Документ, содержащий основные правила защиты данных в организации, разрабатывается в одном из двух случаев: для обеспечения безопасности персональных данных работников и клиентов и для реализации общей концепции ИБ. В первом случае компания менее свободна в выборе структуры и содержания документа о правах работников на защиту данных, основные требования к нему содержатся в законодательных актах.
Положение о защите данных работников и клиентов – внутренний корпоративный акт компании, утверждаемый приказом генерального директора. Но он не должен быть доступен исключительно работникам, закон «О персональных данных» требует обязательной публикации его на сайте. Вместе с ним размещается форма согласия на обработку данных. Нарушение требования приводит к наложению административного штрафа. Проверки проводит Роскомнадзор, они бывают плановые и внеплановые (по заявлению сотрудника или клиента).
Создание положения об обработке данных необходимо только для организаций – операторов персональных данных. Если обрабатываются только ПД сотрудников, полученные в связи с заключением трудового договора, компания оператором не признается и необходимости в подготовке документа у нее не возникает. Хотя судебная практика неоднородна, случались дела, когда отказ от подготовки документа признавался нарушением трудовых прав работников. Образец документа, содержащий все значимые пункты, размещен на сайте Роскомнадзора.
Структура положения о защите данных включает следующие разделы:
1. Общие понятия. Здесь разъясняется, что относится к персональным данным, приводится описание их категорий – обычные, биометрические, относящиеся к медицинской информации, политическим или религиозным взглядам. Категория данных определяет набор программных и технических средств, при помощи которых нужно защищать информационную систему. Кроме описания персональных данных, разъясняется, что такое их обработка, дается перечень законов, связанных с персональными данными.
2. Условия и порядок обработки персональных данных. Здесь уточняется, данные каких категорий граждан обрабатываются. Так, не подлежит разглашению личная информация не только работников, но и кандидатов на вакантные места, не прошедших по конкурсу. Оговаривается, на обработку каких данных и каких лиц не требуется получение согласия. Это правило не действует, если работа с персональными данными может привести к наступлению юридически обязывающих последствий или если происходит трансграничная передача данных. Отдельно называются все действия, которые компания производит с данными: копирование, сохранение, уничтожение и другие. Если в деятельности организации предусматривается передача полученных сведений другим компаниям или государственным органам, указывается, в каких случаях это допустимо. Отдельно описывают методы, используемые для работы с персональными данными клиентов и сотрудников.
3. Принципы работы с персональными данными в информационных системах. Уточняются программы, в которых компании хранят данные, переданные гражданами – работниками и клиентами: «1С: Бухгалтерия», «1С: Предприятие», системы кадрового учета и электронного документооборота. Называются выявленные угрозы, указываются, применяемые технические, организационные меры защиты данных, предоставляются сведения о подразделениях, которым поручена работа со сведениями о гражданах и обеспечение их безопасности.
4. Взаимодействие с гражданами. Здесь следует описать реакцию компании на требования об изменении или удалении ПД, на отзыв согласия на обработку данных, определить скорость реагирования, случаи, в которых такие запросы можно не выполнять.
5. Сроки, в которые должна производиться работа с данными, и период их хранения. Называются отдельно периоды времени для ручной и автоматизированной обработки данных. Так, срок хранения личных дел работников на бумажных носителях, согласно закону «Об архивном деле», – 50 лет (для дел, сформированных после 2003 года).
6. Меры ответственности за неисполнение требований положения о защите данных. Обычно рассматриваются меры дисциплинарной ответственности, иногда вплоть до увольнения.
7. Приложения. Обычно к ним относятся форма согласия на обработку данных, анкеты для сбора данных. Здесь же в качестве отдельного дополнения некоторые компании размещают правила учета и хранения съемных носителей, на которых записана информация. Некоторые компании делают это в виде отдельного документа.
8. Заключительные положения. Здесь требуется изложить правила изменения документа.
Работники организации знакомятся с положением об обработке данных под роспись. Это требование связано с тем, что нарушение правил работы с персональными данными приводит к серьезным административным штрафам, и сотрудники компании должны знать, какой ущерб их ошибка может нанести работодателю.
Помимо обработки персональных данных, которая концентрируется только на защите ПД и правилах взаимодействия с их обладателями – работниками и клиентами, в крупных и средних организациях создаются положения о защите конфиденциальной информации. Они также утверждаются генеральным директором и касаются всех работников компании.
В Стратегии или положении о защите данных освещают следующие темы:
1. Актуальная модель угроз безопасности данных. Она зависит от типа бизнеса: один перечень рисков характерен для банков или финансовых организаций, другой – для интернет-магазинов. Полный перечень рисков информационной безопасности размещен на сайте ФСТЭК.
2. Тип злоумышленника. Чаще похитителем или распространителем данных оказывается работник. Считается, что инсайдерские утечки происходят в 80 % случаев. Но для многих организаций не менее существенны и внешние злоумышленники, виновные в организации DDoS-атак или SQL-инъекций.
3. Основные принципы обеспечения информационной безопасности, требования, предъявляемые к сотрудникам при работе со всеми типами носителей информации и категориями данных, пользовании электронной почтой, социальными сетями, мессенджерами, VPN-сервисами, при копировании данных, печати, сканировании документов.
4. Список используемых организационных, технических и программных средств, применяемых для защиты данных, принципы пользования ими, ограничения.
5. Способы идентификации и аутентификации пользователей ИС, имеющими доступ к конфиденциальным данным.
6. Перечень конфиденциальной информации, методы ее ранжирования, условия доступа к информации ограниченного пользования.
7. Меры защиты информации, персональных данных, размещенных на облачных ресурсах.
8. Правила работы с базами данных и программными продуктами для пользователей на удаленном доступе.
9. Приложения. Здесь приводятся формы запроса доступа к Интернету и отдельным программным продуктам, перечни лиц с разным уровнем доступа, список разрешенных съемных носителей.
Положение о защите данных дополняется по мере роста компании, увеличения количества используемых ею информационных ресурсов. Задача его разработки возлагается на подразделения ИТ и безопасности. Ответственность за несоблюдение может быть дисциплинарной, в рамках компании, гражданско-правовой или уголовной, если утечка нанесла ущерб и имеются признаки существенного нарушения закона.
07.12.2020
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных