Основные задачи для обеспечения безопасности информационных систем персональных данных:
- предотвращение несанкционированного доступа (НСД) к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
- своевременное обнаружение фактов НСД к ПДн;
- недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
- обеспечение возможности незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним;
- постоянный контроль за обеспечением уровня защищенности ПДн.
Согласно Федеральному закону № 152-ФЗ «О персональных данных» каждая организация обязана обеспечить защиту персональных данных своих сотрудников, контрагентов и граждан. Несоблюдение закона может иметь следующие последствия:
- штраф до 300 000 рублей;
- гражданские иски со стороны сотрудников;
- направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных;
- блокировка информационной системы;
- увольнение руководителя.
Выполнение комплекса мероприятий по защите персональных данных позволяет достичь:
- Снижение риска потери (уничтожения, искажения) важной информации.
- Минимизацию штрафов, санкций и рисков административной и уголовной ответственности.
- Упрощение прохождения плановых проверок, сокращение жалоб и внеплановых проверок Роскомнадзора, ФСТЭК.
- Автоматизации процессов защиты информации.
- Оптимизации затрат оператора на внедрение решений по защите персональных данных.
- Интеграции системы защиты информации в бизнес-процессы организации.
- Соответствие требованиям Федеральных законов №149-ФЗ и №152-ФЗ.
Этапы создания системы защиты персональных данных
Выделяют следующие этапы построения систем защиты персональных данных:
СТАДИЯ 1
1. ОБСЛЕДОВАНИЕ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
Для получения актуальной информации о процессах обработки и защиты персональных данных в организации, а также для анализа соответствия документов компании, нормативной базе в области защиты персональных данных, проводят предпроектное обследование.
2. РАЗРАБОТКА КОНЦЕПЦИИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ И ВЫРАБОТКА РЕКОМЕНДАЦИЙ ПО ОПТИМИЗАЦИИ ПРОЦЕССОВ ОБРАБОТКИ И ЗАЩИТЫ ИНФОРМАЦИИ
На данном этапе оцениваются варианты реализации проекта, устанавливаются сроки, выявляются проблемные вопросы и предлагаются варианты решений, устанавливается перечень и стоимость технических и программных средств, которые будут использоваться.
3. ОПРЕДЕЛЕНИЕ УРОВНЯ ЗАЩИЩЕННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Формируется состав персональных данных, количество субъектов персональных, определяется актуальные угрозы безопасности. В результате полученной информации определяется уровень защищенности персональных данных.
4. РАЗРАБОТКА МОДЕЛИ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ И МОДЕЛИ НАРУШИТЕЛЯ
Формируется перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Угрозы обусловлены преднамеренными или непреднамеренными действиями физических лиц, действиями зарубежных спецслужб или организаций, а также криминальных группировок, создающих условия (предпосылки) для нарушения безопасности персональных данных, которое ведет к ущербу жизненно важным интересам Общества, субъектов ПДн и государства.
5. РАЗРАБОТКА ТЕХНИЧЕСКОГО ЗАДАНИЯ НА СОЗДАНИЕ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Данный документ определяет назначение системы, требования к техническому и программному ПО, а также порядок разработки внедрения системы защиты персональных данных.
6. ПРОЕКТИРОВАНИЕ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Целью работы является разработка технического проекта на систему защиты информационных систем, обрабатывающих персональные данные, с учетом требований нормативных документов по защите персональных данных.
7. РАЗРАБОТКА КОМПЛЕКТА ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНОЙ ДОКУМЕНТАЦИИ
Для приведения процессов организации обработки и защиты персональных данных в соответствие с действующим законодательством, необходим комплект организационно-распорядительных документов, которые регламентируют процесс обработки и защиты ПДн.
СТАДИЯ 2
1. ПОСТАВКА СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
Поставка средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации.
2. УСТАНОВКА И НАСТРОЙКА СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
Установка и настройка средств защиты информации с условием обеспечения корректности функционирования информационной системы персональных данных и совместимостью выбранных средств защиты информации с программным обеспечением и техническими средствами информационной системы персональных данных.
СТАДИЯ 3
1. ОЦЕНКА ЭФФЕКТИВНОСТИ ПРИНИМАЕМЫХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
До ввода в эксплуатацию информационную систему персональных данных проводится оценка эффективности, которая позволяет определить, насколько продуктивно функционирует система, справляются ли меры защиты.
2. АТТЕСТАЦИЯ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Для подтверждения соответствия информационной системы защиты персональных данных требованиям безопасности информации проводится аттестация
Компания ООО «НВК «Космософт» предлагает услуги по проведению комплекса мероприятий технического, организационного и организационно-технического характера, направленных на защиту ПД. Результатом работ компании ООО «НВК «Космософт» по защите персональных данных является эффективная система защиты персональных данных, повышающая общий уровень информационной безопасности организации, а также соответствующая требованиям законодательства в области защиты персональных данных. Подробнее об услугах здесь.