• Рабочие часы: 10:00 - 19.00
  • info@globaltrust.ru

Рубрика: Новости

image_pdfimage_print

Порядок уничтожения персональных данных, обрабатываемых в информационных системах

В целях обеспечения соответствия процессов обработки персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также Приказу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179 Об утверждении Требований к подтверждению уничтожения персональных данных”, организациям следует определить и зафиксировать во внутренних нормативных документах порядок уничтожения персональных данных, хранящихся в информационной системе персональных данных.

Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Рассмотрим основные положения данного внутреннего нормативного документа оператора персональных данных.

Основания для уничтожения персональных данных

Обрабатываемые в информационных системах персональных данные подлежат уничтожению в следующих случаях:

  • прекращение деятельности оператора
  • истечение срока обработки
  • достижение цели обработки
  • отзыв субъектом согласия на обработку его персональных данных
  • обращение субъекта к оператору с требованием об уничтожении его персональных данных

Данные, не подлежащие уничтожению

При наличии указанных выше оснований, все персональные данные субъекта подлежат уничтожению, за исключением случаев, устанавливаемых законодательством для отдельных категорий персональных данных.

Достижение цели обработки или истечение срока обработки

После увольнения работника организации дальнейшая обработка его персональных данных и персональных данных членов его семьи не производится, учетная запись работника и связанные с ней персональные данные удаляются из базы данных.

Получив уведомление о факте увольнения работника, владелец информационной системы персональных данных направляет администратору этой системы запрос на уничтожение персональных данных соответствующего субъекта, предоставляя администратору в этом запросе данные, позволяющие однозначно идентифицировать субъекта. Такими данными может служить уникальный идентификатор субъекта (совокупность ФИО, номер служебного телефона или адрес служебной электронной почты).

После получения запроса от владельца информационной системы персональных данных, администратором в срок, не превышающий 10 дней, производятся действия по уничтожению данных персональных данных, путем их удаления из баз данных, с составлением Акта уничтожения персональных данных.

Уничтожение персональных данных осуществляется в срок, не превышающий 30 дней, начиная с даты увольнения работника. Контроль соблюдения данного срока осуществляет владелец информационной системы персональных данных.

Отзыв согласия на обработку

В случае отзыва субъектом согласия на обработку персональных данных, ответственный за организацию обработки персональных данных информирует владельца информационной системы персональных данных, который в течение 10 дней рассматривает соответствующее обращение, анализирует его корректность, полноту содержащейся в нем информации, возможность установления личности субъекта, соответствие полученного от субъекта обращения (заявления) требованиям действующего законодательства, после чего принимает решение относительно возможности прекращения обработки персональных данных субъекта и их уничтожения.

В случае принятия владельцем информационной системы персональных данных положительного решения относительно возможности прекращения обработки персональных данных и их удаления из информационной системы, он направляет администратору информационной системы запрос на уничтожение персональных данных соответствующего субъекта, предоставляя администратору в этом запросе данные позволяющие однозначно идентифицировать субъекта. Такими данными может служить уникальный идентификатор субъекта (совокупность ФИО, номер служебного телефона или адрес служебной электронной почты).

После получения запроса на уничтожение персональных данных, администратором информационной системы в срок, не превышающий 10 дней, производятся действия по уничтожению этих данных, путем их удаления из баз данных, с составлением Акта уничтожения персональных данных.

Уничтожение персональных данных осуществляется в срок, не превышающий 30 дней, начиная с даты поступления указанного обращения от субъекта или его законного представителя. Контроль соблюдения данного срока осуществляет владелец информационной системы персональных данных.

Обращение субъекта ПДн с требованием об уничтожении его персональных данных

В случае обращения субъекта персональных данных к оператору с требованием об уничтожении его персональных данных, ответственный за организацию обработки персональных данных в течение 2 рабочих дней информирует об этом владельца информационной системы персональных данных, который в течение 3 рабочих дней рассматривает соответствующее обращение, анализирует его корректность, полноту содержащейся в нем информации, возможность установления личности субъекта, соответствие полученного от субъекта обращения требованиям действующего законодательства, после чего принимает решение относительно возможности прекращения обработки персональных данных субъекта и их уничтожения.

