Документы по персональным данным
Ликбез по персональным данным

№ 3. Как защищать персональные данные?

Федеральный закон № 152-ФЗ «О персональных данных»

В соответствии с законом «О персональных данных», а именно частью первой статьи 19, в отношении персональных данных, обрабатываемых в организации, необходимо применять технические и организационные меры защиты от несанкционированного, в том числе и случайного, доступа посторонних лиц, модификации, копирования, распространения, уничтожения и других несанкционированных действий.

Как защищать персональные данные?

Организационные меры включают в себя:

  • разработку и внедрение в организации пакета локальной организационно-распорядительной документации, регламентирующей порядок обработки и защиты персональных данных, ознакомление с документами сотрудников и ответственных лиц;
  • введение физической охраны территории, внедрение систем видеонаблюдения, охранной сигнализации, усиление дверей и замков в помещения, установку решеток на окна первого и последнего этажей здания;
  • организацию хранения материальных носителей ПДн в сейфах, металлических запирающихся шкафах;
  • внедрение пропускной системы на территорию организации и в помещения, в которых хранятся и/или обрабатываются ПДн, установление контролируемой зоны;
  • обучение, периодическое повышение квалификации сотрудников, ответственных за организацию системы защиты ПДн, проведение для всех сотрудников обзорных лекций, семинаров по вопросам обработки и защиты ПДн;
  • осуществление аудита или внутреннего контроля обработки ПДн на соответствие принятым в организации мерам, нормативным и локальным актам;
  • организацию постоянного контроля защищенности персональных данных, работоспособности средств защиты, исполнения обязанностей ответственными сотрудниками;
  • расследование инцидентов, связанных с нарушением безопасности ПДн, и привлечение виновных лиц к дисциплинарной, административной и другим видам ответственности и т.п.
Об угрозах безопасности персональных данных

Организационные меры являются наиболее действенными и, как правило, минимизируют вероятность реализации до 80% всех угроз безопасности обрабатываемых персональных данных. Оставшиеся угрозы перекрываются техническими мерами обеспечения информационной безопасности, которые могут включать в себя:

  • программную или программно-техническую защиту от несанкционированного доступа к информационным ресурсам автоматизированных рабочих мест информационных систем персональных данных (ИСПДн);
  • организацию безопасного межсетевого взаимодействия при подключении ИСПДн к локальным сетям общего пользования или к сети Интернет;
  • применение систем шифрования ПДн при необходимости их передачи по открытым каналам связи, например, при обмене информацией между территориально удаленными филиалами или офисами через сеть Интернет;
  • защиту ПДн, обрабатываемых в информационных системах, от вредоносного программного обеспечения, вирусов, троянов и т.д.

Важным моментом является тот факт, что все технические средства, применяемые для защиты персональных данных, должны быть подвергнуты оценке соответствия требованиям в установленном порядке, то есть сертифицированы ФСТЭК или ФСБ России. Данное требование устанавливается подпунктом «г» пункта 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства № 1119.

Понравилось? Расскажите друзьям: