В связи с усилением к концу года ажиотажа, связанного с процессом обработки персональных данных, который, в соответствии с Федеральным законом №152 «О персональных данных», до 1 января 2009 года должен быть приведен в соответствие с требованиями данного закона, встает вопрос, с чего начать и что делать?

В первую очередь необходимо ознакомиться с нормативной базой, в которой расписаны предъявляемые требования к информационной системе, обрабатывающей персональные данные.

Нормативная база:

• Указ Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
• ФЗ от 19 декабря 2005 г. №160-ФЗ «О ратификации Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных»;
• ФЗ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
• Постановление Правительства РФ от 17 ноября 2007 г. № 781, утверждающее «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Совместный приказ от 13. 02. 2008 г. № 55/86/20 ФСТЭК, ФСБ, Мининформсвязь, утверждающий «Порядок проведения классификации информационных систем персональных данных»;
• Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

Во-вторых, в соответствии с ФЗ «О персональных данных», необходимо направить уведомление в территориальный орган Управления РосСвязьКомНадзора о том, что вы являетесь оператором и обрабатываете персональные данные. Это необходимо для того, чтобы внести вас в реестр операторов, осуществляющих обработку персональных данных (Приказ Россвязькомнадзора от 28 марта 2008 г. № 154).

Предварительно потребуется:
- проанализировать персональные данные, которые вы обрабатываете.
- провести классификацию вашей информационной системы в соответствии с совместным приказом от 13. 02. 2008 г. № 55/86/20.

Примерную форму заполнения
- для коммерческих организаций можно скачать отсюда.
- для государственного органа можно скачать отсюда.
- для муниципального органа и образовательного учреждения можно скачать отсюда.

Далее необходимо разработать частную модель угроз безопасности информационной системы персональных данных и определения актуальных угроз, на основе методических документов «базовой модели угроз безопасности информационной системы персональных данных» и «методики определения актуальных угроз».

Методические документы

• «Базовой модель угроз безопасности информационной системы персональных данных (ФСТЭК)» – Скачать.
• «Методика определения актуальных угроз (ФСТЭК)» – Скачать.
• «Рекомендации по обеспечению безопасности персональных данных при их обработке в ИСПДн (ФСТЭК)» – Скачать.
• «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн (ФСТЭК)» – Скачать.
• «Методические рекомендации по обеспечению безопасности ИСПДн с помощью криптосредств (ФСБ)» – Скачать.
• «Типовые требования организации криптозащиты (ФСБ)» – Скачать.

После разработки данных моделей, на их основе необходимо будет разработать соответствующую организационно-распорядительную документацию по организации защиты информационной системы обработки персональных данных.

Полезно:
Персональные данные: классификация ИСПДн.
Персональные данные: основные мероприятия по обеспечению безопасности.

Все вопросы по данной теме можно обсудить у нас на форуме.

C0ffe1n ПДн/ИСПДн, правовые основы нормативная база, персональные данные