Ответы пользователя по тегу Информационная безопасность
  • Год 2013 и персональные данные. Что делать?

    @nikodim
    Отвечу как практикующий безопасник:
    ПДн защищаются в соответствии с ФЗ-152 и его подзаконными актами.
    Вот тут и начинается самое интересное. Вначале был ФЗ-152 в гордом одиночестве, потом прилепилось Постановление Правительства ПП-781 с требованиями по защите, к ПП-781 прилепился приказ ФСТЭК №58 и «трехглавый» приказ 55/86/20. Есть еще постановление 687 по неавтоматизированной обработке и ПП-512 по носителям биометр. ПДн.

    Но все поменялось летом 2011 года — ФЗ-152 был переработан. Изменились обязанности оператора, терминология и пр. (Особенно обращаю внимание на главу 4 ФЗ-152.). И сразу стали неактуальными подзаконные акты.

    1 ноября 2012 было утверждено ПП-1119, которое стало заменой ПП-781 и трехглавому приказу. Классы ПДн отменились и это не слухи. Теперь это называется «Уровень защищенности». Соответственно Приказ ФСТЭК 58 перестал быть актуальным и в настоящее время готовится ему замена ( кстати, проекты документов выкладывались на сайт и принимались замечания от общественности )

    Ну что делать сейчас?
    Во-первых, провести обследование бизнес-процессов компании и выявить где, в каком количестве, какого вида хранятся и обрабатываются ПДн.
    Во-вторых, найти и назначить лицо, указанное в статье 22.1 ФЗ-152. Он будет все организовывать.
    В -третьих, готовиться к написанию внутренних документов: Положение об обработке персональных данных, Положение о лице из статьи 22.1, Инструкции администраторам и пользователям инф. систем ПДн, различные правила по техн. защите (парольный доступ, антивирус. защите, резервное копирование, криптография). При необходимости придумать согласие на обработку ПДн. И при необходимости готовить уведомление в Роскомнадзор.

    Работы может быть много и в одном ответе не опишешь. Как и методичек не дашь.
    Как-то так.
    Ответ написан
    1 комментарий