Организационное и правовое обеспечение информационной безопасности
Методическое пособие для студентов
Составитель Андрей Александрович Обласов
Введение
Данное пособие содержит рекомендации для самостоятельной подготовки к прохождению проверок государственных регуляторов в области защиты информации.
Федеральный закон от 07.06.2006 152 «О персональных данных» обязывает индивидуальных предпринимателей, юридических и даже физических лиц, обрабатывающих персональные данные (далее оператор), разработать пакет организационно-распорядительной документации по вопросу обработки и защиты персональных данных.
Закон вступил в силу 27.07.2006 и требует, чтобы каждый оператор, обрабатывающий персональные данные, и независимо от формы обработки:
осуществлял обработку данных в соответствии с требованиями закона;
осуществлял защиту данных при их обработке;
был зарегистрирован в реестре операторов персональных данных;
организовал взаимодействие с субъектами персональных данных и уполномоченным регулятором (Роскомнадзором) в соответствии с требованиями закона;
брал согласие на обработку с субъектов персональных данных;
оформлял взаимоотношения с контрагентами, к или от которых передаются персональные данные, в соответствии с требованиями закона.
Для подготовки к выполнению 152-ФЗ существуют следующие варианты:
1. Обратиться к организации, оказывающей услуги по полноценной подготовке по 152-ФЗ по договору с гарантией прохождения проверок регуляторов.
2. При наличии штатного специалиста по информационной безопасности оператор может подготовиться к прохождению проверок и оформлению требуемой документации самостоятельно.
Порядок самостоятельной подготовки оператором выглядит следующим образом:
1. Назначить ответственное лицо за обработку персональных данных в организации.
2. Изучить закон и оценить соответствие требованиям (статья 18.1 и 19 закона).
3. Провести классификацию информационных систем персональных данных в соответствии с постановлением Правительства 1119.
4. Скорректировать договоры с контрагентами путем подписания дополнительных соглашений в части обработки персональных данных.
5. Осуществить правовую подготовку организации в соответствии со статьей 18.1 закона.
6. Осуществить техническую подготовку (защиту и оценку защищенности) информационных систем персональных данных в соответствии со статьей 19 закона.
7. Взять согласие на обработку персональных данных с сотрудников и клиентов.
8. Разработать регламенты взаимодействия с субъектами и регулятором в области обработки персональных данных.
9. Правильно оформить бумажный документооборот с персональными данными в соответствии с постановлением Правительства 687.
10. Подать уведомление об обработке персональных данных в Роскомнадзор.
1 Подача уведомления в «Роскомнадзор»
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) федеральное подразделение (служба) Минкомсвязи России, созданное в декабре 2008 года указом Президента России Дмитрия Медведева.
Персональные данные это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Правила обработки персональных данных и обязанности компаний-операторов изложены в Федеральном законе от 27.07.2006 152-«О персональных данных». В частности, в ст. 22 этого закона указали, что компания-оператор перед началом своей деятельности обязана известить «Роскомнадзор». Уведомление «Роскомнадзора» об обработке персональных данных осуществляют в соответствии с Методическими рекомендациями по уведомлению уполномоченного органа, утв. приказом Роскомнадзора от 30 мая 2017 г. 94. Обратите внимание, что согласно приказу 94 утратили силу рекомендации по заполнению формы уведомления, утв. Роскомнадзором от 29 января 2016 г. Также с 21 августа 2017 года больше не действует приказ Минкомсвязи России от 21 декабря 2011 г. 346.