Защита персональных данных

Защи́та персона́льных да́нных — комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Этапы работ по защите персональных данных

Обязательные (в том числе предварительные) этапы работ по защите персональных данных:

• Определить все ситуации, когда требуется проводить обработку персональных данных (ПДн).
• Выделить бизнес-процессы, в которых обрабатываются персональные данные.
• Выбрать ограниченное число бизнес-процессов для проведения аналитики. На этом этапе формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности.
• Определить круг информационных систем и совокупность обрабатываемых ПДн.
• Провести категорирование ПДн и предварительную классификацию информационных систем (ИС).
• Выработать меры по снижению категорий обрабатываемых ПДн.
• Сформировать актуальную модель угроз для каждой информационной системы обработки персональных данных (ИСПДн).
• Подготовить техническое задание (ТЗ) по созданию требуемой системы защиты.
• Провести уточнение классов ИС, с последующей подготовкой рекомендаций по использованию технических средств защиты ПДн.
• Подать уведомление о начале обработки персональных данных в Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) для регистрации в качестве оператора ПДн.
• Отправить заявку на получение экземпляров руководящих документов ФСТЭК России по организации системы защиты.
• Разработать требования для конкретной ИСПДн, с учетом присвоенного класса защиты.
• Подготовить технический проект по защите ИСПДн и помещений.
• Разработать пакет организационно-распорядительных документов для СЗПДн (положения, приказы, инструкции, регламенты).
• Спроектировать и внедрить систему защиты персональных данных (СЗПДн);
• Взять согласия на обработку ПДн с субъектов персональных данных;
• Проводить контрольные мероприятия по выявлению нарушений защиты персональных данных.

Проверить при трансграничной передаче находится ли получатель персональных данных в стране, где осуществляется надлежащая защита персональных данных.

Создание режима защиты персональных данных

В российской традиции, защита персональных данных сводится к созданию режима обработки персональных данных, включающего:

• Создание внутренней документации по работе с персональными данными
• Создание организационной системы защиты персональных данных
• Внедрение технических мер защиты
• Получение лицензий регулирующих органов (ФСБ, ФСТЭК). Лицензия ФСТЭК России на Техническую защиту конфиденциальной информации нужна только в случае если организация оказывает услуги по созданию системы защиты персональных данных для других лиц. При создании системы защиты персональных данных силами организации (для собственных нужд) как техническими средствами, так и организационными — данная лицензия не нужна
• Получение сертификатов регулирующих органов (ФСБ, ФСТЭК) на средства защиты информации

При построении системы защиты персональных данных необходимо применять только сертифицированные средства защиты информации.

Источники

• Евгений Царев [Персональные данные. Будни банковской безопасности]
• ГОСТ 34.602-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы
• Приказ ФСТЭК, ФСБ, Мининформсвязи №55/86/20 от 13.02.2008 г. «Об утверждении порядка проведения классификации информационных систем персональных данных»
• Постановление Правительства №781 от 17 ноября 2007 года «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
• Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»

См. также

	Защита конфиденциальных данных и анонимность в интернете в Викиучебнике?

• Персональные данные
• Согласие на обработку персональных данных
• Обработка персональных данных
• Оператор персональных данных
• Субъект персональных данных
• Технические средства защиты от утечек, применение которых регламентируется ст. 2 Постановления Правительства РФ, № 781, от 17 ноября 2007.
• Неприкосновенность частной жизни
• Права человека
• Тайна связи
• Федеральный закон «О персональных данных» (РФ)
• Информационное самоопределение
• Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. N 58 г. Москва «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»

Ссылки

• www.rsoc.ru Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций
• www.fsb.ru Федеральная служба безопасности
• www.fstec.ru Федеральная служба по техническому и экспортному контролю

Эта статья или раздел описывает ситуацию применительно лишь к одному региону (Россия). Вы можете помочь Википедии, добавив информацию для других стран и регионов.

Для улучшения этой статьи желательно?: Исправить статью согласно стилистическим правилам Википедии. Проставив сноски, внести более точные указания на источники.