В случае принятия владельцем информационной системы персональных данных положительного решения относительно возможности прекращения обработки персональных данных и их удаления из информационной системы, он направляет администратору информационной системы запрос на уничтожение персональных данных соответствующего субъекта, предоставляя администратору данные позволяющие однозначно идентифицировать субъекта. Такими данными может служить уникальный идентификатор субъекта (совокупность ФИО, номер служебного телефона или адрес служебной электронной почты).

После этого администратором в срок, не превышающий 3 рабочих дней, производятся действия по уничтожению персональных данных, путем их удаления из баз данных, с составлением Акта уничтожения персональных данных.

Уничтожение персональных данных осуществляется в срок, не позднее 10 рабочих дней, начиная с даты поступления указанного требования от субъекта персональных данных или его законного представителя. Контроль соблюдения данного срока осуществляет владелец информационной системы персональных данных.

Уничтожение персональных данных на отчуждаемых электронных носителях

Если для хранения (и передачи) персональных данных используются отчуждаемые электронные носители (USB-накопители, CD-ROM, флэш-память и т.п.), то в организации должен вестись учет этих носителей, а для уничтожения хранящихся на них персональных данных должны использоваться программные шредеры или иные средства гарантированного уничтожения информации, обеспечивающие надежное безвозвратное удаление данных.

Уничтожение персональных данных в базах данных

Подлежащие уничтожению данные хранятся в реляционной базе данных информационной системы.

Уничтожение этих данных, производится штатными средствами информационной системы и/или СУБД, и должно предусматривать удаление соответствующих записей таблиц в продуктивной и тестовой базах данных.

Подтверждение факта уничтожения персональных данных

Во всех приведенных случаях факт уничтожения персональных данных подтверждается комиссией, в состав которой как минимум должны входить владелец и администратор информационной системы.

К акту уничтожения персональных данных должна быть приложена выгрузка из журнала регистрации событий информационной системы, подтверждающая факт уничтожения.

Акты уничтожения персональных данных и выгрузки из журнала регистрации событий подлежат хранению в течение 3 лет с момента уничтожения персональных данных.

Порядок уничтожения персональных данных входит в состав Комплекта типовых документов для операторов персональных данных.

Порядок уведомления Роскомнадзора об инцидентах в области персональных данных

Согласно приказу Роскомнадзора № 187 от 14.11.2022 г. «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных», взаимодействие Роскомнадзора с операторами в случае инцидентов в области персональных данных, с целью получения информации о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, осуществляется в форме направления операторами в Роскомнадзор уведомления о таких фактах.

В связи с этим, все операторы персональных данных должны установить соответствующими внутренними нормативными документами и выполнять предписанный данным приказом порядок уведомления Роскомнадзора об инцидентах в области персональных данных.

Рассмотрим основные положения данного внутреннего нормативного документа оператора персональных данных.

Сроки уведомления Роскомнадзора об инциденте

При возникновении инцидента в области персональных данных Ответственный за организацию обработки персональных данных должен направить в Роскомнадзор соответствующие уведомления:

  • в течение 24 часов: информацию о произошедшем инциденте (первичное уведомление);
  • в течение 72 часов: информацию о результатах внутреннего расследования выявленного инцидента (дополнительное уведомление).

Содержащие первичного уведомления об инциденте

Первичное уведомление об инциденте в области персональных данных должно содержать следующие сведения:

  • о произошедшем инциденте (дату и время выявления инцидента, характеристику персональных данных, количество содержащихся в ней записей;
  • о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных (предварительные причины неправомерного распространения персональных данных, повлекшего нарушение прав субъектов персональных данных);
  • о предполагаемом вреде, нанесенном правам субъектов персональных данных (результаты предварительной оценки вреда);
  • о принятых мерах по устранению последствий соответствующего инцидента (перечень принятых оператором организационных и технических мер по устранению последствий инцидента);
  • о лице, уполномоченном оператором на взаимодействие с Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, по вопросам, связанным с выявленным инцидентом.

данные оператора, направившего уведомление:

  • фамилию, имя и отчество (при наличии) гражданина, индивидуального предпринимателя;
  • полное и сокращенное (при наличии) наименование юридического лица;
  • идентификационный номер налогоплательщика юридического лица, индивидуального предпринимателя, физического лица;
  • адрес регистрации по месту жительства (пребывания) физического лица, индивидуального предпринимателя;
  • адрес юридического лица в пределах места нахождения юридического лица;
  • адрес электронной почты (при наличии) для направления информации;
  • иные сведения и материалы, находящиеся в распоряжении оператора, в том числе об источнике получения информации об инциденте, а также подтверждающие принятие мер по устранению последствий инцидента (при наличии).

В случае если Ответственный за организацию обработки персональных данных на момент направления первичного уведомления располагает сведениями о результатах внутреннего расследования выявленного инцидента, то он вправе указать такие сведения в первичном уведомлении.

Содержание дополнительного уведомления об инциденте

Дополнительное уведомление (о результатах внутреннего расследования выявленного инцидента) должно содержать следующие сведения:

  • о результатах внутреннего расследования выявленного инцидента (информация о причинах, повлекших нарушение прав субъектов персональных данных, и вреде, нанесенном правам субъектов персональных данных, о дополнительно принятых мерах по устранению последствий соответствующего инцидента (при наличии), а также о решении оператора о проведении внутреннего расследования с указанием его реквизитов);
  • о лицах, действия которых стали причиной выявленного инцидента (при наличии) (фамилия, имя, отчество (при наличии) должностного лица оператора с указанием должности (если причиной инцидента стали действия сотрудника оператора), фамилия, имя, отчество (при наличии) физического лица, индивидуального предпринимателя или полное наименование юридического лица, действия которых стали причиной выявленного инцидента, IP-адрес компьютера или устройства, предполагаемое местонахождение таких лиц и (или) устройств (если причиной инцидента стали действия посторонних лиц) и иные сведения о выявленном инциденте, имеющиеся в распоряжении оператора).

Способы направления уведомления об инциденте

Уведомление можно направить двумя способами:

  1. В виде документа на бумажном носителе или в форме электронного документа по адресу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
  2. Уведомление в форме электронного документа направляется посредством заполнения специализированной формы, размещенной на Портале персональных данных Роскомнадзора по адресу: pd.rkn.gov.ru, после прохождения процедуры идентификации и аутентификации.

Предоставление в Роскомнадзор недостающих сведений об инциденте

После поступления уведомления в Роскомнадзор оператору по адресу электронной почты, направляются сведения о дате и времени передачи уведомления в информационную систему Роскомнадзор, а также номер и ключ уведомления.

Если оператор направил неполные или некорректные сведения Роскомнадзор не позднее трех рабочих дней со дня получения первичного или дополнительного уведомления направляет запрос оператору о представлении недостающих сведений и пояснений относительно некорректности представленных в уведомлении сведений.

Ответственный за организацию обработки персональных данных должен в течение 3 рабочих дней со дня получения запроса, предоставить актуальную информацию.

Порядок взаимодействия с Роскомнадзором входит в состав Комплекта типовых документов для операторов персональных данных.

Дайджесты главных новостей кибербезопасности в формате веб-историй на портале InfoSecPortal.ru

На портале кибербезопасности InfoSecPortal.ru началась публикация материалов в популярном формате веб-историй, совмещающем в себе все виды аудио-визуального представления данных.

Уже опубликованы дайджесты главных новостей информационной безопасности за прошедшую неделю. Источником новостей для веб-историй служит агрегатор рунета, который в автоматическом режиме формирует дайджесты новостей со всей значимых русскоязычных источников.

Создание веб-историй доступно всем пользователям портала с ролью Участник и выше. Истории создаются при помощи визуального редактора, разработанного компанией Google.

