На главнуюПисьмоКарта сайтаКризис: история, приметы, мнения и прогнозы экспертов.


Анализ финансовых показателей банков
Список банков в РФ
Банковский кризис


 




 
 
Banklist - Статьи
Росавтобанк

Мероприятия по защите персональных данных



В соответствии с требованиями, которые изложены в ФЗ и руководящих документах ФСТЭК и ФСБ России, любому оператору персональных данных следует провести ряд мероприятий по созданию необходимых системы защиты:

  • Аудит информационных систем персональных данных:

На этапе обследования информационных систем персональных данных производится назначение ответственных лиц и комиссии, которая будет производить обследование данных систем и проводить их классификацию. В ходе обследования следует обязательно установить следующие параметры информационной системы:

  1. Перечень персональных данных, которые обрабатываются в информационной системе;
  2. Условия расположения объекта информатизации относительно границ контролируемой зоны;
  3. Конфигурация и топология информационной системы;
  4. Степень участия персонала в обработке персональных данных;
  5. Наличие средств защиты персональных данных;
  6. Класс информационной системы персональных данных.
  • Разработка перечней персональных данных и информационных систем персональных данных:

В Перечне персональных данных указываются все возможные персональные данные, которые обрабатываются в организации, с указанием способа их обработки. В Перечне информационных систем персональных данных указываются информационные системы персональных данных, которые были выявлены в ходе проведения обследования информационной системы организации.

  • Разработка модели угроз безопасности персональных данных

На основании Отчета о проведении обследования информационных систем персональных данных, а также руководящих документов ФСТЭК и ФСБ России, в соответствии с Постановлением Правительства Российской Федерации №781 от 27 ноября 2007г. необходимо определить перечень угроз безопасности имеющейся информации при ее обработке в информационной системе персональных данных.

  • Планирование мероприятий по обеспечению безопасности персональных данных

На следующем этапе необходимо спланировать дальнейшие работы по защите персональных данных. При этом необходимо учесть ряд факторов, таких как:

  1. Наличие в организации сотрудников, которые могут выполнить те или иные работы;
  2. Финансирование работ;
  3. Комплексный подход.
  • Разработка документов, регламентирующих обработку персональных данных

На этапе Разработки документации организация самостоятельно или с привлечением специалистов сторонних организаций занимается разработкой необходимого комплекта документов, определяющих порядок обеспечения безопасности персональных данных. Примерный перечень документов, подлежащих разработке:

  1. Инструкция ответственного за обеспечение безопасности персональных данных;
  2. Инструкция администратора безопасности;
  3. Инструкция пользователя информационной системы персональных данных;
  4. Положение о порядке обработки персональных данных без использования средств автоматизации;
  5. Положение о порядке обработки персональных данных с использованием средств автоматизации;
  6. Журнал учета средств защиты информации;
  7. Журнал учета обращений субъектов персональных данных;
  8. Приказы о назначении ответственных, утверждении перечня лиц допущенных к персональным данным, перечня специализированных помещений, где производится обработка персональных данных;
  9. Другие документы, учитывающие специфику деятельности организации.
  • Проектирование системы защиты информации

Проектирование системы защиты информации является одним из наиболее важных этапов создания системы защиты персональных данных. На данном этапе определяется состав необходимых средств защиты информации с учетом конкретных условий функционирования информационной системы персональных данных.

  • Реализация системы защиты персональных данных

После того, как была определена и четко прописана структура будущей системы защиты персональных данных следует произвести закупку всех необходимых средств защиты информации. Первоначально производится установка и настройка средств на отдельные рабочие станции, выделенные в качестве тестовых. В течение определенного промежутка времени проверяется, как взаимодействуют средства защиты информации с системным и прикладным программным обеспечением. В случае, если тестирование проходит успешно, производится установка и настройка средств защиты информации на оставшиеся рабочие станции.

  • Ввод в действие системы защиты персональных данных

На данном этапе производится обучение пользователей работе со средствами защиты информации, вводятся в действие все ранее разработанные организационно-распорядительные документы. Заключительным этапом является аттестация информационной системы персональных данных, которая подтверждает соответствие созданной системы всем требованиям законодательства Российской Федерации по защите персональных данных.

  • Контроль за состояние системы защиты.

Любая система защиты информации требует регулярного контроля. Периодически необходимо проводить проверку корректности настроек средств защиты информации. Также следует своевременно вносить изменения как в организационно-распорядительную документацию, так и в настройки установленных средств защиты информации при кадровых изменениях в организации, изменении в структуре информационной системы, изменении состава технических средств и в других подобных ситуациях.

на начальную - карта сайта - письмо - контакты