В наши дни Защита персональных данных является необходимостью и уровень этой защиты должен соответствовать Федеральному Закону.
Защита персональных данных это:
- комплекс мероприятий технического характера;
- комплекс мероприятий организационного характера.
Мероприятия направлены на защиту сведений личного характера субъекта персональных данных.
В соответствии с №152-ФЗ «О персональных данных» любое юридическое или физическое лицо, которое осуществляет, организовывает обработку данных, является оператором данной информации и обязано обеспечить защиту персональных данных.
В целях выполнения требований нормативных документов по защите персональных данных в действующим законодательством:
- обследование информационных систем и оценка текущего состояния обеспечения безопасности персональных данных;
- классификация информационной системы персональных данных;
- разработка организационно-распорядительной и технической документации по реализации мер защиты ПД;
1. Обследование информационных систем
Любая организация имеет различные ИСПДн, к которым относятся:
система автоматизации бухгалтерского учета («1С Бухгалтерия»);
система автоматизации расчета зарплаты и кадрового учета («1С Зарплата»);
система персонифицированного учета для ПФР;
базы данных клиентов, сотрудников компании;
анкеты в электронном виде и т.п.
Также необходимо иметь в виду, что к к информационным системам персональных данных относят данные, которые обрабатываются без использования различных средств автоматизации (личные дела сотрудников организации, договоры с физическими лицами и т.д.).
Обследование ИСПДн - один из обязательных этапов по работе с защитой персональных данных, целями которого является описание объектов информатизации и оценка уровня соответствия требованиям нормативных документов.
Материалы, которые получили в ходе работ по обследованию ИСПДн используются для дальнейших работ: проектирование системы защиты ПДн, разработки технических документов, организационно-распорядительных документов.
Результатом работы данного этапа является разработка Акта обследования информационной системы персональных данных
2. Классификация информационной системы персональных данных
Для того, чтобы отнести ИСПДн к тому или иному классу необходимо прежде всего учитывать категорию обрабатываемых ПДн и количество обрабатываемых субъектов ПДн, а так же характеристики безопасности ПДн, структуру ИСПДн, режим обработки ПДн и другие факторы, которые могут влиять на безопасность ПДн.
Результатом работы данного этапа является разработка Акта классификации информационной системы персональных данных.
3. Разработка организационно-распорядительной и технической документации
На основе собранных раннее данных и документов Акта обследования ИСПДн и Акта классификации ИСПДн, разрабатывается пакет документов:
Частная модель угроз безопасности;
Частное технические задание;
Описание технологического процесса;
Журналы (учёта машинных носителей информации, учета средств защиты информации, эксплуатационной и технической документации к ним, учета мероприятий по защите информации и другие);
Инструкции (администратора безопасности ИСПДн, о порядке работы с персональными данными, по организации парольной защиты и другие);
Перечень сведений, содержащих персональные данные;
Положения (об обработке персональных данных, об обеспечении безопасности ПД при их обработке в ИСПДн и другие);
План мероприятий по обеспечению защиты ПДн;
Приказы, регламенты и другие документы.
Детальный состав и структура организационно-распорядительной и технической документации определяется на основе требований к защите ПД, исходя из особенностей ИСПДн и реализуемой системы защиты персональных данных в составе ИСПДн.