GlobalTrust рекомендует всем блогерам, авторам статей и новостей информационной безопасности взять на вооружение данный формат публикации. Это позволит оживить сухой статичный контент, порой, довольно сложных и скучных ИБ-повествований.

Рассказывайте читателям увлекательные истории, вместо обычной писанины!

https://infosecportal.ru/web-stories

ISO/IEC 27001:2022 и ISO/IEC 27002:2022: Ключевые обновления и идеи

Международный стандарт на системы менеджмента информационной безопасности ISO 27001 и сопутствующий ему стандарт ISO 27002 были обновлены в 2022 году. В этой статье рассказывается о наиболее заметных изменениях этих стандартов.

Изменения ISO/IEC 27001:2022

ISO 27001:2022 существенно не отличается от ISO 27001:2013, но есть некоторые заметные изменения. Однако большинство из них относятся к Приложению SL, структуре высокого уровня, общей для всех новых стандартов систем менеджмента ISO, а не к информационной безопасности:

  • Контекст и область действия. Теперь вы должны определить «релевантные» требования заинтересованных сторон и определить, какие требования будут удовлетворяться посредством СМИБ, которая теперь должна явно включать в себя «необходимые процессы и их взаимодействие».
  • Планирование. Цели информационной безопасности теперь должны контролироваться и «быть доступными в виде документированной информации». Появился новый подраздел, посвященный планированию изменений в СМИБ. Здесь не указаны какие-либо процессы, которые должны быть включены, поэтому вам следует определить, как вы можете продемонстрировать, что изменения в СМИБ действительно были запланированы.
  • Поддержка. Требования по определению того, кто будет коммуницировать, и процессы осуществления коммуникации были заменены требованием определить, «каким образом следует коммуницировать».
  • Операции. Требование планировать способы достижения целей информационной безопасности было заменено требованием установить критерии для процессов реализации действий, определенных в разделе 6, и управлять этими процессами в соответствии с этими критериями. От организаций теперь требуется контролировать «предоставляемые из-вне процессы, продукты или услуги», имеющие отношение к СМИБ.
  • Приложение. Приложение А было пересмотрено для приведения его в соответствие с ISO 27002:2022. Механизмы контроля согласно Приложению А обсуждаются в разделе ниже.

Каковы изменения контроля в Приложении А?

Некоторые механизмы контроля Приложения А были объединены, а также было добавлено 11 новых:

  • Несмотря на то, что никакие контроли не были удалены, в ISO 27001:2022 перечислено только 93 контроля, а не 114 как в ISO 27001:2013. Это связано с большим количеством объединенных контролей (24 вместо 56).
  • Эти контроли сгруппированы в 4 «темы», а не в 14 областей контроля, как раньше. Они включают в себя:
    • Кадровые (8 контролей)
    • Организационные (37 контролей)
    • Технологические (34 контроля)
    • Физические (14 контролей)
  • Совершенно новые контроли:
    • Разведка угроз
    • Информационная безопасность при использовании Облачных сервисов
    • Готовность ИКТ к обеспечению непрерывности бизнеса
    • Мониторинг физической безопасности
    • Управление конфигурацией
    • Удаление информации
    • Маскирование данных
    • Предотвращение утечки данных
    • Мониторинг активности
    • Веб-фильтрация
    • Безопасное кодирование
  • В ISO 27002 контроли также имеют пять типов «атрибутов», чтобы их было легче классифицировать:
    • Тип контроля (превентивный, детектирующий, корректирующий)
    • Свойства информационной безопасности (конфиденциальность, целостность, доступность)
    • Концепции кибербезопасности (идентификация, защита, обнаружение, реагирование, восстановление)
    • Операционные возможности (стратегическое управление, управление активами и т. д.)
    • Домены безопасности (стратегическое управление и экосистема, защита, оборона, устойчивость)

Что изменилось в ISO 27002?

Фраза «свод правил» (“code of practice”) была исключена из названия обновленного стандарта ISO 27002. Это лучше отражает его цель как эталонного набора мер по обеспечению информационной безопасности.

