Согласно Федеральному закону "О персональных данных" (№152-ФЗ от 27.07.2006г.) информационные системы персональных данных, созданные до дня вступления в силу Федерального закона, должны быть приведены в соответствие с требованиями Федерального закона не позднее 1 января 2010 года, все вновь создаваемые информационные системы персональных данных также должны соответствовать требованиям Федерального закона.<br />Информационные системы персональных данных (ИСПДн) есть на каждом предприятии, в любой организации. Такой системой может быть, например, система автоматизации бухгалтерского учета ("1С Бухгалтерия"), или система автоматизации расчета зарплаты и кадрового учета ("1С Зарплата"), или система персонифицированного учета для ПФР, или базы данных клиентов, сотрудников организации, анкеты в электронном виде и т.п.<br />Чтобы не попасть под установленную законом ответственность, необходимо провести комплекс мероприятий для обеспечения безопасности ПДн и соответствия требованиям ФЗ 152 и Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 17 ноября 2007 г. №781) и Положения особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. N 687) и требования ФСТЭК и ФСБ России.<br /><br />Помимо ПП 781 и ПП 687, требования по созданию системы защиты информации и применению СрЗИ устанавливаются в документах ФСТЭК и ФСБ России:<br />- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (ДСП)<br />- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (ДСП)<br />- Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК, 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.) <br />http://www.fstec.ru/_spravs/recomend.doc<br />- Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. ФСТЭК, 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.) <br />http://www.fstec.ru/_spravs/meropriaytiay.doc,<br />- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации от 21 февраля 2008 г.<br />- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных от 21 февраля 2008 г. (на сайте ФСБ).<br /><br />Ваше предприятие может выполнить самостоятельно, без привлечения сторонних специалистов, мероприятия, кроме создания системы защиты информации (разработка ТЗ, проекта, установка и настройка средств защиты информации (СрЗИ)) и аттестации. На проведение этих (создание системы защиты информации и аттестация) работ необходима лицензия на деятельность по технической защите конфиденциальной информации.<br /><br />Расскажу об этом подробней:<br />Помимо ФЗ-152 «О персональных данных» действуют:<br /> ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149 (статья 1 п.6).<br /> ФЗ «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. № 128 (статья 17 п.1, пп. 11);<br /> Постановление Правительства РФ «О лицензировании деятельности по технической защите конфиденциальной информации» от 16 августа 2006 г. № 504;<br /> Указ Президента «Об утверждении Перечня сведений конфиденциального характера» от 6 марта 1997мг. № 188;<br /> СТР-К.<br />Согласно которым: персональные данные относятся к конфиденциальной информации, для защиты которой необходимо получить лицензию на деятельность по технической защите конфиденциальной информации.<br />Кроме того: п.3.14 «Основных мероприятий…»:<br />В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1,2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.<br /><br />Поэтому, необходимо нанимать в штат специалистов по ЗИ и выполнять все требования для получения лицензии на ТЗКИ, либо заключать договор с организацией, имеющей лицензию (лицензиата), на проведение работ по защите ПДн.<br />В конечном счете (после проведения всех мероприятий по защите и аттестации), Вашему предприятию нужно получить Аттестат соответствия на Вашу систему (ИСПДн). Этот документ будет означать, что все требования по защите ПДн выполнены, и Ваша ИСПДн защищена по закону в соответствии с установленным классом. Аттестат Вы и будете показывать проверяющим органам. Как только Вы его получите, все вопросы о несоответствии системы защиты требованиям (если такие возникнут) будут адресованы лицензиату, выдавшему аттестат на Вашу ИСПДн (при условии, что Вы не меняли условия обработки ПДн и состав средств защиты и ИСПДн).<br /><br />Необходимо применять сертифицированные средства защиты информации (СрЗИ) ФСТЭК России, а также, при необходимости шифрования информации, использовать сертифицированные ФСБ средства криптографической защиты информации (СКЗИ). Как писал Выше, данные мероприятия имеют право проводить организации, имеющие лицензии ФСТЭК (ФСБ при наличие СКЗИ).<br />
