Защита персональных данных

Задать вопрос

Федеральный закон № 152-ФЗ и подзаконные акты (Приказ ФСТЭК № 21 от 18.02.2013, Постановление Правительства РФ №1119 от 01.11.2012) устанавливают ряд обязательных требований, в том числе технического характера, которые должны выполняться организациями, осуществляющими обработку персональных данных (операторами персональных данных) с использованием информационных систем, включая меры защиты персональных данных от случайного или неправомерного доступа к ним, изменения, копирования, блокирования, уничтожения, распространения и других неправомерных действий.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Оператор обязан принимать необходимые правовые, организационные и технические меры для защиты ПДн.

Обеспечение безопасности ПДн достигается:

1. определением угроз безопасности ПДн при их обработке;
2. применением организационных и технических мер защиты ПДн;
3. применением прошедших оценку соответствия СЗИ;
4. оценкой эффективности мер до ввода в эксплуатацию ИСПДн;
5. учетом машинных носителей ПДн;
6. обнаружением фактов НСД к ПДн и принятием мер;
7. восстановлением модифицированных или уничтоженных ПДн;
8. установлением правил доступа к ПДн;
9. контролем за принимаемыми мерами по обеспечению безопасности.

Состав и содержание мер по обеспечению безопасности ПДн:

1. идентификация и аутентификация субъектов и объектов доступа;
2. управление доступом субъектов доступа к объектам доступа;
3. ограничение программной среды;
4. защита машинных носителей информации;
5. регистрация событий безопасности;
6. антивирусная защита;
7. обнаружение (предотвращение) вторжений;
8. контроль (анализ) защищенности ПДн;
9. обеспечение целостности ИС и ПДн;
10. обеспечение доступности ПДн;
11. защита среды виртуализации;
12. защита технических средств;
13. защита ИС, ее средств, систем связи и передачи данных;
14. выявление инцидентов и реагирование на них;
15. управление конфигурацией ИС и системы защиты ПДн.

Организация процесса обработки ПДн заключается в выполнении совокупности мероприятий, направленных на разработку и практическое применение некой информационной технологии, реализующей функции защиты ПДн в соответствии с требованиями нормативных документов:

• проектирование СЗПДн;
• организационная подготовка процесса обработки ПДн;
• создание СЗПДн;
• ввод СЗПДн в эксплуатацию и запуск процесса обработки ПДн;
• оценка соответствия требованиям (аттестация ИСПДн).

Наша компания выполняет весь комплекс мероприятий, связанных с проектированием, созданием и защитой информационных систем персональных данных.