Защита персональных данных
Защи́та персональных данных — комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
Защита персональных данных включена в раздел охраны труда на предприятии, является самостоятельным элементом. Государство гарантирует работникам защиту их персональных данных, а также их права на труд, с учетом использования их персональных данных (например, паспорт).
Рекомендуемые сокращения для публикаций
- ПД - Персональные Данные
- ОПД - Обработка Персональных Данных
- ЗПД - Защита Персональных Данных
- ПОПД - общие Правила Обработки Персональных Данных (используется в формах на сайтах "Согласие с ПОПД")
Этапы работ по защите персональных данных
Обязательные (в том числе предварительные) этапы работ по защите персональных данных:
- Определить все ситуации, когда требуется проводить обработку персональных данных ..
- Выделить бизнес-процессы, в которых обрабатываются персональные данные.
- Выбрать ограниченное число бизнес-процессов для проведения аналитики. На этом этапе формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности.
- Определить круг информационных систем и совокупность обрабатываемых ПДн.
- Провести категорирование ПДн и предварительную классификацию информационных систем (ИС).
- Выработать меры по снижению категорий обрабатываемых ПДн.
- Сформировать актуальную модель угроз для каждой информационной системы обработки персональных данных (ИСПДн).
- Подготовить техническое задание (ТЗ) по созданию требуемой системы защиты.
- Провести уточнение классов ИС, с последующей подготовкой рекомендаций по использованию технических средств защиты ПДн.
- Подать уведомление о начале обработки персональных данных в Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) для регистрации в качестве оператора ПДн.
- Отправить заявку на получение экземпляров руководящих документов ФСТЭК России по организации системы защиты.
- Разработать требования для конкретной ИСПДн, с учетом присвоенного класса защиты.
- Подготовить технический проект по защите ИСПДн и помещений.
- Разработать пакет организационно-распорядительных документов для СЗПДн (положения, приказы, инструкции, регламенты);
- Спроектировать и внедрить систему защиты персональных данных (СЗПДн);
- Взять согласия на обработку ПДн с субъектов персональных данных;
- Проводить контрольные мероприятия по выявлению нарушений защиты персональных данных.
Проверить при трансграничной передаче находится ли получатель персональных данных в стране, где осуществляется надлежащая защита персональных данных.
В ЕС
В РФ
В Российской Федерации защита персональных данных сводится к созданию режима обработки персональных данных, включающего:
- Создание внутренней документации по работе с персональными данными.
- Создание организационной системы защиты персональных данных.
- Внедрение технических мер защиты.
- Получение лицензий регулирующих органов (ФСБ, ФСТЭК). Лицензия ФСТЭК России на Техническую защиту конфиденциальной информации нужна только в случае если организация оказывает услуги по созданию системы защиты персональных данных для других лиц. При создании системы защиты персональных данных силами организации (для собственных нужд) как техническими средствами, так и организационными — данная лицензия не нужна.
- Получение сертификатов регулирующих органов (ФСБ, ФСТЭК) на средства защиты информации.
См. также
- Обработка персональных данных
- Оператор персональных данных
- Неприкосновенность частной жизни
- Права человека
- Тайна связи
- Федеральный закон «О персональных данных» (РФ)
- Информационное самоопределение
Ссылки
- Евгений Царев [Персональные данные. Будни банковской безопасности]
- www.rsoc.ru Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций
- www.fsb.ru Федеральная служба безопасности
- www.fstec.ru Федеральная служба по техническому и экспортному контролю
- Технические средства защиты от утечек, применение которых регламентируется ст. 2 Постановления Правительства РФ, № 781, от 17 ноября 2007.
- Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. N 58 г. Москва «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»
- ГОСТ 34.602-89 Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы
- Постановление Правительства № 781 от 17 ноября 2007 года «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»