Стаття 13. Накопичення та зберігання персональних даних

Питання для підготовки до екзамену по навчальній дисципліні «Захист персональних даних»

1. Сфера дії Закону України «Про захист персональних даних».

Цей Закон регулює правові відносини, пов’язані із захистом і обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних.

Цей Закон поширюється на діяльність з обробки персональних даних, яка здійснюється повністю або частково із застосуванням автоматизованих засобів, а також на обробку персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.

Цей Закон не поширюється на діяльність з обробки персональних даних, яка здійснюється фізичною особою виключно для особистих чи побутових потреб.

Положення цього Закону не поширюються на діяльність з обробки персональних даних, яка здійснюється творчим чи літературним працівником, у тому числі журналістом, у професійних цілях, за умови забезпечення балансу між правом на невтручання в особисте життя та правом на самовираження.

 

2. Дати визначення термінам:

база персональних даних

володілець персональних даних;

Державний реєстр баз персональних;

згода суб’єкта персональних даних;

знеособлення персональних даних;

картотека;

обробка персональних даних;

одержувач;

персональні дані;

розпорядник персональних даних;

суб'єкт персональних даних;

третя особа.

база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;

володілець персональних даних - фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;

Державний реєстр баз персональних даних - єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних;

згода суб’єкта персональних даних - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про її надання;

знеособлення персональних даних - вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу;

картотека - будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами;

обробка персональних даних - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем;

одержувач - фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа;

персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;

розпорядник персональних даних - фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;

суб'єкт персональних даних - фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;

третя особа - будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних відповідно до закону.

 

3. Законодавство про захист персональних даних

Законодавство про захист персональних даних складають Конституція України, цей Закон, інші закони та підзаконні нормативно-правові акти, міжнародні договори України, згода на обов'язковість яких надана Верховною Радою України.

 

4. Суб'єкти відносин, пов'язаних із персональними даними

1. Суб'єктами відносин, пов'язаних із персональними даними, є:

суб'єкт персональних даних;

володілець персональних даних;

розпорядник персональних даних;

третя особа;

уповноважений державний орган з питань захисту персональних даних.

{Абзац сьомий частини першої статті 4 виключено на підставі Закону № 5491-VI від 20.11.2012}

2. Володільцем чи розпорядником персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи - підприємці, які обробляють персональні дані відповідно до закону.

3. Розпорядником персональних даних, володільцем яких є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу.

4. Володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі.

5. Розпорядник персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі.

 

5. Об'єкти захисту

1. Об'єктами захисту є персональні дані.

2. Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.

{Частину третю статті 5 виключено на підставі Закону № 5491-VI від 20.11.2012}

{Частину четверту статті 5 виключено на підставі Закону № 5491-VI від 20.11.2012}

 

6. Загальні вимоги до обробки персональних даних

1. Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних.

Обробка персональних даних здійснюється відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки.

У разі зміни визначеної мети обробки персональних даних суб'єктом персональних даних має бути надана згода на обробку його даних відповідно до зміненої мети, якщо нова мета обробки є несумісною з попередньою.

2. Персональні дані мають бути точними, достовірними та оновлюватися в міру потреби, визначеної метою їх обробки.

3. Склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки.

{Абзац другий частини третьої статті 6 виключено на підставі Закону № 5491-VI від 20.11.2012}

4. Первинними джерелами відомостей про фізичну особу є: видані на її ім'я документи; підписані нею документи; відомості, які особа надає про себе.

5. Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.

6. Не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

7. Якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів суб'єкта персональних даних, обробляти персональні дані без його згоди можна до часу, коли отримання згоди стане можливим.

8. Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк, не більший ніж це необхідно відповідно до їх законного призначення.

9. Обробка персональних даних в історичних, статистичних чи наукових цілях може здійснюватися лише за умови забезпечення їх належного захисту.

10. Типовий порядок обробки персональних даних у базах персональних даних затверджується центральним органом виконавчої влади, що забезпечує формування державної політики у сфері захисту персональних даних.

