НПП ИТБ: защита ПД, мероприятия по защите ПД, защита персональных данных, Информационная безопасность, защита персональных данных, защита от НСД, средства защиты, НСД, политика информационной безопасности, защита ПД, обеспечение ИБ, КСЗИ, Панцирь-К, Панцирь-С, защита конфиденциальной информации

Новости

О Компании

Услуги

Персональные данные

-> Персональные данные
-> Мероприятия
-> Средства защиты
-> Семинары
-> Услуги

Мероприятия

Действия, которые необходимо предпринять для соблюдения законодательства в области защиты персональных данных

В общем случае, для обработки персональных данных в организации необходимо:

классифицировать информационные системы персональных данных, собственником которых является организация;
уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении обрабатывать персональные данные;
определить цель и свои полномочия при обработке персональных данных;
разработать и создать систему защиты информационной системы персональных данных;
провести аттестацию информационной системы персональных данных;
организовать мероприятия по повышению квалификации персонала.

Кто может проводить мероприятия по защите персональных данных

В соответствии с Указом Президента РФ от 6 марта 1997 г. №188 "Об утверждении перечня сведений конфиденциального характера", персональные данные относятся к сведениям конфиденциального характера. На основании Федерального закона от 8 августа 2001 г. №128-ФЗ "О лицензировании отдельных видов деятельности" защита персональных данных относится к лицензированному виду деятельности, а именно: деятельность по технической защите конфиденциальной информации. Таким образом, для проведения мероприятий по защите персональных данных необходимо привлекать организации, имеющие соответствующие лицензии Федеральной службы по техническому и экспортному контролю (ФСТЭК). Деятельность по защите информации без наличия соответствующих лицензий влечет за собой как административную, так и уголовную ответственность (ст. 13.13 КоАП РФ, ст. 171 УК РФ).

Состав мероприятий по защите персональных данных

В соответствии со статьей 19 Федерального Закона "О персональных данных" в состав мероприятий по защите персональных данных входят организационные и технические меры.

К организационным мерам относятся:

классификация информационных систем персональных данных, собственником которых является организация;
уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении обрабатывать персональные данные;
разработка внутренней нормативной документации (включая изменения в должностные инструкции), регламентирующей мероприятия по защите ПДн;
обучение персонала.

К техническим мерам относится установка и настройка средств защиты информации. В общем случае, должны использоваться следующие средства защиты информации:

средства защиты информации от утечки по техническим каналам;
средства защиты информации от несанкционированного доступа (НСД);
межсетевые экраны на границе контролируемой зоны ИСПДн;
cредства построения VPN-каналов для обмена информацией, содержащей ПДн, за пределами контролируемой зоны.

В соответствии с п.6 Положения "Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденное Постановлением Правительства №781 от 17 ноября 2007 года, средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. Это означает, что можно применять только те средства защиты, которые имеют сертификат соответствия ФСТЭК или ФСБ в зависимости от назначения средства.