Поможем написать учебную работу
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Питання для підготовки до екзамену по навчальній дисципліні «Захист персональних даних»
1. Сфера дії Закону України «Про захист персональних даних».
Цей Закон регулює правові відносини, повязані із захистом і обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у звязку з обробкою персональних даних.
Цей Закон поширюється на діяльність з обробки персональних даних, яка здійснюється повністю або частково із застосуванням автоматизованих засобів, а також на обробку персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.
Цей Закон не поширюється на діяльність з обробки персональних даних, яка здійснюється фізичною особою виключно для особистих чи побутових потреб.
Положення цього Закону не поширюються на діяльність з обробки персональних даних, яка здійснюється творчим чи літературним працівником, у тому числі журналістом, у професійних цілях, за умови забезпечення балансу між правом на невтручання в особисте життя та правом на самовираження.
2. Дати визначення термінам:
база персональних даних
володілець персональних даних;
Державний реєстр баз персональних;
згода субєкта персональних даних;
знеособлення персональних даних;
картотека;
обробка персональних даних;
одержувач;
персональні дані;
розпорядник персональних даних;
суб'єкт персональних даних;
третя особа.
база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
володілець персональних даних - фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;
Державний реєстр баз персональних даних - єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних;
згода субєкта персональних даних - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про її надання;
знеособлення персональних даних - вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу;
картотека - будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами;
обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем;
одержувач - фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа;
персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
розпорядник персональних даних - фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;
суб'єкт персональних даних - фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;
третя особа - будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних відповідно до закону.
3. Законодавство про захист персональних даних
Законодавство про захист персональних даних складають Конституція України, цей Закон, інші закони та підзаконні нормативно-правові акти, міжнародні договори України, згода на обов'язковість яких надана Верховною Радою України.
4. Суб'єкти відносин, пов'язаних із персональними даними
1. Суб'єктами відносин, пов'язаних із персональними даними, є:
суб'єкт персональних даних;
володілець персональних даних;
розпорядник персональних даних;
третя особа;
уповноважений державний орган з питань захисту персональних даних.
{Абзац сьомий частини першої статті 4 виключено на підставі Закону № 5491-VI від 20.11.2012}
2. Володільцем чи розпорядником персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи - підприємці, які обробляють персональні дані відповідно до закону.
3. Розпорядником персональних даних, володільцем яких є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу.
4. Володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі.
5. Розпорядник персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі.
5. Об'єкти захисту
1. Об'єктами захисту є персональні дані.
2. Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.
{Частину третю статті 5 виключено на підставі Закону № 5491-VI від 20.11.2012}
{Частину четверту статті 5 виключено на підставі Закону № 5491-VI від 20.11.2012}
6. Загальні вимоги до обробки персональних даних
1. Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних.
Обробка персональних даних здійснюється відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки.
У разі зміни визначеної мети обробки персональних даних суб'єктом персональних даних має бути надана згода на обробку його даних відповідно до зміненої мети, якщо нова мета обробки є несумісною з попередньою.
2. Персональні дані мають бути точними, достовірними та оновлюватися в міру потреби, визначеної метою їх обробки.
3. Склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки.
{Абзац другий частини третьої статті 6 виключено на підставі Закону № 5491-VI від 20.11.2012}
4. Первинними джерелами відомостей про фізичну особу є: видані на її ім'я документи; підписані нею документи; відомості, які особа надає про себе.
5. Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.
6. Не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
7. Якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів суб'єкта персональних даних, обробляти персональні дані без його згоди можна до часу, коли отримання згоди стане можливим.
8. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк, не більший ніж це необхідно відповідно до їх законного призначення.
9. Обробка персональних даних в історичних, статистичних чи наукових цілях може здійснюватися лише за умови забезпечення їх належного захисту.
10. Типовий порядок обробки персональних даних у базах персональних даних затверджується центральним органом виконавчої влади, що забезпечує формування державної політики у сфері захисту персональних даних.
{Абзац другий частини десятої статті 6 виключено на підставі Закону № 5491-VI від 20.11.2012}
Порядок обробки персональних даних у сфері забезпечення функціонування системи гарантування вкладів фізичних осіб затверджується Фондом гарантування вкладів фізичних осіб.
7. Особливі вимоги до обробки персональних даних
Стаття 7. Особливі вимоги до обробки персональних даних
1. Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, звинувачення у скоєнні злочину або засудження до кримінального покарання, а також даних, що стосуються здоров'я чи статевого життя.
2. Положення частини першої цієї статті не застосовується, якщо обробка персональних даних:
1) здійснюється за умови надання суб'єктом персональних даних однозначної згоди на обробку таких даних;
2) необхідна для здійснення прав та виконання обов'язків володільця у сфері трудових правовідносин відповідно до закону із забезпеченням відповідного захисту;
3) необхідна для захисту життєво важливих інтересів суб'єкта персональних даних або іншої особи у разі недієздатності або обмеження цивільної дієздатності суб'єкта персональних даних;
4) здійснюється із забезпеченням відповідного захисту релігійною організацією, громадською організацією світоглядної спрямованості, політичною партією або професійною спілкою, що створені відповідно до закону, за умови, що обробка стосується виключно персональних даних членів цих об'єднань або осіб, які підтримують постійні контакти з ними у зв'язку з характером їх діяльності, та персональні дані не передаються третій особі без згоди суб'єктів персональних даних;
5) необхідна для обґрунтування, задоволення або захисту правової вимоги;
6) необхідна в цілях охорони здоровя, встановлення медичного діагнозу, для забезпечення піклування чи лікування або надання медичних послуг за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоровя, на якого покладено обовязки щодо забезпечення захисту персональних даних та на якого поширюється законодавство про лікарську таємницю;
7) стосується обвинувачень у вчиненні злочинів, вироків суду, здійснення державним органом повноважень, визначених законом, щодо виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;
8) стосується даних, які були оприлюднені суб'єктом персональних даних.
8. Права суб'єкта персональних даних
1. Особисті немайнові права на персональні дані, які має кожна фізична особа, є невід'ємними і непорушними.
2. Суб'єкт персональних даних має право:
1) знати про місцезнаходження персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
3) на доступ до своїх персональних даних;
4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, які зберігаються;
5) предявляти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
6) пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
8) звертатися із скаргами на обробку своїх персональних даних до органів державної влади та посадових осіб, до повноважень яких належить забезпечення захисту персональних даних, або до суду;
9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
10) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
11) відкликати згоду на обробку персональних даних;
12) знати механізм автоматичної обробки персональних даних;
13) на захист від автоматизованого рішення, яке має для нього правові наслідки.
3. Розпорядження персональними даними фізичної особи, обмеженої в цивільній дієздатності або визнаної недієздатною, здійснює її законний представник.
9. Реєстрація баз персональних даних
1. База персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.
Положення про Державний реєстр баз персональних даних та порядок його ведення затверджуються Кабінетом Міністрів України.
2. Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення.
Володілець персональних даних звільняється від обовязку реєстрації баз персональних даних:
ведення яких повязано із забезпеченням та реалізацією трудових відносин;
членів громадських, релігійних організацій, професійних спілок, політичних партій.
3. Заява про реєстрацію бази персональних даних подається володільцем персональних даних до уповноваженого державного органу з питань захисту персональних даних.
Заява повинна містити:
звернення про внесення бази персональних даних до Державного реєстру баз персональних даних;
інформацію про володільця персональних даних;
інформацію про найменування і місцезнаходження бази персональних даних;
інформацію про мету обробки персональних даних у базі персональних даних, сформульовану відповідно до вимог статей 6 і 7 цього Закону;
інформацію про склад персональних даних, які обробляються;
інформацію про третіх осіб, яким передаються персональні дані;
інформацію про транскордонну передачу персональних даних;
інформацію про інших розпорядників персональних даних;
підтвердження зобов'язання щодо виконання вимог захисту персональних даних, встановлених законодавством про захист персональних даних.
4. Уповноважений державний орган з питань захисту персональних даних у порядку, затвердженому Кабінетом Міністрів України:
{Абзац другий частини четвертої статті 9 виключено на підставі Закону № 5491-VI від 20.11.2012}
приймає рішення про реєстрацію бази персональних даних протягом тридцяти робочих днів з дня надходження заяви.
Володільцю персональних даних видається документ встановленого зразка про реєстрацію бази персональних даних у Державному реєстрі баз персональних даних.
5. Уповноважений державний орган з питань захисту персональних даних відмовляє в реєстрації бази персональних даних, якщо заява про реєстрацію не відповідає вимогам частини третьої цієї статті.
6. Володілець персональних даних зобов'язаний повідомляти уповноважений державний орган з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніш як протягом десяти робочих днів з дня настання такої зміни.
7. Уповноважений державний орган з питань захисту персональних даних протягом десяти робочих днів з дня надходження повідомлення про зміну відомостей, необхідних для реєстрації відповідної бази, повинен прийняти рішення щодо зазначеної зміни та повідомити про це володільця персональних даних.
10. Використання персональних даних
1. Використання персональних даних передбачає будь-які дії володільця щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб'єктам відносин, пов'язаних із персональними даними, що здійснюються за згодою суб'єкта персональних даних чи відповідно до закону.
2. Використання персональних даних володільцем здійснюється у разі створення ним умов для захисту цих даних. Володільцю забороняється розголошувати відомості стосовно суб'єктів персональних даних, доступ до персональних даних яких надається іншим суб'єктам відносин, пов'язаних з такими даними.
3. Використання персональних даних працівниками суб'єктів відносин, пов'язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов'язків. Ці працівники зобов'язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.
4. Відомості про особисте життя фізичної особи не можуть використовуватися як чинник, що підтверджує чи спростовує її ділові якості.
11. Підстави для обробки персональних даних
1. Підставами для обробки персональних даних є:
1) згода субєкта персональних даних на обробку його персональних даних;
2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
3) укладення та виконання правочину, стороною якого є субєкт персональних даних або який укладено на користь субєкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу субєкта персональних даних;
4) захист життєво важливих інтересів субєкта персональних даних;
5) необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли субєкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес.
12. Збирання персональних даних. Накопичення та зберігання персональних даних. Поширення персональних даних. Видалення або знищення персональних даних (ст. 12-15).
1. Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу.
2. У момент збору персональних даних або у випадках, передбачених пунктами 2-5 частини першої статті 11 цього Закону, протягом десяти робочих днів з дня збору персональних даних субєкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, права такого субєкта, визначені цим Законом, мету збору персональних даних та осіб, яким передаються його персональні дані.
{Частину третю статті 12 виключено на підставі Закону № 5491-VI від 20.11.2012}
{Частину четверту статті 12 виключено на підставі Закону № 5491-VI від 20.11.2012}
Стаття 13. Накопичення та зберігання персональних даних
1. Накопичення персональних даних передбачає дії щодо поєднання та систематизації відомостей про фізичну особу чи групу фізичних осіб або внесення цих даних до бази персональних даних.
2. Зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.
Стаття 14. Поширення персональних даних
1. Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу за згодою суб'єкта персональних даних.
2. Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.
3. Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані.
4. Сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог цього Закону.
Стаття 15. Видалення або знищення персональних даних
1. Персональні дані видаляються або знищуються в порядку, встановленому відповідно до вимог закону.
2. Персональні дані підлягають знищенню у разі:
1) закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом;
2) припинення правовідносин між суб'єктом персональних даних та володільцем чи розпорядником, якщо інше не передбачено законом;
3) набрання законної сили рішенням суду щодо вилучення даних про фізичну особу з бази персональних даних.
3. Персональні дані, зібрані з порушенням вимог цього Закону, підлягають знищенню у встановленому законодавством порядку.
4. Персональні дані, зібрані під час виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом, знищуються відповідно до вимог закону.
13. Порядок доступу до персональних даних. Відстрочення або відмова у доступі до персональних даних. Оскарження рішення про відстрочення або відмову в доступі до персональних даних. Оплата доступу до персональних даних (ст. 16-19)
1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю персональних даних на обробку цих даних, або відповідно до вимог закону.
2. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог цього Закону або неспроможна їх забезпечити.
3. Суб'єкт відносин, пов'язаних з персональними даними, подає запит щодо доступу (далі - запит) до персональних даних володільцю персональних даних.
4. У запиті зазначаються:
1) прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника);
2) найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи - заявника);
3) прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;
4) відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника персональних даних;
5) перелік персональних даних, що запитуються;
6) мета та/або правові підстави для запиту.
5. Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження.
Протягом цього строку володілець персональних даних доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті.
Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом.
6. Суб'єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб'єкта відносин, пов'язаних з персональними даними, за умови надання інформації, визначеної у пункті 1 частини четвертої цієї статті, крім випадків, установлених законом.
Стаття 17. Відстрочення або відмова у доступі до персональних даних
1. Відстрочення доступу суб'єкта персональних даних до своїх персональних даних не допускається.
2. Відстрочення доступу до персональних даних третіх осіб допускається у разі, якщо необхідні дані не можуть бути надані протягом тридцяти календарних днів з дня надходження запиту. При цьому загальний термін вирішення питань, порушених у запиті, не може перевищувати сорока п'яти календарних днів.
Повідомлення про відстрочення доводиться до відома третьої особи, яка подала запит, у письмовій формі з роз'ясненням порядку оскарження такого рішення.
У повідомленні про відстрочення зазначаються:
1) прізвище, ім'я та по батькові посадової особи;
2) дата відправлення повідомлення;
3) причина відстрочення;
4) строк, протягом якого буде задоволено запит.
3. Відмова у доступі до персональних даних допускається, якщо доступ до них заборонено згідно із законом.
У повідомленні про відмову зазначаються:
1) прізвище, ім'я, по батькові посадової особи, яка відмовляє у доступі;
2) дата відправлення повідомлення;
3) причина відмови.
Стаття 18. Оскарження рішення про відстрочення або відмову в доступі до персональних даних
1. Рішення про відстрочення або відмову у доступі до персональних даних може бути оскаржено до суду.
2. Якщо запит зроблено суб'єктом персональних даних щодо даних про себе, обов'язок доведення в суді законності відмови у доступі покладається на володільця персональних даних, до якого подано запит.
Стаття 19. Оплата доступу до персональних даних
1. Доступ суб'єкта персональних даних до даних про себе здійснюється безоплатно.
2. Доступ інших суб'єктів відносин, пов'язаних з персональними даними, до персональних даних певної фізичної особи чи групи фізичних осіб може бути платним у разі додержання умов, визначених цим Законом. Оплаті підлягає робота, пов'язана з обробкою персональних даних, а також робота з консультування та організації доступу до відповідних даних.
3. Розмір плати за послуги з надання доступу до персональних даних органами державної влади визначається Кабінетом Міністрів України.
4. Органи державної влади та органи місцевого самоврядування мають право на безперешкодний і безоплатний доступ до персональних даних відповідно до їх повноважень.
14. Зміни і доповнення до персональних даних
1. Володільці чи розпорядники баз персональних даних зобов'язані вносити зміни до персональних даних на підставі вмотивованої письмової вимоги суб'єкта персональних даних.
2. Дозволяється внесення змін до персональних даних за зверненням інших суб'єктів відносин, пов'язаних із персональними даними, якщо на це є згода суб'єкта персональних даних чи відповідна зміна здійснюється за рішенням суду, що набрало законної сили.
3. Зміна персональних даних, які не відповідають дійсності, проводиться невідкладно з моменту встановлення невідповідності.
15. Повідомлення про дії з персональними даними
1. Про передачу персональних даних третій особі володілець персональних даних протягом десяти робочих днів повідомляє суб'єкта персональних даних, якщо цього вимагають умови його згоди або інше не передбачено законом.
2. Повідомлення, зазначені у частині першій цієї статті, не здійснюються у разі:
1) передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;
2) виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом;
3) здійснення обробки персональних даних в історичних, статистичних чи наукових цілях;
4) повідомлення субєкта персональних даних відповідно до вимог частини другої статті 12 цього Закону.
3. Про зміну чи знищення персональних даних або обмеження доступу до них володілець персональних даних протягом десяти робочих днів повідомляє суб'єкта персональних даних, а також суб'єктів відносин, пов'язаних із персональними даними, яким ці дані було передано.
16. Контроль за додержанням законодавства про захист персональних даних. Уповноважений державний орган з питань захисту персональних даних. Забезпечення захисту персональних даних (ст. 22-24).
1. Контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, здійснюють такі органи:
1) уповноважений державний орган з питань захисту персональних даних;
2) інші органи державної влади.
2. Парламентський контроль за додержанням прав людини на захист персональних даних здійснює Уповноважений Верховної Ради України з прав людини відповідно до закону.
Стаття 23. Уповноважений державний орган з питань захисту персональних даних
1. Уповноважений державний орган з питань захисту персональних даних - центральний орган виконавчої влади, що забезпечує реалізацію державної політики у сфері захисту персональних даних.
Уповноважений державний орган з питань захисту персональних даних є незалежним у реалізації повноважень, передбачених цим Законом..
2. Уповноважений державний орган з питань захисту персональних даних:
1) забезпечує реалізацію державної політики у сфері захисту персональних даних;
2) реєструє бази персональних даних;
3) веде Державний реєстр баз персональних даних;
4) здійснює в межах своїх повноважень контроль за додержанням вимог законодавства про захист персональних даних шляхом проведення виїзних та безвиїзних перевірок володільців та/або розпорядників персональних даних із забезпеченням відповідно до закону доступу до інформації, пов'язаної з обробкою персональних даних у базі персональних даних, та до приміщень, де здійснюється їх обробка;
5) видає обов'язкові для виконання законні вимоги (приписи) про усунення порушень законодавства про захист персональних даних;
6) розглядає пропозиції, запити, звернення, вимоги та скарги фізичних і юридичних осіб;
7) організовує та забезпечує взаємодію з іноземними суб'єктами відносин, пов'язаних із персональними даними;
8) бере участь у роботі міжнародних організацій з питань захисту персональних даних;
9) надає володільцям та розпорядникам персональних даних і субєктам персональних даних інформацію щодо їх прав та обовязків;
10) здійснює моніторинг нових практик, тенденцій і технологій захисту персональних даних;
11) видає рекомендації щодо практичного застосування положень законодавства про захист персональних даних;
12) вносить пропозиції щодо формування політики у сфері захисту персональних даних у порядку, визначеному законодавством;
13) погоджує корпоративні кодекси поведінки відповідно до частини другої статті 27 цього Закону.
3. Голова уповноваженого державного органу з питань захисту персональних даних та його заступники призначаються відповідно до вимог, встановлених законодавством.
4. Штатний розпис і кошторис уповноваженого державного органу з питань захисту персональних даних затверджує його Голова за погодженням з Міністром фінансів України.
Голова уповноваженого державного органу з питань захисту персональних даних приймає в установленому порядку рішення про розподіл бюджетних коштів, розпорядником яких є уповноважений державний орган з питань захисту персональних даних.
5. Звіт про виконання уповноваженим державним органом з питань захисту персональних даних завдань та планів роботи є загальнодоступним, публікується на його офіційному веб-сайті і подається Президенту України, Кабінету Міністрів України та Верховній Раді України.
Стаття 24. Забезпечення захисту персональних даних
1. Держава гарантує захист персональних даних.
2. Суб'єкти відносин, пов'язаних із персональними даними, зобов'язані забезпечити захист цих даних від незаконної обробки, у тому числі від втрати, незаконного або випадкового знищення, а також від незаконного доступу до них.
3. Забезпечення захисту персональних даних у базі персональних даних покладається на володільця цієї бази.
{Частину четверту статті 24 виключено на підставі Закону № 5491-VI від 20.11.2012}
5. В органах державної влади та органах місцевого самоврядування, організаціях, установах і на підприємствах усіх форм власності визначається структурний підрозділ або відповідальна особа, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до закону.
6. Фізичні особи - підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист персональних даних, якими вони володіють, згідно з вимогами закону.
Стаття 25. Обмеження дії окремих статей цього Закону
1. Обмеження прав, передбачених статтями 8, 11 і 17 цього Закону, здійснюється лише в інтересах:
1) національної безпеки, економічного добробуту та прав людини;
2) захисту прав і свобод фізичних осіб, персональні дані яких обробляються, чи прав інших суб'єктів відносин, пов'язаних із персональними даними, а також з метою боротьби із злочинністю;
3) забезпечення суб'єктів відносин, пов'язаних із персональними даними, зведеною знеособленою інформацією щодо персональних даних відповідно до законодавства.
