Автоматизированная обработка

Прежде всего необходимо выделить информационные системы персональных данных (ИСПДн). 

Информационная система персональных данных – это совокупность программных (например «1С-Предприятие») и технических средств (компьютеры, принтеры, сканеры, коммутационное оборудование и т.д.) на которых обрабатываются персональные данные. Обработка – это добавление, изменение, удаление, хранение, анализ, распространение персональных данных. Каждая ИСПДн должна иметь свою цель обработки. Именно цель обработки является основным критерием при выделении ИСПДн. Например, во многих медицинских учреждениях можно выделить 2 ИСПДн – «Сотрудники» и «Пациенты». Они имеют разные цели обработки персональных данных.

У всех ИСПДн должен быть назначен администратор безопасности. Администратор безопасности – сотрудник в должностные обязанности которого входит обеспечение защиты персональных данных в информационной системе. Он должен следить за работой средств защиты информации, своевременно проводить антивирусные проверки, консультировать сотрудников по вопросам безопасности персональных данных и т.п. Администраторов безопасности может быть несколько (например по одному на каждую ИСПДн). Администратор безопасности назначается приказом руководителя («Приказ о назначении администратора безопасности информационных систем персональных данных»).

По результатам определения уровня защищенности должен быть оформлен «Акт определения уровня защищенности информационной системы персональных данных».

Для каждой ИСПДн должна быть разработана «Частная модель актуальных угроз». В этом документе из всех возможных угроз безопасности персональных данных выделяются те, которые реально представляют опасность. Модель угроз разрабатывается на основе экспертных оценок. Ее разработку целесообразно поручить организации, которая имеет необходимое (3-4) число экспертов (людей, имеющих образование по защите информации и работающих в данной области).

Система защиты персональных данных разрабатывается на основании модели угроз и требований к уровню защищенности ИСПДн.

В большинстве случаев система защиты информации должна включать следующие компоненты: 

- Антивирус; 

- Средство защиты от несанкционированного доступа; 

- Межсетевой экран. 

Если осуществляется передача персональных данных по открытым каналам, то должны использоваться средства шифрования. Все средства защиты информации должны иметь сертификаты ФСТЭК, либо ФСБ.

Неавтоматизированная обработка

Неавтоматизированная обработка – это обработка персональных данных на бумажных носителях.

Ниже приведены основные мероприятия по защите документов, содержащих персональные данные.

Документы (как в бумажном так и в электронном виде), содержащие персональные данные, должны храниться отдельно от остальных документов. Кроме того, нельзя хранить в одном месте персональные данные цели обработки которых различны. Например, в медучреждениях нельзя хранить в одном сейфе личные дела сотрудников и медицинские карты пациентов.

Доступ в места хранения документов, содержащие персональные данные должен быть ограничен (помещение должно запираться на ключ, быть оснащено техническими средствами охраны). Сотрудники, обрабатывающие персональные данные должны быть ознакомлены с порядком физической защиты носителей ПДн (документов). Для этого разрабатывается «Инструкция о порядке физической охраны помещений, содержащих носители персональных данных».

Должен быть разработан и утвержден руководителем перечень лиц, имеющих доступ к документам, содержащим персональные данные. Он может быть определен в «Положении о разграничении прав доступа к персональным данным».

Сотрудники, работающие с документами, содержащими персональные данные должны быть ознакомлены с порядком обработки ПДн. Для этого разрабатывается «Инструкция по обработке персональных данных без использования средств автоматизации». Необходимо ознакомить с ней работников под роспись.

Для того, чтобы правильно уничтожить документы, содержащие персональные данные необходимо в организации создать комиссию по уничтожению. Она создается приказом руководителя. Уничтожение производится комиссионно. По результатам оформляется «Акт об уничтожении носителей, содержащих персональные данные».

Если при пропуске на территорию организации посетители регистрируются в журнале (в журнал записываются их персональные данные), то необходимо выполнить ряд требований приведенных ниже. Порядок пропуска и регистрации в журнале должен быть закреплен приказом руководителя («Приказ о пропуске на территорию организации»). В этом приказе должны быть указаны: цель ведения такого журнала; состав персональных данных, запрашиваемых у посетителя; способ ведения журнала (бумажный или в электронном виде); перечень лиц (поименно или по должностям), имеющих доступ к журналу, и ответственных за его заполнение и хранение; сроки хранения журнала; порядок пропуска на территорию организации.

!!!Чтобы определить требуемые меры по защите персональных данных необходимо определить уровень защищенности ИСПДн.О том как это сделать Вы можете прочитать в разделе Определение уровня защищенности ИСПДн.