Персональные данные: что это такое, как обрабатывать и защищать по закону

Изменение персональных данных работника

Заявление работника о внесении изменений в документы

Служащему, чьи ПД подверглись видоизменениям, нужно в свободной форме составить заявление, в котором ему необходимо указать причину произошедших изменений, и сказать о коррективах, которые должны быть внесены в существующие документы.

Если вы меняете фамилию, то заявление нужно подать под старой фамилией, потому что в организации вы пока что числитесь под ней.

К своему заявлению необходимо приложить копии соответствующих документов, которые будут подтверждением произошедших изменений.

Приказ о внесении изменений в документы

Никакой необходимости составления работодателем приказа об изменении ПД сотрудника Трудовым законодательством не подкреплено. Но эта необходимость избирается для донесения информации всем заинтересованным лицам (кадровикам и бухгалтерам).

Дата заполненного приказа должна быть идентичной дате, когда служащий подал заявление со всеми предлагающимися копиями документов. Приказ должен быть подписан сотрудником в знак того, что он с ним ознакомлен.

Особенности отнесения некоторой информации к личной

Поскольку ни в одном нормативном документе не фигурирует полный перечень персональных сведений о человеке, важно определить критерии, по которым можно понять, является информация персональной или нет. Основной критерий закреплен в уже упомянутом п. 1 ст. 3 закона № 152-ФЗ

Таковой является информация, если по ней можно сделать вывод, какому физическому лицу она принадлежит

Основной критерий закреплен в уже упомянутом п. 1 ст. 3 закона № 152-ФЗ. Таковой является информация, если по ней можно сделать вывод, какому физическому лицу она принадлежит.

Кроме того, законом (п. 9 ст. 3 закона № 152-ФЗ) введено такое понятие, как обезличивание личных сведений. Это совершение с личной информацией таких действий, после которых невозможно будет установить, к какому лицу она относится. Соответственно, персональные данные — это любые сведения, которые могут прямо или косвенно указать на человека, которому они принадлежат.

В этой связи рассмотрим подробнее вопрос об отнесении к личным сведениям некоторых видов данных.

Номер телефона

Чтобы понять, является ли номер телефона персональными данными, обратимся к закону «О связи» от 07.07.2003 № 126-ФЗ. На основании п. 1 ст. 53 этого закона Ф. И. О. и абонентские номера гражданина — это информация ограниченного доступа. Такие сведения охраняются законодательством, в том числе законодательством о персональных данных.

Более того, норма прямо указывает, что предоставление любых сведений, позволяющих идентифицировать пользователя, без согласия самого абонента запрещено.

Таким образом, можно сделать вывод, что номер телефона, принадлежащий физическому лицу, — это косвенная информация о конкретном человеке, соответственно, в силу п. 1 ст. 3 закона № 152 и с учетом положений п. 1 ст. 53 закона № 126 телефонный номер можно отнести к персональным данным в случае, если по номеру можно определить его принадлежность. Разумеется, по набору чисел сделать это нельзя. Соответственно, если нет совокупности данных, например номера телефона и имени, нельзя говорить о том, что номер телефона —это персональные сведения.

Электронная почта

Но необходимо учитывать и сам адрес, который может включать возраст, имя, дату рождения, место рождения и прочие сведения о владельце (например, ivanivanov1986@moskva.ru). В этом случае электронная почта относится к личным данным.

Как правило, личная информация собирается в совокупности. Например, при регистрации на каком-то сайте пользователь вводит не только адрес электронной почты, но и имя. В данном случае совокупность информации позволяет идентифицировать человека, соответственно, собираемые сведения однозначно можно отнести к персональным данным.

ИНН, СНИЛС, паспортные данные

В отношении перечисленных сведений ответ очевиден: они подлежат защите в соответствии с законодательством о персональных данных, поскольку прямо относятся к конкретным лицам. Такой вывод подтверждается и судебной практикой, например апелляционным определением Московского городского суда от 20.10.2014 по делу № 33-35747.

Номера ИНН, СНИЛС и паспортные данные однозначно позволяют идентифицировать конкретного человека.

Изменение персональных данных работника

Заявление работника о внесении изменений в документы

Служащему, чьи ПД подверглись видоизменениям, нужно в свободной форме составить заявление, в котором ему необходимо указать причину произошедших изменений, и сказать о коррективах, которые должны быть внесены в существующие документы.

