- 1. На які закони треба посилатися при обговоренні з керівництвом підприємства питань захисту ПД? Де...
- 2. Де можна отримати відповіді на питання, пов'язані з дотриманням вимог законодавства щодо захисту ПД?
- 3. Як визначити категорію персональних даних, які обробляються на підприємстві?
- 4. Як класифікувати ІСПДн? Які відносяться до типових а які до спеціальних?
- 5. В яких випадках підприємство зобов'язане повідомляти Россвязькомнадзор про обробку ПД, а в яких ні?
- 6. Як подати повідомлення в Россвязькомнадзор? До кого звернутися якщо є питання при заповненні повідомлення?...
- 7. Ми визначили клас ІСПДн нашого підприємства. Де знайти перелік вимог по ІБ, які є обов'язковими...
- 8. Ми визначили, що ІСПДн нашого підприємства відноситься до класу спеціальних. Як провести аналіз...
- 9. Які організаційні заходи щодо забезпечення безпеки ПД треба зробити? Що треба зробити в першу чергу,...
- 10. Як реалізовувати технічні заходи щодо захисту ПД на основі сформованих вимог?
- 11. Де знайти перелік сертифікованих засобів захисту інформації?
- 12. Коли проводять атестацію ІСПДн і яким чином?
- 13. Чи потрібно отримувати ліцензії при реалізації технічного захисту конфіденційної інформації та...
- На які закони треба посилатися при обговоренні з керівництвом підприємства питань захисту ПД? Де знайти інформацію про ці закони? >>
- Де можна отримати відповіді на питання, пов'язані з дотриманням вимог законодавства щодо захисту ПД? >>
- Як визначити категорію персональних даних, які обробляються на підприємстві? >>
- Як класифікувати ІСПДн? Які відносяться до типових, а які до спеціальних? >>
- У яких випадках підприємство зобов'язане повідомляти Россвязькомнадзор про обробку ПД, а в яких ні? >>
- Як подати повідомлення в Россвязькомнадзор? До кого звернутися якщо є питання при заповненні повідомлення? >>
- Ми визначили клас ІСПДн нашого підприємства. Де знайти перелік вимог по ІБ, які є обов'язковими для даного класу? >>
- Ми визначили клас ІСПДн нашого підприємства. Де знайти перелік вимог по ІБ, які є обов'язковими для даного класу? >>
- Які організаційні заходи щодо забезпечення безпеки ПД треба зробити? Що треба зробити в першу чергу, що можна зробити пізніше? >>
- Як реалізовувати технічні заходи щодо захисту ПД на основі сформованих вимог? >>
- Де знайти перелік сертифікованих засобів захисту інформації? >>
- Коли проводять атестацію ІСПДн і яким чином? >>
- Чи потрібно отримувати ліцензії при реалізації технічного захисту конфіденційної інформації та впровадження криптографічних засобів? >>
- категорія 1 ПД, що стосуються расової, національної приналежності, політичних поглядів, релігійних і філософських
переконань, стану здоров'я, інтимного життя; - категорія 2 ПД, що дозволяють ідентифікувати суб'єкта ПД і отримати про нього додаткову інформацію, за винятком
ПД, що відносяться до категорії 1; - категорія 3 персональні дані, що дозволяють ідентифікувати суб'єкта ПД;
- категорія 4 знеособлені і (або) загальнодоступні ПД.
- інформаційні системи, в яких обробляються персональні дані, що стосуються стану здоров'я суб'єктів персональних даних;
- інформаційні системи, в яких передбачено прийняття на підставі виключно автоматизованої обробки персональних даних рішень, що породжують юридичні наслідки щодо суб'єкта персональних даних або іншим чином зачіпають його права і законні інтереси.
- що відносяться до суб'єктів персональних даних, яких пов'язують з оператором трудові відносини;
- отриманих оператором у зв'язку з укладенням договору, стороною якого є суб'єкт персональних даних, якщо персональні дані не поширюються, а також не надаються третім особам без згоди суб'єкта персональних даних і використовуються оператором виключно для виконання зазначеного договору та укладення договорів з суб'єктом персональних даних;
- що відносяться до членів (учасників) громадського об'єднання чи релігійної організації та оброблюваних відповідними громадським об'єднанням або релігійною організацією, які діють відповідно до законодавства Російської Федерації, для досягнення законних цілей, передбачених їх установчими документами, за умови, що персональні дані не будуть поширюватися без згоди в письмовій формі суб'єктів персональних даних;
- є загальнодоступними персональними даними;
- включають в себе тільки прізвища, імена та по батькові суб'єктів персональних даних;
- необхідних в цілях одноразового пропуску суб'єкта персональних даних на територію, на якій знаходиться оператор, або в інших аналогічних цілях;
- включених в інформаційні системи персональних даних, що мають відповідно до федеральними законами статус федеральних автоматизованих інформаційних систем, а також до державних інформаційні системи персональних даних, створені з метою захисту безпеки держави та громадського порядку;
- оброблюваних без використання засобів автоматизації відповідно до федеральними законами або іншими нормативно-правовими актами Російської Федерації, що встановлюють вимоги до забезпечення безпеки персональних даних при їх обробці і до дотримання прав суб'єктів персональних даних.
- «Методика визначення актуальних загроз безпеки персональних даних при їх обробці в інформаційних системах персональних даних».
- «Базова модель загроз безпеки персональних даних при їх обробці в інформаційних системах персональних даних».
- обмеження доступу до персональних даних;
- визначення кола осіб, допущеного до обробки персональних даних, контроль обробки персональних даних;
- встановлення персональної відповідальності за порушення правил обробки персональних даних;
- організація доступу в приміщення, де здійснюється обробка персональних даних.
1. На які закони треба посилатися при обговоренні з керівництвом підприємства питань захисту ПД? Де знайти інформацію про ці закони?
Наша взаимовыгодная связь https://banwar.org/
Посилатися потрібно в першу чергу на такі нормативно-правові акти:
Методичні документи регуляторів:
2. Де можна отримати відповіді на питання, пов'язані з дотриманням вимог законодавства щодо захисту ПД?
Можна надіслати офіційні запити і листи контролюючим органам:
Також можна (і часто доцільніше) звернутися до спеціалізованих компанія, що займається захистом персональних даних.
3. Як визначити категорію персональних даних, які обробляються на підприємстві?
Законом встановлено такі категорії ПД:
Для того щоб визначити, яка категорія обробляється кожної конкретної ІСПДн (інформаційною системою персональних даних), підприємствам необхідно провести обстеження всього підприємства і виявити всі свої ІСПДн. Крім кадрової, бухгалтерської системи, ІСПДн можуть бути додатки підтримки основних бізнес-процесів (автоматизована банківська система, автоматизована система розрахунку за послуги оператора зв'язку, бази договорів в страхових компаніях, електронні історії хвороб в медустановах і т. П.).
4. Як класифікувати ІСПДн? Які відносяться до типових а які до спеціальних?
Класифікувати слід згідно з Наказом ФСТЕК, ФСБ, Мінінформзв'язку № 55/86/20 «Про затвердження порядку проведення класифікації інформаційних систем персональних даних»
Типові інформаційні системи - інформаційні системи, в яких потрібне забезпечення тільки конфіденційності
персональних даних.
Спеціальні інформаційні системи - інформаційні системи, в яких незалежно від необхідності забезпечення конфіденційності персональних даних потрібно забезпечити хоча б одну з характеристик безпеки персональних даних, відмінну від конфіденційності (захищеність від знищення, перекручення, блокування, а також інших несанкціонованих дій).
До спеціальних інформаційних систем повинні бути віднесені:
Більшість ІСПДн будуть ставитися до спеціальних, а відповідно до закону «Про персональні дані»: «Оператор при обробці персональних даних зобов'язаний приймати необхідні організаційні та технічні заходи, в тому числі використовувати шифрувальні (криптографічні) кошти, для захисту персональних даних від неправомірного або випадкового доступу до них, знищення, перекручення, блокування, копіювання, поширення персональних даних, а також від інших неправомірних дій »до спеціальних ІСПДн можна віднести все ІСПДн.
5. В яких випадках підприємство зобов'язане повідомляти Россвязькомнадзор про обробку ПД, а в яких ні?
Відповідно до закону «Про персональні дані»:
Оператор має право здійснювати без повідомлення уповноваженого органу з захисту прав суб'єктів персональних даних обробку
персональних даних:
Але навіть якщо оператор не повинен повідомляти Россвязькомнадзор, він зобов'язаний захищати персональні дані.
6. Як подати повідомлення в Россвязькомнадзор? До кого звернутися якщо є питання при заповненні повідомлення?
Форму та рекомендації щодо заповнення повідомлення можна подивитися на сайті Россвязькомнадзора. Туди ж можна звернутися з питань її заповнення.