Сам стандарт значительно длиннее предыдущей версии, а элементы управления были переупорядочены и обновлены, как описано в разделе выше.

Как обновление ISO 27001 повлияет на вашу организацию?

Если вы находились на стадии внедрения предыдущей версии стандарта, не паникуйте. Органы по сертификации, скорее всего, предложат сертификацию по стандарту ISO 27001:2022 всего через шесть месяцев после его публикации. Кроме того, стандарт ISO 27001:2013 будет сохранен еще на три года, так что ваша работа по внедрению стандарта 27001:2013 не пропадет. Однако вы можете использовать новые контроли согласно Приложению А из ISO 27001:2022 в качестве альтернативного набора контролей.

Если вы уже сертифицированы по стандарту ISO 27001:2013, помните, что у вас будет время («Переходный период») для полного перехода на новые требования. Однако лучший момент для этого — перед следующим внутренним аудитом , независимо от того, прошли ли вы сертификацию давным давно или только находитесь в процессе сертификации.

Внутренний аудит ISO 27001 включает детальную оценку СМИБ вашей организации, чтобы убедиться в ее соответствии критериям стандарта. Это позволит вам оценить, правильно ли вы отразили в СМИБ изменения, не подвергая риску статус вашей сертификации. Рекомендуется проведение внутреннего аудита как минимум за три месяца до проведения внешней оценки. Это позволит выявить любые потенциальные несоответствия и исправить их до прихода внешнего оценщика.

Политики безопасности GlobalTrust для приведения финансовых организаций в соответствие с ГОСТ Р 57580 по усиленному уровню защиты информации

Компания GlobalTrust разработала комплект типовых политик информационной безопасности GTS 57580 (У), адаптированный специально для финансовых организаций, которым необходимо обеспечивать усиленный уровень защиты информации. Комплект включает в себя 10 типовых политик защиты информации, охватывающих все предъявляемые к финансовым организациям требования по обеспечению безопасности информации с учетом рекомендаций Банка России в области стандартизации процессов обеспечения ИБ (PC БР ИББС).

В соответствии с Положением Банка России от 17 апреля 2019 г. № 683-П  кредитные организации должны обеспечивать реализацию требований национального стандарта РФ ГОСТ Р 57580.1-2017 по защите информации для объектов информационной инфраструктуры, используемых для обработки, передачи, хранения защищаемой информации в целях осуществления банковских операций.

Системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитные организации, значимые на рынке платежных услуг, должны реализовывать усиленный уровень защиты информации. Остальным кредитным организациям достаточно реализовать стандартный уровень защиты информации, определяемый ГОСТ Р 57580.1-2017.

Политики безопасности из комплекта GTS 57580 (У) также подойдут некредитным финансовым организациям (репозитарии, депозитарии, клиринговые организации, организаторы торговли, пенсионные фонды, брокеры, страховые компании и т.п.), которым в соответствии с Положением Банка России № 757-П, необходимо обеспечить соответствие ГОСТ Р 57580.1-2017 по усиленному или стандартному уровню защиты информации.

Некредитным финансовым организациям с минимальным уровнем защиты информации, подойдет упрощенная версия комплекта политик информационной безопасности GTS 57580 (M). К таким организациям относятся в частности банковские платежные агенты, небольшие пенсионные фонды, управляющие компании и т.п.

Все предоставляемые компанией GlobalTrust комплекты документов обеспечиваются гарантиями соответствия и актуальности, а также технической и консультационной поддержкой их адаптации и внедрения с учетом специфики конкретных финансовых организаций.

О компании GlobalTrust

Компания GlobalTrust с 2003 года осуществляет полное документальное обеспечение и сопровождение систем защиты информации и систем менеджмента информационной безопасности в организациях различного масштаба и сферы деятельности. С момента основания компании ее клиентами стали более 500 российских организаций. Эксперты GlobalTrust реализовали более 200 комплексных проектов по созданию и совершенствованию систем защиты информации.