Книжная полка Сохранить
Размер шрифта:
А
А
А
|  Шрифт:
Arial
Times
|  Интервал:
Стандартный
Средний
Большой
|  Цвет сайта:
Ц
Ц
Ц
Ц
Ц

Защита персональных данных в организации

Покупка
Артикул: 617979.02.99
Доступ онлайн
150 ₽
В корзину
Рассмотрены общие вопросы обработки персональных данных в организации, нормативно-правовая база в области обработки и защиты персональных данных Российской Федерации, сформированы требования по защите персональных данных, предложена методика защиты персональных данных. Кроме того, рассмотрены структура и возможность использования специализированной автоматизированной системы оценки организации на соответствие требованиям по защите персональных данных. Монография предназначена для руководителей и сотрудников служб безопасности и служб защиты информации при организации защиты персональных данных на объекте защиты, а также может быть полезна преподавателям и студентам, обучающимся по специальностям, связанным с информационной безопасностью.
Аверченков, В. И. Защита персональных данных в организации : монография / В. И. Аверченков, М. Ю. Рытов, Т. Р. Гайнулин. - 4-е изд., стер. - Москва : ФЛИНТА, 2021. - 124 с. - ISBN 978-5-9765-1273-3. - Текст : электронный. - URL: https://znanium.com/catalog/product/1843194 (дата обращения: 22.11.2024). – Режим доступа: по подписке.
Фрагмент текстового слоя документа размещен для индексирующих роботов
Аверченков В.И., Рытов М.Ю., 
Гайнулин Т.Р. 

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ 
В ОРГАНИЗАЦИИ 

Монография 

4-е издание, стереотипное

Москва 
Издательство «ФЛИНТА» 
2021

УДК 347.775
ББК  16.84 
         А19 

Р е ц е н з е н т ы : 

кафедра «Проектирование и технология 
электронных и вычислительных систем» 
Орловского государственного технического университета, 
доктор технических наук, профессор Лозбинев Ф.Ю. 

А19       

Аверченков В.И.  
Защита персональных данных в организации: монография  / В.И. 
Аверченков, М.Ю. Рытов, Т.Р. Гайнулин. – 4-е изд., стер. – Москва : ФЛИНТА, 
2021. – 124 с. – ISBN 978-5-9765-1273-3. – Текст : электронный.

Рассмотрены 
общие 
вопросы 
обработки 
персональных 
данных 
в организации, 
нормативно-правовая 
база 
в 
области 
обработки и защиты персональных данных Российской Федерации, 
сформированы 
требования 
по 
защите 
персональных 
данных, 
предложена методика защиты персональных данных. Кроме того, 
рассмотрены 
структура 
и 
возможность 
использования 
специализированной 
автоматизированной 
системы 
оценки 
организации на соответствие требованиям по защите персональных 
данных. 
Монография предназначена для  руководителей и сотрудников 
служб безопасности и служб защиты информации при организации защиты 
персональных данных на объекте защиты, а также может быть полезна 
преподавателям и студентам, обучающимся по специальностям, 
связанным с информационной безопасностью. 

УДК 347.775
ББК  16.84 

ISBN 978-5-9765-1273-3
© Коллектив авторов, 2016 
© Издательство «ФЛИНТА», 2016 

Оглавление 

 
Предисловие………………………………………………

 

6 

1. 
Общие понятия в сфере защиты персональных 
данных ……………………………………………………..

 

 
9 

 
1.1. 
Общие понятия в сфере персональных 
данных в организации……………………………
 
10 
 
1.2. 
Общие требования при обработке 
персональных данных и гарантии их защиты 
 
14 
 
1.3. 
Хранение и использование персональных 
данных в организации……………………………
 
17 
 
1.4. 
Организация передачи персональных 
данных……………………………………………...
20 

 
1.5. 
Права работников с целью обеспечения 
защиты персональных данных, хранящихся у 
работодателя……………………………………...

 
 
21 
 
1.6. 
Биометрические персональные данные……... 23 
 
1.7. 
Особенности обработки персональных 
данных в государственных или 
муниципальных информационных системах 
персональных данных…………………………...

 
 
27 

 
1.8. 
Структура комплексной системы защиты 
персональных данных в организации………… 
 
28 
 
 
 
 
2. 
Нормативная база в сфере обработки и защиты 
персональных данных работника…………………...
  

 
32 

 
2.1. 
Краткий обзор законодательства о защите 
персональной информации граждан в мире…
 
33 
 
2.2. 
Краткий обзор нормативно-правовых актов, 
затрагивающих 
вопросы 
защиты 
персональных 
данных 
в 
Российской 
Федерации…………………………………………

 
 
36 

 
2.3. 
Федеральный закон Российской Федерации 
 

от 27 июля 2006 года  ФЗ-№152 «О 
персональных данных»………………………….
 
41 
 
2.4. 
Ответственность за нарушение правил 
работы с персональными данными 
работников…………………………………………

 
49 

 
 
 
 
3. 
Формирование 
требований 
по 
защите 
персональных данных …………………………………
 

 
55 

 
3.1. 
Принципы обработки персональных данных.. 55 
 
3.2. 
Требования к организации работ по защите 
персональных данных работников…………….
 
57 
 
3.3. 
Технические требования, предъявляемые к 
обработке персональных данных……………...
 
63 
 
3.4. 
Требования, предъявляемые к обработке 
персональных данных в режиме 
конфиденциальной информации………………

 
 
65 
 
 
 
 
4. 
Методика 
защиты 
персональных 
данных 
в 

организации………………………………………………. 
 

 
67 

 
4.1. 
Основные рекомендации по защите 
персональных данных…………………………...
 
68 
 
4.2. 
Порядок обеспечения защиты персональных 
данных при традиционном 
конфиденциальном документообороте……… 

 
 
71 
 
4.3. 
Особенности 
обработки 
персональных 
данных, осуществляемой без использования 
средств автоматизации………………………….

 
 
74 
 
4.4. 
Порядок обеспечения защиты персональных 
данных при эксплуатации 
автоматизированной системы………………….

 
 
79 
 
4.5. 
Защита персональных данных при 
использовании съёмных накопителей 
большой ёмкости для автоматизированных 
рабочих мест на базе автономных ПЭВМ……

 
 
 
83 
 
4.6. 
Защита персональных данных в локальных 
вычислительных сетях…………………………..
 
85 
 
4.7. 
Защита персональных данных в Интернет….. 86 

4.8. 
Защита персональных данных при 
межсетевом взаимодействии…………………..
 
88 
 
4.9. 
Защита персональных данных при работе с 
СУБД………………………………………………..
89 

 
4.10. 
Особенности защиты персональных данных 
в кадровой и бухгалтерской деятельности…..
 
90 
 
4.11. 
Применение методики защиты персональных 
данных ……………………………………………..
 
94 
 
 
 
 
5. 
Автоматизированная система оценки 
организации на соответствие требованиям по 
защите персональных данных ……………………… 
 

 
 
97 

 
5.1. 
Структура автоматизированной системы 
оценки организации на соответствие 
требованиям по защите персональных 
данных……………………………………………...

 
 
98 

 
5.2. 
 Порядок проведения оценки организации на 
соответствие 
требованиям 
по 
защите 
персональных 
данных 
с 
помощью 
автоматизированной системы………………….
 

 
 
 
104 

 
 
 
 
 
Заключение………………………………………………..
 
106 

 
Список литературы……………………………………...
 
107 

 
Приложения………………………………………………. 

 

110 

 

Предисловие 

“Каждый имеет право на неприкосновенность 
частной жизни, личную и семейную тайну, защиту 
своей чести и доброго имени.” 
Ст. 23.ч.1. Конституции 
Российской Федерации 
 
Защита персональных данных была и остается одной из наиболее 
острых проблем в информационных отношениях между гражданами, 
государством и негосударственными организациями. В Конституции (гл. 
2. “Права и свободы гражданина и человека”) и законах Российской 
Федерации можно найти положения, которые признают важность одного 
из фундаментальных прав человека – права на неприкосновенность 
частной жизни. Однако целостной системы и эффективного механизма 
защиты этого права в России до недавнего времени практически не 
было. Между тем, практика вторжения в частную жизнь в настоящее 
время приобрела угрожающие масштабы. Повсеместно собираются 
избыточные персональные данные, отсутствуют гарантии уничтожения 
этих данных; когда цель сбора достигнута, собранные данные 
бесконтрольно 
передаются 
третьим 
лицам, 
мнение 
владельцев 
персональных данных игнорируется.  
Несмотря на важность рассматриваемой проблемы,  в нашей 
стране до недавнего времени не уделялось достаточного внимания 
выполнению работ, связанных с обеспечением информационной 
безопасности персональных данных граждан. Особенно остро данная 
проблема стоит в организациях и на предприятиях. Очевидно, что 
большинство граждан нашей страны являются работающими людьми и 
при трудоустройстве работодатель собирает их персональные данные, 
не всегда обеспечивая надежную защиту. Кроме того, фактически все 
граждане, 
так 
или 
иначе, 
в 
качестве 
клиентов 
и 
партнеров 
взаимодействуют с различными организациями, передавая им свои 
персональные данные без надлежащей защиты. Это было связано, 
прежде 
всего, 
с 
отсутствием 
необходимой 
нормативной 
базы, 
неподготовленностью специалистов и недостаточным практическим 
опытом в области защиты персональных данных. Для предотвращения 
бесконтрольного оборота персональных сведений граждан и защиты 

частной жизни граждан в Российской Федерации 27 июля 2006 года  
принят Федеральный закон №152 «О персональных данных», который 
выдвигает в области защиты информации самые общие требования, не 
опускаясь до конкретных мероприятий, являясь, таким образом, лишь 
набором общих рекомендаций. Так, данный закон гласит, что “оператор 
персональных данных обязан принимать необходимые организационные 
и технические меры … для защиты персональных данных от 
неправомерного или случайного доступа к ним”. Конкретные мероприятия 
по защите персональных данных должна определять организация,  
исходя из собственных возможностей. В 2007 году премьер-министр 
России 
подписал 
“Положение 
об 
обеспечении 
безопасности 
персональных данных при их обработке в информационных системах 
персональных данных”, которым обязал уполномоченные органы ФСБ и 
ФСТЭК разработать более детальные нормативы к Федеральному закону 
№152 «О персональных данных» к 18 февраля 2008 г. При этом к 
означенной дате никаких нормативов не появилось. Лишь во второй 
половине 2008 года опубликован ряд Постановлений Правительства РФ 
[13,14,15], имеющих разъяснительный характер по организации защиты 
персональных данных. Однако данные документы рассматривают лишь 
отдельные аспекты защиты персональных данных. Поэтому в настоящее 
время особо актуальной является необходимость разработки методики, 
позволяющей комплексно решить проблему защиты персональных 
данных. 
Предлагаемая 
работа 
ориентирована 
преимущественно 
на 
рассмотрение нормативно - методических основ защиты персональных 
данных в организации. Общая структура работы включает следующую 
последовательность рассматриваемых вопросов: 
 приводятся основные понятия в сфере персональных данных; 
 излагаются 
вопросы 
хранения, 
обработки 
и 
передачи 
персональных данных в организации; 
 анализируются основные российские и зарубежные нормативноправовые документы и стандарты, используемые при обеспечении 
защиты персональных данных; 
 приводятся требования по защите и обработке персональных 
данных, в том числе и в режиме конфиденциальной информации; 

 даются конкретные методические рекомендации по защите 
персональных данных в организации; 
 представляется 
структура 
специализированной 
автоматизированной системы защиты персональных данных; 
 рассматривается порядок проведения оценки организации на 
соответствие требованиям по защите персональных данных с помощью 
специализированной автоматизированной системы. 
Выбор описанной структуры был сделан с целью максимальной 
ориентации руководителей и специалистов по защите информации на 
практическое 
использование 
рассматриваемого 
материала 
при 
обеспечении защиты персональных данных, а также при создании и 
модернизации комплексных систем защиты информации. 

1. Общие понятия в сфере защиты

персональных данных  

В Трудовом кодексе Российской Федерации N 197 ФЗ от 30.12.2001 
впервые 
появилась 
специальная 
глава, 
посвященная 
защите 
персональных 
данных 
работника 
в 
организации 
(ст. 
85-90). 
Работодатель всегда собирал данные о личности работника. Для этой 
цели использовались «Личный листок» и различные анкеты, а также 
письменные характеристики и т.д. Однако официальная правовая 
регламентация 
обработки 
этих 
данных, 
доступная 
работнику, 
отсутствовала. 
Персональные данные являются важнейшим активом любой 
современной организации и в то же время её серьезной проблемой. 
Утечка персональных данных не выгодна ни организации: она 
испытывает серьезные репутационные потери и получает конфликт с 
законом, ни владельцам этой информации, так как они испытывают как 
минимум беспокойство, а нередко становятся жертвами различных 
афер. При этом, как показывают социологические опросы, российские 
граждане относительно высоко ценят свое право на неприкосновенность 
частной жизни, в то время как требования по защите персональных 
данных выполняются не всегда (рис. 1.1) [23]. 

20,3 % 

46,3 % 

33,4 % 

Все требования выполняются 

Требования выполняются 
частично 

Требования  не выполняются 

Рис. 1.1. Статистический анализ выполнения требований  
ФЗ № 152“О персональных данных” 

1.1. Общие понятия в сфере персональных данных 
в организации 

В Федеральном законе № 197-ФЗ “ Трудовой кодекс Российской 
Федерации ” от 30.12.01 (с изменениями) (далее по тексту – ТК РФ) под 
персональными 
данными 
работника 
понимается 
информация, 
необходимая работодателю в связи с трудовыми отношениями и 
касающаяся конкретного работника (ч.1 ст.85 ТК РФ) [19]. 
Легко заметить, что под указанное определение можно подвести 
любую информацию о работнике. И работодатели нередко собирают о 
сотруднике всю информацию, мотивируя это тем, что хотят иметь 
максимально полное представление о нем. 
Довольно часто от работника требуют сообщить исчерпывающую 
информацию о его семейном положении и ближайших родственниках, о 
жилищных условиях, состоянии здоровья, о фактах привлечения к 
уголовной ответственности, о наличии постоянной регистрации по месту 
жительства и многое другое. Но такого рода информация никаким 
образом не относится к трудовой деятельности работника. Наоборот, 
тем самым работодатель переходит тонкую грань, отделяющую 
персональные данные от сведений, составляющих тайну частной жизни, 
личную или семейную тайну гражданина. 

В свою очередь, принятие Федерального закона Российской 

Федерации от 27 июля 2006 года ФЗ-№152 «О персональных данных» 
(далее по тексту – ФЗ-№152  «О персональных данных») явилось 
ответом законодательной ветви власти на один из наиболее острых 
вызовов современной России – бесконтрольному обороту персональных 
сведений граждан, неуважение к частным данным вообще, а также 
повсеместное распространение личных записей россиян в виде баз 
данных. Настоящим федеральным законом регулируются отношения, 
связанные с обработкой персональных данных, осуществляемой 
федеральными 
органами 
государственной 
власти, 
органами 

государственной власти субъектов Российской Федерации, иными 
государственными 
органами 
(далее 
- 
государственные 
органы), 

органами местного самоуправления, не входящими в систему органов 
местного 
самоуправления 
муниципальными 
органами 
(далее 
- 

Доступ онлайн
150 ₽
В корзину