|
Решение по защите персональных данных Решение по защите персональных данных в ИСПДн представляет собой комплексный проект по созданию системы защиты персональных данных (СЗПДн) и может включать в себя внедрение как организационных, так и технических мер. В общем случае проект по созданию СЗПДн включает следующие стадии:
Компания УЦСБ, обладая штатом высококвалифицированных специалистов, опытом проведения комплексных проектов по информационной безопасности и требуемым комплектом лицензий в области защиты информации, выполняет полный спектр услуг по защите персональных данных – от работы над отдельной стадией проекта по защите персональных данных до выполнения комплекса работ по созданию Системы защиты персональных данных. Организация защиты персональных данных Необходимость защиты персональных данных, обрабатываемых предприятиями и организациями, обусловлена не только тем, что с 1 января 2011 г. все информационные системы персональных данных должны быть приведены в соответствие с Федеральным Законом, но и тем, что последствия неправомерных действий с персональными данными приводят к ущербам на уровне личности, общества и государства. К особенности персональных данных следует отнести то, что данный вид информации охватывает многие виды тайн, представленных в различных федеральных законах, при этом осуществить адекватную оценку ущерба от неправомерного доступа к персональным данным представляется достаточно сложным. Так для предприятий и организаций нарушение конфиденциальности обрабатываемых персональных данных не только негативно сказывается на репутации, но и способно привести к гражданской, административной, и уголовной ответственностям, кроме того, потенциально возможно приостановление действия или аннулирование лицензии на право заниматься основным видом деятельности. Первоочередная задача, стоящая перед предприятиями и организациями в части защиты персональных данных, заключается в рациональном и эффективном выполнении комплексных требований по защите персональных данных, предъявляемых регуляторами. Требования по защите персональных данных законодательства РФ Законом «О персональных данных» персональные данные определяются как «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». Оператором персональных данных согласно закону является «государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных». Федеральный закон №152-ФЗ «О персональных данных» налагает ответственность за невыполнение требований по защите персональных данных непосредственно на операторов персональных данных. Статья Нормативно-правовой акт Нарушение Максимальная мера наказания 137 УК Нарушение неприкосновенности частной жизни Штраф до 300.000 руб. или в размере заработной платы или иного дохода осужденного за период до 2 лет, либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет, либо обязательные работы на срок до 180 часов, либо исправительные работы на срок до 1 года, либо арест на срок до 4 месяцев, либо лишением свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет 140 УК Отказ в предоставлении гражданину информации о его ПДн, обрабатываемых организацией 200.000 руб., либо в размере заработной платы или иного дохода осужденного за период до 18-ти месяцев, либо лишение права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет 19.5 КоАП Невыполнение в срок требований надзорного органа или ФСТЭК РФ (при повторной проверке) 500.000 руб. + дисквалификация должностного лица до 3-х лет 13.11 КоАП Нарушение порядка сбора, хранения, использования и распространения ПДн 10.000 руб. 19.7 КоАП Непредставление или представление в не полном или искаженном виде в Роскомнадзор сведений об операторе ПДн 5.000 руб. 13.12 КоАП Нарушение правил защиты информации 20.000 руб. + конфискация + приостановление деятельности на срок до 90 суток 13.13 КоАП Деятельность в области защиты ПДн без лицензии ФСТЭК РФ / ФСБ РФ 20.000 руб. + конфискация 13.14 КоАП Разглашение информации с ограниченным доступом (например, ПДн) 5.000 руб. Проблемы защиты персональных данных Сжатые сроки выполнения требований по обеспечению защиты персональных данных и отсутствие опыта проведения таких работ оператором персональных данных приводит к тому, что последний сталкивается с рядом проблем: · Невозможность рассматривать вопрос защиты ИСПДн отдельно от остальных ИТ-систем предприятия вследствие глубокой интеграции ИСПДн в информационную систему управления предприятием · Необходимость соответствия большому количеству нормативных правовых документов, на детальное изучение которых практически не осталось времени · Несогласованность этих документов и их продолжающаяся доработка · Невозможность быстро найти или подготовить специалиста необходимой квалификации · Необходимость создания системы защиты персональных данных для УЖЕ эксплуатируемой ИСПДн, что затрудняет внесение изменений в работу ИСПДн Информационные системы персональных данных Информационная система персональных данных (ИСПДн) – это «информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств». В соответствие со статьей 19 ФЗ «О персональных данных» Правительством Российской Федерации был установлен ряд требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных: · ряд Постановлений и Указов президента РФ, регламентирующих обработку персональных данных для различных отраслей экономики. Перечисленные постановления устанавливают общие требования к обеспечению безопасности персональных данных. Согласно Приказу ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. №55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» в зависимости от объема и категории обрабатываемых персональных данных типовые информационные системы персональных данных разделяются на классы (для нетиповых процесс классификации учитывает большое число дополнительных данных). Требования по защите персональных данных к конкретным классам ИСПДн устанавливаются нормативными правовыми документами ФСТЭК России и ФСБ России: · «Положение о методах защиты информации в информационных системах персональных данных», утвержденные ФСТЭК РФ 5 февраля 2010 г.»; · «Решение, утвержденное первым заместителем директора ФСТЭК России от 05 марта 2010 г.»; · «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная Заместителем директора ФСТЭК РФ15 февраля 2008 г.; · «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн», утвержденная Заместителем директора ФСТЭК РФ 15 февраля 2008 г.; · «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные ФСБ РФ 21 февраля 2008 г.; · «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные ФСБ РФ 21 февраля 2008 г.; · «Методические рекомендации по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные УФСТЭК по УрФО. Кроме того, ИСПДн, в которой персональные данные обрабатываются с использованием средств автоматизации, является автоматизированной системой. Для таких систем разработан ряд нормативных документов, соответствие требованиям которых, несмотря их рекомендательных характер, важно для эффективной работы будущей защищенной ИСПДн: · ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания. · ГОСТ 34.602-89. Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы. · ГОСТ 34.603-92. Информационная технология. Виды испытаний автоматизированных систем. · ГОСТ Р 51.583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. · ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования. Если Вам необходимая дополнительная информация, Вы можете позвонить нам по телефону (343) 379 98 34 или сделать запрос по электронной почте: info@ussc.ru. |
|
|
 Условия использования сайта
 Конфиденциальность
|
© 2007-2008 Уральский Центр Систем Безопасности Создание сайта - IT-компания «СЕВЕР» |
 |