Соответствие рабочих мест Федеральному Закону 152-ФЗ «О персональных данных»

27 июля 2006 г. был принят Федеральный Закон № 152-ФЗ «О персональных данных» (с изменениями от 25 ноября, 27 декабря 2009 г., 28 июня, 27 июля 2010 г.) для обеспечения защиты прав и свобод граждан при обработке их персональных данных.

Операторы персональных данных обязаны привести информационные системы персональных данных (ИСПДн) в соответствие с требованиями закона 152-ФЗ.


Согласно ФЗ-152:

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и(или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Ни в одном из документов по регулированию вопросов защиты Персональных данных(ПДн) не сказано, что должно быть сертифицировано все ПО.

Сертифицированы по требованиям ФСТЭК России должны быть средства защиты информации, но никак не системное, прикладное или специальное ПО, не участвующее в защите ИСПДн.

Часто Заказчики спрашивают у производителей, удовлетворяет ли их СЭД (Система Электронного Документооборота) требованиям закона о персональных данных, рассчитывая таким образом решить проблему соответствия своей ИСПДн требованиям закона.

Следует понимать, что СЭД, как тиражный программный продукт, не является той ИСПДн, о которой идет речь в законе "О персональных данных".

По определению,  данному в законе: "Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств".

Таким образом, ИСПДн   Заказчика – это нечто много большее, чем программный продукт, используемый в ее составе.

В терминах ГОСТ по информационным технологиям  ИСПДн – это автоматизированная система, а СЭД как программный продукт – это часть комплекса технических средств, средство вычислительной техники.

Закон требует приведения в соответствие требованиям именно ИСПДн Заказчика, как оператора персональных данных, и никакой документ о соответствии программного продукта СЭД каким-либо требованиям не решит этой проблемы.

Для того чтобы привести свои ИСПДн в соответствие с требованиями 152-ФЗ, предприятию необходимо выполнить следующие этапы работ:

- обследование предприятия на предмет работы с персональными данными;
- классификацию ИСПДн;
- разработку модели угроз нарушения безопасности данных;
- формирование требований по обеспечению безопасности ПДн;
- проектирование системы защиты данных;
- внедрение системы защиты данных;
- аттестацию или декларирование соответствия ИСПДн.

На основании классификации ИСПДн  определяются требования к защите обрабатываемых персональных данных, тот объем работ, который предстоит провести, и средств, которые придется затратить на приведение ИСПДн компании в соответствие с требованиями закона.

В зависимости от характера обработки персональных данных может потребоваться регистрация в качестве оператора персональных данных, изменение класса системы, выполнение конкретных работ и требований по защите персональных данных.

От этого будут зависеть требования, предъявляемые к используемым техническим средствам защиты Персональных данных.

При создании системы защиты ПДн  необходимо использовать лицензионное программное обеспечение (системное, прикладное и специальное ПО) и сертифицированные средства защиты информации и антивирусной защиты (это могут быть СрЗИ от несанкционированного доступа, антивирусные продукты, межсетевые экраны, средства обнаружения вторжений, средства анализа защищенности, соответствующие определенному классу).

Если в ИСПДн устанавливаются криптографические средства защиты информации (СКЗИ), то они должны быть сертифицированы по требованиям ФСБ России.

Устанавливать сертифицированные СрЗИ имеет право только лицензиат ФСТЭК, а СКЗИ – лицензиат ФСБ.

Вы можете заказать обследование и сертификацию рабочих мест на соответствие  закону 152-ФЗ в компании «Softline», которая обладает соответствующими лицензиями ФСБ и ФСТЭК. «Softline» имеет опыт реализации проектов в области информационной безопасности для государственных и коммерческих организаций.

 

Наши программы:

Регистрация документов организации - программа для автоматизации рабочего места секретаря.

Ведение договоров - программа база договоров, контрагентов, счетов, накладных и прочих документов.

Юридический офис - программа для юридических отделов.

Сотрудники предприятия - программа для автоматизации отдела кадров.

Проходная - программа для проходной, автоматическое распознавание лица и паспорта, возможно фото автомобиля с дополнительной камеры, распознавание номера.