Защита персональных данных

Защи́та персона́льных да́нных — комплекс мер технического, организационного и организационно-технического характера, направленных на защиту сведений относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Обязательные (предварительные) этапы работ

Обязательные (предварительные) этапы работ по защите персональных данных:

• Определить все ситуации, когда требуется проводить обработку персональных данных (ПДн).
• Выделить бизнес-процессы, в которых обрабатываются персональные данные.
• Выбрать ограниченное число бизнес-процессов для проведения аналитики. На этом этапе формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности.
• Определить круг информационных систем и совокупность обрабатываемых ПДн.
• Провести категорирование ПДн и предварительная классификация информационных систем (ИС).
• Выработка мер по снижению категорий обрабатываемых ПДн.
• Сформировать актуальная модель угроз для каждой информационной системы обработки персональных данных (ИСПДн).
• Подготавливается техническое задание (ТЗ) по созданию требуемой системы защиты.
• Провести уточнение классов ИС, с последующей подготовкой рекомендаций по использованию технических средств защиты ПДн.
• Подать уведомление о начале обработки персональных данных в Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) для регистрации в качестве оператора ПДн.
• Отправить заявку на получение экземпляров руководящих документов ФСТЭК России по организации системы защиты.
• Разработать требования для конкретной ИСПДн, с учетом присвоенного класса защиты.
• Спроектировать и внедрить систему обеспечения безопасности информации (СОБИ).
• Разработать пакет организационно-распорядительных документов для СОБИ.
• Аттестовать СОБИ на соответствие требованиям по защите ПДн.

Создание режима защиты персональных данных

В российской традиции, защита персональных данных сводится к созданию режима обработки персональных данных, включающего:

• Создание внутренней документации по работе с персональными данными
• Создание организационной системы защиты персональных данных
• Внедрение технических мер защиты
• Получение лицензий и сертификатов регулирующих органов (ФСБ, ФСТЭК)

Источники

• Евгений Царев [Персональные данные. Будни банковской безопасности]
• ГОСТ 34.602-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы

См. также

• Персональные данные
• Технические средства защиты от утечек, применение которых регламентируется ст. 2 Постановления Правительства РФ, № 781, от 17 ноября 2007.
• Неприкосновенность частной жизни
• Права человека
• Тайна связи
• Федеральный закон «О персональных данных» (РФ)

Ссылки

• Блог Персональные данные по-русски
• Портал о персональных данных. — База сертифицированных средств и законодательства. Публикации и обсуждения.
• Блог Бизнес без опасности
• Вопросы-Ответы по защите персональных данных
• Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций
• Федеральная служба безопасности
• Федеральная служба по техническому и экспортному контролю
• Федеральный закон № 152 о персональных данных от 27 июля 2006 г.