаях — для ИСПДн 1, 2 и 3 классов.
Для ИСПДн 3 класса по решению оператора процедура обязательной аттестации может быть заменена процедурой декларирования соответствия (см. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», ФСТЭК России, 2008 г., п.3.11). К сожалению, в настоящее время процесс декларации соответствия не регламентирован.
Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия (см. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п.5), включая сертификацию на соответствие требованиям по безопасности информации (см. «Основные мероприятия по организации…», п. 3.3).
При этом, для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение), должна быть проведена в том числе сертификация на отсутствие недекларированных возможностей (см. «Основные мероприятия по организации…», пп. 4.2, 4.3).
Примечание:
1) Операторы ИСПДн при проведении мероприятий по обеспечению безопасности персональных данных (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.
2) Заявители на сертификацию средств защиты информации (разработчики СЗИ, ИСПДн или операторы персональных данных) должны иметь лицензию на осуществление деятельности по разработке и/или производству средств защиты конфиденциальной информации.
ДОПОЛНЕНИЕ :
В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.

Ответственность за нарушения по обработке персональных данных

Лица, виновные в нарушении требований Федерального закона 152-ФЗ «О персональных данных», несут:
— гражданскую,
— уголовную (см. Уголовный кодекс Российской Федерации, ст.137, 140, 155, 183, 272, 273, 274, 292, 293),
— административную (см. Кодекс Российской Федерации об административных правонарушениях, ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),
— дисциплинарную (см. Трудовой кодекс Российской Федерации, ст.81; ст.90; ст.195; ст.237; ст.391)
и иную предусмотренную законодательством РФ ответственность (см. подзаконные акты по работе с персональными данными, которые издаются в субъектах РФ, ведомствах и организациях).
Аббревиатуры используемые в статье:
ФСТЭК — Федеральная служба по техническому и экспортному контролю.
ПЭМИН — Побочные Электромагнитные Излучения и Наводки

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *