•  ИНФОРМАЦИОННАЯ  БЕЗОПАСНОСТЬ  ГОСУДАРСТВЕННОГО  СЕКТОРА  ЭКОНОМИКИ,  БИЗНЕСА,  ЧАСТНОЙ  ЖИЗНИ  ГРАЖДАН  РОССИЙСКОЙ  ФЕДЕРАЦИИ
Правила ПДн-гигиены для бизнеса любого размера

Правила ПДн-гигиены для бизнеса любого размера

Собираете, храните, иным образом обрабатываете персональные данные своих сотрудников или клиентов?
Значит, вы являетесь оператором персональных данных (ПДн)

Рамка верх.png logo.jpg РЕКОМЕНДУЕМЫЕ ПРОДУКТЫ:

Dr.Web Enterprise Security Suite - Dr.Web Desktop Security Suite
Защита рабочих станций, клиентов терминальных серверов, клиентов виртуальных серверов и клиентов встроенных систем. Dr.Web для WindowsDr.Web для Linux. Dr.Web для Mac OS X. Консольные сканеры Dr.Web для Windows, MS DOS, OS/2. Подробнее>>

Dr.Web Enterprise Security Suite - Dr.Web Server Security Suite
Антивирусное средство, предназначенное для защиты файловых серверов типа Samba, базирующихся на таких операционных системах, как: Linux, OpenBSD, Solaris (Intel),FreeBSD, MCBC, Novell NetWare и Windows. Подробнее>>

Dr.Web Enterprise Security Suite - Dr.Web Mail Security Suite
Антивирусная программа, позволяющая осуществлять фильтрацию SMTP-трафика, проходящего обработку на почтовом сервере. В составе продукты - Dr.Web® для почтовых серверов и шлюзов Unix Dr.Web® для MS Exchange Dr.Web® для IBM Lotus Domino для Windows Dr.Web® для IBM Lotus Domino для Linux Dr.Web® для почтовых серверов Kerio для Linux Dr.Web® для почтовых серверов Kerio для Mac Подробнее>>
Рамка низ.png

- Интернет-магазин, программно обрабатывающий заказы клиентов и хранящий на компьютерах персональные данные клиентов.
- Ресторан, который выдает клиентам карты лояльности после заполнения анкеты и хранит эти персональные данные.
- Пункт химчистки, который собирает от клиентов их Ф.И.О. и телефонные номера, чтобы перезвонить или отправить СМС с сообщением о готовности заказа. 
- Агрегатор рассылок (например, со скидками), для подписки на которые нужно предоставить персональные данные.
- Индивидуальный предприниматель, который использует труд наемных работников.
- Медучреждение, принимающее согласие на медицинское вмешательство или отказ от него, хранящее медицинские карты, истории болезни, рецепты и т. д. 
- Управляющая компания, которая получает от жильцов персональные данные для оказания услуг, в том числе для формирования платежных документов.
- Интернет-форум или онлайн-клуб по интересам, где требуется регистрация с предоставлением персональных данных.  

Если собираемые у людей персональные данные хранятся в базах данных или иным образом обрабатываются с помощью информационных технологий и технических средств (например, на компьютерах), это считается ИСПДн (информационной системой по обработке персональных данных).

Хозяйствующие субъекты не живут в изолированной среде, а «общаются» в электронном виде с информационными системами других компаний, а также с государственными информационными системами (ГИС). Примеры ГИС: АИС «Налог» (ФНС России), «ЦБСД» (Росстат), «ГосСОПКА (ФСО России), ЕИИС «Соцстрах», ИС «Меркурий». Согласно Федеральному закону от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», ЛЮБАЯ ГИС является объектом критической информационной структуры (КИИ), но важно помнить, что далеко не каждый объект КИИ является частью ГИС.

Объекты КИИ — это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ. К субъектам КИИ законом отнесены не только государственные органы и учреждения, но и (внимание!) — российские юридические лица и ИП, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности. Более того, российские юридические лица и ИП, которые обеспечивают лишь взаимодействие указанных систем или сетей, — тоже являются субъектами КИИ!