Если вы меняете фамилию, то заявление нужно подать под старой фамилией, потому что в организации вы пока что числитесь под ней.

К своему заявлению необходимо приложить копии соответствующих документов, которые будут подтверждением произошедших изменений.

Приказ о внесении изменений в документы

Никакой необходимости составления работодателем приказа об изменении ПД сотрудника Трудовым законодательством не подкреплено. Но эта необходимость избирается для донесения информации всем заинтересованным лицам (кадровикам и бухгалтерам).

Дата заполненного приказа должна быть идентичной дате, когда служащий подал заявление со всеми предлагающимися копиями документов.
Приказ должен быть подписан сотрудником в знак того, что он с ним ознакомлен.

Классификация информационной системы

Согласно Приказа ФСТЭК/ФСБ/Мининформсвязи № 55/86/20, ИСПДн может принимать один из четырех классов, определенных в данном приказе:

1. класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
2. класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
3. класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
4. класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

В соответствии с данными определениями классов, для удобства классификации, построена следующая таблица:

О согласиях на обработку персональных данных

Несколько целей в одном согласии

Разработан законопроект, который предусматривает совмещение нескольких целей в одной форме согласия. Как только он будет принят, РКН скорректирует свою позицию.

Пока же Роскомнадзор считает, что можно указать несколько целей в одном согласии только в некоторых случаях. Например, если происходит обработка биометрических данных, специальных категорий персональных данных, в случаях, если осуществляется трансграничная передача в страны, не обеспечивающие адекватную защиту данных.

Во всех других случаях оформления согласия в письменной форме должна быть указана одна цель.

Получение согласия на обработку персональных данных при заключении договора

Если обработка персданных осуществляется в соответствии с условиями договора и только для его исполнения, то согласие не требуется.

Но если в договор включаются положения, не связанные с его предметом, то на такие действия необходимо получать отдельное согласие на обработку персональных данных.

Например, в договор оказания услуг связи включаются положения о проведении исследований или на рассылку рекламы.

 Согласия на обработку персональных данных соискателя и близких родственников

Трудовым кодексом урегулированы отношения только между работодателем и работником и не охвачены вопросы поиска работы. Поэтому единственным правовым основанием для обработки персональных данных соискателей является его согласие.

Часто соискателю предлагается заполнить анкеты, в которых предусмотрены сведения о близких родственниках, но очень сложно получить согласия от самих родственников. В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников. 

Например, сообщить о необходимости проверки конфликта интересов.

Обработка персональных данных родственников сотрудника имеет ряд особенностей

Обработка персональных данных в объеме, предусмотренном унифицированными формам, например, карточками Т-2, согласия не требует. Но на обработку ПД, которые не содержаться в типовых формах, но необходимы работодателю, требуется получать согласие.

Электронные копии согласий на обработку персональных данных

Сканы письменных форм согласий на обработку делать не запрещено. Но если есть электронные копии, то можно ли уничтожить оригинал на бумажном носителе?

Роскомнадзор рекомендует принимать во внимание положения процессуальных кодексов, где предусмотрено, что в случае рассмотрения судебного спора необходимо  предоставить суду подлинники письменных доказательств. Поэтому при принятии решения о замене оригинальных экземпляров на электронные копии, необходимо учитывать эти риски

Срок согласия на обработку персональных данных

По мнению Роскомнадзора срок согласия должен быть ограничен конкретным сроком или достижением цели обработки персональных данных, например, исполнением договора.

Если конкретный срок определить затруднительно, то рекомендуется обработку ПД ограничивать достижением цели обработки.

 Форма согласия на получение рассылки от иностранного сайта

Достаточно ли получения согласия в электронной форме в виде проставления галочки в  чек-боксе, если сайт или его администратор находятся за пределами РФ?

Роскомнадзор считает, что если сайт направлен на граждан России, то презюмируется, что он соблюдает требования национального законодательства России — в  частности, соблюдает правило локализации. Следовательно, такая форма выдачи согласия допустима.

Способы выполнения требований к обработке персональных данных

В связи с противоречивостью и фрагментарностью правоприменительной практики и комментариев уполномоченных органов затруднительно сделать однозначные выводы о наиболее оптимальных стратегиях выполнения требований к обработке персональных данных операторами, обладающими БД с ПДн российских граждан за пределами территории РФ. Можно выделить восемь возможных стратегий выполнения требований Закона № 242-ФЗ (см. рис. ниже). Допустимо комбинировать их между собой.

Следует дать дополнительные пояснения к некоторым из стратегий.

• Стратегия № 5 подразумевает отказ от процесса обработки ПДн с помощью организации – российского резидента. Стратегия реализуется путем осуществления прямого сбора, систематизации, обновления и хранения ПДн с помощью организации за пределами России. Такая компания – оператор ПДн не подпадает под российскую юрисдикцию. 
• Стратегия № 7 подразумевает создание на территории РФ промежуточной информационной системы или БД с целью хранения, уточнения, удаления собираемых в России ПДн и их последующей передачи для обработки другому оператору, в том числе за границу. БД с ПДн может представлять собой документ в формате Excel, Word или находиться на бумажных носителях, если этого достаточно для целей обработки. Процессы в зарубежных системах (например, в глобальных системах международных холдингов и групп компаний), связанные с последующей обработкой ПДн, сохраняются неизменными или адаптируются для автоматического использования данных из России.

Перечисленные стратегии формировались исходя из презумпции, что обработка ПДн при осуществлении процедур по обеспечению непрерывности информационно-технологической инфраструктуры и восстановления ее после сбоев, при разработке и тестировании программных модулей информационных систем не регулируется напрямую Законом № 242-ФЗ в части размещения БД с ПДн на территории РФ. Данное предположение основывается на следующем доводе: в рамках резервной информационно-технологической инфраструктуры и сред разработки и тестирования программных модулей ИС не осуществляется сбор ПДн субъектов. ПДн передаются в указанную инфраструктуру и среды из иных БД с ПДн. Для минимизации юридических рисков, связанных с обработкой ПДн в средах разработки и тестирования программных модулей ИС, оператору рекомендуется рассмотреть возможность применения технологий обезличивания (обратимого и необратимого) или шифрования ПДн.

Представленные стратегии рассматривают только вопросы логики распределения информационных потоков внутри и между ИСПДн, но не затрагивают вопросы правового характера.

Образец приказа о персональных данных работников 2021: с чего начать

На предприятии должен быть назначен сотрудник, ответственный за подготовку пакета документов о защите конфиденциальной информации. Такое назначение делается на основании соответствующего приказа руководителя. Назначенный сотрудник должен подготовить определенный пакет документов, среди которых:

• положение об обработке и защите конфиденциальной информации. Образец приказа об утверждении положения о персональных данных 2020 детально описан в специальном материале;
• образец приказа о хранении персональных данных;
• политика предприятия в отношении таких сведений;
• перечень лиц, имеющих доступ к ним;
• согласие на обработку;
• соглашение о неразглашении;
• журнал учета передачи данных.

Перечисленные документы вводятся в действие соответствующим распоряжением руководителя организации.

Как классифицируются?

Сведения

Класс 1 означает информационные системы, которые, при нарушении заданной характеристики безопасности, приведут к значительным негативным последствиям для субъекта. Нарушения безопасности хранения данных в классе наоборот, не приведет к негативным последствиям.

Субъекты

Субъект – это физическое лицо, определенное и определяемое во время обработки персональных данных. В зависимости от цели создания системы различаются и категории.

Рассмотрим пример классификации субъектов на примере банка (без принадлежащих им данных, которые обрабатываются):

• Клиенты. В эту категорию включены физические лица (вкладчики, заемщики) и юридические лица (руководители, заключившие догов с банком на предоставление услуг).
• Работники. Весь персонал банка будет относиться к этой категории, а так же представители, оказывающие услуги на договорной основе.
• Посетители. Сюда относятся должностные лица – представители государственных законодательных органов, судебной власти, общественных организаций, различных коммерческих и некоммерческих услуг.
• Иные субъекты. К ним можно отнести акционеров банка или членов Совета Директоров.

Виды обработки

Под обработкой подразумевается любое действие (чтение, сбор, распространение, удаление, изменение) с персональными данными. Существует два вида обработки данных:

1. Автоматизированный. Этот вид обработки осуществляется с применением вычислительно техники, под которыми подразумевают не только машины, но и сети или программное обеспечение. С помощью них могут осуществляться операции, изменение или удаление данных.

   Обработку нельзя считать автоматизированной только потому, что полученные персональные данные были сохранены или извлечены из информационной системы.

2. Неавтоматизированный. Осуществляется в соответствии с . Производится при непосредственном участии человека.