2. Суб'єкти відносин, пов'язаних із персональними даними, здійснюють свої повноваження в межах, установлених Конституцією та законами України.
Стаття 26. Фінансування робіт із захисту персональних даних
Фінансування робіт та заходів щодо забезпечення захисту персональних даних здійснюється за рахунок коштів Державного бюджету України та місцевих бюджетів, коштів суб'єктів відносин, пов'язаних із персональними даними.
Стаття 27. Застосування положень цього Закону
1. Положення щодо захисту персональних даних, викладені в цьому Законі, можуть доповнюватися чи уточнюватися іншими законами, за умови, що вони встановлюють вимоги щодо захисту персональних даних, що не суперечать вимогам цього Закону.
2. Професійні об'єднання можуть розробляти корпоративні кодекси поведінки з метою забезпечення ефективного захисту прав суб'єктів персональних даних, сприяння додержанню законодавства, враховуючи специфіку обробки персональних даних у різних сферах, за погодженням з уповноваженим державним органом з питань захисту персональних даних.
17. Відповідальність за порушення законодавства про захист персональних даних
Стаття 28. Відповідальність за порушення законодавства про захист персональних даних
Порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом.
Стаття 29. Міжнародне співробітництво та передача персональних даних
1. Співробітництво з іноземними суб'єктами відносин, пов'язаних із персональними даними, регулюється Конституцією України, цим Законом, іншими нормативно-правовими актами та міжнародними договорами України.
2. Якщо міжнародним договором України, згода на обов'язковість якого надана Верховною Радою України, встановлено інші правила, ніж ті, що передбачені законодавством України, то застосовуються правила міжнародного договору України.
3. Передача персональних даних іноземним субєктам відносин, повязаних із персональними даними, здійснюється лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених законом або міжнародним договором України.
Держави - учасниці Європейського економічного простору, а також держави, які підписали Конвенцію Ради Європи про захист осіб у звязку з автоматизованою обробкою персональних даних, визнаються такими, що забезпечують належний рівень захисту персональних даних.
Кабінет Міністрів України визначає перелік держав, які забезпечують належний захист персональних даних.
Персональні дані не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані.
4. Персональні дані можуть передаватися іноземним субєктам відносин, повязаних з персональними даними, також у разі:
1) надання субєктом персональних даних однозначної згоди на таку передачу;
2) необхідності укладення чи виконання правочину між володільцем персональних даних та третьою особою - субєктом персональних даних на користь субєкта персональних даних;
3) необхідності захисту життєво важливих інтересів субєктів персональних даних;
4) необхідності захисту суспільного інтересу, встановлення, виконання та забезпечення правової вимоги;
5) надання володільцем персональних даних відповідних гарантій щодо невтручання в особисте і сімейне життя субєкта персональних даних.
Стаття 30. Прикінцеві положення
1. Цей Закон набирає чинності з 1 січня 2011 року.
2. Кабінету Міністрів України протягом шести місяців з дня набрання чинності цим Законом:
забезпечити прийняття нормативно-правових актів, передбачених цим Законом;
забезпечити приведення своїх нормативно-правових актів у відповідність із цим Законом.
18. Заява про реєстрацію бази персональних даних. Форма. Зміст. Порядок подання (ПКМ 616).
1. Державний реєстр баз персональних даних (далі - Реєстр) як
єдина державна інформаційна система збору, накопичення та обробки
відомостей про зареєстровані бази персональних даних ведеться з
метою реалізації державної політики у сфері захисту персональних
даних.
2. Держателем Реєстру є ДСЗПД, яка забезпечує його створення
та ведення.
3. Адміністратором Реєстру є державне підприємство
"Інформаційний центр" Мін'юсту, що забезпечує технічне і
технологічне створення та супроводження програмного забезпечення
Реєстру, надання реєстраторам доступу до нього, збереження і
захист даних, що містяться у Реєстрі.
4. Реєстр ведеться державною мовою.
5. ДСЗПД здійснює реєстрацію баз персональних даних, а також
вносить зміни до відомостей, що містяться в Реєстрі, про
зареєстровану базу персональних даних на підставі заяви, поданої
володільцем такої бази або уповноваженою ним особою (далі -
заявник).
6. Заява подається щодо кожної бази даних, яка перебуває у
володінні заявника, за формою та у порядку, що затверджуються
Мін'юстом.
7. Заява повинна містити:
звернення про внесення бази персональних даних до Реєстру;
інформацію про володільця бази персональних даних:
- найменування, резидент/нерезидент, код платника податків
згідно з ЄДРПОУ або податковий номер (для резидента),
місцезнаходження - для юридичних осіб;
- прізвище, ім'я та по батькові (за наявності), громадянство,
номер, серія паспорта та орган, що його видав, а також для
громадян України реєстраційний номер облікової картки платника
податків (не подається фізичними особами, які через свої релігійні
переконання відмовилися від присвоєння реєстраційного номера
облікової картки платника податків та офіційно повідомили про це
відповідним органам державної влади, що підтверджується відміткою
в паспорті), місце проживання - для фізичних осіб;
інформацію про найменування і місцезнаходження бази
персональних даних:
- адреса фактичного розміщення - для баз даних у формі
картотек;
- фактичні адреси зберігання носіїв інформації - для баз
даних в електронній формі;
інформацію про мету обробки персональних даних у базі
персональних даних з посиланням на нормативно-правові акти,
положення, установчі чи інші документи, які регулюють діяльність
володільця бази персональних даних, у тому числі про їх категорії
та правові підстави такої обробки;
інформацію про інших розпорядників баз персональних даних:
- найменування, резидент/нерезидент, код платника податків
згідно з ЄДРПОУ або податковий номер (для резидента),
місцезнаходження - для юридичних осіб;
- прізвище, ім'я та по батькові (за наявності), громадянство,
номер, серія паспорта та орган, що його видав, а також для
громадян України реєстраційний номер облікової картки платника
податків (не подається фізичними особами, які через свої релігійні
переконання відмовилися від присвоєння реєстраційного номера
облікової картки платника податків та офіційно повідомили про це
відповідним органам державної влади, що підтверджується відміткою
в паспорті), місце проживання - для фізичних осіб;
документ, що підтверджує зобов'язання стосовно виконання
вимог законодавства щодо захисту персональних даних.
8. ДСЗПД у зв'язку з отриманням заяви вносить до Реєстру такі
відомості:
інформація про заявника;
найменування бази персональних даних;
дата реєстрації заявником та вихідний номер (за наявності)
заяви.
9. Після внесення до Реєстру відомостей про заяву їй
автоматично (з використанням програмного забезпечення Реєстру)
присвоюється реєстраційний номер. При цьому фіксуються дата і час
реєстрації заяви.
10. ДСЗПД повідомляє заявникові не пізніше наступного
робочого дня з дня надходження заяви про її отримання. У
повідомленні зазначаються дата та реєстраційний номер запису про
заяву у Реєстрі, а також дата звернення за отриманням свідоцтва чи
повідомлення про відмову в реєстрації.
11. ДСЗПД приймає протягом 10 робочих днів з дня надходження
відповідної заяви рішення про реєстрацію бази персональних даних
шляхом видання її володільцю свідоцтва про державну реєстрацію
бази персональних даних чи повідомлення про відмову в реєстрації,
про що вносить запис до Реєстру.
12. Запис у Реєстрі про базу персональних даних містить такі
відомості:
інформація, передбачена у пункті 7 цього Положення;
реєстраційний номер запису в Реєстрі;
дата та час здійснення запису (змін до нього) в Реєстрі;
прізвище, ім'я та по батькові реєстратора, який здійснив
запис (зміни до нього);
відомості про видане свідоцтво про державну реєстрацію;
відомості про внесення змін.
13. ДСЗПД відмовляє у реєстрації бази персональних даних у
разі, коли подані відповідно до пункту 7 цього Положення
відомості, є неповними чи недостовірними.
14. ДСЗПД надає інформацію з Реєстру, у тому числі витяги з
нього, за запитом будь-якої фізичної чи юридичної особи відповідно
до законодавства про захист персональних даних, про звернення
громадян та про доступ до публічної інформації.
15. Органи державної влади, органи місцевого самоврядування,
державні підприємства, установи, організації, інші юридичні і
фізичні особи отримують доступ до відомостей Реєстру через
веб-сайт, який ведеться адміністратором Реєстру, шляхом пошуку та
перегляду такої інформації про базу персональних даних:
найменування бази персональних даних;
відомості про володільця бази персональних даних:
- найменування, місцезнаходження, код платника податків
згідно з ЄДРПОУ або податковий номер (для резидента) - для
юридичних осіб;
- прізвище, ім'я та по батькові (за наявності) - для фізичних
осіб;
мета обробки персональних даних;
реєстраційний номер запису про базу персональних даних у
Реєстрі.
16. Пошук інформації про базу персональних даних через
веб-сайт здійснюється за будь-якими з таких відомостей:
реєстраційний номер запису про базу персональних даних у
Реєстрі;
найменування юридичної особи - володільця бази персональних
даних та код платника податків згідно з ЄДРПОУ;
прізвище, ім'я та по батькові (за наявності) фізичної особи -
володільця бази персональних даних та реєстраційний номер
облікової картки платника податків.
19. Типовий порядок обробки персональних даних у базах персональних даних. Загальні положення щодо організації обробки персональних даних на підприємстві (Наказ Міністерства юстиції України 30.12.2011 № 3659/5).
І. Загальні положення
1.1 Цей Типовий порядок розроблено на виконання вимог частини десятої статті 6 Закону України «Про захист персональних даних» (далі Закон).
1.2 Цей Типовий порядок встановлює загальні вимоги до організаційних та технічних заходів захисту персональних даних під час їх обробки у базах персональних даних володільцями та розпорядниками баз персональних даних.
1.3 Обробка персональних даних може здійснюватися повністю або частково в інформаційній (автоматизованій) системі та/або у формі картотек персональних даних.
