Обеспечение безопасности персональных данных
Аттестация, сертификация и лицензирование в области защиты персональных данных. Лицензирование деятельности по защите персональных данных. Проверки Роскомнадзора, ФСБ и ФСТЭК как регуляторы в области законодательного обеспечения безопасности ПД.
Рубрика | Государство и право |
Вид | реферат |
Язык | русский |
Дата добавления | 30.10.2011 |
Размер файла | 36,0 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Обеспечение безопасности персональных данных
Оглавление
- 1. Аттестация, сертификация и лицензирование в области защиты персональных данных 3
- 1.1 Сертификация средств защиты ПД 3
- 1.2 Требования законодательства к средствам защиты ПД 8
- 1.3 Требования законодательства к ИСПД 11
- 1.4 Лицензирование деятельности по защите персональных данных 13
- 2. Контроль в области защиты персональных данных 16
- 2.1 Регуляторы в области защиты персональных данных 16
- 2.2 Проверки Роскомнадзора 17
- 2.3 Проверки ФСБ 21
- 2.4 Проверка ФСТЭК 25
1. Аттестация, сертификация и лицензирование в области защиты персональных данных
1.1 Сертификация средств защиты ПД
Порядок сертификации средств защиты информации в России устанавливается "Положением о сертификации средств защиты информации" от 26 июня 1995г. Сертификация по требованиям безопасности информации представляет собой процедуру оценки соответствия характеристик продукта, услуги или системы, требованиям стандартов, федеральных законов и других нормативных документов.
Участниками процесса сертификации являются:
1. заявители - те, кто хочет получить сертификат соответствия. Заявителями могут быть продавцы продукции, исполнители продукции.
2. федеральный орган по сертификации;
3. центральный орган сертификации - орган, возглавляющий сертификацию однородной продукции (необязательный участник).
4. органы по сертификации средств защиты информации - те, кто проводит сертификацию определенной продукции.
5. испытательные лаборатории - лаборатории, проводящие сертификационные испытания определенной продукции.
В России действуют 4 Федеральных органа по сертификации, но в области защиты персональных данных их два - ФСБ России и ФСТЭК России. В основные обязанности Федерального органа по сертификации входит:
1. создание системы сертификации;
2. выбор способа подтверждения соответствия средств защиты информации;
3. определение перечня средств защиты, для которых необходима сертификация;
4. установление правил аккредитации центральных органов систем сертификации, органов по сертификации средств защиты информации, испытательных лабораторий и проведение соответствующих аккредитаций;
5. выдача сертификатов и лицензий на применение знака соответствия;
6. ведение реестра сертифицированных средств и участников сертификации;
7. осуществление контроля и надзора за соблюдением участниками сертификации правил сертификации и за сертифицированными средствами защиты информации;
8. рассмотрение апелляции по вопросам сертификации;
9. периодическая публикация информации о сертификации;
10. организация подготовки и аттестации экспертов-аудиторов;
11. приостановление, продление или отмену действия выданных сертификатов.
Органы сертификации:
1. участвуют в определении схемы проведения сертификации средств защиты информации с учетом предложений заявителя;
2. уточняют требования, на соответствие которым проводятся сертификационные испытания;
3. рекомендуют заявителю испытательный центр (лабораторию);
4. утверждают программы и методики проведения сертификационных испытаний;
5. проводят экспертизу технической, эксплуатационной документации на средства защиты информации и материалов сертификационных испытаний;
6. оформляют экспертное заключение по сертификации средств защиты информации и представляют их в федеральный орган по сертификации;
7. организуют, при необходимости, предварительную проверку (аттестацию) производства сертифицируемых средств защиты информации;
8. участвуют в аккредитации испытательных центров (лабораторий) и органов по аттестации объектов информатизации;
9. организуют инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации и участвуют в инспекционном контроле за деятельностью испытательных центров (лабораторий);
10. хранят документацию (оригиналы), подтверждающую сертификацию средств защиты информации;
11. ходатайствуют перед федеральным органом по сертификации о приостановке или отмене действия выданных сертификатов;
12. формируют и актуализируют фонд нормативных и методических документов, необходимых для сертификации, участвуют в их разработке;
13. представляют заявителю необходимую информацию по сертификации.
Испытательные центры (лаборатории) в пределах установленной области аккредитации:
1. осуществляют отбор образцов средств защиты информации для проведения сертификационных испытаний;
2. разрабатывают программы и методики сертификационных испытаний, осуществляют сертификационные испытания средств защиты информации, оформляют протоколы сертификационных испытаний и технические заключения;
3. маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном правилами системы сертификации;
4. участвуют в аттестации производства сертифицируемых средств защиты информации.
Испытательные центры (лаборатории) несут ответственность за полноту испытаний средств защиты информации, достоверность, объективность и требуемую точность измерений, своевременную поверку средств измерений и аттестацию испытательного оборудования.
Органы сертификации средств защиты информации и испытательные лаборатории проходят процедуру аккредитации на право проведения работ по сертификации, в ходе которой федеральный орган по сертификации проверяет их способность на проведение данных работ и выдает разрешение.
Сертификация проводится на материально-технической базе аккредитованных испытательных лабораторий. В отдельных случаях возможно проведение испытаний на базе заявителя при надлежащем контроле со стороны органа сертификации.
Изготовители обязаны извещать орган по сертификации, который выдал сертификат на их продукцию, об изменениях в технологии изготовления или составе сертифицированного средства защиты информации.
Процедура сертификации включает:
1. подачу и рассмотрение заявки на проведение сертификации (продления срока действия) средства защиты информации в Федеральный орган по сертификации. Заявка оформляется на бланке заявителя и заверяется печатью. Федеральный орган назначает орган по сертификации и испытательную лабораторию, после чего заявитель отправляет туда сертифицируемое средство защиты информации.
2. сертификационные испытания средств защиты информации и (при необходимости) аттестацию их производства. Сроки проведения испытаний устанавливаются на договорной основе между заявителем и лабораторией. По результатам испытаний оформляется заключение, которое отправляется в орган по сертификации и заявителю.
3. экспертизу результатов испытаний, оформление, регистрацию и выдачу сертификата и лицензии на право использования знака соответствия. На основании заключения испытательной лаборатории орган сертификации делает заключение и отправляет его в Федеральный орган по сертификации. После присвоения сертификату регистрационного номера, его получает заявитель. Срок действия сертификата - 3 года.
4. осуществление государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации. По результатам контроля Федеральный орган по сертификации может приостановить или аннулировать сертификат в следующих случаях:
o изменения на законодательном уровне, касающиеся требований к средствам защиты информации, методам испытаний и контроля;
o изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества;
o невыполнение требований технологии изготовления, контроля и испытаний средств защиты информации;
o несоответствие сертифицированных средств защиты информации техническим условиям или формуляру, выявленное в ходе государственного или инспекционного контроля;
o отказ заявителя в допуске (приеме) лиц, уполномоченных осуществлять государственный контроль и надзор, инспекционный контроль за соблюдением правил сертификации и за сертифицированными средствами защиты информации.
5. информирование о результатах сертификации средств защиты информации;
6. рассмотрение апелляций. Апелляция подается в федеральный орган по сертификации и рассматривается в месячный срок с участием независимых экспертов и заинтересованных сторон.
Органы по сертификации и испытательные лаборатории несут ответственность за выполнение своих функций, обеспечение сохранности информации ограниченного доступа, материальных ценностей, предоставленных заявителем, а также за соблюдение авторских прав разработчика при испытаниях его средств защиты информации.
