Любая компания или физическое лицо, имеющие дело с персональными данными в процессе профессиональной деятельности, являются операторами персональных данных. Практически все организации и индивидуальные предприниматели в той или иной степени затрагиваются законом «О персональных данных» от 27 июля 2006 г. №152-ФЗ...

- персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных;

- обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

  Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных.

  Уполномоченные в сфере обеспечения безопасности органы (ФСБ России и ФСТЭК России) в соответствии с Федеральным законодательством, Постановлениями Правительства РФ разработали обязательные для выполнения операторами требования по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.

  Контроль и надзор за выполнением требований по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных возложен на ФСБ России и ФСТЭК России.

  Роскомнадзор - уполномоченный орган по защите прав субъектов персональных данных в случае невыполнения требований по обеспечению безопасности персональных данных (представления ФСБ России и ФСТЭК России) обязан принимать в установленном законодательством порядке меры по приостановлению или прекращению обработки персональных данных.

  Для выбора и реализации методов и способов обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных:

- или создается структурное подразделение, ответственное за обеспечение безопасности персональных данных;

- или привлекается организация, имеющая лицензии в сфере обеспечения защиты информации.

  Главное условие ФСБ России и ФСТЭК России, чтобы выбранные и реализованные методы и способы обеспечения безопасности персональных данных обеспечивали нейтрализацию всех предполагаемых угроз безопасности персональных данных при их обработке в информационных системах.

  Отмена обязательной «Аттестации по требованиям безопасности», предоставление возможности организациям самостоятельно реализовать требования по обеспечению безопасности персональных данных, в значительной степени снизили расходы на выполнение обязательных требований законодательства.

  На этом этапе стоит оценить свои силы – способна ли Ваша организация самостоятельно выполнить все технические требования по защите персональных данных или стоит привлечь стороннюю организацию, специализирующуюся на предоставлении услуг такого типа. Этот выбор может быть не всегда очевидным и стоит оценивать и соотносить риски и затраты очень ответственно.

  Если Вы решили выполнять работы самостоятельно – стоит вооружиться методическими документами ФСТЭК России и ФСБ России для более полного понимания требований и процессов.

  Заниматься обеспечением безопасности персональных данных необходимо уже сегодня, так как требований к технической защите персональных данных довольно много и необходимо распределить финансовые затраты равномерно и успеть подготовиться к встрече с уполномоченными в сфере обеспечения безопасности органами (ФСБ России и ФСТЭК России) без финансовых и репутационных потерь.

  Поэтапная работа по реализации требований законодательства о персональных данных поможет сделать все необходимые действия в назначенный срок и будет залогом стабильного и уверенного бизнеса.

  Компания ЦБИ Модус, имеющая необходимые лицензии в области обеспечения защиты информации готова оказать услуги по выполнению требований законодательства по обеспечению безопасности персональных данных:

- полный комплекс услуг по защите персональных данных;

- комплекс услуг по защите персональных данных (без внедрения системы защиты);

- аудит информационной безопасности в организации;

- поставка средств защиты информации.