
Защита персональных данных
Защита персональных данных физических лиц, обрабатываемых организацией, является одной из важнейших задач в области информационной безопасности. К персональным данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, а также другая информация о физическом лице.
- Согласно требованиям закона 152-ФЗ «О персональных данных» информационные системы персональных данных (ИСПДн) должны быть приведены в соответствие с требованиями настоящего закона к 1 января 2010 года. Положения закона дополнительно уточняют постановления правительства № 781 от 17 ноября 2007 и № 687 от 15 сентября 2008, а также «Приказ трех» (совместный приказ ФСТЭК, ФСБ, Мининформсвязи) №55/86/20 от 13 февраля 2008 года. В частности, необходимо защищать персональные данные с использованием шифровальных средств, средств предотвращения несанкционированного доступа и утечек информации по техническим каналам в процессе сбора, систематизации, накопления, хранения, обновления, изменения, использования, распространения (в том числе передачи), обезличивания, блокирования, уничтожения персональных данных.
-
- За несоблюдение положений закона 152-ФЗ «О персональных данных» предусматривается гражданская, уголовная, административная, дисциплинарная и другие виды ответственности. Более того, в определенных случаях следствием нарушения организацией закона «О персональных данных» может стать временная приостановка деятельности или отзыв лицензии. Надзор в сфере персональных данных выполняют ФСБ РФ, ФСТЭК России и Роскомнадзор, который вправе проводить плановые и внеплановые проверки организаций, обрабатывающих персональные данные.
-
- Компания Zecurion имеет широкий опыт построения систем защиты персональных данных «под ключ». Специалисты Zecurion и бизнес-партнеры компании берут на себя весь комплекс работ, необходимый для приведения информационной сети организации в соответствие с законодательством и руководящими документами надзорных органов.
-
- Проект построения комплексной системы защиты персональных данных включает в себя следующие процедуры:
- первичное обследование и классификацию существующих информационных систем обработки персональных данных (ИСПДн);
- аудит существующих процессов обработки персональных данных и их соответствия нормативно-правовым документам;
- построение актуальных моделей угроз информационной безопасности персональных данных и модели нарушителя;
- создание концепции и проектирование подсистемы информационной безопасности для информационных систем обработки персональных данных (ПИБ ИСПДн);
- разработка документированных процедур обработки персональных данных и политик доступа к ним со стороны сотрудников организации;
- внедрение технических решений для защиты персональных данных;
- написание необходимой эксплуатационной документации;
- подготовка к получению лицензий ФСТЭК России и ФСБ РФ;
- аттестационные испытания и оформление аттестата соответствия, подтверждающего соответствие ИСПДн государственным стандартам и требованиям надзорных органов.
- Построение системы защиты персональных данных специалистами Zecurion и бизнес-партнерами позволяет минимизировать издержки на приведение существующих информационных систем в полное соответствие законодательству и требованиям регуляторов. При этом необходимость изменения существующих в компании бизнес-процессов сводится к минимуму, что дает возможность дополнительно сократить расходы на соответствие требованиям закона 152-ФЗ «О персональных данных».
-
- Система защиты персональных данных также позволяет минимизировать внимание со стороны надзорных органов и возможные претензии со стороны субъектов персональных данных — работников, партнеров и клиентов. Более того, полное соответствие различным требованиям по защите персональных данных улучшает имидж организации и повышает ее инвестиционную привлекательность.