Использование системы e-staff в свете Федерального закона "О персональных данных"
Общие положения
В соответствии с ФЗ "О персональных данных", организация (а том числе кадровое агентство), использующая электронную базу данных для подбора персонала, является оператором по обработке персональных данных.
Оператор до начала обработки персональных данный обязан подать в уполномоченный орган (ФСТЭК России) уведомление о своем намерении осуществлять обработку персональных данных. На основании данного уведомления ФСТЭК России в течение 30 дней обязан включить оператора в реестр операторов по обработке персональных данных.
Единственным способ избежать регистрации в реестре операторов является:
a) предварительное заключение с каждым соискателем договора об услугах по поиску работы
б) использование только общедоступных резюме для занесения в базу данных
Данный способ является трудновыполнимым на практике, поэтому, как правило, организации, использующей e-staff, потребуется регистрация в реестре операторов.
Необходимо обратить внимание, что даже в случае отсутствия необходимости регистрации оператора в реестре операторов, с оператора ни в коем случае не снимается обязанность по обеспечению комплекса мер по защите своих информационных систем от внешних угроз, описанных далее в статье.
Также обращаем внимание, что никакой обязательной сертификации или аттестации информационной системы или методов ее защиты не требуется. (Обязательная аттестация информационных систем была отменена в связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»).
Защита информационной системы
Важным моментом является то, что защите подлежит вся информационная система, а не только специализированное программное обеспечение (программа e-staff). Сюда относятся оборудование (компьютеры, сетевое оборудование), операционная система, установленная на компьютерах, конфигурация сети и доступа в Интернет, и собственно система e - staff.
Требования к информационной системе утверждены Приказом ФСТЭК России от 5 февраля 2010 г. № 58. В соответствии с данным Приказом информационная система может быть классифицирована как типовая (Класс 1 - Класс 4), либо как специальная. Выбор способа классификации определяется пользователем. Для типовой информационной системы приказ содержит исчерпывающий список требований, которым должна удовлетворять информационная система. Для специальной информационной системы пользователю потребуется самостоятельно провести анализ потенциальных угроз и разработать комплекс мер по защите от данных угроз.
Система e-staff, в части, касающейся прикладного программного обеспечения, удовлетворяет требованиям для типовой информационной системы Класса 2 и выше.
Мы желаем Вам успехов!