Защита персональных данных на примере Пенсионного Фонда Российской Федерации

2 этап. Выделяется бизнес-процессы, связанные с такими ситуациями.

3 этап. Определяется круг  информационных систем и совокупность  обрабатываемых персональных данных.

4 этап. Определяются категории  персональных данных и предварительная  классификация информационных систем.

5 этап.  Проводится выработка предложений по снижению категорий обрабатываемых персональных данных.

6 этап. Происходит формирование  актуальной модели угроз для  каждой информационной системы  персональных данных, подготавливается  задание по созданию требуемой  системы защиты.

7 этап.  Проводится уточнение  классов информационных систем  и подготовка рекомендаций по  использованию технических средств  защиты персональных данных.

Но также для защиты персональных данных необходимо использовать принципы защиты персональных данных.

Принцип законности. Соблюдение законодательства в области информации, информатизации и защиты информации с применением всех дозволенных методов обнаружения и пресечения нарушений при работе с информацией.

Принцип максимальной дружественности и прозрачности. Принимаемые меры должны максимально совмещаться с используемыми операционной и программно-аппаратной структурой информационных систем, а также должны быть понятны и оправданы для пользователей.

Принцип превентивности. Меры по защите информации и внедряемые средства защиты информации (СЗИ) должны быть нацелены, прежде всего, на пресечение реализации угроз безопасности информации, а не на устранение последствий их проявления.

Принцип оптимальности и разумной разнородности. Осуществление оптимального выбора соотношения между различными методами и способами противодействия угрозам безопасности информации.

Принцип адекватности и непрерывности. Решения, реализуемые системами защиты информации, должны быть разделены в зависимости от важности защищаемой информации и вероятности возникновения угроз ее безопасности.

Принцип адаптивности. Системы обеспечения информационной безопасности должны строиться с учетом возможного изменения конфигурации информационных систем, роста числа пользователей, изменения степени конфиденциальности и ценности информации.

Принцип доказательности и обязательности контроля. Реализация организационных мер внутри сети и применение специальных аппаратно-программных средств идентификации, аутентификации и подтверждения подлинности информации. Должны обеспечиваться обязательность, своевременность и документированность выявления, сигнализации и пресечения попыток нарушения установленных правил защиты.

Принцип самозащиты и конфиденциальности самой системы защиты информации.

    Принцип многоуровневости и равнопрочности. Реализация защиты информации на всех уровнях своей жизнедеятельности (технологическом, пользовательском, локальном, сетевом).   

Принцип простоты применения и апробированности защиты. Должны применяться средства защиты, для которых формально или неформально возможно доказать корректность выполнения защитных функций, проверить согласованность конфигурации различных компонентов, а их применение пользователями и обслуживающим персоналом должно быть максимально простым, чтобы уменьшить риски, связанные с нарушением правил их использования.

Принцип преемственности и совершенствования. Система защиты информации должна постоянно совершенствоваться на основе преемственности принятых ранее решений и анализа функционирования информационных систем.

Принцип персональной ответственности и минимизации привилегий для пользователей всех уровней. Принимаемые меры должны определять права и ответственности каждого уполномоченного лица. Распределение прав и ответственности должно в случае любого нарушения позволять определить круг виновных.

В итоге, можно сказать, что для эффективной защиты персональных данных необходимо, в первую очередь, придерживаться законодательства и нормативных актов Российской Федерации, проходить все этапы создания защиты персональных данных и придерживаться принципов, направленных на защиту персональных данных. А система обеспечения информационной безопасности должна обеспечивать разделение прав и ответственности между пользователями и уменьшению прав, позволяя, в случае любого нарушения, определить круг виновных.

 

1.2.2 Организационная защита персональных  данных

 

Мероприятия по защите персональных данных делятся на две большие подгруппы: по внутренней и внешней защите персональных данных.

К мерам по внутренней защите персональных данных относятся следующие действия:

- ограничение числа работников, для которых открыт доступ  к персональным данным;

- назначение ответственного лица, которое обеспечивает исполнение организацией законодательства;

- утверждение перечня документов, содержащих персональные данные;

- издание внутренних документов по защите персональных данных;

- ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами;

- проведение систематических проверок соответствующих знаний работников, которые обрабатывают персональные данные;

- рациональное размещение рабочих мест для исключения несанкционированного использования защищаемой информации;

- утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;

- утверждение порядка уничтожения информации;

- выявление и устранение нарушений требований по защите персональных данных;

- проведение профилактической работы с сотрудниками по предупреждению разглашения ими персональных данных.

Меры по внешней защите персональных данных разделяются на:

- введение пропускного режима, порядка приема и учета посетителей;

  - внедрение технических средств охраны, программных средств защиты информации на электронных носителях и др.

Законом также не установлены конкретные требования к количеству и содержанию локальных актов, которые принимаются в организации для решения вопросов обработки и защиты персональных данных.

Существует список документов, которые необходимо иметь каждой компании:

• общий документ, который определяет политику фирмы в отношении обработки персональных данных;
• список лиц, обрабатывающих персональные данные;
• приказ о назначении сотрудника, ответственного за организацию обработки персональных данных;
• положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных. В этом документе прописаны меры по защите персональных данных (введение пропускного режима, применение программных средств защиты информации – паролей, антивирусных программ, хранение персональных данных обособленно от других сведений, на отдельных материальных носителях и в специально оборудованных помещениях с ограниченным доступом и т. д.);
• локальный акт, устанавливающий процедуры, направленные на предотвращение и выявление  нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений.

  Также существуют организационные и технические меры, которые предназначены:

для  защиты персональных данных. Список мер:

- утверждение требований к помещению, где хранятся персональные данные. При использовании электронных систем обработки персональных данных необходимо учитывать требования по обеспечению безопасности таких данных, установленные в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных;

- ведение журнала учета работы с персональными данными. В целях соблюдения конфиденциального режима работы с персональными данными целесообразно вести журнал учета выдачи персональных данных другим лицам, организациям и государственным органам.

Таким образом, для безопасности доступа к персональным данным, в компании могут быть разработаны план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, вестись журнал антивирусных проверок и контроля работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных. Также необходимо выбрать внешние и внутренние меры для обеспечения безопасности персональных данных.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. Защита персональных данных в Пенсионном фонде Российской Федерации

2.1 Основные сведения о Пенсионном фонде РФ

 

Пенсионный фонда Российской Федерации (ПФР) – это один из наиболее значимых социальных институтов нашей страны; это крупнейшая федеральная система оказания государственных услуг в области социального обеспечения в России.

Образовался Пенсионный фонд в 1990 году Постановлением Верховного Совета РСФСР №442-1 «Об организации Пенсионного фонда РСФСР» для государственного управления финансами пенсионного обеспечения, которые необходимо выделить в самостоятельный внебюджетный фонд. После его создания появляется новый механизм финансирования и выплаты пенсий и пособий. Средства для этих выплат стали формироваться за счет поступления обязательных страховых взносов работодателей и граждан.

Структура ПФР:

8 Управлений в Федеральных  округах;

81 Отделение Пенсионного  фонда в субъектах РФ;

3 500 территориальных управлений во всех регионах страны.

 Функции Пенсионного фонда РФ:

1. Учет страховых средств, поступающих по обязательному пенсионному страхованию;
2. Назначение и выплата пенсий (трудовые пенсии, пенсии по государственному пенсионному обеспечению, пенсии военнослужащих и их семей, социальные пенсии, пенсии государственных служащих);
3. Назначение и реализация социальных выплат отдельным категориям граждан: ветеранам, инвалидам, инвалидам вследствие военной травмы, Героям Советского Союза, Героям Российской Федерации;
4. Персонифицированный учет участников системы обязательного пенсионного страхования (учитываются страховые пенсионные платежи почти 63 млн россиян);
5. Взаимодействие с работодателями-плательщиками страховых пенсионных взносов;
6. Выдача сертификатов на получение материнского капитала;
7. Управление средствами пенсионной системы, в том числе накопительной частью трудовой пенсии, которое осуществляется через государственную управляющую компанию и частные управляющие компании;
8. Реализация Программы государственного софинансирования пенсии.

Для выполнения своих функций Пенсионному фонду необходимы некоторые личные данные граждан. Работу с персональными данными в фонде регламентирует документ, который называется «Политика Пенсионного фонда Российской Федерации в отношении персональных данных и реализации требований к их защите». Этот документ определяет цели обработки данных ПФР, принципы их обработки, перечень органов ПФР, содержит сведения о передаче данных взаимодействующим организациям, о реализации мер по защите персональных данных.

Обработка персональных данных осуществляется для выполнения следующих целей:

- индивидуальный учет  застрахованных лиц в системе  обязательного пенсионного страхования;

- пенсионное обеспечение  граждан;

- ведение федеральных регистров лиц, которые имеют право на дополнительные меры государственной поддержки и государственной поддержки;

- администрирование страховых  взносов в ПФР;

- обеспечение прав и  льгот;

- обеспечение социальной  защиты ветеранов и инвалидов  Великой Отечественной войны и ветеранов и инвалидов боевых действий;

- рассмотрение обращений  граждан;

- регулирование трудовых  отношений;

- выполнение иных задач, которые были возложены на  ПФР законодательством ПФР.

Также можно отметить, что обработка персональных данных в ПФР может проводиться,

как при помощи автоматизированных средств, так и неавтоматизированных. Обрабатываются только те данные, которые отвечают целям их обработки.

 

2. Защита персональных данных в Пенсионном фонде Российской Федерации

 

Как уже упоминалось выше, персональные данные в Пенсионном фонде РФ обрабатываются на основе «Политики ПФР в отношении обработки персональных данных и реализации требований к их защите». В этом документе описываются не только действия, касающиеся обработки данных, но и действия, осуществляемые по отношению к защите персональных данных.

Пункт называется «Реализуемые требования к защите персональных данных». Здесь описываются требования для защиты от правомерного  или случайного доступа к персональным данным, их уничтожения, изменения, блокирования, копирования, распространения, от неправомерных действий с персональными данными ПФР. Эти требования осуществляются правовыми, организационными, техническими мерами.

Правовые меры включают в себя:

- заключение соглашений об информационном обмене с взаимодействующими организациями и включение в них требований об обеспечении конфиденциальности предоставляемых персональных данных;