Защита персональных данных — комплекс мер технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
Персональные данные и способы их обработки Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (согласно статье 3 закона «О персональных данных»). Законом предусмотрены следующие способы обработки персональных данных: * сбор; * систематизация; * накопление; * хранение; * уточнение (обновление, изменение); * использование — «действия (операции) с персональными данными, совершаемые оператором7 в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц»; * распространение (в том числе передача) — «действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом»; * обезличивание — «действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных»; * блокирование — «временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи»; * уничтожение персональных данных — «действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных».
Этапы работ по защите персональных данных * Определить все ситуации, когда требуется проводить обработку персональных данных (ПДн). * Выделить бизнес-процессы, в которых обрабатываются персональные данные. * Выбрать ограниченное число бизнес-процессов для проведения аналитики. На этом этапе формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности. * Определить круг информационных систем и совокупность обрабатываемых ПДн. * Провести категорирование ПДн и предварительную классификацию информационных систем (ИС). * Выработать меры по снижению категорий обрабатываемых ПДн. * Сформировать актуальную модель угроз для каждой информационной системы обработки персональных данных (ИСПДн). * Подготовить техническое задание (ТЗ) по созданию требуемой системы защиты. * Провести уточнение классов ИС, с последующей подготовкой рекомендаций по использованию технических средств защиты ПДн. * Подать уведомление о начале обработки персональных данных в Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) для регистрации в качестве оператора ПДн. * Отправить заявку на получение экземпляров руководящих документов ФСТЭК России по организации системы защиты. * Разработать требования для конкретной ИСПДн, с учетом присвоенного класса защиты. * Подготовить технический проект по защите ИСПДн и помещений. * Разработать пакет организационно-распорядительных документов для СОБИ (положения, приказы, инструкции). * Спроектировать и внедрить систему обеспечения безопасности информации (СОБИ). * Аттестовать СОБИ на соответствие требованиям по защите ПДн.
Зачем нужен контроль за теми, кто обрабатывает и хранит персональные данные? Прежде всего, для того, чтобы не было утечки информации. О каждом из нас в том или ином учреждении или организации хранится какая-либо информация, будь то школа, поликлиника, место работы, жилсервис или туристическая фирма. Ни одна из этих организаций не имеет права распространять личную информацию о нас без нашего согласия. Закон о персональных данных как раз призван обеспечить защиту прав и свобод человека при обработке его персональных данных.
Как может произойти утечка этой информации? И каким образом мы можем от этого пострадать? Например, оформляя дисконтную карту в супермаркете, и предоставляя продавцу свои персональные данные, мы порой даже не задумываемся о том, каким образом должны храниться персональные данные, кто имеет право на их использование и обработку, и как сегодня государство пытается их защитить. Утечки могут произойти любым способом. Например, при ликвидации какой-то организации документы могут попасть в обычный мусорный бак, а это уже утечка, и кто-то может ей воспользоваться, например, оформив кредит на Ваше имя, воспользовавшись копией паспорта. Или, например, такой вариант: в любой школе у классного руководителя есть данные о родителях и детях. Происходит утечка информации о том, что один ребенок усыновлен, она доходит до других родителей, потом до детей, а потом и до самого ребенка, который об этом ничего не знал. Представьте, какая это для него психологическая травма. Случаев может быть множество, а для того, чтобы такого не происходило и принят закон "О персональных данных". (Федеральный закон Российской Федерации № 152-ФЗ «О персональных данных» был принят 27 июля 2006 года)
Область применения закона * федеральные органы государственной власти, * органы государственной власти субъектов Российской Федерации, * иные государственные органы, * органы местного самоуправления, * не входящие в систему органов местного самоуправления муниципальные органы, * юридические лица, * физические лица.
Оставьте свой комментарий!
Добавить комментарий
|