Защита персональных данных

26.07.2006 Правительством РФ принят Федеральный закон № 152 «О персональных данных», согласно которому все организации, обрабатывающие сведения, относящиеся к персональным данным, не позднее 1 июля 2011 года должны привести свои информационные системы по обработке персональных данных в соответствие с его требованиями. Персональными данными является любая информация, относящаяся  прямо или косвенно к определенному или определяемому физическому лицу, в том числе его фамилия, имя, отчество, дата и место рождения, семейное, социальное, имущественное положение, образование, доходы, другая информация. Контроль над исполнением требований закона исполняют совместно ФСТЭК России, ФСБ России и Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Этапы построения ИСПДн:

• Обследование ИСПДн является первым этапом проведения работ по защите ПДн и позволяет оценить текущий уровень соответствия ИСПДн требованиям Федерального законодательства и нормативных документов, регламентирующих защиту ПДн. На данном этапе основной задачей является сбор исходных данных об ИСПДн. Обследование ИСПДн осуществляется экспертно-документальными методами (анкетирование, опрос, анализ существующей документации и др.) и с использованием специальных технических средств анализа уязвимостей и контроля защищенности ПДн в ИСПДн.
• Оптимизация процессов обработки ПДн становится возможной при анализе процессов обработки и хранения ПДн, осуществляется преимущественно за счёт исключения избыточных звеньев и ненужных процедур, сокращения неоправданно большого объема ПДн, обезличивания, замены ПДн на условные обозначения или коды, исключения избыточных ПДн, сужения круга лиц, вовлеченных в процесс обработки ПДн, внедрения альтернативных механизмов защиты.
• Классификация ИСПДн необходима для того, чтобы определить минимальные необходимые меры защиты. Классификация ИСПДн проводится в соответствии с так называемым "трехглавым" приказом (Совместный приказ ФСТЭК №55, ФСБ №86, Минсвязи №20 от 13 февраля 2008 г. "Об утверждении порядка проведения классификации информационных систем персональных данных"). В зависимости от категории и объёма ИСПДн разделяются на 4 класса.
• Разработка частной модели угроз безопасности ПДн при их обработке в ИСПДн осуществляется на основании сведений, полученных на этапе обследования, отдельно, для каждой ИСПДн. Частная модель угроз подготавливается в соответствии с методическими документами ФСТЭК России и включает перечень угроз безопасности персональных данных с оценкой их актуальности для конкретного оператора. На основе разработанной модели угроз ПДн формируются организационно-технические требования, предъявляемые к ИСПДн.
• Разработка технического задания (ТЗ) на создание СЗПДн объектов информатизации содержит детализированные требования к техническим средствам защиты информации и организационным мерам обеспечения информационной безопасности, при построении СЗПДн объектов информатизации. ТЗ на создание СЗПДн объектов информатизации является основным документом регламентирующим проведение работ по техническому проектированию и внедрению СЗПДн на объектах информатизации.
• Внедрение в ИСПДн программных, программно-технических, технических средств защиты информации включает поставку, монтаж , установку и настройку оборудования и программного обеспечения.
• Разработка организационно-распорядительной и эксплуатационной документации на ИСПДн и средства защиты информации регламентирующей порядок обеспечения безопасности ПДн и эксплуатации СЗПДн и включающей в себя положения, требования, инструкции, приказы и другие необходимые документы.
• Аттестация ИСПДн вызвана необходимостью официального подтверждения эффективности комплекса используемых в ИСПДн мер и средств защиты ПДн. Под аттестацией объекта информатизации понимается комплекс организационно-технических мероприятий, в результате которых специальным документом – «Аттестатом соответствия» подтверждается, что ИСПДн соответствуют требованиям стандартов и нормативно-технических документов по безопасности ПДн, утвержденных ФСТЭК России.