1.2 Требования законодательства к средствам защиты ПД
Важным моментом при построении СЗПД является пункт 5 "Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденного Постановлением Правительства Российской Федерации от 17.11.2007 № 781, которое гласит, что средства защиты информации, используемые в ИСПД, должны в установленном порядке проходить процедуру соответствия (сертификацию). Порядок сертификации устанавливается уполномоченными органами, которыми в случае защиты ПД являются ФСТЭК и ФСБ России. Сертификации подлежат системы, продукты и услуги защиты информации от ПД. В рамках систем обязательной сертификации организации должны сертифицировать средства и продукты. Например, в руководящих документах Гостехкомиссии России продуктом может выступать средство вычислительной техники (СВТ), средство защиты информации (СЗИ), межсетевой экран (МЭ), программное обеспечение (ПО) и др. Система - это объект информатизации, где обрабатывается реальная информация. По этой причине к системам предъявляются дополнительные требования, касающиеся в том числе организационных мер и физической защиты. Программное обеспечение СЗПД для защиты от угроз конфиденциальности, целостности и доступности, применяемое в ИСПД 1 класса, подлежит сертификации на отсутствие недекларированных возможностей согласно п.2.12 Приказа ФСТЭК России №58. В соответствии с Руководящим документом Гостехкомиссии России "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия недекларированных возможностей", утвержденным приказом Председателя Гостехкомиссии от 04.06.1999 № 114, недекларированные возможности - функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Порядок классификации по уровню контроля отсутствия недекларированных возможностей определен указанным выше руководящим документом Гостехкомисии. Данное требование обусловлено тем, что большинство современных атак использует уязвимости в программном обеспечении системы. Основной метод нахождения уязвимостей в программе - детальное изучение программного кода. Данное требование может привести к выводу из эксплуатации в ИСПД зарубежных средств защиты информации, так как для сертификации необходимо предоставить код в открытом виде. При просмотре сертификата к средству защиты информации необходимо обратить внимание, на соответствие каким документам проводились сертификационные испытания.
Что касаемо ФСТЭК России, то это может быть:
· руководящие документы Гостехкомиссии России по защите от несанкционированного доступа к информации (для АС, СВТ или МЭ),
· руководящий документ Гостехкомиссии России по контролю отсутствия недекларированных возможностей,
· техническое условие или формуляр,
· задание по безопасности (по требованиям ГОСТ ИСО/МЭК 15408-2002).
Необходимо отметить, что нормативные документы ФСТЭК на настоящее время не охватывают требования ко всем средствам технической защиты информации в области ПД. Рекомендации и требования предусмотрены для межсетевых экранов (МЭ) и систем обнаружения вторжений(IDS).
1. для ИСПД 1 класса - МЭ 3 класса, в IDS должны использоваться аномальные и сигнатурные методы обнаружения вторжений;
2. для ИСПД 2 класса - МЭ 4 класса, в IDS должны использоваться аномальные и сигнатурные методы обнаружения вторжений;
3. для ИСПД 3 класса - МЭ 5 класса, в IDS длжен использоваться сигнатурный метод обнаружения вторжений;
4. для ИСПД 4 класса - МЭ 5 класса, в IDS должен использоваться сигнатурный метод обнаружения вторжений.
Требования к средствам защиты ИСПД частично совпадают с требованиями к автоматизированным системам, которые были разработаны ранее в руководящих документах Гостехкомиссии России, в целях преемственности и совместимости.
Корреляция указанных требований отображена в таблице 1.
Таблица 10.1. Корреляция требований к средствам защиты в ИСПД с документами по АС
Класс ИСПД |
Класс АС |
Класс МЭ |
||
Без подключения к СОД |
С подключением к СОД |
|||
K1, однопользовательскаяя |
3A |
2 |
||
K1, многопользовательская с одинаковыми правами |
2A |
4 |
2 |
|
K1, многопользовательская с разными правами |
1B |
4 |
2 |
|
K2, однопользовательская |
3B+ |
3 |
||
K2, многопользовательская с одинаковыми правами |
2B+ |
4 |
2 |
|
K2, многопользовательская с разными правами |
1Г |
4 |
2 |
|
K3, однопользовательская |
3Б |
4 |
||
K3, многопользовательская с одинаковыми правами |
2Б |
4 |
2 |
|
K3, многопользовательская с разными правами |
1Д |
4 |
2 |
|
K4 |
Определяется оператором |
В случае если требования нормативных документов ФСТЭК в области защиты ПД и руководящих документов Гостехкомиссии не совпадают, первые должны быть описаны в техническом задании.
1.3 Требования законодательства к ИСПД
Оценка соответствия ИСПД по требованиям безопасности проводится:
· для ИСПД 1 и 2 классов - обязательная сертификация (аттестация) по требованиям безопасности информации;
· для ИСПД 3 класса - декларирование соответствия или обязательная сертификация (аттестация) по требованиям безопасности информации (по решению оператора);
· для ИСПД 4 класса оценка соответствия проводится по решению оператора.
