Год 2013 и персональные данные. Что делать?

Защите персональных данных (ПДн) посвящены сотни сайтов. Но, в основном, на них представлена устаревшая информация. Поэтому у меня вопрос к практикующим безопасникам хабрасообщества: как в ваших организациях защищаются персональные данные? Какие нормативные документы существуют и какими постановлениями вы руководствовались при создании таковых документов?

В сети ходят упорные слухи об отмене классов ПДн и других нововведениях. В связи с этим сам собой в голове закрутился вопрос: что делать? С чего начинать? Как привести всю документацию к требуемому законом виду? Хотелось бы получить список требуемых документов и какие-нибудь методички. Ну и наставления более опытных безопасников.
  • Вопрос задан
  • 10064 просмотра
Пригласить эксперта
Ответы на вопрос 5
@nikodim
Отвечу как практикующий безопасник:
ПДн защищаются в соответствии с ФЗ-152 и его подзаконными актами.
Вот тут и начинается самое интересное. Вначале был ФЗ-152 в гордом одиночестве, потом прилепилось Постановление Правительства ПП-781 с требованиями по защите, к ПП-781 прилепился приказ ФСТЭК №58 и «трехглавый» приказ 55/86/20. Есть еще постановление 687 по неавтоматизированной обработке и ПП-512 по носителям биометр. ПДн.

Но все поменялось летом 2011 года — ФЗ-152 был переработан. Изменились обязанности оператора, терминология и пр. (Особенно обращаю внимание на главу 4 ФЗ-152.). И сразу стали неактуальными подзаконные акты.

1 ноября 2012 было утверждено ПП-1119, которое стало заменой ПП-781 и трехглавому приказу. Классы ПДн отменились и это не слухи. Теперь это называется «Уровень защищенности». Соответственно Приказ ФСТЭК 58 перестал быть актуальным и в настоящее время готовится ему замена ( кстати, проекты документов выкладывались на сайт и принимались замечания от общественности )

Ну что делать сейчас?
Во-первых, провести обследование бизнес-процессов компании и выявить где, в каком количестве, какого вида хранятся и обрабатываются ПДн.
Во-вторых, найти и назначить лицо, указанное в статье 22.1 ФЗ-152. Он будет все организовывать.
В -третьих, готовиться к написанию внутренних документов: Положение об обработке персональных данных, Положение о лице из статьи 22.1, Инструкции администраторам и пользователям инф. систем ПДн, различные правила по техн. защите (парольный доступ, антивирус. защите, резервное копирование, криптография). При необходимости придумать согласие на обработку ПДн. И при необходимости готовить уведомление в Роскомнадзор.

Работы может быть много и в одном ответе не опишешь. Как и методичек не дашь.
Как-то так.
Ответ написан
RUVATA
@RUVATA
Разработчик, гик, меломан, разгильдяй
Чтобы не лить много «воды», спрошу у Вас, что Вами уже было проделано в направлении «защиты персональных данных при их обработке в автоматизированных системах персональных данных»,
1) Встали ли Вы на учет как обработчик ПД в соотв. подразделении ФСТЭК?
2) Назначено ли ответственное за защиту ПД лицо, изданы ли соответствующие распоряжения на уровне предприятия?
3) Составлена ли «Матрица доступа», изданы ли соответствующие приказы-списки сотрудников имеющих право работы с ПД, раскрыли ли Вы в таком приказе разграничение доступа к ПД разной категории, разными должностными лицами?
4) Имеете ли Вы необходимо согласие от объектов обрабатываемых Вами ПД?
5) С какими категориями ПД Вам приходится работать. (Отменят или нет категорийность ПД — вопрос спорный, лично я считаю, что врядли биометрические/медицинские данные можно положить на одну полку с данными об прописке и номером СНИЛС, возможно система будет изменена, но разделение останется, по крайне мере пока — оно есть.)
6) Используете ли Вы специальный сертефицированный ФСТЭК софт: межсетевые экраны, антивирусное ПО, СКД (контроль целостности данных).
7) Обмениваетесь ли Вы персональными данными с другими юр.лицами?

Постараюсь ответить на Ваши вопросы, относительно действущего на настоящий момент положения Вещей, несколько месяцев назад были под проверкой :) прошли без нарушений, лишь с парой замечаний, и те — риторика.
Ответ написан
@krosh
Если только про безопасность ПДн при их обработке (не касаясь других обязанностей оператора! т.к. это совсем другое поле деятельсности):
1. прочитать ст. 19 закона «О персональных данных».
2. изучить ПП-1119 от 1 ноября 2012 (классы ИСПДн отменили, классифицируйте по уровням защищености).
3. выполнить требования которые нашлись в документах выше.
4. модель угроз можно писать по соответствующему документу ФСТЭКа.
5. изучать проект приказа ФСТЭКа и ждать его финальной редакции.
Ответ написан
@AndreyBessolitsyn
Подскажите — что делать разработчикам ПО?
Например, делаем ПО для банка. Там будут запрашиваться персональные данные и храниться в БД, контролируемой нашим ПО.
Нужно ли что-то делать специально?
Или заказчик всё обеспечит внутренними регламентами по сохранению безопасности ПД?
Мы предполагаем использование шифрованных протоколов обмена данными, логины и пароли на доступ к данным через веб-клиента. Но есть ли обязательный перечень требований, которым должно следовать прикладное ПО?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы