Персональные данные
Нормативной базой для создания системы защиты персональных данных является закон «О персональных данных» (№152ФЗ от 27.07.2006 г), постановления к нему (№781 от17.11.2007 г, №512 от 06.07.2008 г, №687 от 15.09.2008 г) и другая нормативная документация, определяющая порядок построения систем защиты персональных данных.
В постановлении №512 определяется порядок защиты биометрических ПД, ведомственных документов на эту тему больше нет.
В постановлении №687 определяется порядок защиты ПД при обработке без использования средств автоматизации («при непосредственном участии человека» т.е. – ручной обработке бумажных документов), ведомственные документы на эту тему также отсутствуют.
Из указанных постановлений только №781 относится к обработке ПД в автоматизированных системах и подкреплено целым рядом ведомственных нормативных актов.
Первой проблемой организации-оператора персональных данных является определение количества ИСПДн в организации. Одна ИСПДн - в тех организациях, где обрабатываются ПД исключительно своих сотрудников. В других случаях ИСПДн больше, например:
1) Если в организации ПД обрабатываются в двух/трех разных зданиях, то будет две/три ИСПДн;
2) Если в одном здании обрабатываются ПД отдела кадров и ПД клиентов, то будет две ИСПДн;
3) Если путем модернизации программного обеспечения одну базу ПД разделить на две базы, в одной из которых будут идентификационные ПД, а в другой – обезличенные ПД, то одна ИСПДн при этом разделится на две.
Теоретически ИСПДн можно делить и объединять произвольно, но в указанных выше случаях разделение ИСПДн целесообразно не только по техническим, но и по финансовым причинам.
Второй проблемой организации-оператора является использование открытого интернета. Проблема в том, что рабочие места, обрабатывающие ПД, не должны иметь доступа к ресурсам открытого интернета (к закрытым криптографическим ресурсам – налоговая инспекция, пенсионный фонд - это не относится). Необходимо отметить, что данный запрет не является строгим, но обеспечить безопасный доступ к открытым интернет-ресурсам очень сложно и дорого.
После решения проблем с количеством ИСПДн и доступом в интернет останется для каждой (!) ИСПДн сделать три вида работ:
1. Разработать комплект документов (в первую очередь «Акт классификации ИСПДн»).
2. Купить средства защиты информации (СЗИ). СЗИ должны быть сертифицированы на соответствие требованиям безопасности информации.
3. Провести мероприятия по защите и получить аттестат соответствия. Эти работы могут производить только организации, имеющие лицензию ФСТЭК «На деятельность по технической защите Конфиденциальной информации».
Объем работ зависит от класса ИСПДн, количества рабочих мест, сложности процесса обработки ПД. Для ИСПДн, имеющей более 10 рабочих мест определить стоимость и сроки создания системы защиты без предварительного обследования невозможно.
Поэтому для больших ИСПДн мы предлагаем провести обследование ИСПДн и разработать «Техническое задание на создание системы защиты персональных данных».
В постановлении №512 определяется порядок защиты биометрических ПД, ведомственных документов на эту тему больше нет.
В постановлении №687 определяется порядок защиты ПД при обработке без использования средств автоматизации («при непосредственном участии человека» т.е. – ручной обработке бумажных документов), ведомственные документы на эту тему также отсутствуют.
Из указанных постановлений только №781 относится к обработке ПД в автоматизированных системах и подкреплено целым рядом ведомственных нормативных актов.
Первой проблемой организации-оператора персональных данных является определение количества ИСПДн в организации. Одна ИСПДн - в тех организациях, где обрабатываются ПД исключительно своих сотрудников. В других случаях ИСПДн больше, например:
1) Если в организации ПД обрабатываются в двух/трех разных зданиях, то будет две/три ИСПДн;
2) Если в одном здании обрабатываются ПД отдела кадров и ПД клиентов, то будет две ИСПДн;
3) Если путем модернизации программного обеспечения одну базу ПД разделить на две базы, в одной из которых будут идентификационные ПД, а в другой – обезличенные ПД, то одна ИСПДн при этом разделится на две.
Теоретически ИСПДн можно делить и объединять произвольно, но в указанных выше случаях разделение ИСПДн целесообразно не только по техническим, но и по финансовым причинам.
Второй проблемой организации-оператора является использование открытого интернета. Проблема в том, что рабочие места, обрабатывающие ПД, не должны иметь доступа к ресурсам открытого интернета (к закрытым криптографическим ресурсам – налоговая инспекция, пенсионный фонд - это не относится). Необходимо отметить, что данный запрет не является строгим, но обеспечить безопасный доступ к открытым интернет-ресурсам очень сложно и дорого.
После решения проблем с количеством ИСПДн и доступом в интернет останется для каждой (!) ИСПДн сделать три вида работ:
1. Разработать комплект документов (в первую очередь «Акт классификации ИСПДн»).
2. Купить средства защиты информации (СЗИ). СЗИ должны быть сертифицированы на соответствие требованиям безопасности информации.
3. Провести мероприятия по защите и получить аттестат соответствия. Эти работы могут производить только организации, имеющие лицензию ФСТЭК «На деятельность по технической защите Конфиденциальной информации».
Объем работ зависит от класса ИСПДн, количества рабочих мест, сложности процесса обработки ПД. Для ИСПДн, имеющей более 10 рабочих мест определить стоимость и сроки создания системы защиты без предварительного обследования невозможно.
Поэтому для больших ИСПДн мы предлагаем провести обследование ИСПДн и разработать «Техническое задание на создание системы защиты персональных данных».