{Абзац другий частини десятої статті 6 виключено на підставі Закону № 5491-VI від 20.11.2012}

Порядок обробки персональних даних у сфері забезпечення функціонування системи гарантування вкладів фізичних осіб затверджується Фондом гарантування вкладів фізичних осіб.

 

7. Особливі вимоги до обробки персональних даних

Стаття 7. Особливі вимоги до обробки персональних даних

1. Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, звинувачення у скоєнні злочину або засудження до кримінального покарання, а також даних, що стосуються здоров'я чи статевого життя.

2. Положення частини першої цієї статті не застосовується, якщо обробка персональних даних:

1) здійснюється за умови надання суб'єктом персональних даних однозначної згоди на обробку таких даних;

2) необхідна для здійснення прав та виконання обов'язків володільця у сфері трудових правовідносин відповідно до закону із забезпеченням відповідного захисту;

3) необхідна для захисту життєво важливих інтересів суб'єкта персональних даних або іншої особи у разі недієздатності або обмеження цивільної дієздатності суб'єкта персональних даних;

4) здійснюється із забезпеченням відповідного захисту релігійною організацією, громадською організацією світоглядної спрямованості, політичною партією або професійною спілкою, що створені відповідно до закону, за умови, що обробка стосується виключно персональних даних членів цих об'єднань або осіб, які підтримують постійні контакти з ними у зв'язку з характером їх діяльності, та персональні дані не передаються третій особі без згоди суб'єктів персональних даних;

5) необхідна для обґрунтування, задоволення або захисту правової вимоги;

6) необхідна в цілях охорони здоров’я, встановлення медичного діагнозу, для забезпечення піклування чи лікування або надання медичних послуг за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров’я, на якого покладено обов’язки щодо забезпечення захисту персональних даних та на якого поширюється законодавство про лікарську таємницю;

7) стосується обвинувачень у вчиненні злочинів, вироків суду, здійснення державним органом повноважень, визначених законом, щодо виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;

8) стосується даних, які були оприлюднені суб'єктом персональних даних.

 

8. Права суб'єкта персональних даних

1. Особисті немайнові права на персональні дані, які має кожна фізична особа, є невід'ємними і непорушними.

2. Суб'єкт персональних даних має право:

1) знати про місцезнаходження персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;

2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;

3) на доступ до своїх персональних даних;

4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, які зберігаються;

5) пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;

6) пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;

7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

8) звертатися із скаргами на обробку своїх персональних даних до органів державної влади та посадових осіб, до повноважень яких належить забезпечення захисту персональних даних, або до суду;

9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;

10) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;

11) відкликати згоду на обробку персональних даних;

12) знати механізм автоматичної обробки персональних даних;

13) на захист від автоматизованого рішення, яке має для нього правові наслідки.

3. Розпорядження персональними даними фізичної особи, обмеженої в цивільній дієздатності або визнаної недієздатною, здійснює її законний представник.

 

9. Реєстрація баз персональних даних

1. База персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.

Положення про Державний реєстр баз персональних даних та порядок його ведення затверджуються Кабінетом Міністрів України.

2. Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення.

Володілець персональних даних звільняється від обов’язку реєстрації баз персональних даних:

ведення яких пов’язано із забезпеченням та реалізацією трудових відносин;

членів громадських, релігійних організацій, професійних спілок, політичних партій.

3. Заява про реєстрацію бази персональних даних подається володільцем персональних даних до уповноваженого державного органу з питань захисту персональних даних.

Заява повинна містити:

звернення про внесення бази персональних даних до Державного реєстру баз персональних даних;

інформацію про володільця персональних даних;

інформацію про найменування і місцезнаходження бази персональних даних;

інформацію про мету обробки персональних даних у базі персональних даних, сформульовану відповідно до вимог статей 6 і 7 цього Закону;

інформацію про склад персональних даних, які обробляються;

інформацію про третіх осіб, яким передаються персональні дані;

інформацію про транскордонну передачу персональних даних;

інформацію про інших розпорядників персональних даних;

підтвердження зобов'язання щодо виконання вимог захисту персональних даних, встановлених законодавством про захист персональних даних.

