Вопрос защиты персональных данных (ПДн) стал актуальным с момента принятия в 2006 году Федерального закона № 152 «О персональных данных». Согласно данному закону каждый оператор персональных данных обязан обеспечить их защиту. На приведение систем защиты персональных данных в соответствие с положениями закона операторам отведено время до 1 января 2011 года.
В качестве наказания за нарушение требований по защите персональных данных руководство компании может быть привлечено к различным видам ответственности: административной, гражданской, уголовной, а сама компания лишена лицензии на осуществление основного вида деятельности.
Положения ФЗ № 152 касаются в первую очередь таких организаций, как телекоммуникационные компании, банки, страховые компании, лечебно-профилактические учреждения, структуры ЖКХ. Тем не менее любая организация, осуществляющая в процессе работы сбор, обработку, передачу и хранение персональных данных, обязана защитить их от несанкционированного доступа.
К преимуществам, которые получит компания, приведя все свои информационные системы в соответствие с требованиями законодательства, можно отнести:
-
Соответствие защиты персональных данных требованиям регулирующих органов;
-
Обеспечение защиты прав и свобод человека;
-
Снижение риска утечки критичной для бизнеса и защищаемой законом информации.
Мероприятия по обеспечению защиты персональных данных выполняются в три этапа:
1. Обследование
Целью обследования является оценка степени защищённости персональных данных и определение мероприятий по совершенствованию защиты.
В ходе обследования выполняются:
-
Обследование нормативно-распорядительной документации;
-
Интервьюирование пользователей ПДн и обслуживающего персонала ИСПДн;
-
Технический аудит ИСПДн и средств защиты ПДн.
Отчет об обследовании включает:
После принятия рекомендуемых мер организация посылает уведомление в Роскомнадзор о начале обработки персональных данных.
2. Проектирование СЗПДн
В соответствии с моделью угроз и классификацией ИСПДн выполняются следующие работы:
3. Реализация и аттестация СЗПДн
На этапе реализации системы проводятся следующие работы:
-
Развёртывание и ввод в строй системы защиты;
-
Испытания и контроль защищённости;
-
Аттестация;
-
Обучение персонала – пользователей ПДн.
«Verysell Проекты» предлагает заказчикам полный комплекс услуг по обеспечению безопас-ности персональных данных:
Обследование
Результаты обследования позволят организовать обработку ПДн в соответствии с требованиями за-кона.
Создание СЗПДн
Создание системы защиты для ИСПДн любого класса, соответствующей требованиям ФСТЭК.
Аттестация СЗПДн
Аттестация СЗПДн на соответствие требованиям ФСТЭК.
Аутсорсинг СЗПДн
Полный аутсорсинг СЗПДн, частичный или периодический контроль обеспечивают адекватность системы актуальным угрозам, снижает влияние человеческого фактора, обеспечивает соответствие параметров системы требованиям регулятора даже в случае их изменения.
Обучение персонала
В связи с возросшей ответственностью юридических и физических лиц по отношению к обработке персональных данных требуется обеспечить персоналу соответствующую квалификацию.
Консалтинг
Консультационные услуги по защите персональных данных малым и средним предприятиям, кото-рым не требуется внедрения технических средств защиты и уведомления регулятора.
Преимущества Verysell:
-
«Verysell Проекты» уполномочена для аттестации объектов информатизации любых типов и классов защищенности на соответствие требованиям законодательства (лицензия от 12 января 2007 года);
-
Компанией реализовано более 20 проектов в области защиты персональных данных;
-
Оказание полного комплекса услуг, от предварительного обследования объекта до получения сертификата на информационную систему.
| 
