Федеральный закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных"

(Далее ФЗ "О персональных данных")

КТО ПОПАДАЕТ ПОД ДЕЙСТВИЕ ЗАКОНА

ФЗ "О персональных данных" распространяется на государственные органы, органы местного самоуправления, юридические и физические лиц. В соответствии с этим ФЗ, указанные субъекты являются Операторами  персональных данных (далее по тексту будем называть просто Организация), и на них возлагается обязанность по принятию необходимых и достаточных мер для обеспечения безопасности персональных данных при их обработке.

ЧТО БУДЕТ, ЕСЛИ ЗАКОН НЕ СОБЛЮДАТЬ

Каждая Организация (Оператор) должна осуществлять обработку персональных данных в соответствии с Законом. За нарушение – административный штраф на руководителя – от 500 до 1 000 рублей; на Организацию – от 5 000 до 10 000 рублей.

В Организации должна проводиться политика, направленная на защиту персональных данных, а также на рабочих местах, где производится обработка персональных данных , должны быть установлены сертифицированные средства защиты информации. За нарушение - административный штраф на руководителя – от 1 000 до 2 000 рублей; на Организацию – от 10 000 до 20 000 рублей с конфискацией несертифицированных средств защиты информации или без таковой.

Также предусмотрена уголовная ответственность за незаконное распространение сведений о частной жизни граждан.

ЧТО СТОИТ СДЕЛАТЬ ВО ИСПОЛНЕНИЕ ЗАКОНА

Для выбора способов и средств защиты информации в информационных системах персональных данных и выполнения полного комплекса работ по защите информации нужно:

1.  Назначить должностное лицо из числа сотрудников самой  Организации (п.1.3. Приказа Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"). Если в штате Организации нет специалиста в этой области, то можно назначить ответственного и привлечь Фирму «СИМВОЛ ПРОГРЕСС» или иную компетентную компанию.

2. Далее необходимо самостоятельно или с помощью специалистов провести классификацию информационной системы, в которой обрабатываются Персональные данные. Определить:

v           перечень персональных данных, обрабатываемых Организацией;

v           количество субъектов, чьи персональные данные обрабатываются Организацией;

v           структуру информационной системы;

v           тип информационной системы;

v           наличие подключения к внешним сетям;

v           разграничение прав доступа пользователей информационной системы;

v           и т.п.

3. На основании этих данных и в соответствии с Приказом Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных", комиссией созданной Организацией составляется Акт классификации информационной системы.

Класс, присвоенный информационной системе, является основным показателем, на основании которого будет строиться дальнейшая защита информационной системы Персональных данных.

4. Следующим этапом является внутренняя проверка информационной системы и составление Отчета.

5. Далее разрабатываются Модели угроз, которые возможны в Вашей информационной системе. В Модели угроз определяются все возможные события, которые могут отразиться на безопасности персональных данных в Вашей информационной системе, вероятность их возникновения, а также методы, средства и способы для нейтрализации угроз.

6. На основе этих данных подбирается необходимое сертифицированное аппаратное и программное обеспечение, которое будет обеспечивать защищенное состояние информационной системе. Составляется перечень применяемых средств защиты.

7. В завершение нужно разработать пакет документов в соответствие с вышеуказанным Федеральным Законом. А именно:

v           Перечень персональных данных, обрабатываемых в Организации;

v           Политика информационной безопасности;

v           Концепция информационной безопасности;

v           Положение о защите персональных данных;

v           Согласия субъектов на обработку персональных данных;

v           Приказ о назначении ответственного лица, о создании комиссии;

v           Акт классификации информационной системы;

v           Отчет о проведении внутренней проверки информационной системы;

v           Модель угроз;

v           Перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним;

v           Положение о разграничении прав доступа к обрабатываемым персональным данным;

v           План внутренних проверок по контролю;

v           Инструкции для администратора и пользователей информационной системы;

v           Журналы учета выдачи ключей от защищаемых помещений, сейфов с документацией;

v           Журналы учета выдачи электронных и материальных носителей.

v           Журналы инструктажей по обеспечению безопасности персональных данных;

v           Журналы учета обращений субъектов и выдачи документов.

ПРАКТИКА

По нашей практике реализация вышеописанных мероприятий в Организации с численностью сотрудников 50 человек (чьи персональные  данные необходимо защитить) занимает не менее двух недель рабочего времени двух специалистов (юрист и IT специалист). Результатом является пакет из 32 документов примерно  на 250 страницах.

Можно нанять специализированную  компанию с соответствующей лицензией ФСТЭК и ФСБ. В среднем по Москве это услуга для малого и среднего бизнеса стоит от 600 000 до 900 000 рублей. При этом Вам и Вашим сотрудникам все равно придется участвовать в разработке.

Фирма «СИМВОЛ ПРОГРЕСС» предлагает консультационные услуги (не видим смысла для себя получать лицензии силовых ведомств), при этом по сути выполним ту же работу, только за подписью  сотрудника Вашей организации, чтобы не выходить за рамки требований Закона.