В связи с усилением к концу года ажиотажа, связанного с процессом обработки персональных данных, который, в соответствии с Федеральным законом №152 «О персональных данных», до 1 января 2009 года должен быть приведен в соответствие с требованиями данного закона, встает вопрос, с чего начать и что делать?
В первую очередь необходимо ознакомиться с нормативной базой, в которой расписаны предъявляемые требования к информационной системе, обрабатывающей персональные данные.
Нормативная база:
- Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
- ФЗ от 19 декабря 2005 г. №160-ФЗ «О ратификации Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных»;
- ФЗ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Постановление Правительства РФ от 17 ноября 2007 г. № 781, утверждающее «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Совместный приказ от 13. 02. 2008 г. № 55/86/20 ФСТЭК, ФСБ, Мининформсвязь, утверждающий «Порядок проведения классификации информационных систем персональных данных»;
- Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Во-вторых, в соответствии с ФЗ «О персональных данных», необходимо направить уведомление в территориальный орган Управления РосСвязьКомНадзора о том, что вы являетесь оператором и обрабатываете персональные данные. Это необходимо для того, чтобы внести вас в реестр операторов, осуществляющих обработку персональных данных (Приказ Россвязькомнадзора от 28 марта 2008 г. № 154).
Предварительно потребуется:
- проанализировать персональные данные, которые вы обрабатываете.
- провести классификацию вашей информационной системы в соответствии с совместным приказом от 13. 02. 2008 г. № 55/86/20.
Примерную форму заполнения
- для коммерческих организаций можно скачать отсюда.
- для государственного органа можно скачать отсюда.
- для муниципального органа и образовательного учреждения можно скачать отсюда.
Далее необходимо разработать частную модель угроз безопасности информационной системы персональных данных и определения актуальных угроз, на основе методических документов «базовой модели угроз безопасности информационной системы персональных данных» и «методики определения актуальных угроз».
Методические документы
- «Базовой модель угроз безопасности информационной системы персональных данных (ФСТЭК)» – Скачать.
- «Методика определения актуальных угроз (ФСТЭК)» – Скачать.
- «Рекомендации по обеспечению безопасности персональных данных при их обработке в ИСПДн (ФСТЭК)» – Скачать.
- «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн (ФСТЭК)» – Скачать.
- «Методические рекомендации по обеспечению безопасности ИСПДн с помощью криптосредств (ФСБ)» – Скачать.
- «Типовые требования организации криптозащиты (ФСБ)» – Скачать.
После разработки данных моделей, на их основе необходимо будет разработать соответствующую организационно-распорядительную документацию по организации защиты информационной системы обработки персональных данных.
UPDATE: К сожалению, все ссылки на скачивание умерли. Но по просьбе можно попробовать восстановить.