Как выполнять требования о защите персональных данных

Многие государственные учреждения имеют дело с персональными данными (имена, даты рождения, сведения об образовании и т.д.) Чтобы не происходило утечек, государство установило строгие требования к тому, как следует хранить и обрабатывать персональные данные.

Основной ответственный правительственный орган, который следит за исполнением закона «О персональных данных» – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Роскомнадзор проверяет в первую очередь внутренние документы, необходимые по этому документу. Чтобы успешно пройти проверку РКН, учреждению необходимо иметь уведомление об операторской деятельности, документ «Политика оператора в отношении обработки персональных данных», который должен быть опубликован на официальном сайте учреждения. Помимо этого, должно быть назначено лицо, ответственное за осуществление Политики, приказ о назначении ответственного тоже должен быть опубликован.

Но если учреждение использует для обработки персональных данных компьютер и Интернет, ему обязательно нужны технические средства защиты. Техническими средствами защиты данных занимается Федеральная служба по техническому и экспортному контролю (ФСТЭК).

ФСТЭК проводит сертификацию программного обеспечения и технических устройств: соответствуют ли они требованиям законодательства. Перечень прошедших сертификацию продуктов можно просмотреть на сайте ФСТЭК, здесь же можно проверить, до какого срока действует сертификат.

ФСТЭК будет проверять, верно ли применяются технические средства защиты и подходят ли они для заявленного уровня защищенности (и какой вообще учреждению требуется уровень защиты).

Помимо этого, к проверке может подключиться и ФСБ: если в применяемых средствах защиты используется криптография. Например, это касается электронных подписей. На сайте ФСБ также есть перечень сертифицированных средств криптографической защиты.

Упрощенная пошаговая инструкция для выполнения норм обработки ПДН:

• Ознакомьтесь с Законом № 152-ФЗ «О персональных данных».
• Определитесь, какого рода данные нужно будет обрабатывать, чтобы понять, распространяется ли Закон 152-ФЗ на ваше учреждение.
• Проверьте, нет ли других норм, относящихся к вашему случаю.
• После того, как вы определились с типом данных, нужно осознать, какие могут возникнуть угрозы для их защиты.
• Исходя из форм угроз, определите способы и инструменты защиты данных.
• Составьте внутренние регламентирующие документы, проверьте их оформление.
• Получите согласие лиц, персональные данные которых вы намерены обрабатывать.

С какими документами надо ознакомиться в первую очередь:

• Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006.
• Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006.
• Приказ ФСБ РФ № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите персональных данных для каждого из уровней защищенности» от 10.07.2014.
• Приказ ФСТЭК № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 11.02.2013.
• Приказ ФСТЭК № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013.
• Постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012.
• Федеральный закон № 99-ФЗ «О лицензировании отдельных видов деятельности» от 04.05.2011.
• Рекомендации Роскомнадзора по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Законом № 152-ФЗ «О персональных данных».

Как быть уверенным, что в учреждении выполняются требования по защите персональных данных?

Норм, контролирующих защиту персональных данных, довольно много, поэтому ответственные за обеспечение защиты ПДН часто не уверены в том, что сумеют полностью и правильно исполнить эти нормы.

Хорошим решением станет обращение к организации, которая имеет лицензии в области защиты информации и специализируется на аттестации информационных систем. Эта организация проведет аттестацию информационной системы учреждения и проверит, соответствует ли она российскому законодательству.

Среди таких организаций – компания «ГЭНДАЛЬФ». Мы поможем в создании системы защиты или проведем аудит уже имеющейся в учреждении.

Аудит поможет понять, насколько защищена информация на данный момент, и дать рекомендации по дальнейшей работе; оценить информационную систему предприятия на соответствие отраслевым стандартам.

Аудит системы защиты персональных данных включает:

• Анализ документации на соответствие нормами и требованиям, прописанным в законодательстве.
• Анализ защищенности сети.
• Моделирование угроз.
• Рекомендации по предотвращению нарушений.

В результате аудита вы получите документ, содержащий оценку соответствия текущего уровня информационной безопасности на предприятии нормативным документам; перечень рекомендаций по приведению информационной системы предприятия в соответствие требованиям и нормам в области информационной безопасности.

Помимо этого, мы поставляем и настраиваем технические средства защиты ПДн:

• Антивирусное ПО: Лаборатория Касперского, Dr. Web, ESET.
• Средства защиты от несанкционированного доступа; Secret Net, Dallas Lock, Аура.
• Межсетевые экраны.
• Криптографическую защиту: VipNet, КриптоПро.
• Средства анализа защищенности.
• Систему обнаружения вторжений.