Защита персональных данных

Защита персональных данных является одной из наиболее актуальных проблем для российских компаний. Причиной этому является вступивший в силу 26 января 2007 года Федеральный закон «О персональных данных», в котором сформулированы требования по защите персональных данных. Положения закона относятся ко всем организациям, тем или иным способом использующим в своей деятельности личные сведения о гражданах: своих сотрудниках, клиентах, партнерах.

Оператор персональных данных обязан обеспечить защиту этих данных. Меры, которые необходимо при этом предпринять, описаны в многочисленных нормативных и правовых актах.

Закон ставит перед большинством российских компаний сложнейшую задачу, при этом накладывая строгие ограничения на сроки приведения информационных систем, обрабатывающих персональные данные, в соответствие предъявленным требованиям — не позднее 1 января 2010 года.

Если предприятие не выполнит к установленной дате положения нормативных актов, регулирующих процессы обработки персональных данных, это повлечет жесткие санкции со стороны исполнительных органов государственной власти, вплоть до лишения организации лицензии на осуществление основной деятельности и привлечения виновных лиц к административной и уголовной ответственности.

Подход к обеспечению информационной безопасности ПД

Каждой организации необходимо решить, выполнять ли работы по защите персональных данных собственными силами или привлекать специализированную организацию. Самостоятельное осуществление мероприятий по обеспечению безопасности персональных данных может быть целесообразным в случае наличия соответствующих лицензий, специалистов в области обеспечения информационной безопасности, а также опыта работы по сертификации средств защиты и аттестации систем.

Оператор персональных данных также может воспользоваться услугами организации-консультанта, внедряя систему защиты своими силами.

ОАО «ICL — КПО ВС» предлагает провести полный комплекс работ по обеспечению соответствия ИСПДн организации требованиям по информационной безопасности.

Всю работу мы предлагаем выполнять в 4 этапа:

  1. Предварительный этап (включает предварительный анализ, уведомление уполномоченного органа, формирование требований к ИСПДн).
  2. Разработка системы защиты персональных данных.
  3. Построение системы защиты персональных данных.
  4. Подтверждение соответствия ИСПДн требованиям по информационной безопасности.

В рамках первого этапа мы предлагаем выполнить следующие работы:

  • сбор исходных данных об ИСПДн;
  • оказание консультационных услуг по классификации ИСПДн;
  • помощь в оформлении уведомления уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных;
  • формирование требований по информационной безопасности.

В рамках второго этапа мы предлагаем выполнить следующие работы:

  • разработка организационно-распорядительной документации, регламентирующей обработку персональных данных в организации;
  • разработка технических решений по информационной безопасности;
  • разработка требований по доработке средств защиты ИСПДн.

Третий этап предусматривает проведение следующих работ:

  • доработка средств защиты ИСПДн;
  • внедрение системы защиты персональных данных.

На последнем этапе мы предлагаем провести работы по сертификации средств защиты персональных данных ИСПДн и аттестацию ИСПДн в целом на соответствие требованиям по информационной безопасности ФСТЭК России.