Полезные cтатьи

Обзор требований по защите персональных данных Требования по защите личных данных

Одним из требований, предъявляемым к оператору персональных данных является обеспечение защиты персональных данных. В случае неавтоматизированной обработки персональных данных оператор обязан установить перечень лиц, ведущих работу с персональными данными, определить места хранения таких данных и обеспечить их разделение, если обработка сведений ведется в различных целях. Самое главное, что должен сделать оператор - исключить несанкционированный доступ к персональным данным. Меры, направленные на это, определяются на усмотрение оператора.

Защита информационных систем куда более сложная задача. Так, в постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», которое устанавливает четыре уровня защищенности (УЗ-4, УЗ-3, УЗ-2, УЗ-1), определен ряд требований по защите, указанных в таблице ниже.

Требования Уровни
защищенности
1 2 3 4
Организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения + + + +
Обеспечение сохранности носителей персональных данных + + + +
Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей + + + +
Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз + + + +
Назначение должностного лица, ответственного за обеспечение безопасности персональных данных в ИСПДн + + + -
Ограничение доступа к содержанию электронного журнала сообщений + + - -
Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе + - - -
Создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности + - - -

Кроме того, ФСТЭК России в 2013 году издает Приказ № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», который раскрывает выше рассмотренное постановление.

В данном приказе уточняется ряд организационных и технических мер защиты. В их состав входят следующие мероприятия (базовые меры):

  • идентификация и аутентификация субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
  • регистрация событий безопасности;
  • антивирусная защита;
  • обнаружение (предотвращение) вторжений;
  • контроль (анализ) защищенности персональных данных;
  • обеспечение целостности информационной системы и персональных данных;
  • обеспечение доступности персональных данных;
  • защита среды виртуализации;
  • защита технических средств;
  • защита информационной системы, ее средств, систем связи и передачи данных;
  • выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
  • управление конфигурацией информационной системы и системы защиты персональных данных.

Содержание и состав вышеуказанных мероприятий рассматривается в приложении к приказу и зависит от уровня защищенности информационной системы.

При построении системы защиты персональных данных, оператор, руководствуясь набором базовых мероприятий, адаптирует их на свою информационную систему. В случае невозможности технической реализации отдельных мер, а также с учетом экономической целесообразности, при должном уровне обоснованности, могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.

Оператор также обязан оценить эффективность принятых мер. Оценка эффективности проводится оператором самостоятельно или с привлечением лицензиатов по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.



Условия доставки

Информационный центр заботится о Вашем комфорте и предлагает оформить доставку сертификата ЭЦП (КЭП) в удобное Вам место и время на следующих условиях: