Защита персональных данных

Касается ли вас 152 ФЗ о "Защите персональных данных"?

Перечень работ по защите персональных данных (152ФЗ) от ГК Робот икс

Федеральный закон № 152 о "Защите персональных данных"

На сегодняшний день системы защиты информации очень востребованы как среди государственных, так и среди коммерческих организаций. Персональные данные (ПДн) нуждаются в надежной защите ввиду повсеместно распространившихся краж информации.
В соответствии с Ст.25 п.3 Федерального Закона № 152-ФЗ «О персональных данных», с 6 июля 2011 года все отношения, связанные с обработкой и хранением персональных данных, должны быть приведены в соответствие с требованиями настоящего Федерального Закона.
Вся ответственность за меры по обеспечению безопасности персональных данных при их обработке возложена на все государственные и коммерческие организации, в которых обрабатывается информация, попадающая под определение «персональные данные».

Под определение Персональных Данных подпадает:

• Вся информация о сотрудниках (анкетные данные, сведения об образовании, сведения о трудовом и общем стаже, паспортные данные, сведения о заработной плате сотрудника, сведения о социальных льготах, специальность, занимаемая должность, адрес места жительства, домашний телефон и др.)
• Внутренняя документация организации (личные дела и трудовые книжки сотрудников, сведения об отчетах, направляемых в органы статистики, сведения, содержащиеся в регистрах бухгалтерского учета и внутренней бухгалтерской отчетности и др.)
• Информация о Контрагентах (анкетные данные, материалы переписки с организациями, телефонные справочники, сведения о телефонных переговорах, почтовых отправлениях, телеграфных или иных сообщениях и так далее, отчеты, в которых содержатся персональные данные о гражданах (фамилия, имя, отчество и другая информация, предназначенная для установления контактов) и др.

Изменения от 1 сентября в 152ФЗ

С 1 сентября 2022 года практически все работодатели должны сообщать в Роскомнадзор (РНК) о намерении обрабатывать персональные данные работников (Письмо Роскомнадзора от 19.08.2022 № 08-75348)

Отменено право оператора не уведомлять РКН о намерении обработки ПДн (п. 1-6 ч. 2 ст. 22), он  должен уведомить РКН о намерении обрабатывать ПДн:

• полученные в соответствии с трудовым законодательством;
• полученные в связи с заключением договора, стороной которого является субъект ПДн
• относящихся к членам (участникам) общественного объединения или религиозной организации
• разрешенные субъектом ПДн для распространения
• включающие в себя только фамилии, имена и отчества субъектов ПДн
• необходимые в целях однократного пропуска субъекта на территорию оператора

Штрафы за несоблюдение 152ФЗ

В действующем в России законодательстве наказание за утечки персональных данных прописано в КоАП. Согласно ст. 13.11:

60-100 000 руб. - наказание за первую утечку персональных данных

500 000 руб. - наказание за вторую и последующие утечки

Так же вступили в силу новые положения КоАП РФ (изменения внесены ФЗ от 28.05.2022 № 145-ФЗ.), водится новый штраф для оператора: "За отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с его отказом предоставить свои ПДн, за исключением случаев, если предоставление персональных данных является обязательным или непосредственно связано с исполнением договора с потребителем, - влечет наложение административного штрафа".

5-10 000 руб. - на должностных лиц

30-50 000 руб. - на юридических лиц

Кроме того, планируются новые оборотные штрафы - от 1% за утечку данных, до 3% за скрытие факта утечки. 

Для выполнения требований закона №152 ФЗ в информационной системе необходимо

• Создать и ввести в действие систему защиты персональных данных

• Произвести оценку соответствия ИСПДн требованиям безопасности ПДн (аттестация)
• Уведомить РНК 

ГК Робот икс проводит полный перечень работ по защите персональных данных (152ФЗ).

От полного комплекса работ с подготовкой всей необходимой документации до  внедрения СЗИ и СКЗИ, аттестации и оценки эффективности мер по защите.

Мы проводим аудит процессов обработки (сбора, работы, передачи, удаления) данных, и на основе полученных данных определяем необходимый уровень защищённости и разрабатываем все необходимые документы для успешного прохождения потенциальной проверки Роскомнадзора.

Закажите бесплатную консультацию от наших специалистов. 

Работы по защите персональных данных несут в себе следующие задачи:

1. Выявить слабые места в информационной системе и показать, откуда может прийти угроза.

2. Документально описать весь процесс защиты, а также установить правила и прописать ответственных за хранение и обработку персональных данных.

3. Защитить информацию от несанкционированных действий -  внедрение различных средств защиты информации. Данные работы проводит организация - партнер с лицензиями ФСБ России и/или ФСТЭК России на право их проведения.

4. Провести аттестацию и оценку эффективности мер по защите информации. Аттестационная комиссия от организации-лицензиата оценивает принятые меры, после чего выдает аттестат соответствия. Наличие этого аттестата — свидетельство того, что информационная система персональных данных соответствует требованиям закона. Аттестат соответствия является бессрочным, но при этом оценку эффективности мер защиты необходимо проводить каждые 3 года.

Что включает в себя комплекс работ по защите Персональных данных:

• Обследование (аудит системы)
• Подбора и поставки СЗИ (программные или аппаратные решения), которые защищают компьютер от проникновения
• Услуг по установке и настройке СЗИ и СКЗИ
• Разработка пакета документов. Проведение аттестационных работ и выдача аттестата соответствия требованиям Законодательства, либо оценка эффективности принятых мер. 

Все, что нужно "под ключ". 

На этапе обследования

• Выявление и анализ процессов обработки ПДн в организации;
• Определение перечня ПДн, подлежащих защите от НСД;
• Определение режимов обработки ПДн в ИСПДн в целом и в отдельных компонентах;
• Определение конфигурации и топологии ИСПДн, внутренних связей, связей с другими системами;
• Определение технических средств и систем в ИСПДн и условий их расположения;
• Определение общесистемных и прикладных программных средств, используемых в защищаемой ИСПДн;
• Определение уровня защищенности ИСПДн;
• Определение угроз безопасности ПДн к конкретным условиям функционирования (разработка частной модели угроз);
• Разработка Технического задания на создание системы защиты ПДн;
• Разработка проектов приказов, инструкций, методических рекомендаций, относящихся к вводу Системы защиты ПДн в ИСПДн в эксплуатацию, в том числе должностных инструкций лиц, ответственных за эксплуатацию и использование Системы.

На этапе создания и ввода в действие СЗПДн

• Установка и наладка сертифицированных технических, программных и программно-технических средств защиты информации;
• Разработка и реализация разрешительной системы доступа пользователей;
• Определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации;
• Разработка проектов эксплуатационной документации на ИСПДн и средства защиты информации;
• Генерация пакета прикладных программ в комплексе с программными средствами защиты информации;
• Опытная эксплуатация средств защиты информации;
• Приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации.

На этапе оценки соответствия ИСПДн требованиям безопасности ПДн:

• Разработка программы и методики испытаний системы защиты ПДн в ИСПД;
• Оценка мероприятий по защите от НСД к ПДн при их обработке в ИСПДн;
• Оценка мероприятий по защите информации от утечки по техническим каналам;
• Подготовка Заключения по результатам испытаний и Аттестата соответствия.

Что включает в себя комплект Разработка документов по защите Персональных данных:

• Обследование (аудит системы)
• Разработка пакета документов

Стоимость предоставляется под запрос и зависит от количества защищаемых объектов, уровня защищённости АРМ и т.д. 

По любым вопросам обращайтесь к нам: напишите, позвоните или оставьте заявку и перезвоним мы.