Журнал персональные данные

Политика обработки персональных данных

Политика редакции журнала в отношении обработки персональных данных определена в соответствии с положениями Федерального закона РФ от 27 июля 2006 г. «О персональных данных».

  1. 1. Общие положения и понятия.

Редакция журнала выступает оператором персональных данных, под которыми понимается информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а именно:

— фамилия, имя, отчество;

— должность и место работы;

— почтовый адрес;

— телефон;

— электронный адрес.

Обработкой персональных данных считается любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых редакцией с использованием средств автоматизации или без их использования.

Обработка персональных данных включает в себя, в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение персональной информации.

  1. Субъектами персональных данных для редакции считаются следующие категории:

1) авторы статей — результатов научных исследований, обзоров, рецензий, публикуемых в журнале;

2) члены редакционной коллегии и редакционного совета журнала;

3) редакторы журнала;

4) рецензенты журнала;

5) представители технической службы журнала;

6) подписчики печатной версии журнала.

  1. 3. Цели сбора персональных данных

Обработка персональных данных субъектов редакцией журнала осуществляется с целями:

— идентификации авторства научной работы; рецензирования статьи (с обезличиванием рецензируемой работы); связи с автором; предпечатной подготовки статьи; публикации статьи и распространения материалов журнала в соответствии с разделом «Условия передачи авторских прав»: на сайте журнала, в архиваторах, в наукометрических базах, с которыми у редакции журнала заключены договора;

— представления членов редакционной коллегии и редакционного совета, редакторов, представителей технической службы на сайте журнала в открытом доступе и для представительства журнала в наукометрических базах, научных сообществах;

— организации работы по рецензированию статей (по принятой в журнале системе «двойного слепого рецензирования»);

— отправке (передаче) печатных экземпляров журнала для подписчиков.

  1. 4. Основания для обработки персональных данных.

4.1. Правовым основанием для обработки персональных данных считается согласие на обработку персональных данных, которое дает:

— член редколлегии или редсовета, давший согласие на вхождение в редколлегию или редсовет журнала;

— автор, ознакомившись с политикой и правилами редакции на сайте, при подаче статьи и сопутствующих к ней материалов, в журнал: путем загрузки в системе OJS или по электронной почте редакции, предназначенной для связи с авторами и для подачи статей (zpu@mosgu.ru);

— рецензент при его регистрации на издательской платформе журнала;

— подписчик, обратившийся в редакцию для заказа печатного экземпляра журнала.

4.2. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.

4.3. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

4.4. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

5. Право субъекта персональных данных на доступ к его персональным данным.

5.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения.

5.2. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6. Обязанности редакции.

6.1. Редакция обязуется при обработке персональных данных ограничиваться достижением заявленных целей (см. п. 3).

6.2. Редакция обязана передавать персональные данные всех категорий субъектов персональных данных органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

6.3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.

6.4. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения.

6.5. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные.

6.6. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

7. Порядок и условия обработки персональных данных

Порядок и условия обработки персональных данных определяются из категории субъектов персональных данных и соответствующих им целей использования персональных данных.

7.1. Персональные данные авторов статей делятся на две группы:

1) предназначенные для идентификации личности и связи с редакцией (редакция не вправе их передавать третьим лицам (кроме случаев, предусмотренных п. 5.2) и хранит постоянно в электронном виде для решения вопросов о републикации, ретрагировании статей по обращениям третьих лиц, авторские права и интересы которых были нарушены);

2) предназначенные для публикации в журнале и представления автора статьи, возможной связи с ним читателей, экспорта вместе с материалами статей в наукометрические базы данных.

Состав данных персональных данных определяется автором и редакцией по согласованию в ходе предпечатной подготовки, но не может касаться фамилии, имени, отчества автора, его научных регалий, места работы и электронного адреса (на выбор автора — рабочего/корпоративного или личного).

7.2. Персональные данные членов редакционной коллегии и редакционного совета, редакторов, представителей технической службы делятся на две группы:

1) предназначенные для внутренней редакционной работы;

2) предназначенные для публикации на сайте журнала в открытом доступе, для представительства журнала в наукометрических базах, научных сообществах.

Состав персональных данных определяется по согласованию с данной категорией субъектов персональных данных, однако не может быть меньше, чем того требуют задачи представительства.

7.3. Персональные данные рецензентов журнала сохраняются только в редакции журнала постоянно, используются для связи членов редакции, редакторов с рецензентами, и не предназначены для публикации на сайте журнала.

7.4.Персональные данные подписчиков печатных экземпляров журнала сохраняются на период действия подписки (на получение журналов в течение года, полугода или разовой подписки на конкретный печатный номер) или срок, предусмотренный конкретными договорами подписки для решения спорных случаев, связанных с доставкой журнала почтовыми службами.

8. Сведения о мерах, направленных на обеспечение выполнения редакцией обязанностей, предусмотренных ФЗ «Об обработке персональных данных»

8.1. Ответственным лицом по обработке персональных данных членов редсовета и редколлегии, редакторов, авторов, представителей технической службы решением редколлегии назначен главный редактор журнала.

