Защита информации с человеческим лицом
Главная» Как защитить информацию» Защита персональных данных»Последовательность действий при организации защиты ИСПДн

Последовательность действий при организации защиты ИСПДн

Можно скачать этот документ в формате MS Word. Скачивание доступно только зарегистрированным пользователям.

Операторы при обработке персональных данных обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

В силу требований Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных»:

  • после дня вступления в силу указанного Федерального закона обработка ПДн, включенных в ИСПДн до дня его вступления в силу, осу­ществляется в соответствии с указанным Федеральным законом;
  • ИСПДн, созданные до 01 января 2011 г., должны быть приве­дены в соответствие с требованиями указанного Федерального закона не позднее 01 июля 2011 г. (в ред. Федерального закона от 23 декабря 2010 г. № 359-ФЭ).

На основании принятых во исполнение положений Федерального закона № 152-ФЗ «О персональных данных», нормативно-правовых актов и методических документов операторы, эксплуатирующие ИСПДн, обязаны выполнить следующую последовательность действий для приведения ИСПДн в соответствие требованиям законодательства Российской Федерации:

  1. В соответствии с требованиями п. 13 постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» для выработки и реализации мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн назначить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн (Проект приказа о назначении ответственного).

При назначении ответственных лиц необходимо обратить особое внимание на то, что основной задачей их деятельности будет не обработка ПДн в ИСПДн, а выполнение требований по обеспечению безопасности ПДн, реализация методов и способов защиты ПДн в ИСПДн.

  1. Определить состав обрабатываемых ПДн, цели и условия их обра­ботки, сроки хранения ПДн различных категорий. Результат оформить в виде Перечня персональных данных, подлежащих защите. Подробно в статье инвентаризация и категорирование персональных данных.
  2. В соответствии с требованиями п. 6 постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении По­ложения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» провести классификацию действующих ИСПДн. Подробно этот вопрос рассмотрен в статье Классификация информационных систем персональных данных.
  3. В соответствии с требованиями части 1 статьи 22 Федерального закона № 152-ФЗ «О персональных данных», зарегистрироваться в качестве оператора ПДн - подготовить и направить уведомление в территориальный орган Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций - уполномоченный орган по защите прав субъектов ПДн. Регистрация в качестве оператора персональных данных.
  4. В соответствии с требованиями ст. 6 Федерального закона № 152-ФЗ «О персональных данных» получить согласие субъектов ПДн на обработку их ПДн, если иное не предусмотрено указанным законом (см. статью получение согласия субъекта персональных данных).
  5. В соответствии с требованиями п. 14 постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» утвердить список лиц, допущенных к обработке ПДн.

Рекомендуется список допущенных лиц оформить в виде разрешительной системы доступа к информационным ресурсам, программным и техническим средствам информационных систем персональных данных, которая включает уровень прав доступа допущенных лиц к ресурсам ИСПДн. Разрешительная система доступа доводится до всех сотрудников оператора, допущенных к обработке ПДн, под роспись.

  1. Подготовить и утвердить должностные инструкции в составе:

Инструкции определяют должностные обязанности всех лиц, допущенных к ИСПДн и доводятся до соответствующих сотрудников, под роспись.

  1. В соответствии с требованиями п. 16 приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» для специальных ИСПДн (по решению оператора для типовых ИСПДн) разработать и утвердить модель УБПДн при их обработке в ИСПДн. Порядок разработки модели угроз.
  2. В соответствии с требованиями «Положения о методах и способах защиты информации в информационных системах персональных данных», утвержденного приказом ФСТЭК России от 5 февраля 2010 г. № 58 и на основании частной модели угроз безопасности ПДн при их обработке в ИСПДн (в случае ее разработки) реализовать методы и способы защиты ПДн в ИСПДн.

Методы и способы защиты персональных данных в соответствии с классом

  1. В соответствии с требованиями п. 15 постановления Правитель­ства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» реализо­вать регистрацию запросов пользователей ИСПДн на получение ПДн, а также факты предоставления ПДн по этим запросам автоматизированными средствами ИСПДн в электронном журнале обращений, с целью обеспече­ния своевременного обнаружения фактов НСД к ПДн.

Поскольку программное обеспечение, обрабатывающее ПДн, зачас­тую средств логирования запросов и получения по ним отчетов не имеет, необходимо использовать дополнительные (внешние) средства регистра­ции действий пользователей ИСПДн.

  1. В соответствии с требованиями п. 12 постановления Правитель­ства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» подгото­вить и утвердить Регламент учета средств защиты информации, эксплуата­ционной и технической документации к ним, электронных носителей пер­сональных данных.

Регламент устанавливает порядок учета и хранения применяемых опе­ратором СЗИ, а также электронных носителей ПДн и доводится до всех со­трудников, допущенных к обработке ПДн, под роспись. Проект регламента.

  1. Подготовить и утвердить для каждого типа применяемых СЗИ инструкции по их использованию, предназначенные для ответственных за обеспечение безопасности ПДн, администраторов безопасности ИСПДн и пользователей ИСПДн.
  2. Разработать и утвердить Положение по обеспечению безопасно­сти ПДн при их обработке в ИСПДн.

Положение определяет порядок организации и проведения работ по обеспечению безопасности ПДн при их обработке в ИСПДн и содержит общие принципы защиты ПДн.

Комментарии к статье "Последовательность действий при организации защиты ИСПДн"
Войдите или зарегистрируйтесь, чтобы оставлять комментарии.
Забыли пароль?