1.4 У цьому Типовому порядку терміни вживаються у такому значенні:
автентифікація процедура встановлення належності працівникові володільця або розпорядника бази персональних даних предявленого ним ідентифікатора;
авторизація процедура отримання дозволу на проведення дій з обробки персональних даних у базі персональних даних у складі інформаційної (автоматизованої) системи;
відповідальна особа - особа, на яку володільцем або розпорядником бази персональних даних відповідно до її службових, трудових, професійних обовязків покладена організація роботи, повязаної із захистом персональних даних при їх обробці;
ідентифікація - процедура розпізнавання користувача в системі, як правило, за допомогою наперед визначеного імені (ідентифікатора) або іншої інформації про нього, яка сприймається інформаційною (автоматизованою) системою;
структурний підрозділ структурна одиниця, що діє у складі володільця або розпорядника персональних даних та відповідно до його прав та обовязків на підставі положення про нього здійснює організацію роботи, повязаної із захистом персональних даних при їх обробці.
Інші терміни у цьому Типовому порядку вживаються у значеннях, наведених у Законі.
1.5. Захист персональних даних покладається на володільця бази персональних даних.
Розпорядник бази персональних даних здійснює обробку персональних даних відповідно до закону або на підставі укладеного з володільцем бази персональних даних договору у письмовій формі з метою і в обсязі, визначеними в договорі.
На дії володільця та/або розпорядника бази персональних даних поширюються усі вимоги щодо захисту персональних даних від незаконної обробки, а також від незаконного доступу до них.
1.6. Володілець або розпорядник бази персональних даних надає субєкту персональних даних інформацію про мету обробки персональних даних до моменту отримання згоди від субєкта персональних даних.
1.7. Володілець бази персональних даних зберігає персональні дані у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.
1.8. Володілець бази персональних даних визначає:
мету обробки, склад персональних даних у базі персональних даних та її місцезнаходження;
порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних;
відповідальну особу або структурний підрозділ;
порядок захисту персональних даних, в тому числі від незаконної обробки та незаконного доступу до них.
1.9. Відповідальна особа або структурний підрозділ відповідно до покладених завдань:
забезпечує ознайомлення працівників володільця та розпорядника бази персональних даних з вимогами законодавства про захист персональних даних, зокрема щодо їхнього обовязку не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі у звязку з виконанням професійних, службових чи трудових обовязків;
забезпечує організацію обробки персональних даних працівниками володільця та розпорядника бази персональних даних відповідно до їх професійних, службових чи трудових обовязків в обсязі, необхідному для виконання таких обовязків;
організовує роботу з обробки запитів щодо доступу до персональних даних субєктів відносин, повязаних з обробкою персональних даних;
забезпечує доступ субєктів персональних даних до власних персональних даних;
інформує керівника володільця та розпорядника бази персональних даних про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до закону;
інформує керівника володільця та розпорядника бази персональних даних про порушення встановлених процедур з обробки персональних даних.
1.10. Володілець бази персональних даних веде облік:
фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки;
спроб та фактів несанкціонованих та/або незаконних дій з обробки персональних даних.
1.11. Володілець бази персональних даних може розмежувати режими доступу працівників до обробки персональних даних у базі персональних даних відповідно до їх професійних, трудових чи службових обовязків.
1.12. Знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
20. Типовий порядок обробки персональних даних у базах персональних даних. Загальні положення щодо організації обробки персональних даних у картотеках та автоматизованих системах (Наказ Міністерства юстиції України 30.12.2011 № 3659/5).
ІІ. Обробка персональних даних в складі інформаційної (автоматизованої) системи
2.1 Володілець бази персональних даних обробляє персональні дані в складі інформаційної (автоматизованої) системи, у якій забезпечується захист персональних даних відповідно до вимог закону.
2.2 Обробка персональних даних в інформаційній (автоматизованій) системі може здійснюватись у складі інформаційно-телекомунікаційної системи із застосуванням засобів мережевого захисту від несанкціонованого доступу під час обробки персональних даних.
2.3 Працівники володільця бази персональних даних допускаються до обробки персональних даних лише після їх авторизації.
2.4 Доступ осіб, які не пройшли процедуру ідентифікації та/або автентифікації, повинен блокуватись.
2.5. В інформаційній (автоматизованій) системі, де обробляються персональні дані, може здійснюватись реєстрація, зокрема:
результатів ідентифікації та/або автентифікації працівників володільця бази персональних даних;
дій з обробки персональних даних;
факту встановлення ознаки «Підтвердження надання згоди на обробку персональних даних у базі персональних даних» за допомогою управляючих елементів веб-ресурсів володільця або розпорядника бази персональних даних, інтерфейсів користувача програмного забезпечення;
результатів перевірки цілісності засобів захисту персональних даних.
Відповідальна особа та/або структурний підрозділ може проводити аналіз реєстраційних даних.
Реєстраційні дані захищаються від модифікації та знищення.
Реєстраційні дані повинні зберігатися та надаватися за вмотивованою вимогою для аналізу субєктам відносин, повязаним із персональними даними.
2.6. Володілець бази персональних даних забезпечує антивірусний захист в інформаційній (автоматизованій) системі.
2.7. Володілець бази персональних даних забезпечує використання технічних засобів безперебійного живлення елементів інформаційної (автоматизованої) системи.
ІІІ. Обробка персональних даних у формі картотек
3.1. Володілець бази персональних даних здійснює обробку персональних даних у картотеках у порядку, визначеному Законом та розділом І цього Типового порядку, з урахуванням таких вимог:
документи, що містять персональні дані, формуються у справи залежно від мети обробки персональних даних;
справи з документами, що містять персональні дані, повинні мати внутрішні описи документів із зазначенням мети обробки і категорії персональних даних;
картотеки зберігаються у приміщеннях (шафах, сейфах), захищених від несанкціонованого доступу.
3.2. Двері у приміщеннях (шафах, сейфах) повинні бути обладнані замком або контролем доступу.
21. Документальне оформлення політики в області захисту інформації. Зміст документа. Здійснення аналізу політики в області захисту інформації [27001-1 А 5].
А.5.1.1 Документальное оформление политики в области защиты информации и содержание документа
Политика защиты информации должна быть утверждена, издана и надлежащим образом доведена до сведения всех сотрудников организации в доступной и понятной форме.
В данном документе должны быть отражены следующие положения:
а) определение информационной безопасности, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;
б) изложение целей и принципов информационной безопасности, сформулированных руководством;
в) краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, таких как:
1) соответствие законодательным требованиям и договорным обязательствам;
2) требования в отношении обучения вопросам безопасности;
3) предотвращение появления вирусов и другого вредоносного программного обеспечения;
4) управление непрерывностью бизнеса;
5) ответственность за нарушения политики безопасности;
г) определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности;
д) ссылки на документы, дополняющие политику информационной безопасности (более детальные политики и процедуры безопасности для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи).
Примерный перечень вопросов, входящих в состав политики безопасности информационных технологий организации представлен в приложении 1[ГОСТ Р ИСО/МЭК ТО 13335-32007].
А.5.1.2 Анализ политики в области защиты информации
С целью анализа (пересмотра и оценки) политики в области защиты информации необходимо, чтобы в организации было назначено должностное лицо, которое отвечало бы за ее реализацию и пересмотр в соответствии с установленной процедурой.
Политику в области защиты информации следует анализировать через запланированные промежутки времени или в случае возникновения значительных изменений, с целью обеспечить ее соответствие, адекватность и результативность
Указанная процедура должна обеспечивать осуществление пересмотра политики информационной безопасности в соответствии с изменениями, влияющими на основу первоначальной оценки риска в связи с:
- выявлением инцидентов нарушения информационной безопасности;
- выявлением новых уязвимостей;
- внесением изменений организационной или технологической инфраструктуры.
Периодические пересмотры должны осуществляться в соответствии с установленным графиком и включать:
- проверку эффективности политики, исходя из характера, числа и последствий зарегистрированных инцидентов нарушения информационной безопасности;
- определение стоимости мероприятий по управлению информационной безопасностью и их влияние на эффективность бизнеса;
- оценку влияния изменений в технологиях.
Політика безпеки повинна доказово давати гарантії того, що:
Необходимые изменения в документах определяющих политику в области защиты информации, должны быть утверждены установленным порядком руководством организации и доведены до сотрудников и заинтересованных лиц.
22. Зміст заходів щодо організації внутрішньої системи захисту інформації в ІТС підприємства (Обязательства руководства по защите информации. Координация защиты информации) [27001-2 А 6].
1 Обязательства руководства по защите информации
Средство управления
Руководству следует активно поддерживать защиту в организации посредством:
- четких распоряжений,
- демонстрируемых обязательств,
-точного назначения и признания обязанностей
в области защиты информации.
Управляющий совет по вопросам информационной безопасности. Обеспечение информационной безопасности это ответственность высшего руководства организации, разделяемая всеми ее членами, Поэтому при формировании совета по вопросам информационной безопасности должны обеспечиваться четкое управление и реальная поддержка со стороны руководства инициатив в области безопасности. Такой совет должен способствовать укреплению безопасности в организации путем непосредственного участия руководства и выделения необходимых ресурсов. Он может быть частью существующего органа управления. Как правило, такой совет выполняет следующие функции:
- утверждение и пересмотр политики информационной безопасности и соответствующих обязанностей по ее выполнению;
- отслеживание существенных изменений в воздействиях основных угроз информационным активам;
- анализ и мониторинг инцидентов нарушения информационной безопасности;
- утверждение основных проектов в области информационной безопасности.
Кроме этого, должен быть назначен руководитель, отвечающий за все вопросы, связанные с информационной безопасностью.
2 Координация защиты информации
Средство управления
Деятельность по защите информации следует скоординировать с представителями различных частей организации с соответствующими ролями и рабочими функциями.
Для координации внедрения мероприятий по управлению информационной безопасностью в большой организации может потребоваться создание комитета, включающего представителей руководства заинтересованных подразделений организации.
