Защита личных данных сотрудников

мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений,

относящихся к определённому или определяемому на основании такой информации физическому лицу.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.)

(ратифицирован федеральным законом от 19.12.2005 г. № 160-ФЗ)
Директива Европейского Союза № 2002/58/ЕС "О приватности и электронных коммуникациях"
Федеральные:
Трудовой кодекс Российской Федерации от 30.12.2001 г. № 197-ФЗ - Глава 14 «Защита персональных данных работника»
Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации
Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»

и дополнений:
1. Федеральный закон Российской Федерации от 25.07.2011 г. № 261-ФЗ

"О внесении изменений в Федеральный закон "О персональных данных
2. Федеральный закон от 30.12.2015 г. № 439-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"
3. Федеральный закон от 21.07.2014 г. № 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"

Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении

перечня сведений конфиденциального характера»
2. Указ Президента Российской Федерации от 30.05.2005 г. № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»
3. Указ Президента Российской Федерации от 17.03.2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»
4. Распоряжение Президента Российской Федерации от 10.07.2001 г. № 366-РП «О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных»

Федерации от 21.03.2012 г. № 211 «Об утверждении перечня мер,

направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
2. Постановление Правительства Российской Федерации от 03.11.1994 г. № 1233 «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использования атомной энергии и уполномоченном органе по космической деятельности»
3. Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
4. Постановление Правительства Российской Федерации от 06.07.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

Федерации от 15.09.2008 г. № 687 «Об утверждении положения об

особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
6. Постановление Правительства РФ от 04.03.2010 г. № 125 "О перечне персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию"
7. Постановление Правительства Российской Федерации от 13.02.2019 № 146 "Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных"
8. Распоряжение Правительства Российской Федерации от 15.08.2007 г. № 1055-Р «О плане подготовки проектов нормативных актов, необходимых для реализации Федерального закона «О персональных данных»

05.09.2013 г. № 996 «Об утверждении требований и методов по

обезличиванию персональных данных»
2.Приказ ФСБ России от 09.02.2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации. Положение ПКЗ 2005)»
3.Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
4.Приказ Минкомвязи России от 20.07.2017 г. № 373 "О признании утратившими силу приказов Министерства связи и массовых коммуникаций РФ" от 21 декабря 2011 №346, от 28 августа 2015 №315 и п.9 приказа Министерства связи и массовых коммуникаций РФ от 24 ноября 2014 №403
5.Приказ Роскомнадзора от 30.05.2017 г. № 94 "Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения
6.Приказ Роскомнадзора от 30.10. 2018 г. № 159 "О внесении изменений в Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 мая 2017 года № 94"

обработки персональных данных, включающего:
1. Создание внутренней документации по работе с

персональными данными.
2. Создание организационной системы защиты персональных данных.
3. Внедрение технических мер защиты.
4. Получение лицензий регулирующих органов.
5. Получение сертификатов регулирующих органов на средства защиты информации.

выглядит следующим образом:
недопущение несанкционированного доступа к персональным данным с помощью

антивирусного программного обеспечения и системы паролей;
деятельность по обнаружению фактов несанкционированного доступа и использования персональных данных;
охрана и регламентирование использования технических средств, с помощью которых происходит обработка персональных данных;
наличие возможности восстановления персональных данных в случае уничтожения персональных данных.

с третей стороны, которые могут быть выражаться в следующем:

неправомерный

доступ к информации;
модифицирование;
уничтожение;
блокировка;
копирование;
распространение и пр.

данным.
2. Предотвращение неправомерного доступа к данным и последующей их передачи.

3. Своевременное обнаружение несанкционированного доступа и исключение возможных негативных последствий подобного действия.
4. Предотвращение возможности воздействия на технические средства, которыми производится обработка информации во избежание нарушения их функционирования.
5. Обеспечение наличия защищенных копий с целью незамедлительного восстановления данных в случае несанкционированного доступа к ним.
6. Контроль за уровнем защищенности данных.

с техническими средствами, которые осуществляют обработку и хранение информации.
Использовать

антивирусы.
Обеспечить защиту межсетевыми экранами.
Установить системы предотвращения вторжения.
Обеспечить системы сканерами уязвимости.
Осуществить контроль входящей-исходящей информации.

организацию обработки и обеспечение безопасности персональных данных;
2.Разработку организационно-распорядительных документов, регламентирующих

весь процесс получения, обработки, хранения, передачи и защиты персональных данных;
3.Внесение изменений в бизнес-процессы организации, ознакомление пользователей, осуществляющих обработку персональных данных с положениями нормативных документов;
4.Заключение дополнительных соглашений с контрагентами и третьими лицами, которым передаются персональные данные либо поручается их обработка;
5.Определение перечня мероприятий по защите персональных данных и реализация таких мероприятий;
6.Осуществление внутреннего контроля соответствия обработки и защиты персональных данных требованиям законодательства.

защиты информации.

обеспечивают безопасное хранение паролей и логинов, а также для их

восстановления или автоматического заполнения веб-форм.
• Traffic Inspector Next Generation сертифицирован ФСТЭК России на соответствие требованиям к межсетевым экранам типа «А» и «Б» 4-го класса защиты. Сертификат соответствия ФСТЭК России № 3834 от 04.12.2017 года, действителен до 04.12.2020 года

3. Завышенные требования к системе защиты информации;
4. Вопрос по определению ответственного

сотрудника за процесс защиты данных и пр.

необходимо особое внимание обращать на информационные ресурсы, которыми пользуются сотрудники.

Не устанавливать мобильные приложения прежде, чем узнаете необходимые им права доступа и не привязывать учетные записи к одному адресу электронной почты.
Проверять политику конфиденциальности веб-сайта.
Не передавать критически важную информацию в незашифрованном виде по электронной почте, внимательно относиться к ссылкам и интернет-адресам, присланным в электронных письмах и текстовых сообщениях.
Обеспечить рабочие устройства работающими и продленными антивирусными средствами.
Организация контрольных мероприятий по выявлению по выявлению проблемных направлений.