Защита персональных данных

Согласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» все юридические и физические лица, использующие в своей деятельности персональные данные, должны выполнить ряд законодательных требований к процессам их обработки и защиты.

Нарушение Закона может привести к самым различным последствиям, включая приостановку деятельности компании и привлечение должностных лиц к различным видам ответственности (гражданской, уголовной, административной или дисциплинарной).

Требования к процессам обработки и защиты персональных данных регламентируются постановлениями Правительства, нормативными актами ФСТЭК, ФСБ России, Роскомнадзора, другими нормативными актами и стандартами.

Указанными нормативными документами требуется проведение значительного объема работ  в области персональных данных, включая работы по:

• выявлению всех обрабатываемых ПДн, способов их обработки, целей и оснований для обработки, всех технических средств, которые участвуют в обработке и т.п.;
• документированию данных о процессах обработки ПДн;
• проведению классификации информационных систем, разработке моделей угроз и нарушителей по требованиям ФСТЭК и ФСБ России;
• выбору средств защиты прошедших процедуру оценки соответствия, их установке и настройке;
• разработке множества нормативных документов регламентирующих все вопросы обработки и защиты ПДн,
• выполнению требований разработанных корпоративных документов, поддержке системы защиты,
• организации работы с субъектами персональных данных.

При этом согласно Постановлению Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» при   осуществлении   «деятельности  по  технической  защите конфиденциальной  информации, лицензированию подлежат следующие виды работ и услуг»:

• «проектирование в защищенном исполнении средств и систем информатизации»,
• «установка, монтаж, испытания, ремонт  средств защиты информации».

Кроме того, согласно Постановлению Правительства Российской Федерации от 29.12.2007 № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами», является лицензируемой ФСБ деятельностью:

• Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств информационных систем.
• Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
• Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.
• Ремонт шифровальных (криптографических) средств.
• Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных систем.
• Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
• Ремонт, сервисное обслуживание средств изготовления ключевых документов.
• Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
• Передача шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации.
• Передача защищенных с использованием шифровальных (криптографических) средств информационных систем.
• Передача защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
• Передача средств изготовления ключевых документов.
• Предоставление услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей.
• Предоставление услуг по имитозащите информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей.
• Предоставление юридическим и физическим лицам защищенных с использованием шифровальных (криптографических) средств каналов связи для передачи информации.
• Изготовление и распределение ключевых документов и (или) исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических) средств.

Таким образом, выполнение ряда работ в области защиты персональных данных, требует привлечения организаций имеющих необходимые лицензии ФСБ и ФСТЭК России.

Краснодарский филиал АО «ЦентрИнформ» предлагает полный комплекс услуг по приведению процессов обработки и защиты персональных данных в соответствие с законодательными требованиями в Южном и Северо-Кавказском Федеральных округах.

Состав и содержание работ по выполнению требований ФЗ-152:

• Комплексное обследование процессов обработки и защиты персональных данных, информационных систем обработки ПДн, включая процессы неавтоматизированной обработки ПДн;
• Анализ результатов обследования, определение несоответствий, выдача предложений по корректировке и составление плана действий;
• Разработка модели угроз и модели нарушителя на систему защиты персональных данных (далее СЗПДн);
• Разработка технического задания на создание СЗПДн;
• Разработка аналитического обоснования создания системы защиты ПДн;
• Разработка описания системы защиты, проектной документации на СЗПДн;
• Технико-экономический анализ различных вариантов построения СЗПДн;
• Разработка нормативной и распорядительной документации (политик, инструкций, проектов актов, приказов, журналов и т.п.);
• Закупка и поставка средств защиты ПДн;
• Установка и настройка средств защиты;
• Ввод в действие СЗПДн: подготовка заключений по проверке готовности средств защиты, приказов на ввод системы защиты в эксплуатацию, аттестация объекта информатизации (при необходимости);
• Техническое сопровождение или аутсорсинг системы защиты и процессов обработки персональных данных;

Скачать >>Опросный лист<<