За нарушения при обработке ПДн в КИИ, неправомерный доступ к ПДн в КИИ, нарушения правил эксплуатации КИИ, а также за вирусные инциденты в этих системах — причем даже если существенного ущерба в результате инцидента не было! — предусмотрена уголовная ответственность.

В случае возникновения инцидентов неправомерного воздействия на КИИ должностные лица организаций, чьи действия или бездействие привели к вирусозависимым компьютерным инцидентам (ВКИ) в КИИ, могут понести наказание, вплоть до лишения свободы на срок от двух до десяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью (ст. 274.1 УК РФ). Аналогичные меры предусмотрены законодательством Российской Федерации и в области защиты других видов информации с ограниченным доступом.

Какие нарушения в работе ИС могут произойти в результате ВКИ

- Хищение или порча данных — сотрудниками, роботами и компьютерными устройствами, принадлежащими организации/ИП, или с BYOD-устройств сотрудников, или с устройств третьих лиц, которые используют недостатки в существующей системе защиты данных.
- Нарушения в работе (Г)ИС, вызванные ВКИ с подключенных к системам устройств; утечки данных; незаконный доступ к системам с устройств организаций/ИП или их сотрудников.
- Распространение ВПО с устройств организации/ИП и заражение ими ИС, информационных сред и устройств других лиц.
- Ненадлежащая идентификация участников коммуникаций в бизнес-процессах организации/ИП, в результате чего возможны факты мошенничества.

Основные причины — бездействие или халатность в обеспечении защиты информации в ИС, в том числе персональных данных в ИСПДн.

Важно иметь в виду: ответственность предусмотрена законодательством РФ не только для руководителей организаций/ИП, но и соответствующих должностных лиц, сотрудников с определенным функционалом!

Соблюдение правил обработки ИСПДн контролирует Роскомнадзор.

Для этого он наделен правом проводить плановые (документарные) и внеплановые (выездные) проверки.

Что может послужить причиной внеплановой проверки?

Например, жалоба вашего клиента или сотрудника на нарушения в сфере обработки ПДн. Или решение уполномоченного органа о проведении плановой проверки, о чем вас уведомят не позднее чем за 3 рабочих дня до даты начала ее проведения (письмом по почте, в виде электронного документа, подписанного ЭП).

Административные (ст. 13.11 КоАП РФ) санкции за различные нарушения требований законодательства РФ в сфере обработки ПДн — предупреждение или штраф (при отсутствии признаков уголовно наказуемых деяний).

Как бизнесу обеспечить выполнение требований регуляторов по обработке ПДн

1. Устройства компании должны быть защищены, в том числе антивирусом.
2. Антивирус должен быть сертифицирован.
3. Государственные ИС, в том числе ИСПДн и иные объекты КИИ, должны быть защищена российским антивирусом.

Для выполнения требований регуляторов по антивирусной защите компьютерных устройств используйте Dr.Web Enterprise Security Suite.

Продукты комплекса имеют сертификаты ФСТЭК России и Минобороны России (ИТ.САВЗ.А2.ПЗ, ИТ.САВЗ.Б2.ПЗ, ИТ.САВЗ.В2.ПЗ, ИТ.САВЗ.Г2.ПЗ), ФСБ России (классов А2, Б2, В2, Г2, Д2 для защиты государственной тайны).

Это позволяет выполнять требования норм регуляторов по защите ИСПДн до 1-го уровня защищенности включительно, ГИС до 1-го класса защищенности включительно, систем обработки сведений, содержащих государственную тайну, любых объектов КИИ вплоть до высшей категории.

Материал подготовлен "Dr.Web"
Рамка верх.png

logo.jpg ССЫЛКА ПО ТЕМЕ: Каталог программного обеспечения Dr.Web для бизнеса
Переход в он-лайн магазин Датасиcтем - официального Поставщика Dr.Web в Российской Федерации. Перейти на сайт Поставщика>>
Рамка низ.png
Для консультации по продуктам Dr.Web для бизнеса, заполните Форму "Отправить запрос".
- Консультация по программам Доктор Веб;
- Купить Др.Веб для бизнеса в России;
- Цена Dr.Web для бизнеса




Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Ваши контактные данные не публикуются на сайте.

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Популярное

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.