   Полученная информация должна храниться на материальном носителе, при чем данные с несовместимыми целями обработки не имеют право находится в одном месте. Примером может быть выдача одноразового пропуска или талона к врачу.

Обработка персональных данных: пошаговая инструкция для компаний

Павел, я рад, что Вы стараетесь изучать правовые вопросы о персональных данных детально! Что же, поехали! Надеюсь, что некоторые законные акты Вы сможете погуглить.

Давайте определим что такое персональные данные. Персональные данные, согласно статье 3 Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). То есть, это данные, которые могут идентифицировать человека и позволить понять кто перед нами — Вася Петров или Иван Иванов. При этом законодатель не даёт чёткого разграничения что это такое, а определяет как некую совокупность информации. Есть, конечно Указ Президента РФ от 06.03.97 № 188 (https://zakonbase.ru/content/base/20358), где была дана некая конкретизация, но она в данном случае не очень помогает. Но мы-то с Вами сейчас найдём эту грань)

Так вот, телефон, как было сказано мной выше в комментарии по мнению Роскомнадзора не является персональными данными и это он говорит даже в лице своих территориальных подразделений в ответах на вопросы (к примеру: https://26.rkn.gov.ru/p8926/p10713/ — 5 вопрос, https://57.rkn.gov.ru/p8924/p14069/p14070/), эти позиции применяются и судами, вот, к примеру, можно посмотреть здесь: апелляционное определение СК по гражданским делам Новосибирского областного суда от 04 февраля 2021 г. по делу N 33-774/2016 или апелляционное определение Московского городского суда от 24 июля 2017 г. N 33-28957/17. Письмо Минкомсвязи России от 07.07.2017 N П11-15054-ОГ «О разъяснении норм федерального законодательства» говорит, что: «абонентский номер или адрес электронной почты могут быть признаны персональными данными в случае, когда такая информация относится к прямо или косвенно определенному или определяемому физическому лицу (абонентский номер, принадлежащий юридическому лицу, не может рассматриваться в качестве персональных данных)».

То есть, если берём номер телефона или электронную почту — всё окей, нет никаких персональных данных.

Переходим к имени. Имя не идентифицирует субъекта персональных данных. Вообще никак. Таким образом, персональными данными не является. Или просто фамилия — тоже не подлежит защите как персональные данные (Постановление Восемнадцатого арбитражного апелляционного суда от 24 сентября 2014 г. N 18АП-10690/14; Определение СК по гражданским делам Приморского краевого суда от 09 сентября 2013 г. по делу N 33-7063 (тут суд даже сказал, что «в совокупности имя, отчество, улица и номер дома не позволяют достоверно установить, о каком именно человеке идет речь на страницах форума»); обзор обращений граждан за II квартал 2012 года Управление Роскомнадзора по Республике Карелия рассмотрело вопрос, являются ли фамилия и инициалы гражданина персональными данными).

Телефон + имя — не позволят определить Вам однозначно и безошибочно (что является критерием персональных данных) человека. А вот, если добавить к телефону или электронке немного больше данных, к примеру, ФИО — всё, персональные данные готовы и подлежат защите.

Так что, да, это моё личное мнение, основанное на правоприменительной практике и требованиях законодательства

Группирование по свободе обращения

Классификация информации о физических лицах по свободе обращения считается наиболее логичной и ориентированной на правоприменителей. По этому основанию выделяют 4 группы персональных данных:

• свободно обращаемые — сведения, которые люди готовы сообщать большинству лиц, составляющих круг их каждодневных социальных взаимодействий (имя, отчество, фамилия, пол и пр.);
• с ограниченным оборотом — информация, которую физические лица передают представителям государственных органов, предприятий или организаций, стремясь совершить определённые действия или получить необходимые услуги (номера телефонов, адрес, дата рождения, регистрационные номера документов, размер заработной платы и др.);
• обращаемые при возникновении потребности в достижении специфических целей — данные, собираемые государственными и другими уполномоченными органами в соответствии с требованиями законодательства (например, сведения об усыновлении);
• запрещённые к обороту (например, информация о философских воззрениях человека, его религиозных воззрениях).

Лица, нарушившие требования законодательства о защите персональных данных, могут понести гражданско-правовую, дисциплинарную, административную или уголовную ответственность.

Классификация по режиму использования

В зависимости от режима использования выделяют 3 вида персональных сведений: общедоступные, специальные и биометрические. Каждая группа имеет индивидуальные особенности.