4. Уповноважений державний орган з питань захисту персональних даних у порядку, затвердженому Кабінетом Міністрів України:

{Абзац другий частини четвертої статті 9 виключено на підставі Закону № 5491-VI від 20.11.2012}

приймає рішення про реєстрацію бази персональних даних протягом тридцяти робочих днів з дня надходження заяви.

Володільцю персональних даних видається документ встановленого зразка про реєстрацію бази персональних даних у Державному реєстрі баз персональних даних.

5. Уповноважений державний орган з питань захисту персональних даних відмовляє в реєстрації бази персональних даних, якщо заява про реєстрацію не відповідає вимогам частини третьої цієї статті.

6. Володілець персональних даних зобов'язаний повідомляти уповноважений державний орган з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніш як протягом десяти робочих днів з дня настання такої зміни.

7. Уповноважений державний орган з питань захисту персональних даних протягом десяти робочих днів з дня надходження повідомлення про зміну відомостей, необхідних для реєстрації відповідної бази, повинен прийняти рішення щодо зазначеної зміни та повідомити про це володільця персональних даних.

 

10. Використання персональних даних

1. Використання персональних даних передбачає будь-які дії володільця щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб'єктам відносин, пов'язаних із персональними даними, що здійснюються за згодою суб'єкта персональних даних чи відповідно до закону.

2. Використання персональних даних володільцем здійснюється у разі створення ним умов для захисту цих даних. Володільцю забороняється розголошувати відомості стосовно суб'єктів персональних даних, доступ до персональних даних яких надається іншим суб'єктам відносин, пов'язаних з такими даними.

3. Використання персональних даних працівниками суб'єктів відносин, пов'язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов'язків. Ці працівники зобов'язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.

4. Відомості про особисте життя фізичної особи не можуть використовуватися як чинник, що підтверджує чи спростовує її ділові якості.

 

11. Підстави для обробки персональних даних

1. Підставами для обробки персональних даних є:

1) згода суб’єкта персональних даних на обробку його персональних даних;

2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;

3) укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;

4) захист життєво важливих інтересів суб’єкта персональних даних;

5) необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб’єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес.

 

12. Збирання персональних даних. Накопичення та зберігання персональних даних. Поширення персональних даних. Видалення або знищення персональних даних (ст. 12-15).

1. Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу.

2. У момент збору персональних даних або у випадках, передбачених пунктами 2-5 частини першої статті 11 цього Закону, протягом десяти робочих днів з дня збору персональних даних суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, права такого суб’єкта, визначені цим Законом, мету збору персональних даних та осіб, яким передаються його персональні дані.

{Частину третю статті 12 виключено на підставі Закону № 5491-VI від 20.11.2012}

{Частину четверту статті 12 виключено на підставі Закону № 5491-VI від 20.11.2012}

І. Загальні положення

1.1 Цей Типовий порядок розроблено на виконання вимог частини десятої статті 6 Закону України «Про захист персональних даних» (далі – Закон).

1.2 Цей Типовий порядок встановлює загальні вимоги до організаційних та технічних заходів захисту персональних даних під час їх обробки у базах персональних даних володільцями та розпорядниками баз персональних даних.

1.3 Обробка персональних даних може здійснюватися повністю або частково в інформаційній (автоматизованій) системі та/або у формі картотек персональних даних.

1.4 У цьому Типовому порядку терміни вживаються у такому значенні:

автентифікація – процедура встановлення належності працівникові володільця або розпорядника бази персональних даних пред’явленого ним ідентифікатора;

авторизація – процедура отримання дозволу на проведення дій з обробки персональних даних у базі персональних даних у складі інформаційної (автоматизованої) системи;

відповідальна особа - особа, на яку володільцем або розпорядником бази персональних даних відповідно до її службових, трудових, професійних обов’язків покладена організація роботи, пов’язаної із захистом персональних даних при їх обробці;

ідентифікація - процедура розпізнавання користувача в системі, як правило, за допомогою наперед визначеного імені (ідентифікатора) або іншої інформації про нього, яка сприймається інформаційною (автоматизованою) системою;

структурний підрозділ – структурна одиниця, що діє у складі володільця або розпорядника персональних даних та відповідно до його прав та обов’язків на підставі положення про нього здійснює організацію роботи, пов’язаної із захистом персональних даних при їх обробці.

