Главная > безопасность, ПДн/ИСПДн, правовые основы, Теория > Безопасность: Информационная система персональных данных (ИСПДн).

Безопасность: Информационная система персональных данных (ИСПДн).

В связи с усилением к концу года ажиотажа, связанного с процессом обработки персональных данных, который, в соответствии с Федеральным законом №152 «О персональных данных», до 1 января 2009 года должен быть приведен в соответствие с требованиями данного закона, встает вопрос, с чего начать и что делать?

В первую очередь необходимо ознакомиться с нормативной базой, в которой расписаны предъявляемые требования к информационной системе, обрабатывающей персональные данные.

Нормативная база:

  • Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
  • ФЗ от 19 декабря 2005 г. №160-ФЗ «О ратификации Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных»;
  • ФЗ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
  • Постановление Правительства РФ от 17 ноября 2007 г. № 781, утверждающее «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Совместный приказ от 13. 02. 2008 г. № 55/86/20 ФСТЭК, ФСБ, Мининформсвязь, утверждающий «Порядок проведения классификации информационных систем персональных данных»;
  • Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

Во-вторых, в соответствии с ФЗ «О персональных данных», необходимо направить уведомление в территориальный орган Управления РосСвязьКомНадзора о том, что вы являетесь оператором и обрабатываете персональные данные. Это необходимо для того, чтобы внести вас в реестр операторов, осуществляющих обработку персональных данных (Приказ Россвязькомнадзора от 28 марта 2008 г. № 154).

Предварительно потребуется:

  • проанализировать персональные данные, которые вы обрабатываете.
  • провести классификацию вашей информационной системы в соответствии с совместным приказом от 13. 02. 2008 г. № 55/86/20.

Примерную форму заполнения

  • для коммерческих организаций можно скачать отсюда.
  • для государственного органа можно скачать отсюда.
  • для муниципального органа и образовательного учреждения можно скачать отсюда.

Далее необходимо разработать частную модель угроз безопасности информационной системы персональных данных и определения актуальных угроз, на основе методических документов «базовой модели угроз безопасности информационной системы персональных данных» и «методики определения актуальных угроз».

Методические документы

  • «Базовой модель угроз безопасности информационной системы персональных данных (ФСТЭК)» – Скачать.
  • «Методика определения актуальных угроз (ФСТЭК)» – Скачать.
  • «Рекомендации по обеспечению безопасности персональных данных при их обработке в ИСПДн (ФСТЭК)» – Скачать.
  • «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн (ФСТЭК)» – Скачать.
  • «Методические рекомендации по обеспечению безопасности ИСПДн с помощью криптосредств (ФСБ)» – Скачать.
  • «Типовые требования организации криптозащиты (ФСБ)» – Скачать.

После разработки данных моделей, на их основе необходимо будет разработать соответствующую организационно-распорядительную документацию по организации защиты информационной системы обработки персональных данных.

Полезно:

UPDATE: К сожалению, все ссылки на скачивание умерли. Но по просьбе можно попробовать восстановить.

Пожалуйста, оцените полезность и качество данной статьи. Одна звезда - плохо, 5 - хорошо.
1/5. Мы будем признательны, если вы напишете комментарий с причиной низкой оценки.2/5. Мы будем признательны, если вы напишете комментарий с причиной низкой оценки.3/5. Мы будем признательны, если вы напишете комментарий с причиной низкой оценки.4/5.5/5. (1 голосов, средний: 5,00 из 5)
Loading...
  1. Пока что нет комментариев.
  1. Пока что нет уведомлений.