Общедоступные сведения

В первую группу входят сведения, доступные неограниченному кругу лиц с разрешения субъекта, которого они характеризуют, а также информация, на которую не распространяются установленные законодательством требования о сохранении конфиденциальности. Так, к общедоступным персональным данным гражданина РФ относятся:

• отчество, фамилия, имя;
• место рождения и жительства;
• дата и год рождения;
• сведения об образовании, квалификации;
• род деятельности;
• телефонные номера;
• размер заработка и пр.

На территории Российской Федерации могут создаваться доступные неограниченному кругу лиц источники персональных данных: телефонные справочники, энциклопедии и пр.

Специальные данные

В число специальных персональных данных входят сведения о принадлежности к определённой расе или нации, вероисповедании, политических и философских взглядах, половой жизни и состоянии здоровья. Обработка этой информации запрещена. Однако это правило может быть нарушено в тех случаях, когда:

• физическое лицо дало письменное согласие на подобные действия;
• субъект по собственной воле перевёл сведения в группу общедоступных;
• информация нужна для исполнения международных соглашений о реадмиссии, заключённых РФ;
• данные обрабатываются в соответствии с требованиями закона «О Всероссийской переписи населения», пенсионного, трудового законодательства или правовых актов, регламентирующих оказание социальной помощи российским гражданам;
• сведения необходимы для защиты жизненно важных интересов граждан;
• обработка производится в медицинских целях врачом;
• информация необходима для реализации или установления прав физического лица;
• сведения обрабатываются в целях соблюдения законодательства о противодействии терроризму, безопасности, прокурорском надзоре, оперативной или розыскной деятельности, обороне, исполнительном производстве, обязательном страховании, гражданстве РФ и пр.;
• данные необходимы для разрешения вопросов, касающихся устройства детей и подростков, лишившихся родителей, на воспитание в приёмные семьи.

Биометрическая информация

Биометрическими сведениями называют данные, подчёркивающие биологические и физиологические особенности человека, позволяющие установить его личность. К их числу относят:

• отпечатки подушечек пальцев и ладоней;
• особенности в анатомическом строении тела или его частей;
• результаты анализов ДНК и пр.

Основания, позволяющие игнорировать это требование, перечислены в ст. 11 Федерального закона РФ от 27.07.2006 № 152-ФЗ (осуществление деятельности по отправлению правосудия, исполнению судебных решений, борьбе с коррупцией и пр.).

В каких случаях необходимо проходить аттестацию и сертификацию?

Аттестацию нужно выполнять в отношении ИСПД, если персональные данные входят в государственный информационный ресурс. Такими ресурсами признаются системы, в которых хранится информация и документы, находящиеся в распоряжении государства. Также аттестация необходима для ИСПД первого, второго и третьего классов.

Оператор в праве заменить процедуру аттестации для ИСПД третьего класса на декларирование соответствия. Однако такая процедура достаточно сложна в прохождении, так как не имеет четкого регламента.

Используемые в системах 1 и 2 классов средства должны пройти процедуру оценки соответствия, в том числе сертификацию. Для ИСПД 3 класса проводится декларирования соответствия требованиям безопасности. Для ИСПД 4 класса проверку на соответствие выполняют по решению оператора.

Что учесть при работе с отдельными категориями

Персональные данные любой категории относятся к конфиденциальным сведениям. А это значит, что обработка, хранение такой информации осуществляется по определенным правилам.

По общему правилу, требуется согласие субъекта персональных данных. При этом оно должно быть конкретным и информированным. В то же время, отдельное согласие не обязательно, когда человек заполнил электронную форму в интернете о себе. Ведь такая анкета по своей сути уже выражает согласие на обработку информации. Не обязательно такое согласие, если взаимодействие осуществляется в рамках договора, соглашения. А гражданин может отозвать свое согласие. Даже из общедоступных источников (например, адресная книга и т.п.).

Какие существуют требования по обеспечению защиты ИСПД?

Для ИСПД четвертого класса все мероприятия, направленные на обеспечение защиты ПД, устанавливаются оператором. 

Системы третьего класса должны пройти процедуру декларирования или аттестацию, а также получить лицензию ФСТЭК по техзащите конфиденциальных данных, если такие системы являются распределенными.