Інші терміни у цьому Типовому порядку вживаються у значеннях, наведених у Законі.

1.5. Захист персональних даних покладається на володільця бази персональних даних.

Розпорядник бази персональних даних здійснює обробку персональних даних відповідно до закону або на підставі укладеного з володільцем бази персональних даних договору у письмовій формі з метою і в обсязі, визначеними в договорі.

На дії володільця та/або розпорядника бази персональних даних поширюються усі вимоги щодо захисту персональних даних від незаконної обробки, а також від незаконного доступу до них.

1.6. Володілець або розпорядник бази персональних даних надає суб’єкту персональних даних інформацію про мету обробки персональних даних до моменту отримання згоди від суб’єкта персональних даних.

1.7. Володілець бази персональних даних зберігає персональні дані у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.

1.8. Володілець бази персональних даних визначає:

мету обробки, склад персональних даних у базі персональних даних та її місцезнаходження;

порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних;

відповідальну особу або структурний підрозділ;

порядок захисту персональних даних, в тому числі від незаконної обробки та незаконного доступу до них.

1.9. Відповідальна особа або структурний підрозділ відповідно до покладених завдань:

забезпечує ознайомлення працівників володільця та розпорядника бази персональних даних з вимогами законодавства про захист персональних даних, зокрема щодо їхнього обов’язку не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі у зв’язку з виконанням професійних, службових чи трудових обов’язків;

забезпечує організацію обробки персональних даних працівниками володільця та розпорядника бази персональних даних відповідно до їх професійних, службових чи трудових обов’язків в обсязі, необхідному для виконання таких обов’язків;

організовує роботу з обробки запитів щодо доступу до персональних даних суб’єктів відносин, пов’язаних з обробкою персональних даних;

забезпечує доступ суб’єктів персональних даних до власних персональних даних;

інформує керівника володільця та розпорядника бази персональних даних про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до закону;

інформує керівника володільця та розпорядника бази персональних даних про порушення встановлених процедур з обробки персональних даних.

1.10. Володілець бази персональних даних веде облік:

фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки;

спроб та фактів несанкціонованих та/або незаконних дій з обробки персональних даних.

1.11. Володілець бази персональних даних може розмежувати режими доступу працівників до обробки персональних даних у базі персональних даних відповідно до їх професійних, трудових чи службових обов’язків.

1.12. Знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.

 

20. Типовий порядок обробки персональних даних у базах персональних даних. Загальні положення щодо організації обробки персональних даних у картотеках та автоматизованих системах (Наказ Міністерства юстиції України 30.12.2011 № 3659/5).

Контакты с органами

Средство управления

Должны поддерживаться надлежащие контакты с соответствующими органами.

Организации должны иметь в рабочем состоянии процедуры, которые точно определяют, когда и кому надлежит вступать в контакт с органами (например, правоохранительные органы, пожарное отделение, органы надзора), и то, как следует своевременно сообщить о выявленных инцидентах в системе защиты информации, если есть подозрение, что закон мог быть нарушен.

Организациям, атакуемым из Интернета, может понадобиться, чтобы внешние третьи стороны (например, поставщик услуг Интернета или оператор связи) предприняли меры против источника атаки.

(Команда реагування на комп`ютерні надзвичайні події України (CERT-UA)) www.cert.gov.ua

CERT-UA є скороченою назвою від Computer Emergency Response Team of Ukraine (команда реагування на комп'ютерні надзвичайні події України), яку використовує Державний центр захисту інформаційних ресурсів Державної служби спеціального зв'язку та захисту інформації України під час здійснення міжнародного співробітництва з питань запобігання, виявлення та усунення наслідків несанкціонованих дій щодо державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах.