8.2. Ответственным лицом по обработке персональных данных подписчиков назначен в журнале: «Знание. Понимание. Умение» — Ч. К. Ламажаа.

8.3. Оператор вправе с согласия субъекта персональных данных поручить обработку персональных данных другому лицу.

При этом, в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор.

9. Отзыв субъектом своих персональных данных.

Субъекты персональных данных и их представители, уполномоченные органы имеют право отозвать согласие на обработку персональных данных, на их хранение в связи с правом на отзыв неопубликованной или опубликованной статьи, аргументированно обосновав свой отзыв.

Контактный адрес для обращений: zpu@mosgu.ru

Редакция обязуется оперативно рассматривать подобные запросы и вносить соответствующие исправления на сайте, в базе данных, а также извещать о правках наукометрические базы данных, куда экспортируются материалы журнала, однако не может гарантировать исправлений в этих базах.

480 auto

Общий порядок обработки персональных данных установлен федеральным законом № 152-ФЗ от 27.07.2006 «О персональных данных». О нём мы рассказали в нашей предыдущей статье «В чём суть закона».

Этот порядок конкретизирован и детализирован в постановлении Правительства Российской Федерации № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Кто обеспечивает защиту данных?

Согласно указанному постановлению Правительства № 1119, безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает эти данные, или лицо, осуществляющее обработку этих данных по поручению оператора на основании заключённого с этим лицом договора.

Что защищать и от чего?

В постановлении Правительства определены три типа угроз и четыре уровня защищённости персональных данных.

Тип угрозы Объяснение
Связаны со случайными или намеренными уязвимостями в системном программном обеспечении
Связаны со случайными или намеренными уязвимостями в прикладном программном обеспечении
Иные угрозы, не связанные с уязвимостями ни в системном, ни в прикладном программном обеспечении

Под угрозами Правительство понимает совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение этих данных, а также иные неправомерные действия.

Как защищать?

Классификация уровней защиты

В следующей таблице, составленной по содержанию постановления, указаны условия, по которым должен быть обеспечен тот или иной уровень защищённости персональное информации.

Уровень защищённости Условие
Тип угроз Категория данных* Данные работников?**
1 2 3 С Б О И Да Нет
Да Да Да Да
Да Да > 100 000
Да Да
Да Да Да < 100 000
Да Да
Да Да > 100 000
Да Да > 100 000
Да Да > 100 000
Да Да Да > 100 000
Да Да Да > 100 000
Да Да Да > 100 000
Да Да
Да Да > 100 000
Да Да
Да Да Да > 100 000

* «С» — специальные; «Б» — биометрические; «О» — общедоступные; «И» — иные.
** Относятся ли данные к работникам оператора или нет? Если — нет, имеет значение общее число частных лиц, данные о которых содержатся в информационной системе.

Специальные персональные данные: сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Биометрические персональные данные: сведения о физиологических и биологических особенностях человека, на основании которых можно установить его личность.

Общедоступные персональные данные: сведения, которые может получить неограниченный круг лиц. В качестве примеров источников общедоступных персональных данных можно назвать справочники или адресные книги. В такие источники могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, но только с письменного согласия их субъекта.

Иные персональные данные: сведения о конкретном человеке, которые не относятся к категориям специальные, биометрические, общедоступные.

Первый уровень защищённости считается наиболее высоким.

Обеспечение уровня защиты

В следующей таблице перечислены требования по обеспечения защищённости данных на должном уровне.

Уровень защищённости Требование
Исключить доступ в помещения, в которых находится оборудование информационной системы, посторонних лиц
Обеспечить сохранность носителей данных
Утвердить список работников оператора, которым разрешён доступ к обрабатываемым персональным данным
Использовать средства защиты информации, если применение таких средств необходимо для нейтрализации актуальных угроз
Выполнить все требования, предусмотренные для четвёртого уровня защищённости данных
Назначить должностное лицо, ответственное за обеспечение безопасности данных в информационной системе
Выполнить все требования, предусмотренные для третьего уровня защищённости данных
Ограничить доступ к электронному журналу безопасности исключительно уполномоченными лицами
Выполнить все требования, предусмотренные для второго уровня защищённости данных
Обеспечить автоматическую регистрацию в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к данным, содержащимся в информационной системе
Возложить ответственность за обеспечение безопасности данных в информационной системе на новое или уже существующее структурное подразделение

Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которое производит обработку этих данных по поручению оператора.

Более подробный список организационных и технических мер по обеспечению безопасности данных при их обработке в информационных системах содержится в приказе № 21 от 18.02.2013 Федеральной службы по техническому и экспортному контролю (ФСТЭК).

В перечень мер по обеспечению безопасности входят:

  • идентификация и аутентификация субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защита машинных носителей информации, на которых хранятся или обрабатываются данные;
  • регистрация событий безопасности;
  • антивирусная защита;
  • обнаружение и предотвращение вторжений;
  • анализ защищённости;
  • обеспечение целостности информационной системы и данных;
  • обеспечение доступности данных;
  • защита среды виртуализации;
  • защита технических средств;
  • защита информационной системы, её средств, систем связи и передачи данных;
  • выявление событий, которые могут привести к сбоям или нарушению в работе информационной системы, или угрожающих безопасности данных, и реагирование на них;
  • управление конфигурацией информационной системы и системы защиты.

