Эксперт-Консалт
Обратная связь Обратная связь На главную
Ваш интеллектуальный капитал!
Компания
Новости
Отзывы
Специальные предложения
Статьи
Контактная информация
Обратная связь
Поиск по сайту
 

Построение информационной системы персональных данных ИСПДн

1 июля 2011 года вступили в силу поправки к Федеральному закону «О персональных данных». Теперь практически любая информация о физическом лице (ФИО, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация) является персональными данными, а любая организация или индивидуальный предприниматель, обладающие этой информацией, становятся операторами персональных данных.

По оценкам экспертов, данный закон коснется более чем 85% российских организаций и компаний. На практике почти 100% юридических лиц обрабатывают персональные данные как минимум своих сотрудников, а в большинстве случаев этот перечень намного шире: базы клиентов, партнеров, поставщиков и т.д.

Чтобы избежать проблем с законом, предприниматель, убедившись в том, что он является оператором по обработке персональных данных, обязан обеспечить их безопасность. Это можно сделать при помощи определенных организационных и технических мер*.

Минимальные организационные меры – это:

  1. Разработка Положения о защите персональных данных работников, которое определяет права и обязанности руководителей и работников, порядок использования указанных данных в служебных целях, а также порядок взаимодействия по поводу сбора, документирования, хранения и уничтожения персональных данных работников. (Такое положение разрабатывается на основе и во исполнение части 1 статьи 23, статьи 24 Конституции Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» положений главы 14 Трудового кодекса Российской Федерации «Защита персональных данных работников»).
  2. Получение согласия физического лица (работника) на обработку персональных данных.
  3. Разработка обязательства о неразглашении конфиденциальной информации (персональных данных), не содержащих сведений, составляющих государственную тайну.

Технические меры подразумевают использование сертифицированных средств защиты информации.

На практике это означает, что все компьютеры в сети, где ведется работа с персональными данными должны быть аттестованы, содержать сертифицированное ФСТЭКом ПО, а сама сеть должна быть защищена сертифицированным межсетевым экраном.

Чтобы уменьшить затраты на аттестацию и закупку сертифицированного ПО, всю работу с персональными данными обычно выносят в отдельную сеть и закрывают ее межсетевым экраном. Вот пример типовой схемы с использованием сертифицированного межсетевого экрана Traffic Inspector .

 
На схеме справа обозначен защищенный сегмент сети для работы с персональными данными, где установлен сертифицированный межсетевой экран Traffic Inspector. Слева показана обычная офисная сеть, где не требуется сертифицированное ПО и где можно использовать версию Traffic Inspector без сертификата ФСТЭК (версия GOLD).

Traffic Inspector версии FSTEC имеет сертификат ФСТЭК России на соответствие требованиям:

  • «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации» - по 4 классу защищенности;
  • «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» - по 4-му уровню контроля;
  • может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и для защиты информации в информационных системах персональных данных до 2 класса включительно.

Купить Traffic Inspector с сертификатом ФСТЭК или улучшить лицензию до Traffic Inspector FSTEC вы можете, обратившись к нам по телефону 8 (3952) 72-82-55 или по электронной почте virina@topexpert.ru. Контактное лицо: Ирина Воцке.
 

Полезные ссылки:

ФЗ РФ от 27.07.2006г. № 152-ФЗ «О персональных данных».

Списки плановых проверок на соблюдение требований ФЗ 152, опубликованные Роскомнадзором и ФСТЭК России.


*Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля. 
 

Статья перепечатана с сайта www.smart-soft.ru.


Смотрите также:

обучение   услуги   продукты   аренда  

Смотрите также:

Компания   Новости   Отзывы   Специальные предложения   Статьи   Контактная информация   Обратная связь