Организация обработки и защиты персональных данных

Вопрос обработки и защиты персональных данных (ПДн) является одним из наиболее актуальных в области информационной безопасности последнего десятилетия. Причина этого кроется в повсеместности подобной информации. Любая организация осуществляет обработку персональных данных, является оператором и, соответственно, обязана соответствовать требованиям законодательства в данной области.

Для этого оператору необходимо решить три основные задачи:

  1. Организовать обработку персональных данных в рамках организации.
  2. Наладить взаимодействие со сторонними организациями и государственными органами по вопросам передачи и совместного использования сведений.
  3. Обеспечить безопасность данных на всех этапах их жизненного цикла.

Организация обработки

Понятие обработки персональных данных скрывает под собой множество операций, в т.ч. сбор, запись, хранение, уточнение, передачу, обезличивание, блокирование и уничтожение.  Каждое из перечисленных действий должно выполняться в строгом соответствии с принципами законности, достоверности, минимальной достаточности и соответствия заявленным целям обработки – не только в информационных системах, но и при работе с бумажными носителями. Об этом часто забывают, сосредотачиваясь на защите информации. А между тем, большая часть замечаний, предъявляемых Роскомнадзором по результатам проверок, связано с нарушениями в организации обработки персональных.

Среди основных мероприятий, направленных на организацию обработки персональных данных можно выделить:

  • определение целей, задач и документально подтвержденных оснований для обработки всех персональных данных;
  • инвентаризация информационных ресурсов, содержащих персональные данные, определение их состава, мест хранения, подразделений и сотрудников, допущенных к обработке;
  • рассмотрение возможности обезличивания персональных данных и внедрение данного механизма;
  • строгая регламентация и документирование всех процессов обработки персональных данных в соответствии с определенными целями.

Взаимодействие с третьими лицами

В процессе обработки оператор вынужден взаимодействовать с иными юридическими и физическими лицами. Прежде всего, это субъекты персональных данных и государственные органы. Субъекты наделены существенными правами, и оператор должен предоставить возможность их реализации, для чего разрабатывается механизм работы с обращениями субъектов.

Отдельного внимания требует проработка порядка реагирования на запросы государственных и правоохранительных органов, органов судебной власти, а также различных контролирующих органов. Любое взаимодействие с ними и предоставление какой-либо информации должно иметь юридическое основание и строго регламентироваться внутренними документами. Аналогично, передача персональных данных или их обработки по инициативе оператора может осуществляться только при соблюдении ряда условий и ограничений, при наличии документально оформленных договоренностей.


Обеспечение безопасности персональных данных

Обеспечение безопасности персональных данных в организации осуществляется на всех этапах их жизненного цикла и предполагает:

  • классификацию (определение уровня защищенности) информационных систем персональных данных;
  • разграничение доступа работников к персональным данным;
  • обоснованный выбор мер защиты персональных данных;
  • реализацию организационных мероприятий по обеспечению безопасности;
  • внедрение средств защиты информации в информационных системах.

Организация может самостоятельно выполнить любой из этапов или их все. Однако, для этого необходимо наличие в штате специалистов, знающих тонкости законодательства, опыт разработки организационно-распорядительной документации и построения систем защиты информации. В противном случае, возникает опасность затягивания процесса, внедрения некорректных мер и, в конечном итоге, появления обоснованных претензий со стороны контролирующих органов. Держать подобных специалистов организациям, не занимающимся информационной безопасностью, достаточно затратно. В этом случае, рекомендуется обратиться за услугами к профессионалам.

Мы предлагаем несколько видов услуг в зависимости от потребностей и возможностей Заказчика:

  1. Приведение деятельности организации в соответствие с требованиями законодательства в области обработки и защиты персональных данных «под ключ».
  2. Предоставление проектов организационно-распорядительной документации с консультацией по их заполнению.
  3. Аудит соответствия деятельности организации требованиям законодательства в области обработки и защиты персональных данных.

