Защита персональных данных

закон о персональных данныхВ целях исполнения международных обязательств Российской Федерации, возникших после подписания и ратификации "Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" от 28 января 1981 г., был издан Федеральный закон от 27 июля 2006 г. 152-ФЗ "О персональных данных", который является базовым в проблематике защиты персональных данных. Согласно вышеуказанного закона практически все организации, от небольших частных до государственных органов, обязаны обеспечивать защиту обрабатываемых персональных данных.

В данной статье мы постараемся донести до заинтересованных лиц порядок обеспечения сохранности персональных данных в организации, опираясь на нормативные правовые акты, действующие в Российской Федерации. Подробно ознакомиться с действующими нормативными правовыми актами Российской Федерации, регламентирующими вопросы защиты персональных данных, можно здесь.

Итак, условно защита персональных данных разделяется на следующие этапы работ:

  1. Анализ и оценка соответствия процесса обработки и сохранности персональных данных в организации;
  2. Разработка документа определяющего политику организации в отношении обработки персональных данных, а так же документов определяющих организацию процессов обработки и защиты персональных данных;
  3. Защита персональных данных обрабатываемых в информационных системах организации.

Теперь остановимся подробнее на каждом этапе работ.

Анализ и оценка соответствия процесса обработки и защиты персональных данных в организации

Данный этап является первым и очень важным этапом работ. От полноты и качества его выполнения напрямую зависит конечный результат. 

  • сбор информации и анализ реализованного процесса обработки персональных данных (определение целей обработки, перечня обрабатываемой информации, определение необходимости и законности обработки, определение мест обработки, определение необходимости защиты);
  • анализ процесса обработки личных данных в информационных системах (определение перечня и состава существующих информационных систем в составе общей информационной сети, структуры каждой информационной системы, вида и режимов обработки информации, состава и количества обрабатываемой информации, определение взаимодействия информационных систем между собой, с общей информационной сетью и другими информационными системами);
  • анализ процесса обработки персональных данных без использования средств вычислительной техники;
  • анализ имеющейся в организации организационно-распорядительной и технической документации в области обработки и защиты персональных данных (в том числе ведомственные документы);
  • анализ принятых мер для обеспечения выполнения обязанностей по защите персональных данных;
  • оценка соответствия процесса обработки и сохранности личной информации требованиям законодательства Российской Федерации;
  • определение перечня мероприятий по приведению процесса обработки и защиты персональных данных в соответствие с требованиями законодательства Российской Федерации, а также по созданию (развитию) системы безопасности;
  • разработка плана мероприятий по приведению процесса обработки и сохранности персональных данных в соответствие с требованиями законодательства Российской Федерации.

По завершению данного этапа должа быть четкая картина процесса обработки и защиты персональных данных в организации и степень его соответствия законодательству Российской Федерации. Мы рекомендуем на данном этапе разработать план мероприятий по приведению процесса обработки и сохранности персональной информации в соответствие с указанием всех необходимых мероприятий, конкретных сроков и ответственных.

Разработка документа, определяющего политику организации в отношении обработки персональных данных, а так же документов определяющих организацию процессов обработки и сохранности персональной информации

защита персональных данныхНа данном этапе в соответствии с пунктом 1 статьи 18.1 Федерального закона от 27 июля 2006 г. №152-ФЗ "О персональных данных" разрабатывается основной документ определяющий политику организации в отношении обработки персональных данных. Данный документ должен содержать: цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных.

Так же на данном этапе разрабатываются дополнительные документы, регламентирующие отдельные процедуры обработки и защиты данных. Конкретного перечня таких документов не существует, поэтому в каждой организации в зависимости от объема и технологии обработки персональных данных разрабатывается свой необходимый и достаточный набор документов.

Защита персональных данных обрабатываемых в информационных системах организации

Защита персональных данных обрабатываемых в информационных системах организуется аналогично любой другой конфиденциальной информации в соответствии с 3 разделом Нормативно-методического документа Гостехкомиссии России от 30 августа 2002 г. № 282 "Специальные требования и рекомендации по технической защите конфиденциальной информации" (СТР-К). Отличительной особенностью является необходимость учитывать требования нормативных документов разработанных во исполнение Федерального закона от 27 июля 2006 г. 152-ФЗ "О персональных данных", с которыми вы можете ознакомиться здесь.

Основными мероприятиями на данном этапе работ являются:

  • анализ исходных данных и предпроектное обследование информационных систем
  • разработка модели угроз и модели нарушителя безопасности персональных данных при обработке в информационных системах
  • разработка аналитического обоснования и технического задания на создание системы безопасности информационных систем
  • разработка разрешительной системы доступа сотрудников к персональным данным;
  • проектирование системы защиты информационных систем и разработка организационной, технической документации
  • закупка средств безопасности информации
  • реализация проектных решений по системе защиты информационных систем
  • повышение квалификации персонала ответственного обработку и защиту персональных данных;
  • аттестация информационных систем по требованиям безопасности информации.

Надеемся, что данная информация оказалась вам полезной и поможет в работе.

Для выполнения отдельных этапов или выполнения всего комплекса работ вы можете обратиться за помощью к нам. Стоимость данных услуг зависит от объема обрабатываемых персональных данных и от технологии их обработки. Если у вас возникли вопросы, а так же для уточнения стоимости и получения коммерческого предложения обращайтесь по телефону (812) 945–4115 или пишите info@baltic-info.ru