На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера
№ 2 март–апрель 2010 г.
Тема номера:
СОЗДАНИЕ КОРПОРАТИВНОЙ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

О типовом порядке реализации программы построения системы защиты персональных данных
в информационной системе оператора

Н. И. Конопкин, зам. директора Департамента внедрения и консалтинга
LETA IT-company


Предыдущая статьяСледующая статья

Введение

В соответствии с вступившим в силу 26.01.2007 Федеральным законом № 152-ФЗ «О персональных данных» и с учетом корректировок, внесенным Федеральным законом от 27.12.2009 № 363-ФЗ, а также согласно ряду подзаконных актов и руководящих документов регулирующих органов, организации-операторы персональных данных должны выполнить целый комплекс требований, в том числе следующие.

1. Направить в уполномоченный орган по защите прав субъектов персональных данных уведомление, предусмотренное ст. 22 Федерального закона.

2. Разработать модели угроз персональным данным согласно руководящим документам ФСТЭК России и ФСБ России и провести классификацию информационных систем, в которых обрабатываются персональные данные сотрудников и клиентов организации-оператора, согласно приказу ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20.

3. Согласно федеральному закону от 08.02.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности», постановлению Правительства РФ от 16.08.2006 № 504 и п. 3.14 руководящего документа ФСТЭК России «Основные мероприятия...» организации, эксплуатирующие ИСПДн 1, 2 классов и распределенные ИСПДн 3 класса должны иметь лицензии ФСТЭК России на техническую защиту конфиденциальной информации. Соответственно, каждый оператор, в том числе его филиалы и представительства (самостоятельные юридические лица), должны получить такие лицензии. С этой целью в них должен быть соблюден ряд требований, в том числе по наличию аттестованных компьютеров и помещений, а также сотрудников, имеющих профессиональную подготовку либо прошедших обучение на специальных курсах повышения квалификации (не менее двух сотрудников у каждого юридического лица, получающего лицензию).

4. Информационные системы, предназначенные для обработки персональных данных (ИСПДн) организации-оператора, его филиалов и представительств в срок до 1 января 2011 года должны быть приведены в состояние, соответствующее требованиям ФСБ России и ФСТЭК России. Организации-операторы должны иметь внедренные системы защиты персональных данных, включающие в себя сертифицированные средства защиты от несанкционированного доступа, антивирусной защиты, межсетевого экранирования, обнаружения атак и др., а также реализованные организационно-режимные меры защиты и внутренние документы, регламентирующие вопросы использования и защиты персональных данных. ИСПДн с внедренными в них системами защиты должны пройти оценку соответствия требованиям по безопасности информации в системе ФСТЭК России, а при использовании средств криптографической защиты информации (СКЗИ) — также и в системе ФСБ России.

Как правило, организация-оператор не имеет достаточного количества квалифицированных специалистов для реализации в полной мере всех вышеперечисленных требований. Допускается привлечение сторонних организаций, имеющих лицензии на проведение работ соответствующего вида. При этом весьма важно для последующего поддержания требуемого уровня защиты максимально задействовать в проекте по созданию системы защиты персональных данных (СЗПДн) собственных специалистов по информационной безопасности для сопровождения работ и получения необходимых компетенций.

< ... >
 


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2017 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100