С 01 января 2010 года вступают в силу требования Федерального Закона РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных» (ФЗ-152).

Краткий ликбез:

Персональные данные:

• Любая информация, относящаяся к определенному физическому лицу, в том числе его ФИО, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы, другая информация.
• Защите подлежат любые персональные данные, обрабатываемые в организации, как сотрудников, так и Клиентов и третьих лиц, с которыми есть договорные отношения!
• Персональные данные подразделяются на различные классы, но защищать необходимо все персональные данные.

Регулирующие органы выделяют 4 категории персональных данных, где категория 4 – это обезличенные данные, а категория 1 – сведения наивысшей конфиденциальности, например, информация о состоянии здоровья, национальности, религиозных убеждениях субъекта. По данным Роскомнадзора, обработкой персональных данных в России занимается около 7 миллионов организаций. При этом каждая компания, которая использует такую информацию, как больничные листы, личные анкеты сотрудников, сведения о банковском счете, должна обеспечить ее безопасность по наивысшему классу информационных систем персональных данных (ИСПДн).

Кто должен защищать?

Любая организация обязана защищать персональные данные.
Согласно ФЗ-152 «О персональных данных»:
ОПЕРАТОР ПЕРСОНАЛЬНЫХ ДАННЫХ – это государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.

Как защищать?

Организационные меры защиты:

• Обучение персонала, занимающегося персональными данными
• Разработка технологии обеспечения информационной безопасности персональных данных
• Реализация данной технологии разработкой и утверждением нормативно-методических и организационно-распорядительных документов.

Технические меры защиты:

• Системы разграничения прав пользователей
• Средства контроля доступа
• Средства аутентификации и идентификации
• Средства антивирусной защиты
• Исключение недекларируемых возможностей программного обеспечения
• Использование лицензионного программного обеспечения
• Средства криптографической защиты
• Средства защиты от несанкционированного доступа
• Обеспечение отказоустойчивости информационных систем персональных данных
• Средства защиты от утечки по техническим каналам

Как убедиться, что требования Закона выполнены?

• Комплект документов, регламентирующих обработку персональных данных.
• Аттестаты соответствия либо декларации соответствия (в зависимости от класса систем).
• Лицензии ФСТЭК и ФСБ (необходимы в ряде случаев).

В итоге должен быть подготовлен комплект необходимых документов для регулирующих органов с готовностью продемонстрировать соответствие требованиям законодательства по защите персональных данных в процессе проверки.

Кто проверяет и когда начнут?

Россвязькомнадзор, ФСБ, ФСТЭК с 1 января 2010 г.

Что предъявлять проверяющим?

• Комплект внутренних регламентных документов, разработанных в соответствии с требованиями законодательства
• Комплект типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных ,приведенный в соответствие требованиям законодательства
• Аттестаты соответствия информационных систем персональных данных требованиям законодательства, выданные уполномоченной организоацией, либо, в ряде случаев, декларация соответствия
• Лицензии ФСТЭК и ФСБ (если таковые необходимы Вашей организации)
• Сертификаты на средства защиты информации, используемые в информационных системах персональных данных.
• Лицензии на программное обеспечение, используемое в Вашей организации для обработки персональных данных.
• Соответствие предъявляемого комплекта документов фактическому состоянию комплеса защиты информационных систем персональных данных.

Ответственность.

Лица, виновные в нарушении требований ФЗ о персональных данных, несут уголовную, гражданскую, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.

Итак, одним из необходимых условий соблюдения Федерального Закона №152 является соответствие информационных систем, участвующих в обработке персональных данных, требованиям закона. Если раньше ответственность наступала главным образом по статье 146 УК РФ (незаконное использование объектов авторского права), то теперь перечень статей для использоующих нелегальное программное обеспечение существенно вырос.

Наша роль.

Компания «ИТ-Драйв», предлагает Вам привести информационную систему управления Вашим бизнесом в соответствии с требованиями ФЗ-152 с использованием лицензионного программного обеспечения Microsoft и Лаборатории Касперского.
Для корпорации Microsoft и Лаборатории Касперского стратегия создания защищенных информационных систем является одним из приоритетных направлений развития. Продукты обоих вендоров имеют минимальное число обнаруженных уязвимостей среди продуктов своего класса.

Дополнительная информация.

Текст Федерального Закона РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных» (ФЗ-152) доступен здесь

С государственным реестром сертифицированных средств защиты информации можно ознакомиться на официальном сайте ФСТЭК России здесь.

Познакомиться с сертификатами Лаборатории Касперского можно на официальном сайте лаборатории Касперского здесь.

Познакомиться с линейкой сертифицированных продуктов Microsoft можно на официальном сайте Microsoft здесь.