Как правило, такой комитет:
- согласовывает конкретные функции и обязанности в области информационной безопасности в рамках всей организации;
- согласовывает конкретные методики и процедуры информационной безопасности, например, такие как оценка рисков, классификация информации с точки зрения требований безопасности;
- согласовывает и обеспечивает поддержку инициатив и проектов в области информационной безопасности в рамках всей организации, например, таких как разработка программы повышения осведомленности сотрудников в области безопасности;
- обеспечивает учет включения требований безопасности во все проекты, связанные с обработкой и использованием информации;
- оценивает адекватность и координирует внедрение конкретных мероприятий по управлению информационной безопасностью для новых систем или услуг;
- проводит анализ инцидентов нарушения информационной безопасности;
- способствует демонстрации поддержки информационной безопасности со стороны высшего руководства организации.
23. Розподіл обов'язків по захисту інформації. Процес отримання дозволу для засобів обробки інформації [27001-2 А 6].
3 Распределение обязанностей по защите информации
Средство управления
Все обязанности по защите информации следует четко распределить
Следует определить обязанности по защите отдельных активов и по выполнению конкретных процедур, связанных с информационной безопасностью.
Политика информационной безопасности (раздел 3) должна устанавливать общие принципы и правила распределения функций и обязанностей, связанных с обеспечением информационной безопасности в организации. Политику следует дополнить, где необходимо, более детальными руководствами для конкретных областей, систем или услуг, Кроме этого, должна быть четко определена конкретная ответственность в отношении отдельных материальных и информационных активов и процессов, связанных с информационной безопасностью, например, таких как планирование непрерывности бизнеса.
Во многих организациях на руководителя службы информационной безопасности возлагается общая ответственность за разработку и внедрение системы информационной безопасности, а также за оказание содействия в определении мероприятий по управлению информационной безопасностью.
В то же время ответственность за определение подлежащих защите ресурсов и реализацию мероприятий по управлению информационной безопасностью в большинстве случаев возлагается на руководителей среднего звена. Общепринятой практикой является назначение ответственного лица (администратора) для каждого информационного актива, в чьи повседневные обязанности входит обеспечение безопасности данного актива.
Администратор информационных активов может передавать свои полномочия по обеспечению безопасности какому-либо руководителю среднего звена или поставщикам услуг, Тем не менее, администратор остается ответственным за обеспечение безопасности актива и должен быть в состоянии определить, что любые переданные полномочия реализуются должным образом.
Следует устанавливать границы ответственности каждого руководителя и выполнять следующие правила:
- различные активы и процессы (процедуры) безопасности, связанные с каждой отдельной системой, должны быть выделены и четко определены;
- необходимо назначить ответственных (администраторов) за каждый актив или процедуру безопасности, и детали этой ответственности должны быть документированы;
- уровни полномочий (авторизации) должны быть ясно определены и документированы.
Примечание Под авторизацией понимается определение уровней доступа пользователя к определенным массивам информации; в более широком смысле разрешение определенных действий.
4 Процесс получения разрешения для средств обработки информации
Средство управления
Должен быть определен и осуществлен процесс выдачи разрешения руководства
для новых средств обработки информации.
Необходимо определить процедуры получения разрешения на использование новых средств обработки информации.
При этом могут осуществляться следующие мероприятия по управлению информационной безопасностью:
- новые средства должны быть соответствующим образом одобрены со стороны руководства пользователей и администраторов средств управления, авторизующих их цель использования. Одобрение следует также получать от менеджера, ответственного за поддержание среды безопасности локальной информационной системы, чтобы обеспечить уверенность в том, что все соответствующие политики безопасности и требования соблюдены;
- аппаратные средства и программное обеспечение следует проверять на совместимость с другими компонентами системы.
Примечания
1 Одобрение может потребоваться для соединений некоторых типов.
2 Использование личных средств обработки информации для обработки служебной информации и любых необходимых мероприятий по управлению информационной безопасностью должно быть авторизовано.
3 Использование личных средств обработки информации на рабочем месте может быть причиной новых уязвимостей и, следовательно, должно быть оценено и авторизовано.
Эти мероприятия по управлению информационной безопасностью особенно важны в сетевой среде.
24. Питання які необхідно враховувати при складанні угоди про конфіденційність між керівництвом підприємства з фізичними та юридичними особами. (Соглашения о конфиденциальности) [27001-2 А 6].
5 Соглашения о конфиденциальности
Средство управления
Должны выявляться и регулярно анализироваться соглашения о требованиях конфиденциальности или о неразглашении, отражающие потребности организации в защите информации.
Соглашения о конфиденциальности или о неразглашении должны учитывать требование защитить конфиденциальную информацию, используя законно осуществимые условия.
Для того чтобы определить соглашения о требованиях конфиденциальности или о неразглашении, необходимо принять решение по следующим вопросам:
a) определить информацию, которую нужно защищать (например, конфиденциальная информация);
b) ожидаемая продолжительность соглашения, включая случаи, когда может оказаться, что конфиденциальность необходимо поддерживать неограниченно долго;
c) необходимые действия при расторжении соглашения;
d) обязанности и действия подписавших сторон, с целью избежать неразрешенного раскрытия информации (например, «принцип необходимого знания»);
e) собственность на информацию, секреты производства и интеллектуальная собственность, и как это связано с защитой конфиденциальной информации;
f) разрешенное использование конфиденциальной информации, и права подписавшей стороны использовать информацию;
g) право проверять и постоянно контролировать деятельность, которая вовлекает конфиденциальную информацию;
h) процесс для извещения и составления отчета о несанкционированном раскрытии или о несанкционированном доступе к конфиденциальной информации;
i) условия возвращения информации или уничтожения информации при прекращении действия соглашения;
j) ожидаемые действия, которые нужно предпринять в случае нарушения этого соглашения.
В соглашении о конфиденциальности или неразглашении могут понадобиться другие элементы, основанные на организационных требованиях защиты.
Соглашения о конфиденциальности или о неразглашении должны подчиняться всем применимым законам и нормам юрисдикции, к которой они применяются (см. также 15.1.1).
Соглашения о требованиях конфиденциальности или о неразглашении должны анализироваться периодически и при возникновении изменений, которые влияют на эти требования.
Прочая информация
Соглашения о конфиденциальности или о неразглашении защищают организационную информацию и извещают подписавшие стороны об их ответственности, с целью защищать, использовать и раскрывать информацию ответственным и разрешенным способом.
При разных обстоятельствах, организация может иметь потребность в использовании различных форм соглашений о конфиденциальности или о неразглашении.
25. Порядок дій служби захисту інформації при контактах з правоохоронними органами та зі спеціалістами з питань захисту інформації (Контакти з органами та спеціальними групами) [27001-2 А 6].
6 Контакты с органами
Средство управления
Должны поддерживаться надлежащие контакты с соответствующими органами.
Организации должны иметь в рабочем состоянии процедуры, которые точно определяют, когда и кому надлежит вступать в контакт с органами (например, правоохранительные органы, пожарное отделение, органы надзора), и то, как следует своевременно сообщить о выявленных инцидентах в системе защиты информации, если есть подозрение, что закон мог быть нарушен.
Организациям, атакуемым из Интернета, может понадобиться, чтобы внешние третьи стороны (например, поставщик услуг Интернета или оператор связи) предприняли меры против источника атаки.
(Команда реагування на комп`ютерні надзвичайні події України (CERT-UA)) www.cert.gov.ua
CERT-UA є скороченою назвою від Computer Emergency Response Team of Ukraine (команда реагування на комп'ютерні надзвичайні події України), яку використовує Державний центр захисту інформаційних ресурсів Державної служби спеціального зв'язку та захисту інформації України під час здійснення міжнародного співробітництва з питань запобігання, виявлення та усунення наслідків несанкціонованих дій щодо державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах.
Завданням Держспецзвязку та CERT-UA є координація діяльності органів державної влади, органів місцевого самоврядування, військових формувань, підприємств, установ і організацій незалежно від форм власності (далі суб'єкти координації) з питань запобігання, виявлення та усунення наслідків несанкціонованих дій щодо державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах.
Іншим важливим завданням CERT-UA є надання консультативної та методичної допомоги суб'єктам координації у вирішенні питань забезпечення захисту державних інформаційних ресурсів в ІТС.
Крім того, CERT-UA:
постійно відслідковує світові та українські події у сфері безпеки інформації в ІТС, а також найбільш важливі проблеми у цій сфері;
надає рекомендації щодо методик протидії сучасним видам атак, побудови системи захисту ІТС, використання найбільш ефективних засобів захисту інформації тощо;
взаємодіє з правоохоронними органами України;
взаємодіє з іноземними та міжнародними організаціями реагування на несанкціоновані дії;
здійснює накопичення та аналіз даних про вчинення та/або спроби вчинення несанкціонованих дій щодо державних інформаційних ресурсів в інформаційно-телекомунікаційних системах.
Поддержание таких контактов может быть требованием поддерживать менеджмент инцидентов в системе защиты информации (Раздел 13.2) или непрерывности бизнеса и процесс планирования чрезвычайных обстоятельств (Раздел 14).
Контакты с регулятивными органами также полезны для того, чтобы предполагать предстоящие изменения в законе или нормах, которым организации надлежит следовать, и готовиться к ним.
Контакты с другими органами включают коммунальные предприятия, аварийные службы и охрану труда, например, пожарные команды (в связи с деловой непрерывностью), поставщики телекоммуникационных услуг (в связи с прокладкой и доступностью линий связи), поставщики воды (в связи со средствами охлаждения для оборудования).
26. Визначення ризиків щодо захищеності інформації, що виникають у разі взаємодії з зовнішніми сторонами. (Выявление рисков, связанных с внешними сторонами) [27001-2 А 6].
2.1 Выявление рисков, связанных с внешними сторонами
Средство управления
До предоставления доступа должны быть выявлены риски для информации и средств обработки информации организации, проистекающие из деловых процессов, вовлекающих внешние стороны, и должны быть реализованы соответствующие средства управления.
Для этого необходимо.
Если есть потребность в разрешении допуска внешней стороны к средствам обработки информации или информации организации, то должна быть выполнена оценка рисков (см. также раздел 4), с целью определить любые требования для конкретных средств управления.