Завданням Держспецзв’язку та CERT-UA є координація діяльності органів державної влади, органів місцевого самоврядування, військових формувань, підприємств, установ і організацій незалежно від форм власності (далі – суб'єкти координації) з питань запобігання, виявлення та усунення наслідків несанкціонованих дій щодо державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах.

Средство управления

До предоставления доступа должны быть выявлены риски для информации и средств обработки информации организации, проистекающие из деловых процессов, вовлекающих внешние стороны, и должны быть реализованы соответствующие средства управления.

 

Для этого необходимо.

Если есть потребность в разрешении допуска внешней стороны к средствам обработки информации или информации организации, то должна быть выполнена оценка рисков (см. также раздел 4), с целью определить любые требования для конкретных средств управления.

Выявление рисков, связанных с доступом внешних сторон, должно учитывать следующее вопросы:

a) средства обработки информации, к которым требуется иметь доступ внешней стороне;

b) тип доступа, который внешняя сторона будет иметь к информации и средствам обработки информации, например:

1) физический доступ, например, в офисы, компьютерные комнаты, картотечные шкафы;

2) логический доступ, например, к базам данных, информационным системам организации;

3) связность узлов в сети между сетью(сетями) организации и внешней стороны, например, неразъемное соединение, удаленный доступ;

4) происходит ли доступ на месте или со стороны;

c) ценность и конфиденциальность вовлеченной информации, а также ее критичность для деловых операций;

d) средства управления, необходимые для защиты информации, которая не предназначена для того, чтобы быть доступной внешним сторонам;

e) персонал внешний стороны, вовлеченный в работу с информацией организации;

f) как могут быть обозначены организация или персонал, которым был разрешен доступ, как может быть верифицировано наличие разрешения, и как часто его необходимо подтверждать;

g) различные способы и средства управления, применяемые внешней стороной при хранении, обработке, передаче, совместном использовании информации и обмене информацией;

h) негативное влияние ситуации, когда внешней стороне не предоставляется требуемый доступ, и когда внешняя сторона вводит или получает неточную или вводящую в заблуждение информацию;

i) практики и процедуры по работе с инцидентами в системе защиты информации и возможными повреждениями, а также условия для продолжения доступа внешней стороны в случае инцидента в системе защиты информации;

j) требования закона, прочие обязательные требования, а также другие договорные обязательства, значимые для внешней стороны, которые должны быть учтены;

k) как эти меры могут повлиять на интересы любых других заинтересованных сторон.

Доступ внешних сторон к информации организации не должен предоставляться до тех пор, пока не будут реализованы надлежащие средства управления, и, если выполнимо, до тех пор, пока не будет подписан договор, определяющий постановления и условия для соединения или доступа, а также рабочий механизм.

Обычно, все требования защиты, проистекающие из работы с внешними сторонами, или внутренние средства управления должны быть отражены соглашением с внешней стороной (см. также 2.2 и 2.3).

Следует обеспечить, чтобы внешняя сторона отдавала себе отчет о своих обязательствах и принимала обязанности и ответственность, связанные с осуществлением доступа, обработкой, передачей или управлением информацией и средствами обработки информации организации.

Прочая информация

Информация может подвергаться риску внешними сторонами с ненадлежащим управлением защитой.

Должны быть определены и применены средства управления для того, чтобы руководить доступом внешней стороны к средствам обработки информации.

Например, если есть особая потребность в конфиденциальности информации, то можно использовать соглашения о неразглашении.

Организации могут столкнуться с риском, связанным с межорганизационными процессами, управлением и обменом информацией, если применяется высокая степень аутсорсинга, или если вовлечено несколько внешних сторон.

Средства управления 2.2 и 2.3 охватывают различные соглашения с внешними сторонами, включая, например, следующие:

a) поставщики услуги, таких как поставщики Интернет-услуг, поставщики сетевых услуг, услуг телефонной связи, услуг по текущему обслуживанию и поддержке;

b) управляемые услуги защиты;

c) потребители;

d) аутсорсинг оборудования и/или операций, например, информационных систем, услуг по сбору данных;

f) разработчики и поставщики, например, программных продуктов и информационных систем;

g) сторонние услуги по очистке, обслуживанию и другие вспомогательные услуги;

h) временный персонал, размещение студентов, а также другие временные краткосрочные договоры.

