- Что такое персональные данные;
- Зачем нужна безопасность персональных данных в информационных системах;
- Этапы построения системы защиты персональных данных в ИС;
- Чем мы можем помочь.
Что такое персональные данные
Персональные данные — это информация любого рода, которая дает возможность определить личность физического лица. Это могут быть как общие сведения (имя, дата и место рождения, адрес), так и более специальные (семейное, социальное и финансовое положения, данные о здоровье, профессия), которые хранятся в информационных системах персональных данных.
Оператор персональных данных — государственный орган, муниципальный орган или частное лицо, который осуществляет обработку и безопасность персональных данных в информационных системах и несет прямую ответственность за их сохранность.
В соответствии со статьей 19 закона РФ №152-ФЗ "О персональных данных", оператор обязан принимать необходимые правовые, технические и организационные меры по обеспечению безопасности персональных данных от любых неправомерных действий на всех этапах работы.
Зачем нужна безопасность персональных данных в информационных системах
Невыполнение требований мер по обеспечению безопасности при работе с персональными данными предусматривает административную ответственность по статье 13.11 КоАП РФ.
Контроль за обработкой ИСПДн:
- ФСТЭК России. Проверка технической и организационной части обработки персональных данных.
- Роскомнадзор. Защита права субъекта ПДн и контроль за соответствием технологии обработки персональных данных требованиям закона № 152-ФЗ.
- ФСБ России. Осуществление контроля за безопасностью ПДн в обработке.
Закажите услугу по обеспечению безопасности информационных систем персональных данных, просто оставив заявку!
|
Заказать услугу
|
Этапы построения системы защиты персональных данных в ИС
Обследование безопасности информационной системы
Сначала организация определяет на каких рабочих местах происходит обработка персональных данных, и какие сотрудники производят обработку. Затем определяется категория, тип и объем данных, которые обрабатываются в организации, рекомендации по уровню защищенности ПДн, а также возможные угрозы.
В результате вышеперечисленных действий, разрабатывается техническое задание на создание системы защиты персональных данных ИСПДн.
Установка средств защиты информации
Далее, на основании созданного Технического задания, для разработки системы закупаются и устанавливаются такие средства защиты информации как: средства защиты информации от неавторизованного доступа, межсетевые экраны, антивирусные средства, средства анализа защищенности и т.п. На данном этапе, работы по установке средств защиты информации в ИСПДн должна проводить организация, имеющая Лицензии ФСБ России и/или ФСТЭК России на право их проведения.
Аттестация информационной системы персональных данных
Этот этап организация проводит только совместно с организацией-лицензиатом ФСТЭК России, которая обладает опытом и компетенциями в проведении данного вида работ. Работники лицензиата организуют аттестационную комиссию, чьей задачей является оценка достаточности принятых мер по защите данных.
По завершению работы комиссии лицензиатом выдается аттестат соответствия. Наличие аттестата соответствия у оператора персональных данных — это свидетельство того, что информационная система ПДн соответствует требованиям российского законодательства.
Аттестат соответствия является бессрочным, но при этом, оператору необходимо проходить оценку уровня защищенности каждые 2 года.
Оценка эффективности мер защиты персональных данных
В случае отсутствия дополнительных требований по аттестации ИСПДн, для подтверждения соответствия системы защиты ИСПДн, возможно проведение оцени эффективности мер.
Согласно приказу ФСТЭК России №21, организация имеет право проводить оценку эффективности самостоятельно или с привлечением лицензированных юридических лиц и индивидуальных предпринимателей. При этом, решение по форме оценки эффективности и документов, разрабатываемых в процессе оценки, принимается организацией также по своему усмотрению. Главными шагами в этом процессе становятся разработка методики оценки и испытания ИСПДн на соответствие требованиям по безопасности персональных данных от угроз. Оценка эффективности мер ИСПДн проводится в соответствии с национальным стандартом ГОСТ. Успешное прохождение проверки подтверждает заключение. Оценку эффективности необходимо проходить не реже чем 1 раз в 3 года.
"Астрал. Безопасность" обеспечит защиту Вашей ИСПДн
Оказываем полный комплекс услуг по созданию и обеспечению безопасности информационных систем персональных данных, помогает снизить правовые риски в рамках №152-ФЗ и сократить ваши расходы на организацию IT-инфраструктуры.
Системный интегратор в области ИБ
Более 15 лет обеспечиваем безопасность информационных систем персональных данных различного уровня сложности.
Подключимся на любом этапе
Выполняем проекты по обеспечению безопасности ИСПДн любой сложности «под ключ», либо подключимся к проекту в нужный момент.
Интеграция в систему
Доработаем вашу имеющуюся систему защиты персональных данных в соответствии с актуальными требованиями законодательства.
Аудит существующей системы
Проведем обследование вашей системы, организационно-распорядительной документации, дадим рекомендации по доработке системы.