Выявление рисков, связанных с доступом внешних сторон, должно учитывать следующее вопросы:
a) средства обработки информации, к которым требуется иметь доступ внешней стороне;
b) тип доступа, который внешняя сторона будет иметь к информации и средствам обработки информации, например:
1) физический доступ, например, в офисы, компьютерные комнаты, картотечные шкафы;
2) логический доступ, например, к базам данных, информационным системам организации;
3) связность узлов в сети между сетью(сетями) организации и внешней стороны, например, неразъемное соединение, удаленный доступ;
4) происходит ли доступ на месте или со стороны;
c) ценность и конфиденциальность вовлеченной информации, а также ее критичность для деловых операций;
d) средства управления, необходимые для защиты информации, которая не предназначена для того, чтобы быть доступной внешним сторонам;
e) персонал внешний стороны, вовлеченный в работу с информацией организации;
f) как могут быть обозначены организация или персонал, которым был разрешен доступ, как может быть верифицировано наличие разрешения, и как часто его необходимо подтверждать;
g) различные способы и средства управления, применяемые внешней стороной при хранении, обработке, передаче, совместном использовании информации и обмене информацией;
h) негативное влияние ситуации, когда внешней стороне не предоставляется требуемый доступ, и когда внешняя сторона вводит или получает неточную или вводящую в заблуждение информацию;
i) практики и процедуры по работе с инцидентами в системе защиты информации и возможными повреждениями, а также условия для продолжения доступа внешней стороны в случае инцидента в системе защиты информации;
j) требования закона, прочие обязательные требования, а также другие договорные обязательства, значимые для внешней стороны, которые должны быть учтены;
k) как эти меры могут повлиять на интересы любых других заинтересованных сторон.
Доступ внешних сторон к информации организации не должен предоставляться до тех пор, пока не будут реализованы надлежащие средства управления, и, если выполнимо, до тех пор, пока не будет подписан договор, определяющий постановления и условия для соединения или доступа, а также рабочий механизм.
Обычно, все требования защиты, проистекающие из работы с внешними сторонами, или внутренние средства управления должны быть отражены соглашением с внешней стороной (см. также 2.2 и 2.3).
Следует обеспечить, чтобы внешняя сторона отдавала себе отчет о своих обязательствах и принимала обязанности и ответственность, связанные с осуществлением доступа, обработкой, передачей или управлением информацией и средствами обработки информации организации.
Прочая информация
Информация может подвергаться риску внешними сторонами с ненадлежащим управлением защитой.
Должны быть определены и применены средства управления для того, чтобы руководить доступом внешней стороны к средствам обработки информации.
Например, если есть особая потребность в конфиденциальности информации, то можно использовать соглашения о неразглашении.
Организации могут столкнуться с риском, связанным с межорганизационными процессами, управлением и обменом информацией, если применяется высокая степень аутсорсинга, или если вовлечено несколько внешних сторон.
Средства управления 2.2 и 2.3 охватывают различные соглашения с внешними сторонами, включая, например, следующие:
a) поставщики услуги, таких как поставщики Интернет-услуг, поставщики сетевых услуг, услуг телефонной связи, услуг по текущему обслуживанию и поддержке;
b) управляемые услуги защиты;
c) потребители;
d) аутсорсинг оборудования и/или операций, например, информационных систем, услуг по сбору данных;
f) разработчики и поставщики, например, программных продуктов и информационных систем;
g) сторонние услуги по очистке, обслуживанию и другие вспомогательные услуги;
h) временный персонал, размещение студентов, а также другие временные краткосрочные договоры.
Такие соглашения могут помочь снизить риски, связанные с внешними сторонами.
27. Організація роботи з активами підприємства, що повязані з обробкою інформації з обмеженим доступом. (Ответственность за активы. Реестр активов. Собственность на активы. Приемлемое использование активов) [27001-3 А 7].
1.1 Реестр активов
Средство управления
Все активы должны быть четко определены, должна быть составлена и должна
поддерживаться в рабочем состоянии опись всех важных активов.
Для этого необходимо.
Организация должна выявить все активы и документально подтвердить важность этих активов.
Опись активов должна включать всю информацию, необходимую для восстановления после бедствия, включая:
- тип актива,
- формат,
- местоположение,
- дублирующую информацию,
- информацию о лицензиях,
-ценность для бизнеса.
Ценность для бизнеса должна определяться на основе общего подхода. Например при помощи следующих критериев, которые могут использоваться для оценки возможного ущерба от потери конфиденциальности, целостности или доступности активов:
- нарушение законов и/или подзаконных актов;
- снижение эффективности бизнеса;
- потеря престижа/негативное воздействие на репутацию;
- финансовые потери;
- нарушение деловых операций;
- нарушение конфиденциальности коммерческой информации;
- нарушение конфиденциальности личных данных;
- необеспеченность личной безопасности;
- угроза охране окружающей среды. (Дополнительную информацию о том, как оценивать активы для того, чтобы представить их важность, можно найти в ISO/IEC TR 13335-3).
Опись не должна излишне дублировать другие описи, но следует обеспечить, чтобы содержимое было синхронизировано.
Кроме того, собственность (см. 1.2) и классификация информации (см. 7.2) должны быть согласованы и документально подтверждены для каждого из активов.
На основе важности актива, должны быть определены его:
- ценность для бизнеса;
- категория защиты;
-уровни защиты, соразмерные с важностью активов.
Прочая информация
Существует много типов активов, включая следующее:
a) информация: базы данных и файлы данных, договоры и соглашения, системная документация, научно-исследовательская информация, руководства пользователя, учебный материал, процедур эксплуатации или вспомогательные процедуры, планы обеспечения непрерывности бизнеса, мероприятия по нейтрализации неисправности, контрольные журналы и архивированная информация;
b) программные активы: прикладные программы, системные программы, инструментальные средства разработки и утилиты;
c) физические активы: компьютерное оборудование, аппаратура связи, сменные носители информации и другое оборудование;
d) услуги: обработка данных и услуги связи, общие коммунальные услуги, например, обогрев, освещение, энергия и кондиционирование воздуха;
e) люди, их квалификация, способности и опыт;
f) нематериальные активы, такие как репутация и имидж организации.
Описи активов помогают обеспечить наличие результативной защиты активов и также могут быть необходимы для других деловых целей, таких как техника безопасности и охрана труда, страхование или финансовые причины (менеджмент активов).
Процесс составления описи активов является важным предварительным условием управления рисками (см. также раздел 4).
1.2 Собственность на активы
Средство управления
Вся информация и активы, связанные со средствами обработки информации,
должны находиться во владении определенной части организации.
Для этого необходимо.
Владелец актива должен нести ответственность за следующее:
a) обеспечение того, чтобы информация и активы, связанные со средствами обработки информации, были надлежащим образом классифицированы;
b) определение и периодический анализ ограничений и классификаций доступа, с учетом применимой политики в области управления доступом.
Собственность может быть назначена на следующее:
a) деловой процесс;
b) определенный набор видов деятельности;
c) приложение;
d) определенный набор данных.
Прочая информация
Рутинные задачи можно делегировать, например, хранителю, ежедневно присматривающему за активом, но ответственность остается на владельце.
В сложных информационных системах может быть полезным определить группы активов, которые действуют вместе для того, чтобы обеспечить конкретную функцию как «услуги».
В этом случае, владелец услуги ответственен за предоставление услуги, включая функционирование активов, которые обеспечивают ее предоставление.
1.3 Приемлемое использование активов
Средство управления
Правила приемлемого использования информации и активов, связанных сосредствами обработки информации, должны быть определены, документально подтверждены и реализованы.
Для этого необходимо.
Все служащие, подрядчики и пользователи третьих сторон должны следовать правилам приемлемого использования информации и активов, связанных со средствами обработки информации, включая следующие правила:
a) правила использования электронной почты и Интернет (см. 10.8);
b) руководящие принципы использования мобильных устройств, особенно для использования за пределами помещений организации (см. 11.7.1);
Конкретные правила или руководящие указания должны предоставляться соответствующим руководством.
Служащие, подрядчики и пользователи третьих сторон, использующие или имеющие доступ к активам организации, должны быть осведомлены о пределах, существующих для их пользования информацией и активами организации, связанными со средствами обработки информации, а также ресурсами организации. Они должны быть ответственными за пользование любыми ресурсами по обработке информации, и любого такого пользования, осуществленного под их ответственность.
28.Організація роботи щодо класифікації, маркування та поводження з інформацією. (Классификация информации. Маркировка информации и обращение с информацией) [27001-3 А 7].
2.1 Руководящие указания по классификации
Средство управления
Информация должна быть классифицирована с точки зрения ее значимости, требований закона, конфиденциальности и критичности для организации.
Для этого необходимо.
Классификации и связанные с ней защитные средства управления для информации должны учитывать потребности бизнеса в разделении или ограничении информации, а также негативное влияние на бизнес, связанное с такими потребностями.
Руководящие указания по классификации должны включать соглашения о начальной классификации и повторной классификации с течением времени; в соответствии с некоторой предварительно определенной политикой в области управления доступом (см. 11.1.1).
Владелец актива должен быть ответственен (см. 1.2) за определение классификации актива, ее периодический анализа и обеспечение того, что она поддерживается на уровне современных требований и на подходящем уровне.
Классификация должна учитывать эффект агрегации.
Следует уделить внимание числу категорий классификации и выгодам, которые нужно получить из их использования. Чрезмерно сложные схемы могут стать громоздкими и неэкономичными для использования или на практике оказаться невыполнимыми.
Следует быть внимательным при интерпретации классификационных этикеток на документах из других организаций, которые могут иметь другие определения для этикеток с тем же самым или аналогичным названием.
Прочая информация
Уровень защиты может быть оценен путем анализа конфиденциальности, целостности и доступности, а также любых других требований для рассматриваемой информации.
Информация часто перестает быть важной или критической спустя определенный период времени, например, когда информация была сделана общеизвестной.
Эти аспекты должны быть приняты во внимание, поскольку чрезмерная классификация может привести к реализации необязательных средств управления, дающих в результате дополнительные расходы.
Рассмотрение документов с аналогичными требованиями защиты вместе с назначением уровней классификации может помочь упростить задачу классификации.
В общих чертах, классификация, придаваемая информации это краткий способ определить то, как надлежит обращаться с этой информацией, и как ее надо защищать.
2.2 Маркировка информации и обращение с информацией
Средство управления
В соответствии со схемой классификации, принятой организацией, должен быть разработан и реализован соответствующий набор процедур для маркировки информации и обращения с информацией.
