Программный продукт Астрал – Отчет
предназначен для отправки электронной отчетности через интернет. Позволяет реализовывать юридически значимый защищенный электронный документооборот с контролирующими органами:
 
ФНС, ПФР, ФСС, РосСтат, РПН, ФСРАР.
 
Программный продукт Астрал-отчет имеет встроенный модуль документооборота, что позволяет реализовать юридически значимый электронный документооборот между организациями с использованием квалифицированной электронной подписи, выданной аккредитованным удостоверяющим центром ЗАО "Калуга-Астрал"

1C-Отчетность Астрал.ОФД Астрал.Онлайн 1С.ЭТП Астрал.Скрин Астрал-ЭТ 1С.ЭДО Новый Астрал-отчет Астрал.Меркурий Астрал.Маркировка Астрал.Безопасность
18.09.20 Астрал Отчет 5.0 регистрация в сервисе
16.09.20 Список изменений Астрал Отчет 5.0
16.09.20 Астрал Отчет 5.0 Релиз 1.62.3 16 сентября 2020
16.09.20 1С Облако – Аренда 1С через Интернет – Официальный сервис 1С

Веб-сервис 152doc.ru надежный помощник для защиты персональных данных

 

Уважаемые пользователи!

 

Рады сообщить Вам, что компания ЗАО «Калуга Астрал» начинает реализацию

автоматизированного веб-сервиса «152doc.ru», предназначенного для самостоятельного оформления

комплектов организационно-распорядительной документации, регламентирующих процесс обработки персональных данных в рамках конкретной организации.

 

Часто задаваемые вопросы по персональным данным и использованию сервиса 152doc.ru

 

Что дает пользователям данный сервис?

 

 

На кого данный сервис ориентирован?

 

 

Какой алгоритм действий для получения документов в данном сервисе?

 


Что означает термин персональные данные?

Согласно Федеральному Закону № 152-ФЗ «О персональных данных» под персональными данными подразумевается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством Российской Федерации.

Выделяются следующие категории ПДн:

1. Специальные категории ПДн– сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Практика показывает, что наиболее часто встречающиеся ПДн, относящиеся к этой категории, это сведения о состоянии здоровья. При этом необходимо учитывать, что под состоянием здоровья подразумевается именно диагноз. Если указана группа инвалидности без расшифровки, то данная информация относится к иным категориям персональных данных.

2. Биометрические ПДн - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

3. Иные категории ПДн - персональные данные, не касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных, не характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность и которые невозможно получить из общедоступных источников персональных данных. В 90% случаев под эту категорию попадают паспортные данные.

4. Общедоступные ПДн - персональные данные, доступ к которым предоставлен неограниченному кругу лиц либо самим субъектом персональных данных, либо по его просьбе. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (адресные книги, справочники), в которые с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. Сведения, включенные в указанные общедоступные источники, должны быть в любое время оттуда исключены по требованию субъекта персональных данных.

На основании данной классификацииопределяется перечень требований, выполнение которых необходимо для нейтрализации угроз безопасности персональных данных.

 

 

Что такое информационная система персональных данных?

Информационная система персональных данных -совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Для наглядности можно взять любую организацию, в которой есть отдел бухгалтерии. Предположим, в данном отделе имеется 2 компьютера, на которых установленаПО1С и обрабатываются ПДн сотрудников этой организации. Именно эти 2 компьютера и обрабатываемые на них ПДн сотрудников будут составлять ИСПДн «Бухгалтерия».

Логично предположить, что в рамках одной организации могут обрабатываться ПДн не только в отделе бухгалтерии, но и в других отделах, таких как: отдел кадров, отдел делопроизводства, отдел опеки и попечительства и т.п. Компьютеры, относящиеся к каждому из этих отделов, будут представлять собой отдельные ИСПДн. Это обусловлено тем, что в каждом отделе свои цели обработки ПДн.

 

Что такое обработка персональных данных?

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными при помощи средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В данном определении необходимо акцентировать внимание на том, что даже хранение ПДн с использованием средств автоматизации попадает под определение обработки ПДн. 

 

Кто осуществляет обработку персональных данных и попадает под юрисдикцию ФЗ № 152?

