- Что такое персональные данные;
- Зачем нужна безопасность персональных данных в информационных системах;
- Этапы построения системы защиты персональных данных в ИС;
- Чем мы можем помочь.
Что такое персональные данные
Персональные данные — это информация любого рода, которая дает возможность определить личность физического лица. Это могут быть как общие сведения (имя, дата и место рождения, адрес), так и более специальные (семейное, социальное и финансовое положения, данные о здоровье, профессия), которые хранятся в информационных системах персональных данных.
Оператор персональных данных — государственный орган, муниципальный орган или частное лицо, который осуществляет обработку и безопасность персональных данных в информационных системах и несет прямую ответственность за их сохранность.
В соответствии со статьей 19 закона РФ №152-ФЗ "О персональных данных", оператор обязан принимать необходимые правовые, технические и организационные меры по обеспечению безопасности персональных данных от любых неправомерных действий на всех этапах работы.
Зачем нужна безопасность персональных данных в информационных системах
Невыполнение требований мер по обеспечению безопасности при работе с персональными данными предусматривает административную ответственность по статье 13.11 КоАП РФ.
Контроль за обработкой ИСПДн:
- ФСТЭК России. Проверка технической и организационной части обработки персональных данных.
- Роскомнадзор. Защита права субъекта ПДн и контроль за соответствием технологии обработки персональных данных требованиям закона № 152-ФЗ.
- ФСБ России. Осуществление контроля за безопасностью ПДн в обработке.
Закажите услугу по обеспечению безопасности информационных систем персональных данных, просто оставив заявку!
|
Заказать услугу
|
Этапы построения системы защиты персональных данных в ИС
Обследование безопасности информационной системы.
Сначала организация определяет на каких рабочих местах происходит обработка персональных данных, и какие сотрудники производят обработку. Затем определяется категория и тип данных, которые обрабатываются в организации, уровень обеспечения безопасности информационной системы персональных данных (ИСПДн), а также возможные угрозы.
В результате вышеперечисленных действий, разрабатывается техническое задание практической разработки системы безопасности.
Установка средств защиты информации.
Далее, в зависимости от Технического задания, для разработки системы закупаются и устанавливаются такие средства защиты данных как: средства защиты данных от неавторизованного доступа, межсетевые экраны, антивирусные средства, средства анализа защищенности и т.п. На данном этапе, работы по установке средств защиты информации в ИСПДн должна проводить организация, имеющая Лицензии ФСБ России и/или ФСТЭК России на право их проведения.
Аттестация информационной системы персональных данных
Этот этап организация проводит только совместно с организацией-лицензиатом ФСТЭК России, которая обладает опытом и компетенциями в проведении данного вида работ. Работники лицензиата организуют аттестационную комиссию, чьей задачей является оценка достаточности принятых мер по защите данных.
По завершению работы комиссии лицензиатом выдается аттестат соответствия. Наличие аттестата соответствия у оператора персональных данных — это свидетельство того, что информационная система ПДн соответствует требованиям российского законодательства.
Аттестат соответствия является бессрочным, но при этом, оператору необходимо проходить оценку эффективности мер защиты каждые 3 года.
Оценка эффективности мер защиты персональных данных
Помимо аттестации и построения системы защиты персональных данных, организации необходимо оценить эффективность их защиты.
Согласно приказу ФСТЭК России №21, организация имеет право проводить оценку эффективности самостоятельно или с привлечением лицензированных юридических лиц и индивидуальных предпринимателей. При этом, решение по форме оценки эффективности и документов, разрабатываемых в процессе оценки, принимается организацией также по своему усмотрению. Главными шагами в этом процессе становятся разработка методики оценки и испытания ИСПДн на соответствие требованиям по безопасности персональных данных от угроз. Оценка эффективности мер ИСПДн проводится в соответствии с национальным стандартом ГОСТ. Успешное прохождение проверки подтверждает аттестат соответствия, который является бессрочным. Оценку эффективности необходимо проходить каждые три года.
"Астрал. Безопасность" обеспечит защиту Вашей ИСПДн
Оказываем полный комплекс услуг по созданию и обеспечению безопасности информационных систем персональных данных, помогает снизить правовые риски в рамках №152-ФЗ и сократить ваши расходы на организацию IT-инфраструктуры.
Системный интегратор в области ИБ
Более 15 лет обеспечиваем безопасность информационных систем персональных данных различного уровня сложности.
Подключимся на любом этапе
Выполняем проекты по обеспечению безопасности ИСПДн любой сложности «под ключ», либо подключимся к проекту в нужный момент.
Интеграция в систему
Доработаем вашу имеющуюся систему защиты персональных данных в соответствии с актуальными требованиями законодательства.
Аудит существующей системы
Проведем обследование вашей системы, организационно-распорядительной документации, дадим рекомендации по доработке системы.