В соответствии с Конвенцией Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (ETS №108, 1981г.) 27 июля 2006г. вступил в действие Федеральный закон от N 152-ФЗ "О персональных данных", согласно которому все информационные системы персональных данных (ИС ПД) компаний должны быть приведены в соответствие требованиям данного закона по защите персональных данных не позднее 1 января 2010 года. В сферу действия последнего попадают все государственные и муниципальные органы, юридические и физические лица, которые собирают, учитывают, обеспечивают хранение, администрирование, передачу и обработку персональных данных граждан РФ (сотрудников, клиентов, партнеров и т.п.).
В настоящее время установлены четыре категории персональных данных, отражающие их характер - от обезличенной и общедоступной персональной информации (четвертая категория) до сведений о расовой и национальной принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья и т.п. (первая категория). Как следствие, любая информационная система, обрабатывающая персональные данные, в зависимости от категории этих данных, их объема и степени детализации, распределенности информационной системы и ряда других факторов должна быть отнесена к определенному классу, а уровень ее защищенности - соответствовать критичности данных. Другими словами, к информационным системам разных классов предъявляются различные требования с точки зрения защиты персональных данных от несанкционированного доступа, уничтожения, изменения, копирования, распространения и иных неправомерных действий. Для некоторых классов информационных систем, обрабатывающих персональные данных, требуется развертывание нескольких средств информационной безопасности, включая подсистемы антивирусной защиты, анализа защищенности и выявления уязвимостей, криптографической защиты информации, маршрутизации, коммутации и межсетевого экранирования, обнаружения вторжений и даже защиты информации от утечки по техническим каналам. Существенно, что все средства защиты персональных данных должны быть сертифицированы ФСТЭК или ФСБ.
Мероприятия по обеспечению безопасности ПД осуществляются на основе законодательства Российской Федерации, нормативных и методических документов.
Проведение этих работ могут осуществлять только компании, обладающие необходимыми лицензиями!
Сегодня подавляющее большинство информационных систем хранят и обрабатывают такие сведения персонального характера, как фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия. По некоторым оценкам, на конец 2008г. в Российской Федерации насчитывалось от 4,5 до 7,5 миллионов операторов персональных данных, информационные системы которых должны быть защищены. Принятие закона «О персональных данных» привело к тому, что обеспечение безопасности персональных данных стало неотъемлемой частью эксплуатации информационных систем.
Хотя на приведение информационных систем в соответствие с положениями закона у операторов персональных данных остались считанные месяцы, опросы представителей российских компаний указывают на то, что многие организации до сих пор даже не инициировали соответствующие проекты. Среди причин такого положения дел следует назвать сравнительно позднее появление полного набора нормативных актов, относящихся к данной сфере, сложности с финансированием соответствующих проектов, неготовность к модернизации бизнес-процессов, затрагивающих обработку персональных данных. Сокращение бюджетов в период кризиса еще больше осложнило запуск и выполнение проектов в области защиты персональных данных, а сокращение персонала породило дополнительные риски в области информационной безопасности.
В некоторых организациях бытует представление о том, что усилия регулятора в данной области на поверку окажутся не более чем очередной агитационной кампанией. Однако уже начавшиеся проверки отечественных предприятий Роскомнадзором заставляют сильно усомниться в обоснованности подобной точки зрения. Некоторые руководители полагают, что их предприятие проверки обойдут стороной или что выполнить требования законодательства удастся в последний момент. В действительности же обеспечение защиты персональных данных - от выбора сертифицированных средств защиты либо получения сертификатов ФСБ до развертывания полномасштабной системы защиты, перестройки сопутствующих бизнес-процессов и аудита средств информационной безопасности - требует значительных ресурсов, в том числе и временных.
Контроль за соответствием обработки персональных данных требованиям законодательства осуществляют регуляторы — ФСБ России, Федеральная служба по техническому и экспортному контролю (ФСТЭК), Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
Несоблюдение и/или нарушение требований по защите персональных данных может привести к следующим последствиям:
- судебные иски к учреждениям со стороны их сотрудников, партнеров и посетителей;
- принудительное приостановление (до 90 суток) или прекращение обработки персональных данных (что блокирует всю текущую деятельность ЛПУ);
- приостановление действия или аннулирование лицензии на основной вид деятельности учреждения;
- привлечение учреждения и/или его руководителя к гражданской, административной и уголовной ответственности.
Построение системы защиты персональных данных позволяет решить следующие задачи:
- категоризация персональных данных, обрабатываемых в организации
- обоснование классов информационных систем организации, обрабатывающих персональные данные
- определение несоответствий в организации требованиям законодательства и руководящих документов регулирующих органов (ФСБ и ФСТЭК России) в части защиты персональных данных
- формирование требований к построению системы защиты персональных данных
- устранение выявленных в организации несоответствий требованиям законодательства и руководящих документов регулирующих органов (ФСБ и ФСТЭК России)
- подтверждение соответствия процессов обработки персональных данных требованиям №152-ФЗ (декларирование соответствия требованиям по безопасности информации /аттестация ИСПДн по требованиям безопасности информации)
- направление в уполномоченный орган по защите прав субъектов персональных данных официального «Уведомления о начале обработки персональных данных»
Для быстрого и безошибочного решения всех подобных задач и разработан пакет услуг по защите ПДн.
Услуги по защите персональных данных, оказываемые
ЗАО "Проминформ":
- определение требований нормативных правовых актов Российской Федерации для информационной системы в зависимости от состава обрабатываемой информации и принципов обработки;
- проведение классификации информационной системы персональных данных;
- проведение комплексного обследования информационной системы (категорирование информационных ресурсов, определение принципов функционирования информационной системы и технологий обработки информации);
- определение перечня актуальных угроз безопасности информации, анализ угроз безопасности информации, разработка модели угроз безопасности информации;
- выработка рекомендаций по обеспечению безопасности информации;
- разработка организационно-распорядительных документов (инструкций, регламентов), определяющих порядок обработки и обеспечения безопасности персональных данных в организации;
- разработка технического задания на систему защиты персональных данных;
- разработка проекта системы защиты персональных данных;
- поставка, установка и настройка средств защиты информации, ввод в эксплуатацию системы защиты персональных данных;
- техническое обслуживание системы защиты персональных данных;
- подготовка необходимой документации и проведение оценки соответствия информационной системы персональных данных требованиям безопасности информации (аттестация информационной системы персональных данных).
|