Аттестация ИСПД предназначена для официального подтверждения эффективности и достаточности мер по обеспечению безопасности ПД в данной ИСПД. Аттестация должна предшествовать началу обработки данных. Порядок проведения аттестации регламентирован "Положением по аттестации объектов информатизации по требованиям безопасности информации" от 25 ноября 1994 г.
Результатом аттестации является документ, называемый "Аттестат соответствия", который подтверждает, что ИСПД удовлетворяет требованиям стандартов и нормативно-технических документов по безопасности ПД ФСТЭК и Гостехкомиссии России.
Этапы аттестации включают в себя:
1. разработка программы и методики аттестационных испытаний.
· подачу и рассмотрение заявки на аттестацию;
· предварительное ознакомление с аттестуемым объектом;
· испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);
· разработка программы и методики аттестационных испытаний;
· заключение договоров на аттестацию;
· проведение аттестационных испытаний объекта информатизации;
· оформление, регистрация и выдача "Аттестата соответствия";
· осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
· рассмотрение апелляций.
Испытания, в процессе которых производится оценка эффективности защищенности информации от несанкционированного доступа (c применением специализированного программного обеспечения). После окончания испытаний подготавливаются отчетные документы, на основании которых принимается решение об аттестации ИСПД.
Органы по аттестации объектов информатизации аккредитуются Гостехкомиссией России и получают от нее лицензию на право проведения аттестации объектов информатизации. Такими органами могут быть отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры Гостехкомиссии России.
Аттестационные испытания предполагают проведение следующих проверок:
· проверка состояния технологического процесса автоматизированной обработки персональных данных в ИСПД;
· проверка ИСПД на соответствие организационно-техническим требованиям по защите информации;
· испытания ИСПД на соответствие требованиям по защите информации от несанкционированного доступа.
Результатом аттестации являются:
· Протокол аттестационных испытаний;
· Заключение по результатам аттестационных испытаний;
· Аттестат соответствия на ИСПД (выдается в случае положительного Заключения);
· Акт о переводе СЗПД в промышленную эксплуатацию (в случае наличия положительного заключения по результатам аттестационных испытаний ИСПД).
Следует указать, что если заявитель пожелает только аттестовать ИСПД как объект информатизации, то пока действуют традиционные нормативные требования по аттестации объектов информатизации (СТР-К), в которых обрабатывается конфиденциальная информация.
1.4 Лицензирование деятельности по защите персональных данных
персональный безопасность роскомнадзор лицензирование
Для проведения деятельности по защите ПД операторы должны получить лицензию в соответствии с Постановлением правительства РФ "Об организации лицензирования отдельных видов деятельности" от 26.01.2006 г. Это требование касается обработки ПД в ИСПД 1, 2 класса и распределенных информационных систем 3 класса. Лицензирование деятельности по технической защите информации осуществляет ФСТЭК России. Порядок лицензирования деятельности определяется "Положением о лицензировании деятельности по технической защите конфиденциальной информации".
Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:
1. наличие в штате соискателя лицензии специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;
2. наличие у соискателя лицензии помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;
3. наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;
4. использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;
5. использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем;
6. наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю[35].
Для получения лицензии соискатель направляет в ФСТЭК следующие документы:
1. заявление на предоставление лицензии;
2. копии документов, подтверждающих квалификацию специалистов;
3. копии документов, подтверждающих право соискателя на помещения (например, свидетельство о собственности или договор аренды);
4. копии аттестатов соответствия защищаемых помещений требованиям безопасности;
5. копия технического паспорта АС;
6. копии документов, подтверждающих право использования программных средств;
7. сведения о наличии производственного и контрольно-измерительного оборудования, средств защиты информации и средств контроля защищенности информации, необходимых для осуществления лицензируемой деятельности, с приложением копий документов о поверке контрольно-измерительного оборудования;
8. сведения о том, что соискатель имеет все нормативно- правовые акты, нормативно-методические и методические документы по вопросам технической защиты информации.
Лицензия выдается на 5 лет и по окончании срока действия может быть продлена.