Под юрисдикцию ФЗ №152 попадает любой государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Исходя из определения, можно сделать вывод о том, что все без исключения организации или компании независимо от форм собственности являются операторами персональных данных, поскольку они как минимум осуществляют сбор, систематизацию, хранение и уточнение сведений о своих сотрудниках в соответствии с российским законодательством (Трудовой Кодекс РФ). Помимо этого, многие компании по роду своей деятельности обрабатывают сведения о своих клиентах, партнерах, поставщиках и субподрядчиках, которые им необходимы для выполнения функций в соответствии с их назначением (кредитные учреждения, организации ЖКХ, коллекторские агентства, операторы связи). 

 

Кто проверяет выполнение требований законодательства в области персональных данных?

В Российской федерации контрольно-надзорными полномочиями в области защиты обработки ПДн обладают следующие организации:

- Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является уполномоченным органом по защите прав субъектов персональных данных и осуществляет контроль за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

- Федеральная служба по техническому и экспортному контролю (ФСТЭК России) осуществляет контроль и надзор за организационными и техническими мерами защиты персональных данных.

- Федеральная служба безопасности (ФСБ России) осуществляет контроль и надзор за защитой биометрических персональных данных и криптографическими мерами защиты персональных данных.

С момента вступления в силу Федерального закона №152-ФЗ регуляторами было проведено несколько тысяч проверок соответствия процессов обработки и защиты ПДн. Свыше 90% всех проверок были осуществлены Роскомнадзором.

Ввиду особенностей сферы ответственности Роскомнадзора, подавляющее большинство выявленных нарушений приходится не на техническую защиту персональных данных, а на организацию порядка обработки персональных данных - определение необходимости взятия согласия с субъекта, порядка допуска и ознакомления сотрудников, ознакомление клиентов с их правами, организация передачи персональных данных третьим лицам, наличие порядка реагирования на запросы различных категорий субъектов ПДн. Фактически это означает, что проверяется организационно-распорядительная документация, которая регламентирует процесс обработки персональных данных в рамках организации и подразумевает наличие, а также надлежащее оформление порядка 25-35 документов (в зависимости от особенностей обработки персональных данных в конкретной организации).

 

Что такое сервис 152doc.ru и какой его функционал?

 

 

Основным предметом переживаний для организаций, осуществляющих обработку персональных данных и попадающих под юрисдикцию 152 ФЗ «О персональных данных», являются проверки Роскомнадзора. Это подтверждает статистика количества ежегодных плановых проверок Роскомнадзора, начиная с 2008 года.

Необходимость успешного прохождения этих проверок ставит перед операторами ряд задач:

1. Подача грамотно составленного уведомления об обработке персональных данных в Роскомнадзор.

2. Оформление организационно-распорядительной документации, регламентирующей процесс обработки персональных данных.

3. Адаптация имеющейся организационно-распорядительной документации в соответствии с изменениями законодательства РФ.

4. Предоставление высококвалифицированных консультаций гражданам по вопросам обработки персональных данных.

Очевидно, что выполнение данных задач подразумевает наличие в штате организации, осуществляющей обработку ПДн, квалифицированного специалиста по защите информации, на которого будет возложено их выполнение.

Компания ЗАО «Калуга Астрал» предлагает альтернативное решение в виде автоматизированного веб-сервиса 152doc.ru. Сервис 152doc.ru позволяет пользователю генерировать комплекты ОРД для любой организации, обрабатывающей ПДн, соответствующие действующему законодательству. Сервис функционирует по следующему алгоритму:

1. ЗАО «Калуга Астрал» на основании лицензий ФСТЭК, ФСБ и свидетельства об аккредитации Роскомнадзора разрабатывает и поддерживает в актуальном состояниишаблоныдокументов, которые используются при генерации комплекта ОРД для конечного пользователя.

2. Пользователь сервиса 152doc.ru самостоятельновносит данные, необходимые для заполнения шаблонов, в личном кабинете на сайте.

3. На основании внесенной клиентом информации сервис генерирует пакет организационно-распорядительной документации в формате pdf.

4. Клиент скачивает сгенерированный комплект ОРД по защищенному каналу связи.

5. Клиент распечатывает загруженные документы и передает на подпись ответственным лицам.

6. Подписанные документы вводятся в действие.

 

Комплекты ОРД, доступные для генерации в веб-сервисе 152doc.ru.

 

На данный момент веб-сервис 152doc.ruпозволяет пользователю сгенерировать следующие комплекты ОРД:

1. Комплект ОРД регламентирующий обработку ПДн в организации без использования средств автоматизации, который включает:

2. Комплект ОРД регламентирующий обработку ПДн в организации с использованием средств автоматизации, который включает:

- Акты (формы).

- Ведомость ОРД по защите и обработке ПДн.

- Журналы (формы).

- Инструкция по идентификации и аутентификации пользователей ИСПДн.

- Инструкция по антивирусной защите.

- Инструкция по защите машинных носителей ПДн.

- Инструкция по защите технических средств ИСПДн

- Инструкция по контролю защищенности ПДн.

- Инструкция по управлению доступом к ПДн.

- Инструкция по управлению конфигурацией информационной системы.

- Инструкция по управлению программным обеспечением.

- Инструкция по управлению событиями информационной безопасности.

- Политика в отношении обработки ПДн

- Положение по защите ПДн

- Правила осуществления внутреннего контроля обработки ПДн на соответствие требованиям к их защите.

- Правила обработки ПДн.

- Правила работы с обезличенными данными.

- Правила рассмотрения запросов субъектов ПДн.

- Приказы (формы).

- Руководство администратора безопасности.

- Руководство ответственного за организацию обработки ПДн.

- Руководство пользователя.

- Списки и перечни (формы).

- Таблицы (формы).

- Типовые административные документы (формы).

3. Комплект ОРД регламентирующий обработку ПДн в организации с использованием средств криптографической защиты информации. Данный комплект включает 25 документов, регламентирующих обработку ПДн с использованием средств автоматизации и 10 документов, регламентирующих обработку ПДн с использованием СКЗИ:

- Акты СКЗИ (формы).

- Журналы СКЗИ (формы).

- Инструкция по защите СКЗИ.

- Инструкция по учету и хранению машинных носителей информации.

- Инструкция по учету и хранению СКЗИ.

- Ведомость ОРД по использованию СКЗИ.

- Положение по использованию СКЗИ.

- Приказы (формы) СКЗИ.

- Руководство ответственного пользователя СКЗИ.

- Руководство пользователя СКЗИ.

 

Дополнительные документы и услуги, предоставляемые пользователям веб-сервиса 152doc.ru.

 

Помимо возможности генерации комплектов ОРД конечным пользователям сервиса предоставляются:

1. Инструкция по регистрации организации в качестве оператора персональных данных.

2. Возможность определения требуемого уровня защищенности для информационной системы персональных данных.

3. Перечень и подробное описаниедокументов, входящих в комплекты ОРД.

4. Пошаговую инструкцию ввода комплекта организационно-распорядительной документации в действие.

5. Обновление имеющейся организационно-распорядительной документации в связи с изменениями в законодательстве

6. Консультации по всем вопросам, касающимся организационно-распорядительной документации и информационной безопасности.

7. Помощь при обращениях физических лиц и Роскомнадзора.

 

 

Нормативно-правовая база.

Нормативно-правовые документы, на основании которых разрабатывается организационно-техническая документация:

- Федеральный закон РФ 27.07.2006 г. N 152-ФЗ "О персональных данных".

- Постановление Правительства РФ от 15 сентября 2008 г. N 687 г."Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

- Постановление Правительства РФ от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных".

- Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

- Приказ ФСТЭК России ФСБ России Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных".

- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования, для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных" от 21 февраля 2008 года.

- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" от 21 февраля 2008 г.

- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

- Приказ Министерства связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 г. N 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства российской федерации в области персональных данных».

- Приказ Министерства связи и массовых коммуникаций РФ от 21 декабря 2011 г. N 346 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных».

- Приказ Роскомнадзора от 19 августа 2011 г. №706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных".

- Постановление Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

- Приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

 

Скачать презентацию и руководство пользователя сервиса 152doc.ru

 

По вопросам защиты персональных данных обращаться по телефону в г.Ижевске 8 (3412) 90-79-25





Оформить заявку на подключение