Повідомлення має бути направлено в письмовій формі і підписана уповноваженою особою або направлено в електронній формі та підписане електронним цифровим підписом відповідно до законодавства Російської Федерації.
7. Ми визначили клас ІСПДн нашого підприємства. Де знайти перелік вимог по ІБ, які є обов'язковими для даного класу?
Система захисту повинна розроблятися на підставі моделі загроз (модель загроз розробляється і для спеціальних, і для типових
ІСПДн).
Для типових систем заходи щодо захисту ПДН в рамках підсистем: управління доступом, реєстрації та обліку, забезпечення цілісності, криптографічного захисту, антивірусного захисту, виявлення вторгнень визначені в документі ФСТЕК Росії - «Основні заходи щодо організації та технічного забезпечення безпеки персональних даних, які обробляються в ІСПДн », замовити його можна в територіальному управлінні ФСТЕК.
При використанні оператором криптографічних засобів при забезпеченні захисту персональних даних потрібно також керуватися документами ФСБ Росії:
8. Ми визначили, що ІСПДн нашого підприємства відноситься до класу спеціальних. Як провести аналіз загроз безпеки ПД, щоб потім сформувати набір обов'язкових вимог по ІБ?
Аналіз загроз безпеки проводиться на підставі документів ФСТЕК:
Замовити їх можна в територіальному управлінні ФСТЕК
У разі визначення оператором необхідності забезпечення безпеки персональних даних з використанням кріптосредств при формуванні моделі загроз використовуються методичні документи ФСБ:
9. Які організаційні заходи щодо забезпечення безпеки ПД треба зробити? Що треба зробити в першу чергу, що можна зробити пізніше?
Перш за все, необхідно розробити документи, які регламентують захист ПД в організації: положення про обробці ПД,
регламенти, керівництва користувачам і адміністраторам ІСПДн, акт класифікації ІСПДн, перелік застосовуваних засобів захисту інформації і т.д.
Розробити форму і порядок письмової згоди суб'єктів персональних даних на обробку своїх персональних даних,
визначити терміни зберігання персональних даних, розробити план заходів щодо захисту персональних даних (і виконати ці
заходи):
10. Як реалізовувати технічні заходи щодо захисту ПД на основі сформованих вимог?
До цих робіт правильніше залучати спеціалізовану організацію, що має досвід реалізації проектів в області захисту інформації із застосуванням сертифікованих засобів захисту інформації і володіє необхідними ліцензіями для здійснення цієї діяльності.
11. Де знайти перелік сертифікованих засобів захисту інформації?
Державний реєстр сертифікованих засобів захисту інформації
12. Коли проводять атестацію ІСПДн і яким чином?
Після закінчення робіт з побудови системи захисту персональних проводять атестацію ІСПДн на відповідність вимогам затвердженої регулюючими органами РФ нормативної та методичної документації з безпеки інформації. Для проведення атестації залучається атестаційний орган ФСТЕК.
13. Чи потрібно отримувати ліцензії при реалізації технічного захисту конфіденційної інформації та впровадження криптографічних засобів?
У разі ІСПДн - 1-го, 2-го класу або розподіленої 3-го класу треба отримувати ліцензію на діяльність з технічного захисту конфіденційної інформації (це визначено в документах ФСТЕК).
Діяльність по впровадженню шифрувальних (криптографічних засобів), як і по розробці систем, захищених з використанням
даних коштів, підлягає ліцензуванню в органах ФСБ.
Правильніше передати діяльність з технічного захисту та обслуговування СЗІ на аутсорсинг компанії, яка має всі необхідні ліцензії та сертифікати, а так само досвід проведення подібних робіт.
П одготовлено з використанням С правочні-правової С истема КонсультантПлюс
За детальною консультацією звертайтеся по телефону ам +7 (495) 737-42-22 або пишіть на [email protected]
2. Де можна отримати відповіді на питання, пов'язані з дотриманням вимог законодавства щодо захисту ПД?
3. Як визначити категорію персональних даних, які обробляються на підприємстві?
4. Як класифікувати ІСПДн?
Які відносяться до типових а які до спеціальних?
5. В яких випадках підприємство зобов'язане повідомляти Россвязькомнадзор про обробку ПД, а в яких ні?
6. Як подати повідомлення в Россвязькомнадзор?
До кого звернутися якщо є питання при заповненні повідомлення?
9. Які організаційні заходи щодо забезпечення безпеки ПД треба зробити?
10. Як реалізовувати технічні заходи щодо захисту ПД на основі сформованих вимог?