2. Контроль в области защиты персональных данных
2.1 Регуляторы в области защиты персональных данных
В соответствии с ФЗ "О персональных данных" выделяют три регулятора в области защиты персональных данных:
· Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее Роскомнадзор) в части, касающейся соблюдения норм и требований по обработке персональных данных и защиты прав субъектов персональных данных;
· Федеральная служба безопасности РФ (далее ФСБ) в части, касающейся соблюдения требований по организации и обеспечению функционирования шифровальных (криптографических) средств в случае их использования для обеспечения безопасности персональных данных при их обработке в ИСПД;
· Федеральная служба по техническому и экспортному контролю (далее ФСТЭК) в части, касающейся контроля и выполнения требований по организации и техническому обеспечению безопасности ПД (не криптографическими методами) при их обработке в ИСПД.
В целях контроля соблюдения операторами требований безопасности в области защиты ПД регуляторы проводят плановые и внеплановые проверки.
Роскомнадзор проводит плановые проверки с целью контроля сведений, указанных в уведомлении уполномоченного органа по защите ПД, а также внеплановые - на основании заявления физических лиц с целью проверки информации, указанной в данном заявлении.
ФСБ России имеет право проводить плановые проверки:
· представление по запросу отчета по лицензируемым видам деятельности;
· представление копий аттестатов соответствия по требованиям информационной безопасности на автоматизированные системы, в составе которых эксплуатируются системы криптографической защиты информации (СКЗИ);
· явочная проверка выполнения организационных мер на объектах лицензируемых видов деятельности.
ФСТЭК РФ уполномочен осуществлять плановые проверки:
· представление по запросу отчета по лицензируемым видам деятельности;
· представление копий аттестатов соответствия по требованиям информационной безопасности на автоматизированные системы;
· представление копий аттестатов соответствия на защищаемые помещения по требованиям безопасности;
· явочная проверка выполнения организационных мер на объектах лицензируемых видов деятельности[9].
Плановые и внеплановые проверки осуществляются в соответствии с Федеральным законом от 26 декабря 2008 г. N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".
В рамках межведомственного сотрудничества между Роскомнадзором, ФСТЭК России и ФСБ РФ достигнута договоренность о проведении совместных мероприятий по контролю и надзору в области персональных данных.
2.2 Проверки Роскомнадзора
Роскомнадзор осуществляет проверку выполнения требований законодательства в области обеспечения безопасности персональных данных с целью защиты прав субъектов.
В соответствии с ФЗ "О персональных данных" Роскомнадзор имеет право:
1. запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
2. осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
3. требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
4. принимать по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований ФЗ "О персональных данных";
5. обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
6. направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
7. направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
8. вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
9. привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
Контроль осуществляется с помощью плановых и внеплановых проверок и в строгом соответствии с установленным порядком проведения данных проверок. Проверки осуществляет Роскомнадзор или его территориальные органы.
Плановые проверки проводятся на основании ежегодного плана проведения проверок:
· в отношении Операторов, включенных в Реестр операторов, осуществляющих обработку персональных данных;
· в отношении Операторов, не включенных в Реестр, но осуществляющих обработку персональных данных.
Внеплановые проверки проводятся по следующим основаниям:
· истечение срока исполнения оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства Российской Федерации в области персональных данных.
· поступление в Роскомнадзор или его территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах:
1. возникновение угрозы причинения вреда жизни, здоровью граждан;
2. причинение вреда жизни, здоровью граждан;
3. нарушение прав и законных интересов граждан действиями (бездействием) Операторов при обработке их персональных данных;
4. нарушение Операторами требований законодательства в области персональных данных, а также о несоответствии сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.
Обращение гражданина РФ, не позволяющее установить его лицо, либо не содержащее сведения о фактах, указанных выше, не может являться основанием для внеплановой проверки.
О проведении внеплановой выездной проверки оператор уведомляется не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом.
Если в результате деятельности оператора причинен или причиняется вред жизни, здоровью граждан, предварительное уведомление оператора о начале проведения внеплановой выездной проверки не требуется.
Срок проведения, как плановой, так и внеплановой проверки не может превышать двадцать рабочих дней.
В исключительных случаях срок проведения проверки может быть продлен, но не более чем на 20 рабочих дней, в отношении малых предприятий и микропредприятий - на 15 часов.
В ходе проверки осуществляется следующее:
1. рассмотрение документов оператора, таких как уведомление об обработке, письменное согласие субъекта, локальных документов, регламентирующих порядок хранения и обработки ПД;
2. исследование ИСПД в части, касающейся субъектов ПД.
Основанием для приостановления проверки является:
· необходимость получения заключений экспертов по вопросам обработки персональных данных, связанным с необходимостью проведения сложных и (или) длительных исследований, испытаний, специальных экспертиз и расследований;
· мотивированное решение руководителя контролирующего органа, принятое по причине изъятия документов, являющихся объектами контроля, проведенного ранее сотрудниками прокуратуры, правоохранительных органов, болезни должностных лиц, проводящих проверку. Оператору представляется копия приказа, в котором указываются причины приостановления проверки и период, на который данная проверка приостановлена.
Основанием для принятия решения об исключении Оператора из плана проведения плановых проверок является:
· ликвидация или реорганизация Оператора;
· прекращение Оператором деятельности по обработке персональных данных.
Проверка за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных завершается:
· составлением и вручением Оператору акта проверки;
· выдачей Оператору предписания об устранении выявленных нарушений требований законодательства Российской Федерации в области персональных данных;
· составлением протокола об административном правонарушении в отношении Оператора;
· подготовкой и направлением материалов проверки в органы прокуратуры, другие правоохранительные органы для решения вопроса о возбуждении дела об административном правонарушении, о возбуждении уголовного дела по признакам правонарушений (преступлений), связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.
2.3 Проверки ФСБ
Проверка ФСБ проводится на основании распоряжения или приказа начальника 8 Центра ФСБ России либо лица его замещающего. Проверка осуществляется должностными лицами, указанными в данном приказе. В приказе указывается следующее:
1. наименование органа государственного контроля (надзора);
2. фамилии, имена, отчества, должности должностного лица или должностных лиц, уполномоченных на проведение проверки, а также привлекаемых к проведению проверки экспертов, представителей экспертных организаций;
3. наименование юридического лица или фамилия, имя, отчество индивидуального предпринимателя, проверка которых проводится;
4. цели, задачи и предмет проверки;
5. правовые основания проведения проверки;
6. перечень мероприятий по контролю (надзору), необходимых для достижения целей и задач проведения проверки;
7. даты начала и окончания проведения проверки[43].
Общий срок проверки не может превышать 20 рабочих дней, для малого предпринимательства - не более 50 часов, для микропредприятия - 15 часов.
При проведении проверки на ФСБ не вправе:
1. проверять выполнение требований, не относящихся к компетенции ФСБ России;
2. осуществлять плановую или внеплановую проверку в случае отсутствия при ее проведении руководителя или уполномоченного представителя юридического лица, индивидуального предпринимателя, его уполномоченного представителя;
3. требовать представления документов, информации, если они не являются объектами проверки и не относятся к предмету проверки, а также изымать оригиналы документов, относящихся к предмету проверки;
4. распространять информацию, составляющую охраняемую законом тайну и полученную в результате проведения проверок, за исключением случаев, предусмотренных законодательством Российской Федерации;
5. превышать установленные сроки проведения проверки;
6. осуществлять выдачу юридическим лицам, индивидуальным предпринимателям предписаний или предложений о проведении за их счет мероприятий по контролю.
Ниже приведен перечень проверяемых в рамках проверки требований:
1. Организация системы организационных мер защиты персональных данных:
o область применения средств криптографической защиты информации (далее - СКЗИ) в информационных системах персональных данных;
o наличие ведомственных документов и приказов по организации криптографической защиты информации;
o выполнение рекомендаций и указаний ФСБ России (при их наличии) по вопросам организации связи с использованием криптосредств.
2. Организация системы криптографических мер защиты информации:
o наличие модели угроз нарушителя;
o соответствие модели угроз исходным данным;
o соответствие требуемого уровня криптографической защиты полученной модели нарушителя;
o соответствие используемых СКЗИ полученному уровню криптографической защиты;
o наличие документов по поставке СКЗИ оператору.
3. Разрешительная и эксплуатационная документация:
o наличие необходимых лицензий для использования СКЗИ в информационных системах персональных данных;
o наличие сертификатов соответствия на используемые СКЗИ;
o наличие эксплуатационной документации на СКЗИ (формуляров, правил работы, руководств оператора и т.п.);
o порядок учета СКЗИ, эксплуатационной и технической документации к ним;
o выявление несертифицированных ФСБ России (ФАПСИ) СКЗИ.