В приложении к указанному приказу ФСТЭК содержится более детальный перечень мер по обеспечению безопасности данных для каждого уровня защищённости.

При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учётом экономической целесообразности могут разрабатываться и применяться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз.

Средства защиты информации

Технические средства защиты имеют классификацию. Класс применяемого средства защиты должен соответствовать требующемуся уровню защищённости.

В руководящем документе «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» установлено девять классов защищённости автоматизированной системы от несанкционированного доступа к информации.

Каждый класс характеризуется определенным минимальным набором требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации.

С государственным реестром средств защиты информации, сертифицированных ФСТЭК, можно ознакомиться на сайте этого ведомства. Идентификатор этого реестра: РОСС RU.0001.01БИ00. На момент подготовки этой статьи в реестре имеется 1 774 записи.

Этот реестр также доступен на сайте «Открытые данные России».

На сайте ФСТЭК также находятся реестры компаний, имеющих лицензии на деятельность по технической защите конфиденциальной информации и лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации.

Криптографические средства защиты информации

Если для защиты персональных данных применяются какие-либо криптографические средства, их применение регламентировано приказом ФСБ России № 378 от 10.07.2014.

Перечень средств защиты информации, сертифицированных ФСБ России, можно получить на сайте Центра по лицензированию, сертификации и защите государственной тайны ФСБ России.

В версии перечня на 01.08.2018 упомянуты 525 средств защиты.

Заключение

Несмотря на изрядную запутанность руководящих документов по защите информационных систем, в том числе, хранящих в них данных, соблюсти основные нормы, установленные в этих документах, можно.

В целом, последовательность действий лица, планирующего обработку данных должна быть примерно следующей:

  • определить, относится ли он к категории «оператор персональных данных»; если относится, известить о своих планах Роскомнадзор;
  • определить угрозы безопасности данных при их обработке в информационной системе оператора;
  • определить требующийся уровень защиты;
  • определить и применить организационные и технические меры защиты данных от неправомерного доступа к ним, а также от возможной их утраты или искажения;
  • применить выбранные меры защиты;
  • после ввода информационной системы в эксплуатацию регистрировать и учитывать все действия, совершаемых с персональными данными в информационной системе;
  • обеспечить обнаружение фактов несанкционированного доступа к данным и принимать меры, исключающие такой доступ в дальнейшем;
  • регулярно оценивать эффективность применения выбранных средств защиты.

Напомним о пункте 10 приказа ФСТЭК № 21 от 18.02.2013, в котором говорится о том, что при невозможности реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учётом экономической целесообразности могут разрабатываться компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности данных.

В любом случае полезно руководствоваться здравым смыслом.

Список нормативных актов

  • федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006;
  • постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012;
  • рекомендации Роскомнадзор по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
  • приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК)№ 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 11.02.2013;
  • приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013;
  • приказ Федеральной службы безопасности России (ФСБ) № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости» от 10.07.2014;
  • федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006;
  • федеральный закон № 99-ФЗ «О лицензировании отдельных видов деятельности» от 04.05.2011;
  • федеральный закон № 184-ФЗ «О техническом регулировании» от 27.12.2002;
  • указ Президента РФ № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю» от 16.08.2004;
  • ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»;
  • ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения»;
  • ГОСТ Р 56938-2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения»;
  • ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;
  • ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие положения»;
  • ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения»;
  • ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»;
  • ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;
  • ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»;
  • ГОСТ 34.603-92 «Информационная технология. Виды испытаний автоматизированных систем»;
  • ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;
  • ГОСТ Р ИСО/МЭК 27000-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология».

К сожалению, крайне трудно, практически невозможно, сделать этот список исчерпывающим, так как в документах, присутствующих в нём, имеются недостаточно чёткие формулировки и многочисленные ссылки на иные правовые акты.

Спасибо за внимание проявленное к информации размещенной на нашем сайте.

Данный приказ предложен как вариант и естественно требует дополнений по тексту ну или как в данном случае в преамбуле.

Наличие подобного рода шаблонов упрощает работу ответственного за защиту но не в коем случае не исключает ее.

В любом случае мне кажется что ваш отзыв будет полезен. Не всегда удается обратить внимание на какие то нюансы.

В принципе для этого в конце каждой статьи мы оставили место для комментариев.

В контексте этого приказа мне кажется уместно сослаться на 152 приказ ФАПСИ.

Действительно в соответствии с Информацией ФСБ России от 21 июня 2016 г. «О нормативно-методических документах, действующих в области обеспечения безопасности персональных данных»

В связи с выводом из действия постановления Правительства Российской Федерации от 17 ноября 2007 года N 781 «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» и «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» утратили актуальность.

В настоящее время в области обеспечения безопасности персональных данных действуют следующие нормативно-методические документы ФСБ России:

1) Приказ ФСБ от 10 июля 2014 года N 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;

2) Приказ ФСБ России от 9 февраля 2005 года N 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»;

3) «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 года N 152;

4) «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (N 149/7/2/6-432 от 31.03.2015).