Для этого необходимо.
Необходимо, чтобы процедуры для маркировки информации охватывали информационные активы в физических и электронных форматах.
Вывод из систем, содержащих информацию, которая классифицируется как важная или критичная, должен иметь на себе соответствующую классификационную этикетку (на выходе).
Маркирование должно отражать классификацию в зависимости от правил, установленных в 2.1.
Объекты, которые надо принять во внимание, включают:
- напечатанные отчеты,
- экранные устройства отображения,
- записанные носители (флешки, диски, компакт-диски),
- электронные сообщения и передачи файлов.
Для каждого классификационного уровня должны быть определены процедуры обращения, включая защищенную обработку, хранение, передачу, снятие грифов ограничения доступа и уничтожение.
Сюда также следует включить процедуры обеспечения сохранности информации и регистрации любого значимого события в системе защиты.
Соглашения с другими организациями, которые включают совместное использование информации, должны включать процедуры для идентификации классификации этой информации и для интерпретации классификационных этикеток других организаций.
Прочая информация
Маркировка и защищенное обращение с важной информацией является ключевым требованием для мероприятий по совместному использованию информации.
Физические этикетки являются обычной формой маркировки. Тем не менее, некоторые информационные активы, например, документы в электронной форме, не могут быть помечены физически, и должны быть использованы электронные средства маркировки. (Например, уведомляющая маркировка может появляться на экране или на устройстве отображения).
Если маркировка не осуществима, то можно применить другие средства определения классификации, например, посредством процедур или метаданных.
29. Процедури, що направлені на захист інформації, при прийомі працівників на роботу. (Защита человеческих ресурсов. Перед началом работы по найму) [27001-4 А 8].
8.1 Перед началом работы по найму
Цель: Обеспечить, чтобы служащие, подрядчики и пользователи третьей стороны понимали свои обязанности и подходили для ролей, на которые они рассматриваются, а также снизить риск кражи, мошенничества или неправильного использования средств.
Перед началом работы по найму следует рассмотреть обязанности по защите в соответствующих должностных инструкциях и в условиях работы по найму.
Все кандидаты в служащие, в субподрядчики и в пользователи третьей стороны должны адекватно отбираться, особенно для важных работ.
Служащие, подрядчики и сторонние пользователи средств обработки информации должны подписать соглашение об своих ролях и обязанностях в области защиты.
Реализация цели.
1.1 Роли и обязанности
Средство управления
Роли и обязанности служащих, подрядчиков и пользователей третьей стороны в области защиты должны быть определены и документально подтверждены в соответствии с организационной политикой в области защиты информации.
Для этого необходимо.
Роли и обязанности в области защиты должны включать в себя требование выполнять следующее:
a) реализовывать и действовать в соответствии с организационной политикой в области защиты (см. 5.1);
b) защищать активы от неразрешенного доступа, раскрытия, изменения, разрушения или помех;
c) выполнять конкретные процессы или виды деятельности в области защиты;
d) обеспечивать, чтобы была назначена ответственность лицам за предпринятые действия;
e) сообщать о событиях или возможных событиях в системе защиты или других рисков для защиты в организацию.
Роли и обязанности в области защиты должны быть определены и четко сообщены кандидатам на работу в ходе процесса, предшествующего приему на работу по найму.
ПРИМЕР. Работа с кандидатом на должность:
предупреждается об ограничениях в связи с работой с документами и изделиями;
- ознакамливается с обязанностями и тем, что запрещается;
- берется подписка о неразглашении;
- инструктируется на рабочем месте непосредственным начальником, доводится должностная инструкция (1 экз. с подписью в ОК (сл. безоп.); 2 экз. на руки)
В должностной инстр. опять же права, обязан. И что запрещ.
Прочая информация
Для того чтобы документально подтвердить роли и обязанности в области защиты, могут быть использованы должностные инструкции. Роли и обязанности в области защиты для лиц, не нанятых через организационный процесс приема на работу по найму, например, нанятых через организацию третьей стороны, также должно быть четко определены и сообщены.
30. Процедури, що направлені на захист інформації, під час виконання працівниками своїх посадових обовязків. (Защита человеческих ресурсов. Во время работы по найму) [27001-4 А 8].
Должны быть определены обязанности руководства для того, чтобы обеспечить применение защиты во всей работе лиц по найму в организации.
Для того чтобы минимизировать возможные риски для защиты, всем служащим, подрядчикам и пользователям третьей стороны должны быть предоставлены адекватный уровень осведомленности, образования и подготовки по процедурам в области защиты и по правильному использованию средств обработки информации.
Должен быть создан официальный дисциплинарный процесс для обращения с нарушениями в системе защиты.
2.1 Обязанности руководства
Средство управления
Руководство должно требовать от служащих, подрядчиков и пользователей третьей стороны применять защиту в соответствии с установленными политикой и процедурами организации.
Для этого необходимо.
Обязанности руководства должны включать обеспечение того, чтобы служащие, подрядчики и пользователи третьей стороны были таковы:
a) правильно проинструктированы по их ролям и обязанностям в области защиты перед предоставлением доступа к важной информации или информационными системам;
b) обеспечены руководящими указаниями, с целью указать ожидания в области ащиты от их роли в организации;
c) мотивированы, чтобы выполнять политику организации в области защиты;
d) достигли уровня осведомленности в области защиты, соответствующего их ролям и обязанностям в организации (см. также 8.2.2);
e) соответствовали условиям работы по найму, которые включают политику организации в области защиты информации и соответствующие методы работы;
f) продолжали обладать соответствующими навыками и квалификацией.
Прочая информация
Если служащие, подрядчики и пользователи третьей стороны не были осведомлены о своих обязанностях в области защиты, то они могут причинить значительный ущерб организации.
Мотивированный персонал, скорее всего, будет более надежным и вызовет меньше инцидентов в системе защиты информации.
Плохое руководство может заставить персонал чувствовать себя недооцененным, что в результате приведет к негативному влиянию на защиту в организации.
Например, плохое руководство может привести к тому, что защитой будут пренебрегать, или к возможному неправильному использованию активов организации.
31. Процедури, що направлені на захист інформації, у разі припинення або зміни місця роботи працівником. (Защита человеческих ресурсов. Прекращение или перемена места работы по найму) [27001-4 А 8].
Цель: Обеспечить, чтобы служащие, подрядчики и пользователи третьей стороны покидали организацию или меняли работу по найму в организованном порядке.
Должны быть определены обязанности для обеспечения того, что выход служащего, подрядчика или пользователя третьей стороны из организации управляем, и что возврат всего оборудования и удаление всех прав доступа завершены.
Изменение обязанностей и работ по найму в рамках организации должно управляться как прекращение соответствующей ответственности или занятости в соответствии с этим разделом, а любые новые работы по найму должны управляться, как описано в разделе 8.1.
3.1 Обязательства, связанные с прекращением работы по найму
Средство управления
Должны быть ясно определены и распределены обязательства по осуществлению прекращения или перемены места работы по найму.
Для этого необходимо.
Информация об обязательствах по прекращению работы по найму должна включать текущие требования защиты, законные обязанности и, если это необходимо, обязательства, содержащиеся в любом соглашении о конфиденциальности (см. 6.1.5), а также условия работы по найму (см. 8.1.3), остающиеся в силе в течение определенного периода после окончания работы по найму служащего, подрядчика или пользователя третьей стороны.
Обязательства и обязанности, все еще остающиеся в силе после прекращения работы по найму, должны содержаться в договорах служащего, подрядчика или пользователя третьей стороны.
Изменения ответственности или работы по найму должны управляться как прекращение соответствующей ответственности или работы по найму, а новая ответственность или работа по найму должны управляться, как описано в разделе 8.1.
Прочая информация
Отдел кадров обычно ответственен за общий процесс прекращения работы по найму и связанные с ним дела, вместе с надзирающим менеджером уходящего лица, оставляющего, с целью управлять вопросами защиты соответствующих процедур.
В случае подрядчика, этот процесс прекращения ответственности может быть предпринят агентством, ответственным за подрядчика, а в случае другого пользователя он регулироваться его организацией.
Может оказаться необходимым уведомлять служащих, потребителей, подрядчиков или пользователей третьей стороны об изменениях в личных и рабочих договоренностях.
32. Заходи щодо створення зон безпеки на підприємстві. Фізичний периметр та засоби управління фізичним доступом на об'єкти. (Физический периметр безопасности. Средства управления физическим доступом) [27001-5 А 9].
33. Заходи щодо створення зон безпеки на підприємстві. Організація роботи в зонах безпеки. Захист від зовнішніх загроз природного та техногенного характеру. (Защита от внешних и экологических угроз. Работа в безопасных зонах) [27001-5 А 9]. 1.4 Защита от внешних и экологических угроз
Средство управления
Должна быть разработана и должна применяться физическая защита против ущерба от огня, наводнения, землетрясения, взрыва, общественных беспорядков и других форм естественного или искусственного бедствия.
Для этого необходимо.
Следующие руководящие указания должны быть рассмотрены для того, чтобы избежать ущерба от огня, наводнения, землетрясения, взрыва, общественных беспорядков и других форм естественного или искусственного бедствия:
a) опасные или горючие материалы должны храниться на безопасном расстоянии от безопасной зоны.
Несортированная продукция, такая как канцтовары, не должна храниться в безопасной зоне;
b) Резервное оборудование и резервные копии должны быть расположены на безопасном расстоянии для того, чтобы избежать ущерба от бедствия, влияющего на основное местоположение;
c) должно быть предусмотрено и подходящим образом размещено противопожарное оборудование.
1.5 Работа в безопасных зонах
Средство управления
Должны быть разработаны и применяться физическая защита и руководящие указания для работы в безопасных зонах.
Для этого необходимо.
Должны быть рассмотрены следующие руководящие указания:
a) персонал должен быть осведомлен о существовании безопасной зоны или о деятельности в безопасной зоне только на основе принципа служебной необходимости;
b) надо избегать безнадзорной работы в безопасных зонах, как по причинам безопасности, так и для того, чтобы предотвратить возможности для злонамеренной деятельности;
c) пустые безопасные зоны должны физически запираться и периодически проверяться;
d) фотографическое, видео, аудио или другое записывающее оборудование, такое как камеры на мобильных устройствах, не должны допускаться, если только не разрешено;
Организация работы в безопасных зонах включает средства управления для служащих, подрядчиков и пользователей третьей стороны, работающих в безопасной зоне, а также другую деятельность третьей стороны, происходящую там.
34. Захист обладнання. Розміщення обладнання у приміщеннях. Захист інженерних комунікацій. (Расположение и защита оборудования. Вспомогательные коммунальные службы) [27001-5 А 9].
2.1 Расположение и защита оборудования
Средство управления
Оборудование должно быть расположено или защищено так, чтобы снизить риски возникновения экологических угроз и опасностей, а также количество возможностей для неразрешенного доступа.
Для этого необходимо.
Для того чтобы защитить оборудование, должны быть рассмотрены следующие руководящие указания:
a) оборудование должно быть расположено так, чтобы минимизировать необязательный доступ в рабочие зоны;
b) средства обработки информации, обращающиеся с важными данными, должны располагаться так и иметь такой угол видимости, чтобы снизить риск того, что информацию увидят посторонние лица в ходе их использования, а средства хранения должны охраняться для того, чтобы избежать неразрешенного доступа;
c) элементы, требующие особой защиты, должны быть изолированы для того, чтобы снизить общий уровень необходимой защиты;
d) должны быть созданы средства управления для того, чтобы минимизировать риск возможных физических угроз, (например, кража, пожар, взрывоопасные вещества, дым, вода (или сбой в подаче воды), пыль, вибрации, химические воздействия, помехи электроснабжению, помехи связи, электромагнитное излучение и вандализм);
e) должны быть определены руководящие указания по употреблению пищи, напитков и курению вблизи средств обработки информации;
f) внешние условия, такие как температура и влажность, должны постоянно контролироваться на наличие условий, которые могли бы негативно повлиять на работу средств обработки информации;
g) защита от молнии должна быть применена ко всем зданиям, и молниезащитные фильтры должны быть установлены на все входящие линии электропередач и линии связи;
h) для оборудования в промышленной среде должна быть рассмотрена возможность использования специальных методов защиты, таких как клавиатурные мембраны;
i) оборудование, обрабатывающее важную информацию, должно быть защищено для того, чтобы минимизировать риски утечки информации по каналам побочных излучений.
2.2 Вспомогательные коммунальные службы
Средство управления
Оборудование должно быть защищено от отказов в системе электроснабжения и других нарушений, вызванными сбоями в работе коммунальных служб.
Для этого необходимо.
Все вспомогательные коммунальные службы, такие как электроснабжение, водоснабжение, канализация, отопление/вентиляция и кондиционирование воздуха должны быть адекватны системам, которые они поддерживают.
Вспомогательные коммунальные службы должны регулярно контролироваться и, по обстановке, испытываться, с целью обеспечить их правильную работу и снизить любой риск от их неправильного функционирования или сбоя в их работе.
Должно быть обеспечено подходящее электроснабжение, которое соответствует спецификации оборудования, предоставленной изготовителем.
Для оборудования, поддерживающего критические деловые операции, рекомендуется использовать источники бесперебойного питания.
Должна быть доступна надлежащая поставка топлива для того, чтобы генератор мог работать длительный период.
Оборудование ИБП и генераторы должны регулярно проверяться для того, чтобы гарантировать, что они обладают требуемой мощностью, и испытываться в соответствии с рекомендациями изготовителя.
Кроме того, надо рассмотреть возможность использования нескольких источников питания или, если помещение большое, то отдельной электроподстанции.
Переключатели аварийного отключения питания должны быть расположены около запасных выходов в комнатах с оборудованием для того, чтобы облегчить быстрое отключение электропитания в случае аварийной ситуации.
На случай сбоя в работе основной сети электропитания должно быть предусмотрено аварийное освещение.
Водоснабжение должно быть стабильным и адекватным, чтобы снабжать системы кондиционирования воздуха, увлажняющее оборудование и системы пожаротушения (там, где используются).
Неправильная работа системы водоснабжения может повредить оборудование или помешать результативной работе системы пожаротушения.
Если требуется, то должна быть оценена и установлена система оповещения для того, чтобы обнаруживать сбои во вспомогательных коммунальных службах.
Телекоммуникационное оборудование должно быть подключено к поставщику коммунальных услуг, по крайней мере, двумя разными маршрутами, чтобы помешать сбою в работе одного пути соединения.
Система оповещения в чрезвычайных ситуациях должна соответствовать местным требованиям закона о связи в чрезвычайных ситуациях.
Прочая информация
Возможности достижения непрерывности электроснабжения включают распределенное питание для того, чтобы избежать одной критической точки в электроснабжении.
35. Організація захисту кабельних з'єднань. Порядок обслуговування обладнання. (Защита кабельных соединений. Обслуживание оборудования) [27001-5 А 9].
2.3 Защита кабельных соединений
Средство управления
Силовые кабели и кабели дальней связи, по которым передаются данные или вспомогательные информационные услуги, должны быть защищены от перехвата или повреждения.
Для этого необходимо.
Для обеспечения безопасности кабельных соединений должны быть рассмотрены следующие руководящие указания:
a) силовые линии и линии дальней связи, входящие в средства обработки информации, должны быть подземными там, где это возможно, или должны подлежать адекватной альтернативной защите;
b) сетевые кабели должны быть защищены от несанкционированого перехвата или повреждения, например, путем использования кабельного канала или избегания маршрутов, пролегающих через общедоступные зоны;
c) силовые кабели должен быть отделены от кабелей дальней связи для того, чтобы предотвратить помехи;
d) легко различимые маркировки кабелей и оборудования должны использоваться для того, чтобы минимизировать ошибки из-за неправильного обращения, такие как случайная коммутация неправильных сетевых кабелей;
e) для того, чтобы снизить возможность ошибок, должен использоваться документированный список коммутаций;
f) для важных или критических систем, дополнительные средства управления, которые надо рассмотреть, включают в себя следующее:
1) установка бронированного кабельного канала и запертых комнат или блоков в контрольных точках и точках прерывания;
2) использование альтернативных маршрутизаций и/или средств передачи данных, обеспечивающих подходящую защиту;
3) использование оптоволоконного кабеля;
4) использование электромагнитного экранирования для защиты кабеля;
5) инициация технических зачисток и физического контроля на предмет наличия неразрешенных устройств, присоединенных к кабелю;
6) контролируемый доступ к коммутационным панелям и кабельным комнатам.
2.4 Обслуживание оборудования
Средство управления
Оборудование должно правильно обслуживаться для обеспечения непрерывной доступности и целостности.
Для этого необходимо.
Для обслуживания оборудования должны быть рассмотрены следующие руководящие указания:
a) оборудование должно обслуживаться в соответствии с рекомендуемыми поставщиком периодичностью и спецификациями технического обслуживания;
b) только полномочный обслуживающий персонал должен выполнять ремонт и обслуживать оборудование;
c) должны храниться записи обо всех предполагаемых или фактических дефектах, а также обо всем предупреждающем и корректирующем обслуживании;
d) если оборудование включено в график обслуживания, то должны быть реализованы подходящие средства управления, учитывающие, выполняется ли это обслуживание местным персоналом или персоналом, внешним по отношению к организации;
если это необходимо, то оборудование должно быть очищено от важной информации, или обслуживающий персонал должен иметь достаточный допуск к конфиденциальной работе;
e) все требования, наложенные страховыми полисами, должны быть выполнены.
36. Організація захисту обладнання, що використовується за межами підприємства. Процедури безпечної ліквідації обладнання або повторного використання. (Защита оборудования, находящегося за пределами рабочего места. Безопасная ликвидация или повторное использование) [27001-5 А 9].
2.5 Защита оборудования, находящегося за пределами рабочего места
Средство управления
Защита должна применяться для оборудования, находящегося за пределами рабочего места, с учетом различных рисков работы за пределами организационных помещений.
Для этого необходимо.
Независимо от собственности, использование любых средств обработки информации за пределами организационных помещений должно быть разрешено руководством.
Для защиты оборудования, находящегося за пределами рабочего места, должны быть рассмотрены следующие руководящие указания:
a) оборудование и носители информации, выносимые из помещений, не должны оставляться без присмотра в общедоступных местах; портативные компьютеры при путешествии должны перевозиться в качестве ручной клади и должны быть замаскированы, если возможно;
b) все время должны соблюдаться инструкции изготовителя для защиты оборудования, например, защита от сильных электромагнитных полей;
c) средства управления домашней работой должны быть определены оценкой риска, и подходящие средства управления должны быть применены, по остановке, например, запирающийся картотечный блок, политика чистого стола, средства управления доступом для компьютеров и безопасная связь с офисом (см. также ISO/IEC 18028. Защита сети);
d) для защиты оборудования, находящегося за пределами рабочего места, должен быть принят адекватный объем страховой ответственности.
Риски нарушения системы безопасности, например, риск ущерба, кражи или подслушивания, могут значительно различаться в зависимости от местоположения и должны быть учтены при определении наиболее подходящих средств управления.
Прочая информация
Оборудование, используемое для хранения и обработки информации, включает все формы персональных компьютеров, органайзеров, мобильных телефонов, смарт-карт, бумаг или другую форму, которая держится для домашней работы или уносится с места обычной работы.
Дополнительную информацию о других аспектах защиты мобильного оборудования можно найти в 11.7.1.
2.6 Безопасная ликвидация или повторное использование оборудования
Средство управления
Все элементы оборудования, содержащие носители информации, должны быть проверены на предмет того, что любые важные данные и лицензионное программное обеспечение были удалены или надежно затерты перед ликвидацией.
Для этого необходимо.
Устройства, содержащие конфиденциальную информацию, должны быть физически уничтожены, или информация должна быть уничтожена, удалена или затерта, используя соответствующие методы с целью сделать оригинальную информацию невосстановимой, вместо того, чтобы использовать стандартную функцию удаления или форматирования.
Прочая информация
Поврежденные устройства, содержащие важные данные, могут потребовать оценки рисков для того, чтобы определить, должны ли элементы быть уничтожены физически, отправлены для ремонта или забракованы.
Информация может быть разглашена посредством небрежной ликвидации или повторного использования оборудования (см. также 10.7.2).