Практически все информационные системы хранят и обрабатывают данные о людях, такие как: фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, информация о доходах и другие сведения о персоне.

В соответствии с Федеральным Законом № 152-ФЗ «О персональных данных», такая информация отнесена к категории Персональных данных (ПДн). Закон определяет и понятие «Оператор персональных данных»: «… - государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание такой обработки».

Все информационные системы, в которых обрабатываются персональные данные, должны быть приведены в соответствие с требованиями Закона «О персональных данных» к 1 июля 2011 г.

Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении положения об обеспечении безопасности ПДн при их обработке в ИС персональных данных», нормативные и методические документы ФСТЭК России ФСБ России регламентирует порядок реализации Оператором обязательных мер по обеспечение безопасности ПДн.

Согласно этим документам, обеспечение безопасности ПДн является неотъемлемой частью работ по созданию и поддержке информационных систем. Закон обязывает Оператора ПДн принимать организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Для обеспечения безопасности ПДн нормативными документами определен комплекс мер, включающий:

• определение угроз безопасности ПДн и формирование модели угроз;
• разработку, на основе модели угроз, системы защиты ПДн;
• проверку готовности средств защиты информации к использованию;
• обучение персонала правилам работы со средствами защиты;
• учет применяемых средств защиты информации и носителей ПДн;
• учет лиц, допущенных к работе с ПДн;
• контроль соблюдения условий эксплуатации средств защиты информации;
• реагирование на нарушение режима защиты ПДн.

Предприятия малого и среднего бизнеса постоянно вынуждены работать с персональными данными своих сотрудников и клиентов. Особенно остра эта проблема в следующих сферах:

• Деятельность муниципальных учреждений
• Медицина и рекреация
• ЖКХ и бытовое обслуживание
• Образование и юридические услуги
• Почтовые рассылки и электронная коммерция
• Строительство и недвижимость
• Автосервис и автотрейдинг
• Инвестиции и финансы
• Консалтинг и аудит
• Издательство и печать

При этом, у небольших компаний зачастую нет ни IT-департаментов, ни выделенного штатного сотрудника, занимающегося информационной безопасностью. Но субъекта персональных данных не интересует, крупное или малое предприятие занято обработкой его данных. При противоправных действиях с такой информацией и в том, и в другом случае ему может быть причинен ущерб. Да и Закон ориентируется на защиту интересов субъекта, а не на размер бизнеса оператора Персональных данных.

Информационные системы, обрабатывающие ПДн (ИСПДн), в зависимости от категории и объема обрабатываемых персональных данных, а также угроз безопасности жизненно важным интересам личности (то есть от потенциального ущерба (негативных последствий), который может быть нанесён гражданам (субъектам персональных данных) делятся на классы от К1 до К4. Чем выше класс ИСПДн, тем более жёсткие требования предъявляются к обеспечению безопасности обрабатываемых в них ПДн.

Категория персональных данных определяется в соответствии с таблицей

Класс ИСПДн определяется в соответствии с таблицей:

Работы по созданию системы защиты персональных данных (СЗПДн) обычно включают:

• комплексное обследование (аудит) ИСПДн, разработку модели угроз в соответствии с регламентирующими документами;
• разработку предложений по классификации ИСПДн (проекта акта классификации ИСПД);
• разработку требований к СЗПДн для конкретной ИСПДн, с учетом присвоенного класса защиты;
• разработку и внедрение СЗПДн в соответствии с требованиями нормативных документов;
• аттестацию ИСПДн на соответствие требованиям по защите ПДн;
• консультирование по вопросам применения требований по защите персональных данных.

Законом и соответствующими нормативными актами предусмотрена необходимость разработки комплекта организационно-распорядительных документов, регламентирующих работу системы защиты ПДн, и определяющих организационные меры защиты. Оператор персональных данных может разработать их самостоятельно, используя комплект шаблонов таких документов, либо может заказать разработку в специализированной организации.

Для лиц, виновных в нарушении или ненадлежащем выполнении требований по защите персональных данных, законодательством РФ предусмотрены различные виды ответственности. Ниже приведены некоторые примеры.

Информация предоставлена Департаментом поддержки и развития малого и среднего предпринимательства г. Москвы

Взято с http://www.sec.ru