Защита информационных систем персональных данных (ИСПДн) - комплекс мероприятий по защите и аттестации ИСПДн, включает в себя организационные и технические меры защиты.
Зачем нужно защищать персональные данные?
- обеспечение защиты прав и свобод человека;
- соблюдение требований российского законодательства (в том числе 152-ФЗ "О персональных данных");
- избежание жалоб, штрафов и потери ценной информации.
Этапы построения системы защиты персональных данных.
1. Обследование информационной системы.
- определение и описание состава персональных данных с указанием оснований и целей их обработки в организации;
- выявление рабочих мест на которых происходит обработка персональных данных;
- выявление сотрудников, которые задействованы в обработке персональных данных;
- описание процесса обработки персональных данных в ИС;
- выявление уровня защиты ИСПДн;
- определение моделей угроз.
Результат: Техническое задание на разработку системы защиты информации.
2. Закупка и установка средств защиты информации.
В соответствии с Техническим заданием производится закупка и установка средств защиты информации (СЗИ). Это такие СЗИ как: средства защиты информации от несанкционированного доступа, межсетевые экраны, антивирусные средства, средства анализа защищенности и другие.
3. Аттестация информационной системы.
На данном этапе организуется аттестационная комиссия, которая оценивает достаточность принятых мер по защите персональных данных в ИСПДн.
Результат работы комиссии - выдача Аттестата соответствия который подтверждает, что ИСПДн
соответствует требованиям законодательства РФ и надзорных органов. Аттестат выдается на 3 года, в течение которых должна быть обеспечена неизменность условий
функционирования объекта и процесса обработки персональных данных.