1 2 3
Заявка на участие в семинаре На базе компании СИБ «АЛЬПИКС» организован Центр Практических Семинаров, которые помогут вам разобраться во всем многообразии предлагаемых услуг в области защиты перс...   Далее »  Подробнее
Услуги Компания «СИБ «АЛЬПИКС» готова предоставить своим клиентам следующие услуги в области организации защиты информ   « Назад Далее »  Подробнее
Меры по обеспечению защиты Для обеспечения безопасности персональных данных при их обработке в ИСПДн осуществляется защита речевой информации   « Назад  Подробнее

FAQ по защите ПДн

 


Вопрос: Должны ли средства защиты ПДн быть сертифицированными?
Ответ:

«Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.» (пункт 5 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»)

В настоящий момент единственной юридически возможной формой подтверждения соответствия средств защиты информации, применяемых для защиты персональных данных, является сертификация СЗИ в системе ФСТЭК/ФСБ.


Вопрос: Какие ИСПДн относятся к типовым а какие к специальным?
Ответ:

Классифицировать следует согласно Приказу ФСТЭК, ФСБ, Мининформсвязи № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»:

Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

К специальным информационным системам должны быть отнесены:

информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;

информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Большинство ИСПДн будут относиться к специальным, а в соответствии с законом «О персональных данных» (ФЗ “О персональных данных” 27 июля 2006 г., № 152-ФЗ): «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий» -- к специальным ИСПДн можно отнести все ИСПДн.


Вопрос: В чем заключается «предпроектное обследование» и зачем его проводить?
Ответ:

Предпроектное обследование ИСПДн - это первый шаг к построению оптимальной системы защиты информации. Основной целью обследования является выделение информационных ресурсов, содержащих в себе персональные данные, а также автоматизированных систем, позволяющих осуществлять обработку персональных данных, предоставить заказчику актуальную информацию о имеющейся информационной системе персональных данных (ИСПДн).

Без проведения обследования невозможно оценить стоимость всей системы защиты.

Предпроектное обследование ИСПДн является малозатратным мероприятием, результаты которого необходимы для планирования бюджета.


Вопрос: Как определяется необходимость получения лицензий ФСБ на использование ПО криптографической защиты персональных данных?
Ответ:

Действующая нормативные правовые акты в области обеспечения безопасности персональных данных не обязывают оператора получать какие-либо лицензии ФСБ России.

Вместе с тем для обеспечения безопасности персональных данных оператором могут использоваться криптографические средства защиты информации (необходимость использования СКЗИ определяется моделью угроз). В этом случае порядок применения криптографических средств защиты персональных данных устанавливается следующими нормативными документами ФСБ России:

Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. № 149/6/6-622, 2008 г.

Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. № 149/54-144, 2008 г.

В случае необходимости применения криптографических средств защиты персональных данных оператор имеет право воспользоваться услугами специализированных организаций, имеющих лицензии ФСБ России на соответствующие виды деятельности (на право предоставления услуг в области шифрования информации и деятельности по техническому обслуживанию шифровальных (криптографических) средств).

Порядок лицензирования по этим видам деятельности устанавливается Федеральным законом «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. № 128-ФЗ и Постановлениями Правительство Российской Федерации от 26 января 2006 г. № 45 «Об организации лицензирования отдельных видов деятельности» и от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».


Вопрос: Порядок действий по защите информационной системы персональных данных (по выполнению требований Федерального закона 2006 г. № 152 «О персональных данных»)?
Ответ:

Для выполнения требований Федерального закона 2006 г. № 152 «О персональных данных» оператор персональных данных должен выполнить следующие мероприятия:

  • провести инвентаризацию ИР, обрабатываемых в ИС, и определить состав и перечень ПДн;
  • урегулировать правовые вопросы обработки ПДн (определение правовых оснований и цели обработки ПДн, получение согласия субъектов на обработку, установление сроков обработки ПДн и др.);
  • провести классификацию ИС;
  • оформить и направить в территориальный орган уполномоченного органа по защите прав субъектов ПДн уведомление об обработке ПДн;
  • разработать модель угроз (на основании результатов обследования ИС);
  • определить требования по защите ПДн при их обработке в ИС ПДн в соответствии с присвоенным классом и разработанной моделью угроз;
  • осуществить проектирование СЗПДн;
  • реализовать проект на создание СЗПДн;
  • организовать эксплуатацию ИС в соответствии с требованиями безопасности и контроль соблюдения условий использования СЗИ.

Вопрос: Что такое персональные данные?
Ответ:

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация; (ФЗ “О персональных данных” 27 июля 2006 г., № 152-ФЗ)

Например: паспортные данные, ФИО и адрес проживания, финансовые ведомости,  медицинские карты, год рождения, другая идентификационная информация личного характера.

 
2009 ©Компания "СИБ "АЛЬПИКС".                     тел./факс:+7 (351) 223-98-71