Введение
В соответствии с вступившим в силу 26.01.2007 Федеральным законом № 152-ФЗ «О персональных данных» и с учетом корректировок, внесенным Федеральным законом от 27.12.2009 № 363-ФЗ, а также согласно ряду подзаконных актов и руководящих документов регулирующих органов, организации-операторы персональных данных должны выполнить целый комплекс требований, в том числе следующие.
1. Направить в уполномоченный орган по защите прав субъектов персональных данных уведомление, предусмотренное ст. 22 Федерального закона.
2. Разработать модели угроз персональным данным согласно руководящим документам ФСТЭК России и ФСБ России и провести классификацию информационных систем, в которых обрабатываются персональные данные сотрудников и клиентов организации-оператора, согласно приказу ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20.
3. Согласно федеральному закону от 08.02.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности», постановлению Правительства РФ от 16.08.2006 № 504 и п. 3.14 руководящего документа ФСТЭК России «Основные мероприятия...» организации, эксплуатирующие ИСПДн 1, 2 классов и распределенные ИСПДн 3 класса должны иметь лицензии ФСТЭК России на техническую защиту конфиденциальной информации. Соответственно, каждый оператор, в том числе его филиалы и представительства (самостоятельные юридические лица), должны получить такие лицензии. С этой целью в них должен быть соблюден ряд требований, в том числе по наличию аттестованных компьютеров и помещений, а также сотрудников, имеющих профессиональную подготовку либо прошедших обучение на специальных курсах повышения квалификации (не менее двух сотрудников у каждого юридического лица, получающего лицензию).
4. Информационные системы, предназначенные для обработки персональных данных (ИСПДн) организации-оператора, его филиалов и представительств в срок до 1 января 2011 года должны быть приведены в состояние, соответствующее требованиям ФСБ России и ФСТЭК России. Организации-операторы должны иметь внедренные системы защиты персональных данных, включающие в себя сертифицированные средства защиты от несанкционированного доступа, антивирусной защиты, межсетевого экранирования, обнаружения атак и др., а также реализованные организационно-режимные меры защиты и внутренние документы, регламентирующие вопросы использования и защиты персональных данных. ИСПДн с внедренными в них системами защиты должны пройти оценку соответствия требованиям по безопасности информации в системе ФСТЭК России, а при использовании средств криптографической защиты информации (СКЗИ) — также и в системе ФСБ России.
Как правило, организация-оператор не имеет достаточного количества квалифицированных специалистов для реализации в полной мере всех вышеперечисленных требований. Допускается привлечение сторонних организаций, имеющих лицензии на проведение работ соответствующего вида. При этом весьма важно для последующего поддержания требуемого уровня защиты максимально задействовать в проекте по созданию системы защиты персональных данных (СЗПДн) собственных специалистов по информационной безопасности для сопровождения работ и получения необходимых компетенций.
< ... >