Проект «под ключ»

Приведение деятельности организации в соответствие с требованиями законодательства необходимо, если в организации ранее не проводились работы по данному направлению, либо они не были завершены. В этом случае, выполняется полный комплекс мероприятий:

  1. Проведение обследования организации, имеющейся организационно-распорядительной документации и информационных систем на предмет соответствия требованиям законодательства. Сбор необходимой информации.
  2. Анализ возможных угроз безопасности персональных данных. Разработка частных моделей угроз и моделей нарушителей безопасности с учетом всех характеристик и особенностей объекта защиты.
  3. Оценка уровней защищенности информационных систем персональных данных. Подготовка актов оценки.
  4. Формирование перечня мер по обеспечению безопасности персональных данных. Разработка технического задания на систему защиты персональных данных.
  5. Разработка проектов организационно-распорядительных документов, регламентирующих обработку и защиту персональных данных в организации. Помощь в проведении соответствующих мероприятий.
  6. Техническое проектирование системы защиты персональных данных.
  7. Поставка средств защиты информации. Внедрение и сопровождение системы защиты.
  8. Помощь в проведении оценки соответствия системы защиты требованиям законодательства.
  9. Обучения сотрудников правилам работы с персональными данными, разъяснение положений организационно-распорядительной документации.
  10. Организационная, методическая и техническая помощь при проведении проверок Роскомнадзором и иными контролирующими органами.

Проекты (шаблоны) организационно-распорядительной документации

Иногда организациям нужно только разработать организационно-распорядительные документы: приказы, инструкции, положения. Например, если имеются собственные специалисты, но отсутствует опыт защиты персональных данных, или необходимо в сжатые сроки привести в порядок процессы их обработки.  Для таких случаев мы предлагаем комплект проектов (шаблонов) документов.Все документы прошли неоднократное внедрение в реальных организациях, а их состав и содержание будут подобраны исходя из рода Вашей деятельности. Шаблоны имеют максимально возможную степень готовности, требующие внимания и заполнения места выделены. Это позволит в сжатые сроки и с минимальными затратами подготовиться к документарной проверки, наладить в организации обработку персональных данных и внедрить необходимые организационные мероприятия защиты.

Если при разработке итоговых документов возникают сложности, мы с радостью подскажем и ответим на вопросы. Также предлагаем услуги удаленной разработки документов. Наши специалисты удаленно соберут необходимую информацию и, в тесном контакте с Вами, подготовят все необходимые документы.


Аудит соответствия

К настоящему времени многие организации в той или иной степени озадачивались проблемой защиты персональных данных, проводили определенные мероприятия, разрабатывали документы. Со временем все эти мероприятия теряют свою актуальность и перестают соответствовать действительности. Для этого есть несколько причин:

  1. Законодательство периодически изменяется. Обеспечение безопасности - непрерывный процесс, возникают новые угрозы, меняются технологии и условия обработки. Следом за ними, изменяются требования и способы защиты. По нашим оценкам, примерно каждые пять лет законодательство будет существенно обновляться.
  2. Организация развивается, появляются новые бизнес-процессы, подразделения, филиалы и представительства. Внедряются новые технологии обработки. Уже через несколько лет предприятие совсем не то, для которого разрабатывались документы и внедрялись средства защиты. Они теряют свою эффективность и превращаются в бесполезные ограничения, мешающие нормальной работе.
  3. Сотрудники постепенно забывают о  важности обеспечения сохранности персональных данных, снижают внимание и ответственность, начинают нарушать установленные правила. Необходимо периодически "освежать" знания работников, проверять исполнение и эффективность принятых мер.

Учитывая все вышеперечисленное, ФСТЭК требует, чтобы не реже одного раза в три года проводился анализ актуальности имеющейся документации, процессов обработки и защиты персональных данных и их соответствия действующему законодательства, а также угроз безопасности информационным системам и обрабатываемых в них данных. Подобный аудит должен проводится лицензиатами ФСТЭК, имеющими достаточный опыт в данной области.

Мы проанализируем все аспекты деятельности Вашей организации по обработке и защиты персональных данных, дадим ее независимую оценку и подскажем, как наилучшим образом устранить выявленные недостатки.

Для уточнения деталей проекта и получения консультации свяжитесь с нами или воспользуйтесь формой обратной связи.