Процесс формирования отчетности в Пенсионный фонд предполагает обработку персональных данных сотрудников организации. Работа с персональными данными регламентирована Федеральным законом от 27.07.2006 № 152 «О персональных данных» (152-ФЗ).
Согласно закону 152-ФЗ, персональными данными являются личные данные физических лиц: ФИО, номер документа, удостоверяющего личность, заработная плата и другая информация.
Поскольку «Контур.Отчет ПФ» является веб-сервисом, персональные данные, необходимые для формирования отчетности, хранятся на серверах компании-разработчика (ЗАО «ПФ «СКБ Контур»).
Для предотвращения несанкционированного доступа и использования данные защищены в соответствии с требованиями закона 152-ФЗ.
Требования закона определяют порядок разработки системы защиты информации в информационных системах персональных данных. Информационная система персональных данных должна быть аттестована.
Разработчиками сервиса были успешно осуществлены следующие этапы подготовки к сертификации:
- для определения необходимого уровня защищенности данных была произведена классификация системы. Поскольку в сервисе «Контур.Отчёт ПФ» обрабатываются данные свыше 100000 работников различных организаций, и эти данные по своему характеру относятся к наиболее защищаемым, на этапе разработки сервису был присвоен первый класс. Это означает, что нарушение безопасности обрабатываемых персональных данных может привести к значительным негативным последствиям для субъектов персональных данных, общества и государства, поэтому их системы защиты должны нейтрализовать все актуальные угрозы безопасности.
- с учётом характера и объёма обрабатываемой информации было принято решение обеспечить сервису класс защищённости 1Г, устанавливаемый для информационных систем, содержащих конфиденциальную информацию;
- был произведен подробный анализ угроз безопасности.
- Система аттестована на соответствие требованиям безопасности информации по классу 1Г. Организационно система «Контур-Отчёт ПФ» является частью более крупной системы «Веб-Персонал». Загрузить аттестат (pdf, 2,96Mb).
В соответствии с пунктом 1 статьи 22 152-ФЗ «О персональных данных» компания ЗАО «ПФ «СКБ Контур» уведомила Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о своём намерении осуществлять обработку персональных данных и была внесена в реестр операторов персональных данных. Подтверждение регистрации в реестре операторов персональных данных можно посмотреть на сайте.
Для обеспечения безопасности используется сертифицированное средство криптографической защиты Крипто-Про. Это означает, что при передаче через сеть Интернет персональные данные шифруются, а доступ к ним может получить только лицо, обладающее именным сертификатом. Отсутствие возможности использовать шифровальные средства, встроенные в интернет-обозреватели и операционные системы, подтверждено официальным ответом Управления ФСБ по Свердловской области.
Разработчики сервиса для формирования отчетности в Пенсионный фонд «Контур.Отчет ПФ» гарантируют абонентам безопасность хранения персональных данных. Это обусловлено соблюдением Федерального закона № 152 «О персональных данных» (152-ФЗ) и подтверждено документами, находящимися в открытом доступе.
Основные понятия и термины, использованные в статье:
Федеральный закон «О персональных данных» (152-ФЗ) — нормативно- правовой акт, являющийся основой нормативного регулирования обработки (использования) персональных данных. Закон был принят 27 июля 2006 года и вступил в законную силу 26 января 2007 г. Согласно изменениям внесённым 363-ФЗ от 27.12.2009, операторы персональных данных должны привести свои системы обработки персональных данных запущенные до вступления закона в силу, в соответствие с законом до 1 января 2011 года. Целью закона является защита прав и свобод человека при обработке его персональных данных.
Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Система защиты информации — комплекс мер технического, организационного и организационно-технического характера, направленных на защиту персональных данных.
Аттестация системы защиты информации — комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.
Внешний аудитор — организация, уполномоченная проводить аттестационные испытания системы защиты информации.
Класс защищенности 1Г — высокий класс защищенности, устанавливаемый для информационных систем, содержащих конфиденциальную информацию.
Оператор персональных данных — юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — федеральный орган исполнительной власти России в ведении Минкомсвязи России.
Средство криптографической защиты — это совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем и осуществлять криптографическое преобразование информации для обеспечения ее безопасности.