Перечень персональных данных, нуждающихся в защите в информационных системах персональных данных (ИСПДн), должен быть изложен организацией в ее Концепции информационной безопасности. Оператор ПД должен обеспечить эффективное функционирование системы защиты персональной информации на своем объекте, контролировать выполнение норм закона о защите ПД, определить лиц, которые обеспечивают сбор, сохранность, передачу этой информации. С этой целью нужно определить, какие данные входят в перечень защищаемых, и разработать систему их защиты исходя из видов используемых ПД.

Какие данные должны быть защищены

Объектами защиты являются данные, которые обрабатываются в ИСПДн. К таким объектам относят:

• информацию технологического характера;
• программные продукты и средства информационной обработки;
• средства информационной защиты;
• источники и каналы по обмену данными;
• объекты, помещения с хранящимися ИСПДн.

Список таких объектов на предприятии должен составляться по результатам внутреннего информационного и технического аудита и охватывать анализ получаемых, обрабатываемых и хранящихся данных. Это необходимо для создания устойчивой системы защиты ПД.

Обрабатываемая информация 

Перечень персональной информации каждого субъекта включает в себя основные сведения о нем. К специальным данным относят:

• национальную принадлежность;
• расовые признаки;
• политические взгляды;
• вероисповедание;
• отношение к алкогольным, наркотическим, психотропным веществам;
• семейное положение;
• состояние здоровья и интимной жизни.

Перечень ПД работников предприятия

На каждом предприятии, в любой организации обрабатываются большие объемы ПД. К ним относятся:

• ФИО;
• информация о рождении;
• адрес прописки по паспорту;
• адрес проживания (фактический);
• данные паспорта;
• информация о полученном образовании (названия образовательных учреждений, специальность, срок обучения, данные из документов, подтверждающих учебу в указанных заведениях);
• контактные номера телефонов, адреса e-mail, Skype и т. д.;
• лингвистические знания (иностранные языки);
• данные с предыдущих мест работы/службы;
• сведения о трудовом стаже;
• сведения о трудовом договоре (серийный номер документа, дата и время его оформления и выдачи, тип труда, срок действия договора о труде, наличие у сотрудника льгот, длительность отпусков, график рабочего дня и перерывов, система выдачи заработной платы);
• оклад;
• информация о воинском учете (звание, категория запаса, категория годности);
• индивидуальный номер налогоплательщика (ИНН);
• информация о перенесенных и хронических заболеваниях;
• информация о заслуженных наградах, званиях, орденах, медалях;
• данные о командировках.

Технологическая информация

Защите подлежат следующие виды технологической информации:

• файлы конфигурации, системные настройки;
• пароли, ключи доступа, сведения аутентификации;
• информация о составе и структуре средств защиты данных;
• все ресурсы, базы данных, таблицы, которые содержат информацию о сотрудниках, планы и схемы эвакуации и т. д.

Программно-технические средства

В этих системах осуществляются обработка, хранение, передача, использование ПД. Их защита является также актуальным вопросом для каждого оператора.

К таким средствам относят:

• программное обеспечение – общее, специальное, системы управления базами данных, операционные системы, данные удаленных серверов, сведения из систем «клиент-сервер»;
• все резервные копии ПО;
• надстройки управляющих систем ИСПДн;
• автоматизированные компьютеры и серверы, на которых хранятся и обрабатываются ПД;
• маршрутизаторы, прочее сетевое оборудование.

СЗПДн

Средства защиты персональной информации (СЗПДн) являются аппаратно-программными ресурсами, к ним относят:

• средства управления пользовательским доступом;
• средства обработки вводимой информации, регистрационные данные пользователей;
• средства, которые обеспечивают сохранность данных;
• защитное ПО – антивирусы, антишпионы, фаерволы и т. д.;
• сетевое окружение;
• криптографические ключи защиты ПД.

Помещения с размещенными ИСПДн

Офисные помещения также относятся к объектам, которым нужно обеспечить защиту. В них хранятся и проходят обработку данные, оборудование, физические носители ПД.

Каналы передачи и обмена информацией, телекоммуникационные средства

В случае передачи обрабатываемых сведений или информации технологического характера каналами информобмена, телекоммуникационными линиями они в обязательном порядке должны быть защищены.

Оператор обязан:

• собирать и обрабатывать только те сведения сотрудников, которые необходимы для обеспечения рабочего процесса;
• хранить в базе и использовать только те данные работника, включающие в себя сведения, предоставленные им самим либо добавленные с его согласия;
• не принимать какие-либо незаконные решения касательно работника на основании ПД;
• нести ответственность за сохранность сведений о работниках.

При получении и обработке сведений о сотрудниках работодатель обязан:

• не распространять эти сведения;
• предоставлять доступ к информации только лицам, уполномоченным на это;
• передавать конфиденциальную информацию только с согласия сотрудника.

Сотрудник предприятия имеет право:

• получать сведения о хранении своих ПДн;
• иметь допуск к базе своих данных;
• вносить поправки в БД (только в личные сведения).

Права о защите персональной информации отстаиваются гражданином в судебном порядке.