4. Требования к обслуживающему персоналу:
o порядок учета лиц, допущенных к работе с СКЗИ, предназначенными для обеспечения безопасности персональных данных в информационной системе;
o наличие функциональных обязанностей ответственных пользователей СКЗИ;
o укомплектованность штатных должностей личным составом, а также достаточность имеющегося личного состава для решения задач по организации криптографической защиты информации;
o организация процесса обучения лиц, использующих СКЗИ, применяемых в информационных системах, правилам работы с ними и другим нормативным документам по организации работ (связи) с использованием СКЗИ.
5. Эксплуатация СКЗИ:
o проверка правильности ввода СКЗИ в эксплуатацию и соответствие условий эксплуатации технических средств удостоверяющего центра (при наличии) требованиям эксплуатационной документации и сертификатов соответствия;
o оценка технического состояния СКЗИ, соблюдения сроков и полноты проведения технического обслуживания, а также проверка соблюдения правил пользования СКЗИ и порядка обращения с ключевыми документами к ним.
6. Оценка соответствия применяемых СКЗИ:
o соответствие программного обеспечения, реализующего криптографические алгоритмы используемых СКЗИ, эталонным версиям, проходивших сертификацию в ФСБ России;
o проведение (при необходимости) на местах осуществления проверки оперативных тематических исследований используемых СКЗИ.
7. Организационные меры:
o выполнения требований по размещению, специальному оборудованию, охране и организации режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним, а также соответствия режима хранения СКЗИ и ключевой документации предъявляемым требованиям;
o оценка степени обеспечения оператора криптоключами и организации их доставки.
o проверка наличия инструкции по восстановлению связи в случае компрометации действующих ключей к СКЗИ.
o порядок проведения разбирательств и составления заключений по фактам нарушения условий хранения носителей персональных данных или использования СКЗИ.
По результатам проверки составляется акт проверки в двух экземплярах. В акте указываются результаты проверки, в том числе нарушения, если они есть.
2.4 Проверка ФСТЭК
ФСТЭК осуществляет плановые и внеплановые проверки лицензиатов (тех, кто имеет лицензии ФСТЭК). Плановая проверка в отношении одной организации может проводиться не чаще 1 раза в год. Предметом плановой проверки является соблюдение лицензиатом лицензионных требований и условий в процессе осуществления деятельности по технической защите конфиденциальной информации. Плановые проверки осуществляются согласно ежегодному плану.
Основанием для включения лицензиата в план является истечение трех лет со дня:
1. государственная регистрации;
2. последней плановой проверки.
Плановая проверка проводится в документарной или выездной форме. Порядок проведения проверок регламентируется Федеральным законом "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".
О проведении проверки лицензиата уведомляют не позднее, чем за 3 дня до проведения.
Основанием для проведения внеплановой проверки является:
1. истечение срока действия предписания об устранении нарушений;
2. поступление обращений и заявлений в ФСТЭК о фактах:
o возникновения угрозы причинения вреда безопасности государства;
o причинение вреда безопасности государства.
Если обращение или заявление не позволяет идентифицировать заявителя, а также не содержат фактов, перечисленных выше, оно не может быть основанием для внеплановой проверки.
В ходе документарной проверки проверяются сведения, содержащиеся в документах лицензиата, устанавливающих его организационно-правовую форму, права и обязанности, документы, используемые при осуществлении его деятельности и связанные с исполнением им лицензионных требований и условий, исполнением предписаний ФСТЭК России.
Документарная проверка (как плановая, так и внеплановая) проводится по месту нахождения ФСТЭК России (управления ФСТЭК России по федеральному округу).
Предметом выездной проверки являются содержащиеся в документах лицензиата сведения, а также соответствие лицензиата лицензионным требованиям и условиям.
Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения лицензиата -юридического лица, месту осуществления деятельности лицензиата - индивидуального предпринимателя и (или) месту фактического осуществления их деятельности[44].
Выездная проверка проводится в случае, если при документарной проверке не представляется возможным:
· удостовериться в полноте и достоверности сведений, содержащихся в имеющихся в распоряжении ФСТЭК России (управления ФСТЭК России по федеральному округу) документах лицензиата;
· оценить соответствие деятельности лицензиата лицензионным требованиям и условиям без проведения соответствующего мероприятия по контролю.
Срок проведения каждой из проверок не может превышать двадцать рабочих дней.
Проверка проводится на основании приказа ФСТЭК России.
При проведении проверки проверяющие не вправе:
1. требовать представления документов, информации, если они не являются объектами проверки или не относятся к предмету проверки, а также изымать оригиналы таких документов;
2. распространять информацию, полученную в результате проведения проверки и составляющую государственную, коммерческую, служебную, иную охраняемую законом тайну, за исключением случаев, предусмотренных законодательством Российской Федерации;
3. превышать установленные сроки проведения проверки;
4. осуществлять выдачу юридическим лицам, индивидуальным предпринимателям предписаний или предложений о проведении за их счет мероприятий по контролю[44].
В результате проверки составляется акт в двух экземплярах. В случае выявления нарушений, проверяющие должны выдать предписание об их устранении и проконтролировать его выполнение.
Общая схема взаимодействия регуляторов и операторов персональных данных представлена на рисунке 1.
В случае выявления в ходе плановых и внеплановых проверок нарушений в области обеспечения безопасности персональных данных, предусмотрена гражданская, уголовная, административная, дисциплинарная ответственность, которая может применяться в отношении руководителя организации, подразделения или виновному в разглашении работнику. Наказанием за нарушение требований Федерального закона "О персональных данных" могут стать исправительные работы до 1 года или лишение свободы на срок до 2-х лет.
Размещено на Allbest.ru
Подобные документы
Понятие и особенности персональных данных. Обеспечение безопасности персональных данных при их обработке. Особенности ответственности за нарушение законодательства о защите персональных данных. Правовое регулирование и субъект защиты персональных данных.
курсовая работа [40,0 K], добавлен 05.04.2016Оператор и субъект персональных данных. Категории персональных данных, обрабатываемые в ИСПДн, ответственность за нарушения по обработке. Жизненный цикл персональных данных, срок обработки. Классы типовой информационной системы, аттестация и сертификация.
реферат [1,1 M], добавлен 05.04.2012Проблема безопасности информационных систем персональных данных. Практические аспекты по созданию средств защиты персональных данных в ООО "УК "Жилищная коммунальная инициатива". Ответственность за нарушение требований по защите персональных данных.
курсовая работа [364,9 K], добавлен 25.05.2014Обработка, хранение и использование персональных данных работника. Права работников в области защиты персональных данных. Дисциплинарная и административная ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.
курсовая работа [34,5 K], добавлен 19.03.2015Анализ основных нормативно-правовых актов о защите личности в связи с автоматической обработкой персональных данных. Характеристика рисков неисполнения требований законодательства. Обзор классификации типовых информационных систем персональных данных.
презентация [371,3 K], добавлен 21.03.2013Становление законодательства о защите персональных данных работников. Основные виды персональных данных работников. Порядок деятельности работодателя по обработке персональных данных работников. Особенности ответственности за нарушение законодательства.
курсовая работа [90,2 K], добавлен 19.03.2015Понятие правового регулирования персональных данных работников согласно Трудовому кодексу России. Исследование трудовых отношений в сфере защиты персональных данных работника. Особенности работы с конфиденциальными сведениями, соблюдение ответственности.
дипломная работа [111,8 K], добавлен 07.12.2010Понятие персональных данных и их отграничение от другой информации. Работа кадровой службы с персональными данными. Дисциплинарная, административная и уголовная ответственность за нарушение правил работы с информацией. Контроль защиты персональных данных.
курсовая работа [48,1 K], добавлен 21.09.2014Рассмотрение проблемы государственной защиты персональных данных. Выделение особых категорий персональных данных, принципов и условий их обработки. Особенности контроля и надзора за исполнением данной процедуры согласно Федеральному закону России.
реферат [27,1 K], добавлен 02.12.2010Характер отношений, связанных с обращением персональных данных, и особенности их современного нормативно-правового регулирования в Европе. Субъекты информационных правоотношений института персональных данных, основные этапы лицензирования работы с ними.
презентация [132,9 K], добавлен 20.10.2013