Такие соглашения могут помочь снизить риски, связанные с внешними сторонами.

 

 

27. Організація роботи з активами підприємства, що пов’язані з обробкою інформації з обмеженим доступом. (Ответственность за активы. Реестр активов. Собственность на активы. Приемлемое использование активов) [27001-3 А 7].

Реестр активов

Средство управления

Все активы должны быть четко определены, должна быть составлена и должна

поддерживаться в рабочем состоянии опись всех важных активов.

Для этого необходимо.

Организация должна выявить все активы и документально подтвердить важность этих активов.

Опись активов должна включать всю информацию, необходимую для восстановления после бедствия, включая:

- тип актива,

- формат,

- местоположение,

- дублирующую информацию,

- информацию о лицензиях,

-ценность для бизнеса.

Ценность для бизнеса должна определяться на основе общего подхода. Например при помощи следующих критериев, которые могут использоваться для оценки возможного ущерба от потери конфиденциальности, целостности или доступности активов:

- нарушение законов и/или подзаконных актов;

- снижение эффективности бизнеса;

- потеря престижа/негативное воздействие на репутацию;

- финансовые потери;

- нарушение деловых операций;

- нарушение конфиденциальности коммерческой информации;

- нарушение конфиденциальности личных данных;

- необеспеченность личной безопасности;

- угроза охране окружающей среды. (Дополнительную информацию о том, как оценивать активы для того, чтобы представить их важность, можно найти в ISO/IEC TR 13335-3).

 

Опись не должна излишне дублировать другие описи, но следует обеспечить, чтобы содержимое было синхронизировано.

Кроме того, собственность (см. 1.2) и классификация информации (см. 7.2) должны быть согласованы и документально подтверждены для каждого из активов.

На основе важности актива, должны быть определены его:

- ценность для бизнеса;

- категория защиты;

-уровни защиты, соразмерные с важностью активов.

Прочая информация

Существует много типов активов, включая следующее:

a) информация: базы данных и файлы данных, договоры и соглашения, системная документация, научно-исследовательская информация, руководства пользователя, учебный материал, процедур эксплуатации или вспомогательные процедуры, планы обеспечения непрерывности бизнеса, мероприятия по нейтрализации неисправности, контрольные журналы и архивированная информация;

b) программные активы: прикладные программы, системные программы, инструментальные средства разработки и утилиты;

c) физические активы: компьютерное оборудование, аппаратура связи, сменные носители информации и другое оборудование;

d) услуги: обработка данных и услуги связи, общие коммунальные услуги, например, обогрев, освещение, энергия и кондиционирование воздуха;

e) люди, их квалификация, способности и опыт;

f) нематериальные активы, такие как репутация и имидж организации.

Описи активов помогают обеспечить наличие результативной защиты активов и также могут быть необходимы для других деловых целей, таких как техника безопасности и охрана труда, страхование или финансовые причины (менеджмент активов).

Процесс составления описи активов является важным предварительным условием управления рисками (см. также раздел 4).

 

Собственность на активы

Средство управления

Вся информация и активы, связанные со средствами обработки информации,

должны находиться во владении определенной части организации.

Для этого необходимо.

Владелец актива должен нести ответственность за следующее:

a) обеспечение того, чтобы информация и активы, связанные со средствами обработки информации, были надлежащим образом классифицированы;

b) определение и периодический анализ ограничений и классификаций доступа, с учетом применимой политики в области управления доступом.

Собственность может быть назначена на следующее:

a) деловой процесс;

b) определенный набор видов деятельности;

c) приложение;

d) определенный набор данных.

Прочая информация

Рутинные задачи можно делегировать, например, хранителю, ежедневно присматривающему за активом, но ответственность остается на владельце.

В сложных информационных системах может быть полезным определить группы активов, которые действуют вместе для того, чтобы обеспечить конкретную функцию как «услуги».