ИСПД второго класса должны обязательно проходить аттестацию, для них должны проводиться мероприятия, направленные на обеспечение защиты данных от побочных электромагнитных излучений и наводки. Соответственно, для реализации подобных мер могут потребоваться специальные средства защиты информации. Для распределенных систем также необходимо получать лицензию ФСТЭК.

ИСПД первого класса должны обязательно проходить аттестацию, и также подвергаются мероприятиям, направленных на защиту от побочных электромагнитных излучений и наводок. Обязательно получение лицензии ФСТЭК для осуществления деятельности по техзащите конфиденциальных сведений.

Меры по обеспечению безопасности ПДн

Мероприятия по защите персональных данных должны находиться в соответствии с требованиями закона. В общем смысле – самыми важными шагами в решении этого вопроса должны быть следующие:

• Определить угрозы безопасности ПДн при их обработке и разработать модель угроз;
• Разработать систему защиты на основе модели угроз, при этом применяемые методы защиты систем персональных данных должны соответствовать классу ИС;
• Проверить средства защиты, которые будут использоваться в системе, и составить заключения о возможности их эксплуатации;
• Установить и запустить в эксплуатацию средства защиты, а также обучить сотрудников работе с ними.

Меры защиты персональной информации, которые требуется принять в организации, подробно расписаны в законе «О персональных данных». Прежде всего, следует установить является ли компания оператором ПДн. Ответ утвердительный в следующих случаях:

• предприятие использует информационные системы (ИС) для кадрового учета работников и подбора кадров;
• предприятие использует ИС в случае передачи ПДн сотрудников или клиентов в другие организации;
• клиенты предприятия – физические лица, личные сведения о которых собраны в ИС.

Один из первых шагов к обеспечению безопасности ПДн для оператора – уведомить о намерении обрабатывать данные уполномоченный орган по защите прав субъектов ПДн – Роскомнадзор. Предоставление Роскомнадзору официального уведомления для операторов является обязательным.

На следующем этапе можно приступить к организационным мерам – определить порядок работы с ПДн, подготовить ряд документов и разработать мероприятия по защите критичной информации. Порядок обработки и защиты персональных данных должен быть изложен в одноименном положении.

Основные документы

1. Уведомление об обработке ПДн (для Роскомнадзора).
2. Приказ об организации обработки ПДн с назначением ответственного лица со стороны оператора.
3. Согласие субъекта на обработку его персональных данных.
4. Документы, определяющие политику оператора в отношении обработки ПДн (политику обработки необходимо поместить в публичный доступ, например, вывесить на официальном веб-ресурсе организации).
5. Документы, содержащие положения о принятии оператором ПДн правовых, организационных и технических мер для их защиты.
6. Документы по организации приема и обработки обращений и запросов субъектов.
7. Документы, которые определяют категории обрабатываемых данных, особенности и правила их обработки с использованием и без использования средств автоматизации.

Внедрение системы защиты

К этому этапу следует приступать, когда основные бумажные дела улажены, т.е. у компании есть план защиты данных, за выполнение которого отвечают определенные работники. Теперь необходимо внести важные уточнения.

1. Составить и утвердить перечень лиц с допуском к обработке ПДн, о чем уведомить ответственных сотрудников.
2. Ознакомить работников с политикой обработки и защиты ПДн в организации, а также взять с них обязательство об обеспечении конфиденциальности информации.
3. Разработать инструкции – для пользователей ИС по соблюдению режима защиты информации, для администратора безопасности ИС, а также инструкцию по резервному копированию и восстановлению данных в ИС.
4. Разграничить права доступа к ПДн в ИС.

Технические средства защиты

Одной подготовки документов для полноценной защиты конфиденциальной информации недостаточно. Оператор должен принять в том числе и технические меры. К ним относятся:

• средства защиты от несанкционированного доступа;
• антивирусные программы;
• межсетевые экраны;
• криптографические средства.

Важно учитывать, что выбранные компанией средства должны соответствовать требованиям законодательства, а точнее иметь сертификат соответствия. Реестр сертифицированных средств защиты информации приводится на сайте ФСТЭК России

Не последним моментом является и правильная настройка приобретенного ПО.

Также следует учитывать, что набор угроз информационной безопасности все время меняется. Поэтому необходимо своевременно проверять надежность технической защиты ПДн. При этом покупку нового оборудования, установку новых программ, расширение площади предприятия или изменения его структуры придется отражать в принятых документах. То есть и документальную, и техническую части необходимо периодически актуализировать.