Защита персональных данных

Защита персональных данных — законодательное требование для каждого оператора персональных данных, обрабатывающего информацию о физических лицах. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» обязывает оператора обработки персональных данных обеспечивать безопасность ПДн при их обработке в информационных системах персональных данных (ИСПДн).

Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, которое организует и осуществляет обработку персональных данных. Обязанности оператора персональных данных включают уведомление Роскомнадзора о начале обработки ПДн, обеспечение защиты информации в ИСПДн, соблюдение прав субъектов персональных данных. Регистрация оператора персональных данных в реестре операторов персональных данных Роскомнадзора — обязательная процедура для большинства организаций.

КРЕДО-С проводит полный цикл работ по построению системы защиты персональных данных в соответствии с требованиями приказа ФСТЭК 21.

Аудит ИСПДн — определяется перечень обрабатываемых персональных данных, категории субъектов, цели и правовые основания обработки. Проводится классификация ИСПДн и определение уровня защищённости персональных данных. Существуют четыре уровня защищённости персональных данных: 1 уровень защищённости персональных данных (максимальный), 2 уровень защищённости, 3 уровень защищённости и 4 уровень защищённости персональных данных.

Уровень определяется на основе типов ИСПДн, категорий обрабатываемых данных, объёма обработки и актуальных угроз безопасности. Результат — акт определения уровня защищённости персональных данных.

Моделирование угроз — разрабатывается модель угроз ИСПДн с учётом специфики деятельности организации, определяются актуальные угрозы ИСПДн. Модель угроз формируется в соответствии с методикой ФСТЭК России и учитывает угрозы из Банка данных угроз ФСТЭК (БДУ ФСТЭК). На основе модели угроз определяется перечень необходимых мер защиты ИСПДн по приказу ФСТЭК 21.

Проектирование и внедрение — формируется комплекс организационных и технических мер защиты: управление доступом, идентификация и аутентификация, криптографические меры защиты информации, антивирусная защита, регистрация событий безопасности, обнаружение вторжений. Внедряются сертифицированные средства защиты информации ФСТЭК: Secret Net Studio, Dallas Lock, Kaspersky, ViPNet и другие решения из реестра ФСТЭК.

Разработка документации — формируется полный пакет документов оператора персональных данных: политика обработки персональных данных, положение об обработке и защите ПДн, модель угроз безопасности, акт определения уровня защищённости, приказы о назначении ответственных лиц, должностные инструкции, соглашения о неразглашении.

Сопровождение и аттестация — специалисты КРЕДО-С сопровождают заказчика при проверке оператора персональных данных Роскомнадзором, помогают подготовить уведомление оператора персональных данных, при необходимости проводят аттестацию ИСПДн по требованиям безопасности информации. Для государственных информационных систем, обрабатывающих ПДн, обеспечивается расчёт показателя защищённости КЗИ по приказу ФСТЭК №117.

Опыт компании КРЕДО-С с 1993 года включает сотни успешных проектов по защите персональных данных в организациях здравоохранения, образования, финансового сектора, государственного управления и других отраслей. Компания имеет лицензии ФСТЭК и ФСБ России.