Как определить тип актуальных угроз. Кратко о выборе сертифицированных сзи от нсд

«И так сойдет»: что облачные провайдеры не договаривают о персональных данных

Как определить тип актуальных угроз. Кратко о выборе сертифицированных сзи от нсд

Пришла как-то к нам заявка на услуги облака. Мы прикинули в общих чертах, что от нас потребуется, и отправили в ответ список вопросов для уточнения деталей. Затем проанализировали ответы и поняли: заказчик хочет размещать в облаке персональные данные второго уровня защищенности.

Отвечаем ему: «У вас второй уровень персданных, извините, можем только частное облако сделать». А он: «Знаете, а вот в компании X мне могут все и в публичном разместить».

Фото Steve Crisp, ReutersСтранные дела! Мы пошли на сайт компании X, изучили их аттестационные документы, покачали головами и поняли: открытых вопросов в размещении персданных очень много и их стоит хорошенько провентилировать. Чем мы и займемся в этом посте.

Как все должно работать

Для начала разберемся, по каким признакам персональные данные вообще относят к тому или иному уровню защищенности. Это зависит от категории данных, от количества субъектов этих данных, которые хранит и обрабатывает оператор, а также от типа актуальных угроз.Определение типов актуальных угроз приведено в постановлении Правительства РФ №1119 от 1 ноября 2012 г.

«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»:

«Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.»

Основное в этих определениях — наличие недокументированных (недекларированных) возможностей. Для подтверждения отсутствия недокументированных возможностей ПО (в случае с облаком это гипервизор) проводится сертификация ФСТЭК России. Если оператор ПДн принимает, что таких возможностей в ПО нет, то и соответствующие угрозы неактуальны.

Угрозы 1-го и 2-го типов операторы ПДн крайне редко принимают актуальными.Помимо определения уровня защищенности ПДн оператор должен также определить конкретные актуальные угрозы для публичного облака и, исходя из выявленного уровня защищенности ПДн и актуальных угроз, определить необходимые меры и средства защиты от них.

У ФСТЭК все основные угрозы четко перечислены в БДУ (банке данных угроз). Провайдеры и аттестаторы облачных инфраструктур в работе используют эту базу. Вот примеры угроз:УБИ.

44: «Угроза заключается в возможности нарушения безопасности пользовательских данных программ, функционирующих внутри виртуальной машины, вредоносным программным обеспечением, функционирующим вне виртуальной машины».

Данная угроза обусловлена наличием уязвимостей программного обеспечения гипервизора, обеспечивающего изолированность адресного пространства, используемого для хранения пользовательских данных программ, функционирующих внутри виртуальной машины, от несанкционированного доступа со стороны вредоносного программного обеспечения, функционирующего вне виртуальной машины.

Реализация данной угрозы возможна при условии успешного преодоления вредоносным программным кодом границ виртуальной машины не только за счёт эксплуатации уязвимостей гипервизора, но и путем осуществления такого воздействия с более низких (по отношению к гипервизору) уровней функционирования системы».УБИ.

101: «Угроза заключается в возможности осуществления несанкционированного доступа к защищаемой информации одного потребителя облачных услуг со стороны другого. Данная угроза обусловлена тем, что из-за особенностей облачных технологий потребителям облачных услуг приходится совместно использовать одну и ту же облачную инфраструктуру.

Реализация данной угрозы возможна в случае допущения ошибок при разделении элементов облачной инфраструктуры между потребителями облачных услуг, а также при изоляции их ресурсов и обособлении данных друг от друга».Защититься от этих угроз можно только с помощью гипервизора, поскольку именно он управляет виртуальными ресурсами.

Таким образом, гипервизор необходимо рассматривать как средство защиты.

И в соответствии с приказом ФСТЭК №21 от 18 февраля 2013 г., гипервизор должен пройти сертификацию на отсутствие НДВ по 4 уровню, иначе использование персональных данных 1 и 2 уровня с ним будет незаконно («п.12. … Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей»).

Нужным уровнем сертификации, НДВ-4, обладает только один гипервизор, российской разработки — Горизонт ВС. Мягко говоря, не самое популярное решение. Коммерческие облака, как правило, строятся на базе VMware vSphere, KVM, Microsoft Hyper-V.

Ни один из этих продуктов не имеет сертификации на НДВ-4. Почему? Вероятно, получение такой сертификации для производителей пока экономически не оправдано.И остается нам для персданных 1 и 2 уровня в публичном облаке лишь Горизонт ВС.

Sad but true.

Как все (на наш взгляд) работает на самом деле

На первый взгляд, все достаточно строго: указанные угрозы должны устраняться правильной настройкой штатных механизмов защиты гипервизора, сертифицированного по НДВ-4. Но есть одна лазейка. В соответствии с Приказом ФСТЭК №21 («п.

2 Безопасность персональных данных при их обработке в информационной системе персональных данных (далее — информационная система) обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации»), провайдеры самостоятельно оценивают актуальность возможных угроз и в соответствии с этим выбирают меры защиты. Поэтому, если не принять актуальными угрозы УБИ.44 и УБИ.101, то не возникнет и потребности использовать сертифицированный по НДВ-4 гипервизор, который как раз и должен обеспечивать защиту от них. И этого будет достаточно для получения аттестата соответствия публичного облака 1 и 2 уровням защищенности ПДн, которым будет вполне удовлетворен Роскомнадзор.

Конечно, помимо Роскомнадзора с проверкой может прийти ФСТЭК — и эта организация куда более дотошна в технических вопросах. Ее наверняка заинтересует, почему именно угрозы УБИ.44 и УБИ.101 были признаны неактуальными? Но обычно ФСТЭК предпринимает проверку только когда получает информацию о каком-то ярком инциденте. В этом случае федеральная служба сначала приходит к оператору персданных — то есть заказчику облачных услуг. В худшем случае, оператор получает небольшой штраф — например, для в начале года штраф в похожем случае составил 5000 рублей. Затем ФСТЭК идет дальше, к провайдеру облачных услуг. Которого вполне может лишить лицензии из-за невыполнения нормативных требований — а это уже совсем другие риски, как для облачного провайдера, так и для его клиентов. Но, повторяюсь, для проверки ФСТЭК обычно нужен четкий повод. Так что облачные провайдеры готовы идти на риск. До первого серьезного инцидента.

Есть еще группа «более ответственных» провайдеров, которые считают, что можно закрыть все угрозы, дополнив гипервизор надстройкой типа vGate. Но в распределенной между заказчиками виртуальной среде для некоторых угроз (например, приведенной выше УБИ.

101) действенный механизм защиты можно реализовать только на уровне сертифицированного по НДВ-4 гипервизора, поскольку любые системы-надстройки на штатные функции работы гипервизора по управлению ресурсами (в частности, оперативной памятью) не влияют.

Как работаем мы

У нас есть облачный сегмент, реализованный на гипервизоре, сертифицированном ФСТЭК (но без сертификации на НДВ-4). Этот сегмент аттестован, так что в облаке на его основе можно размещать персональные данные 3 и 4 уровней защищенности — требования по защите от недекларированных возможностей здесь соблюдать не нужно.

Вот, кстати, архитектура нашего защищенного сегмента облака:
Системы для персональных данных 1 и 2 уровней защищенности мы реализуем только на выделенном оборудовании. Лишь в этом случае, например, угроза УБИ.

101 действительно не актуальна, поскольку серверные стойки, не объединенные одной виртуальной средой, не могут влиять друг на друга даже при размещении в одном ЦОД. Для таких случаев мы предлагаем услугу аренды выделенного оборудования (ее еще называют Hardware as a service, оборудование как сервис).

Если же вы не уверены, какой уровень защищенности требуется для вашей системы персональных данных, мы также помогаем в их классификации.

Вывод

Источник: http://hostingrus.host/tips/i-tak-sojdet-chto-oblachnye-provajdery-ne-dogovarivajut.html

Требования определяющие уровень защищенности персональных данных утверждены. Кратко о выборе сертифицированных сзи от нсд

Как определить тип актуальных угроз. Кратко о выборе сертифицированных сзи от нсд

Под уровнем исходной защищенности информационной системы персональных данных (ИСПДн) понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, а именно:

  • территориальное размещение;
  • наличие соединению сетями общего пользования;
  • встроенные (легальные) операции с записями баз персональных данных;
  • разграничение доступа к персональным данным;
  • наличие соединений с другими базами персональных данных иных ИСПДн;
  • уровень обобщения (обезличивания) персональных данных;
  • объем персональных данных, который предоставляется сторонним пользователям ИСПДн без предварительной обработки.

Определяется уровень исходной защищенности ИСПДн (Y₁) в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных ФСТЭК России в 2008 году. Уровень исходной защищенности ИСПДн (Y₁) применяется для оценки возможности реализации угроз безопасности персональных данных и .

ФСТЭК России выделило 3 (три) уровня исходной защищенности ИСПДн (Y₁):

  • высокий;
  • средний;
  • низкий.

Уровень исходной защищенности ИСПДн определяется по таблице 1

Таблица 1. Показатель исходного уровня защищенности ИСПДн

Уровень защищенности
ВысокийСреднийНизкий
1. По территориальному размещению:
распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом;+
городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка);+
корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации;+
локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий;+
+
ИСПДн, имеющая многоточечный выход в сеть общего пользования;+
ИСПДн, имеющая одноточечный выход в сеть общего пользования;+
ИСПДн, физически отделенная от сети общего пользования+
чтение, поиск;+
запись, удаление, сортировка;+
модификация, передача+
ИСПДн, к которой имеют доступ определенные перечнем сотрудники организации, являющейся владельцем ИСПДн, либо субъект персональных данных;+
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн;+
ИСПДн с открытым доступом+
5. По наличию соединений с другими базами персональных данных иных ИСПДн:
интегрированная ИСПДн (организация использует несколько баз персональных данных ИСПДн, при этом организация не является владельцем всех используемых баз персональных данных);+
ИСПДн, в которой используется одна база персональных данных, принадлежащая организации – владельцу данной ИСПДн+
6. По уровню обобщения (обезличивания) персональных данных:
ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.);+
ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации;+
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта персональных данных)+
7. По объему персональных данных, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:
ИСПДн, предоставляющая всю базу данных с персональными данными;+
ИСПДн, предоставляющая часть персональных данных;+
ИСПДн, не предоставляющая никакой информации.+

Правила определения исходного уровня защищенности ИСПДн

Исходная уровень защищенности ИСПДн определяется следующим образом.

1. ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные – среднему уровню защищенности (положительные решения по второму столбцу).

Таблица 2. Условия определения высокого уровня исходной защищенности

Технические и эксплуатационные характеристики ИСПДнУровень защищенности
ВысокийСреднийНизкий
∑ ≥ 70%∑ ≤ 30% 0%

2. ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные – низкому уровню защищенности.

Таблица 3. Условия определения среднего уровня исходной защищенности

Технические и эксплуатационные характеристики ИСПДнУровень защищенности
ВысокийСреднийНизкий
∑ < 70% ∑ ≥ 70% ∑ ≤ 30%

3. ИСПДн имеет низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2.

Таблица 4. Условия определения низкого уровня исходной защищенности

Технические и эксплуатационные характеристики ИСПДнУровень защищенности
ВысокийСреднийНизкий
∑ < 70%∑ < 70%∑ > 0%

При составлении перечня актуальных угроз безопасности персональных данных каждой степени исходного уровня защищенности ИСПДн ставится в соответствие числовой коэффициент Y₁, а именно:

  • 0 – для высокой степени исходной защищенности;
  • 5 – для средней степени исходной защищенности;
  • 10 – для низкой степени исходной защищенности.

Пример определения уровня исходной защищенности ИСПДн

Требуется определить уровень исходной защищенности автоматизированного рабочего места пользователя управляющей компании, которая взаимодействует через сеть общего пользования “Интернет” с ГИС ЖКХ, с учетом правил определения исходного уровня защищенности ИСПДн (таблицы 2, 3, 4), результаты занесем в таблицу 5.

Таблица 5. Исходная степень защищенности автоматизированного рабочего места пользователя

Технические и эксплуатационные характеристики ИСПДнУровень защищенности
ВысокийСреднийНизкий
1. По территориальному размещению:+
локальная ИСПДн, развернутая в пределах одного здания+
2. По наличию соединения с сетями общего пользования:+
ИСПДн, имеющая одноточечный выход в сеть общего пользования+
3. По встроенным (легальным) операциям с записями баз персональных данных:+
модификация, передача+
4. По разграничению доступа к персональным данным:+
ИСПДн, к которой имеют доступ определенные перечнем сотрудники организации, являющейся владельцем ИСПДн, либо субъект персональных данных+
5. По наличию соединений с другими базами персональных данных иных ИСПДн+
интегрированная ИСПДн (организация использует несколько баз персональных данных ИСПДн, при этом организация не является владельцем всех используемых баз персональных данных)+
6. По уровню обобщения (обезличивания) ПДн: +
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн) +
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: +
ИСПДн, предоставляющая часть ПДн+

В данном посте хотелось бы осветить такой документ, как Акт определения уровня защищенности ПДн при их обработке в ИСПДн. Это, если можно так сказать, перерождение Акта классификации ИСПДн. Основной камень преткновения, который я встретил, это не совсем понятная картина в том, что является законодательным инструментом в написании данного акта.

Дело в том, что ранее этот акт классификации ИСПДн писался на основании приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных», который и утверждает порядок классификации.

Но издан этот приказ в соответствии с пунктом 6 Постановления Правительства №781 от 17 ноября 2007 г., которое утратило силу в связи с выходом Постановления Правительства № 1119 от 1 ноября 2012. Таким образом, приказ действующий, а вышестоящий документ – нет.

В свою очередь в ПП 1119 нет привязки к категории ИСПДн, однако есть привязка к уровню защищенности персональных данных, который должен быть обеспечен при их обработке в ИСПДн.

Источник: https://domjilserv.ru/peresechenie-granicy/trebovaniya-opredelyayushchie-uroven-zashchishchennosti-personalnyh-dannyh.html

Криптоанархист

Как определить тип актуальных угроз. Кратко о выборе сертифицированных сзи от нсд

ФСТЭК выпустил любопытный проект документа под названием «МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ ВГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ».

Первоевпечатление – ниже.

Сфера действия

Документописывает методы реализации организационных и технических мер защиты информации,перечисленных в приказе ФСТЭК № 17.

Видимодокумент планируется к применению в информационных системах, защищаемых в соответствии с требованиями приказа ФСТЭК № 17.

Длязащиты информации (в том числе персональных данных) в прочих информационныхсистемах данный документ также может применяться.

Документпредставляет интерес для технических специалистов операторов, а также длясистемных интеграторов, работающих в гос. секторе.

Меры защиты

Составмер защиты в проекте документа идентичен составу мер из 17 приказа ФСТЭК.

Для каждой меры приводятся требованияк реализации и требования кусилению.

Требованияк реализации описывают то, каким образом реализуется мера в целом. Например,для меры ИАФ.1 (Идентификация и аутентификация пользователей, являющихсясотрудниками оператора) приводится описание того, кто именно подразумеваетсяпод «сотрудниками» оператора, а также перечисляются возможные способыаутентификации (пароль, аппаратные средства, биометрия, многофакторнаяаутентификация).

Требованияпо усилению дополнительно детализируют содержание меры. Например, требование 1а поусилению ИАФ.

1, требует использования аутентификации на основе пароля длиной неменее 6 символов, с алфавитом не менее 30 символов и максимальным количеством неуспешных попыток ввода от 3 до 10.

Необходимые “усиления” меры зависят от класса защищенности системы. Например, для системы 3 класса защищенности мера ИАФ.1 обязательна и применяется с “усилением” 1б.

Мера защиты информацииКласс защищенности информационной системы
43 2 1
ИАФ.1++++
Усиление ИАФ.11в, 2, 3, 41г, 2, 3, 4, 5

Такимобразом, из класса защищенности системы вытекает не только набор мер защиты, ноеще и способ реализации каждой меры. 

Невсе требования по усилению обязательны. Часть мер, не включенных в таблицубазовых мер, применяется по решению обладателя информации, для повышения уровнязащищенности информации, при адаптации, уточнении, дополнении мер защиты, атакже при разработке компенсирующих мер.

Дальше, в лес

Личноу меня после первого прочтения возникло несколько вопросов.

Во-первых,для всех классов защищенности кроме 4-го, запрещен удаленный доступ при помощиучетных записей администраторов для администрирования информационной системы иСЗИ (см. п.3 на стр. 36 в УПД.13).

Какудаленно администрировать, например, сетевое оборудование? Как действовать в случае,когда админу из дома необходимо срочно что-либо настроить?

Во-вторых,в требованиях по защите информации при передаче (см. ЗИС.3 на стр. 119)сказано, что «защита информации обеспечивается путем защиты каналов связи от несанкционированногофизического доступа (подключения) к ним и (или) применения в соответствии сзаконодательством Российской Федерации средств криптографической защиты информации».

Хорошо,что обозначена альтернатива использованию криптографии.

Но,к сожалению, не расписаны возможные меры защиты канала от НСД.

Подразумеваетсяисключительно предотвращениефизического доступа к каналу, или же допускается возможность обнаружения несанкционированного доступас последующим прекращением передачи? Лично я надеялся, что вопрос защитыканалов связи будет освящен подробнее.

В-третьих, втребованиях по сегментированию системы (см. ЗИС.17 на стр. 132) сказано, что «сегментированиеинформационной системы проводится с целью построения многоуровневой(эшелонированной) системы защиты информации путем построения сегментов наразличных физических доменах или средах».

Получается,что нужно строить для защищаемых систем физически выделенные сегменты сети наотдельном оборудовании? Трактовка данного требования не очевидна.

Что в итоге

Проектдокумента ФСТЭК мне определенно нравится, особенно на контрасте с последним проектом приказа ФСБ.

Документвышел достаточно объемным (165 страниц) и производит сильное впечатление.Требования сформулированы понятном для IT-шника языке. Практически нетдвусмысленных трактовок. Документ требует вдумчивого и глубокого анализа состороны специалистов в различных областях. 

ФСТЭК предлагает заинтересованным лицам рассмотреть проект  документа и направить предложения по нему на адрес электронной почты project@fstec.ru. 

Форма для предложений и замечаний есть в конце информационного сообщения ФСТЭК.

“,”author”:null,”date_published”:null,”lead_image_url”:”http://1.bp.blogspot.com/-d3LdvNEUc/UpS5M4G9amI/AAAAAAAAAFI/gPmRuErhpvg/s320/%25D0%25A4%25D0%25A1%25D0%25A2%25D0%25AD%25D0%259A.jpg”,”dek”:null,”next_page_url”:null,”url”:”http://crypto-anarchist.blogspot.com/2013/”,”domain”:”crypto-anarchist.blogspot.com”,”excerpt”:”Информационная безопасность в России, МЭ, СКЗИ, VPN, DLP, ПДн, ФСБ, ФСТЭК”,”word_count”:577,”direction”:”ltr”,”total_pages”:1,”rendered_pages”:1}

Источник: http://crypto-anarchist.blogspot.com/2013/

Персональные данные: как соблюсти порядок их обработки. Что означает обработка. Категория, количество, тип угроз – уровень защиты

Как определить тип актуальных угроз. Кратко о выборе сертифицированных сзи от нсд

Все организации собирают, хранят и используют сведения о своих сотрудниках. Информация личного характера сейчас имеет высокую ценность, а при попадании в руки мошенников она становится средством для совершения преступлений. В этой статье мы расскажем, как и с какой целью компании обрабатывают персональные данные и должны ли они получать на это согласие работников.

Что такое обработка персональных данных

Понятие «обработка персональных данных» включает любые действия, совершаемые оператором с индивидуальной информацией. Среди них:

  1. сбор;
  2. уточнение;
  3. систематизация;
  4. использование;
  5. удаление;
  6. хранение.

Все организации и предприятия являются операторами персональных данных, поскольку обрабатывают их. В ст. 22 закона № 152-ФЗ дается правовое основание обработки персональных данных. Исходя из текста статьи, работодатель вправе совершать действия с личной информацией работников без уведомления об этом намерении органов Роскомнадзора.

Для совершения действий с личной информацией применяются несколько способов. Автоматизированная обработка персональных данных - это обработка на компьютере. Неавтоматизированный способ предполагает использование бумажных носителей. Сейчас в большинстве случаев применяется смешанная обработка, которая сочетает в себе элементы автоматизированной и неавтоматизированной.

Цели обработки персональных данных на предприятии

Выделяют следующие цели обработки персональных данных в организации:

  1. Заключение, исполнение и прекращение гражданско-правовых договоров с гражданами, юридическими лицами, ИП и другими лицами в ситуациях, предусмотренных законодательством и Уставом предприятия.
  2. Организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам.
  3. Ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами.
  4. Исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физлиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование.
  5. Заполнение первичной статистической документации в соответствии с Трудовым, Налоговым кодексом и федеральными законами.

Что такое согласие на обработку персональных данных

Вместе с предоставлением необходимых документов при заключении трудового договора подписывается согласие работника на обработку персональных данных работника. Согласно ст. 3 ФЗ №152 , к таким данным относятся все сведения о человеке – от имени и фамилии до записей в трудовой книжке.

Персональные данные делятся на 3 категории:

  • Общедоступные – основные анкетные данные, включая ФИО, пол, дату и место рождения.
  • Биометрические – информация о внешности и некоторых физиологических особенностях, если они определяются визуально.
  • Специальные – национальность, вероисповедание, состояние здоровья, судимости, частично – сведения о работе (причины увольнения и др.).

Персональные данные конфиденциальны (за исключением общедоступных), поэтому для их обработки необходимо получать согласие человека.

В обязательном порядке устанавливается срок действия согласия на обработку персональных данных. Моментом его окончания становится либо конкретная дата, либо определенное событие, в том числе отзыв работником своего согласия. Это требование указано в п. 4 ст. 9 ФЗ №152.

В каких случаях нужно согласие на обработку персональных данных

Согласие требуется на обработку специальных и биометрических данных. Общедоступную информацию разрешается свободно использовать, если только это не противоречит закону, а также общепринятым нормам морали и этики.

Ситуации, когда согласие на обработку персональных данных не требуется

Исключение составляют случаи, когда расследуется уголовное дело, проводятся оперативно-розыскные мероприятия. Биометрические данные могут понадобиться, чтобы установить личность при отсутствии у человека документов. В таких ситуациях не требуется согласие на обработку личной информации.

Примерная форма оформления согласия и описание документа

Заявление о согласии на обработку личной информации подается на имя руководителя организации в письменной форме. В шапке документа указываются:

  1. должность руководителя и наименование организации, которую он возглавляет;
  2. ФИО руководителя;
  3. должность работника;
  4. ФИО работника;
  5. дата;
  6. место составления.

Примерный текст документа следующий:
«Данным заявлением я подтверждаю свое согласие на сбор, обработку, использование и хранение моих персональных данных в пределах, необходимых для обеспечения моих трудовых и социальных прав, уплаты установленных налогов, сборов и иных обязательных платежей, отчисления обязательных взносов в государственные фонды и для других целей, вытекающих из трудовых и смежных с ними правоотношений между мной и работодателем в рамках действующего законодательства. Работодатель вправе предоставлять мои персональные данные третьим лицам только в установленных законом случаях».
Под текстом заявления работник ставит свою подпись.

Возможен ли отказ от обработки персональных данных с позиции закона

По закону, отказ от согласия на обработку персональных данных не несет юридических последствий. В ч. 1 ст. 9 ФЗ №152 указано, что само согласие выражается свободно и добровольно.

Ч. 5 ст. 6 того же закона допускает отсутствие согласия на обработку личной информации в случае, если это требуется для исполнения договора, в том числе трудового.

Поэтому работодатели, выполняя свои обязанности, в интересах сотрудников могут обрабатывать их персональные данные без получения на то согласия. Это касается только работников, которые уже числятся в штате. Принять человека на работу при его отказе от обработки персональных данных нельзя.

В таком случае еще не заключен трудовой договор. Раз этого документа нет, то и обязанности исполнять его у работодателя не возникает.

Иногда отказ от обработки личной информации чреват негативными последствиями. Если на предприятии действует пропускной режим, то при таких обстоятельствах работнику нельзя будет оформить либо заменить пропуск – такое действие выйдет за рамки служебных целей. Поэтому отсутствие согласия повлечет за собой невозможность выполнения трудовых функций.

Источник: https://putevkin.ru/personalnye-dannye-kak-soblyusti-poryadok-ih-obrabotki-chto/

Юр-защитник
Добавить комментарий