Эксперт-Консалт
+73952728262
Обратная связь Обратная связь На главную
Ваш интеллектуальный капитал!
Компания
Новости
Отзывы
Специальные предложения
Статьи
Сведения об образовательной организации
Контактная информация
Обратная связь
Поиск по сайту
 

Построение информационной системы персональных данных ИСПДн

1 июля 2011 года вступили в силу поправки к Федеральному закону «О персональных данных». Теперь практически любая информация о физическом лице (ФИО, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация) является персональными данными, а любая организация или индивидуальный предприниматель, обладающие этой информацией, становятся операторами персональных данных.

По оценкам экспертов, данный закон коснется более чем 85% российских организаций и компаний. На практике почти 100% юридических лиц обрабатывают персональные данные как минимум своих сотрудников, а в большинстве случаев этот перечень намного шире: базы клиентов, партнеров, поставщиков и т.д.

Чтобы избежать проблем с законом, предприниматель, убедившись в том, что он является оператором по обработке персональных данных, обязан обеспечить их безопасность. Это можно сделать при помощи определенных организационных и технических мер*.

Минимальные организационные меры – это:

  1. Разработка Положения о защите персональных данных работников, которое определяет права и обязанности руководителей и работников, порядок использования указанных данных в служебных целях, а также порядок взаимодействия по поводу сбора, документирования, хранения и уничтожения персональных данных работников. (Такое положение разрабатывается на основе и во исполнение части 1 статьи 23, статьи 24 Конституции Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» положений главы 14 Трудового кодекса Российской Федерации «Защита персональных данных работников»).
  2. Получение согласия физического лица (работника) на обработку персональных данных.
  3. Разработка обязательства о неразглашении конфиденциальной информации (персональных данных), не содержащих сведений, составляющих государственную тайну.

Технические меры подразумевают использование сертифицированных средств защиты информации.

На практике это означает, что все компьютеры в сети, где ведется работа с персональными данными должны быть аттестованы, содержать сертифицированное ФСТЭКом ПО, а сама сеть должна быть защищена сертифицированным межсетевым экраном.

Чтобы уменьшить затраты на аттестацию и закупку сертифицированного ПО, всю работу с персональными данными обычно выносят в отдельную сеть и закрывают ее межсетевым экраном. Вот пример типовой схемы с использованием сертифицированного межсетевого экрана Traffic Inspector .

 
На схеме справа обозначен защищенный сегмент сети для работы с персональными данными, где установлен сертифицированный межсетевой экран Traffic Inspector. Слева показана обычная офисная сеть, где не требуется сертифицированное ПО и где можно использовать версию Traffic Inspector без сертификата ФСТЭК (версия GOLD).

Traffic Inspector версии FSTEC имеет сертификат ФСТЭК России на соответствие требованиям:

  • «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации» - по 4 классу защищенности;
  • «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» - по 4-му уровню контроля;
  • может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и для защиты информации в информационных системах персональных данных до 2 класса включительно.

Купить Traffic Inspector с сертификатом ФСТЭК или улучшить лицензию до Traffic Inspector FSTEC вы можете, обратившись к нам по телефону 8 (3952) 72-82-55 или по электронной почте virina@topexpert.ru. Контактное лицо: Ирина Воцке.
 

Полезные ссылки:

ФЗ РФ от 27.07.2006г. № 152-ФЗ «О персональных данных».

Списки плановых проверок на соблюдение требований ФЗ 152, опубликованные Роскомнадзором и ФСТЭК России.


*Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля. 
 

Статья перепечатана с сайта www.smart-soft.ru.


Смотрите также:

обучение   услуги   продукты   аренда   О нас  

Смотрите также:

Компания   Новости   Отзывы   Специальные предложения   Статьи   Контактная информация   Обратная связь