» Новости » Кооперативы Республиканского Союза Кредитных Потребительских Кооперативов Граждан ввели режим безопасности персональных данных, воспользовавшись информационно-консультационной поддержкой ИТ-компании «ФРГ-Система».
Кооперативы Республиканского Союза Кредитных Потребительских Кооперативов Граждан ввели режим безопасности персональных данных, воспользовавшись информационно-консультационной поддержкой ИТ-компании «ФРГ-Система».
К 1 июля 2011 года все юридические и физические лица, использующие в своей деятельности персональные данные в электронном виде, должны осуществить необходимые мероприятия по их защите в соответствии с Федеральным Законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (в редакции Федеральных законов от 25.11.2009 № 266-ФЗ, от 27.12.2009 № 266-ФЗ).
Кто попадает под требования закона?
Под требования Федерального Закона «О персональных данных» попадают практически все организации – коммерческие, государственные, общественные, - которые имеют кадровые службы и владеют персональными данными своих клиентов и сотрудников. Если в организации работает более 1 сотрудника, значит под требования закона такая организация попадает.
Чем грозит неисполнение закона?
Неисполнение требований Федерального Закона «О персональных данных» уже с 1 июля 2011 года чревато довольно серьезными неприятностями. Закон четко гласит, что лица, виновные в его нарушении, несут гражданскую, административную ответственность, предусмотренную законом Российской Федерации, а деятельность организации могут приостановить.
Что делать?
Не нужно ждать, пока «гром грянет», лучше позаботиться о безопасности хранимых персональных данных уже сейчас. Вы не только сможете эффективно защитить свои информационные системы, предохраните свою информационную систему от утечки данных, но и будете готовы к внезапным проверкам контролирующих органов.
Последовательность действий при выполнении требований законодательства по обработке персональных данных:
1. Подача уведомления в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации с перечнем персональных данных;
2. Разработка необходимой документации, регламентирующий режим безопасности персональных данных на предприятии;
3. Предпроектное обследование информационной системы - сбор исходных данных;
4. Классификация системы обработки персональных данных;
5. Построение частной модели угроз с целью определения их актуальности для информационной системы;
6. Разработка частного технического задания на систему защиты персональных данных;
7. Проектирование системы защиты персональных данных;
8. Реализация и внедрение системы защиты персональных данных;
9. Аттестация (сертификация) по требованиям безопасности информации;
10. Сопровождение системы защиты персональных данных.
В первую очередь.
Эксперты признают, что защита персональных данных необходима. Но требования текущего законодательства излишне строги и обременительны для организаций. Чтобы привести информационные системы персональных данных в соответствие требованиям закона, операторам среди прочего необходимо пройти аттестацию оборудования и помещений, участвующих в обработке персональных данных, а также заменить все средства защиты информации на сертифицированные Федеральной службой по техническому и экспортному контролю (ФСТЭК).
Однако, то программное обеспечение, которое уже имеется у большинства предприятий, покрывает значительную часть требований, предъявляемых законодательством. Поэтому, первое, что необходимо сделать на предприятии это – подать уведомление в контролирующий орган и разработать внутреннюю документацию, регламентирующую ведение режима безопасности персональных данных на предприятии.
Организации необходимо подготовить следующие документы:
1. Приказ о назначении лиц, ответственных за защиту информации.
2. Приказ об утверждении помещений, предназначенных для обработки персональных данных и лиц, допущенных в указанные помещения.
3. Положение об обработке и защите персональных данных.
4. Положение о защите помещений, предназначенных для обработки персональных данных.
5. Инструкция по учету съемных носителей.
6. Инструкция по резервированию средств защиты информации.
7. Перечень персональных данных, которыми оперирует предприятие;
8. Перечень информационных систем персональных данных (ИСПДН).
9. Приказ о создании комиссии по классификации информационных систем персональных данных.
10. Акт классификации информационных систем персональных данных.
11. Частная модель угроз информационных систем персональных данных.
12. Отчет о внутренней проверке информационных систем персональных данных.
13. Декларация о соответствии информационных систем персональных данных.
14. Руководство администратора информационных систем персональных данных.
15. Руководство пользователя информационных систем персональных данных.
16. Форма акта об уничтожении персональных данных на съемных носителях.
17. Перечень эксплуатационной и технической документации применяемых средств защиты информации.
18. Журнал ознакомления с приказами о ведении режима безопасности персональных данных.
19. Форма обязательства о неразглашении информации, содержащей персональные данные.
Перечень необходимых документов достаточно большой и содержание документов зависит от текущего информационно-технического состояния организации. А для предприятий, в штате которых нет юристов и ИТ-специалистов, самостоятельно разработать документацию и внедрить средства защиты информации затруднительно. Поэтому организации находят выход из такой ситуации в привлечении сторонней фирмы-консультанта.
Стоимость.
На сегодня у ИТ-компании «ФРГ-Система» более тридцати реализованных проектов по защите персональных данных. В основном услугами воспользовались кооперативы, входящие в Республиканский Союз Кредитных Потребительских Кооперативов Граждан. Минимальная стоимость информационно-консультационных услуг по вводу режима безопасности персональных данных составляет 10000 р. В эту стоимость входит предпроектное обследование информационной системы - сбор исходных данных, помощь в подаче уведомления в контролирующий орган, разработке всей необходимой документации, в том числе классификации системы обработки персональных данных и частной модели угроз.
Подробнее о процессе ввода режима безопасности персональных данных вы можете узнать по телефону: 8-908-301-29-82 (Кириллов Алексей Сергеевич) или отправить Ваш вопрос по адресу: [email protected]. |
|
|
|
