Приведение в соответствие требованиям

152-ФЗ «О Персональных данных»

Персональные данные – это данные, позволяющие однозначно идентифицировать человека.

Государство предъявляет некоторые обязательные требования ко всем компаниям, собирающим и обрабатывающим персональные данные граждан.

Эти требования распространяются на российские компании, а также на компании, обрабатывающие данные граждан РФ.

Упрощенно говоря, клиент должен дать компании-оператору разрешение работать с определенными данными и с определенной целью, а компания должна:

  • Не распространять эти данные дальше без разрешения
  • Не использовать эти данные для других целей
  • Защищать их определенным образом
  • Удалять их по запросу клиента

КАК СТРОИТСЯ ПРОЕКТ

Для выполнения требований по защите персональных данных – нужно выполнить процедуру приведения процессов обработки ПДн в соответствие требованиям законодательства, т.е.:

1

Определить, какие бизнес-процессы нужно приводить в соответствие (например: обслуживание клиентов или собственное кадровое делопроизводство).

2

Определить уровень защищенности этих данных: чаще всего это УЗ3/УЗ4, но если обрабатываются специальные (чаще всего – медицинские) данные более чем для 100 тысяч человек – то УЗ2.

3

Разработать и описать процессы защиты персональных данных – то, что делаем мы.

4

Внедрить обязательные средства и меры защиты. Меры защиты персональных данных описаны в Приказе ФСТЭК №21, и они достаточно простые.

Важно знать

Перечень средств, необходимых для защиты персональных данных в большинстве случаев:
Межсетевой экран, антивирус, настроенная аутентификация, настроенные бэкапы.

152-ФЗ не требует обязательного подтверждения. Такое подтверждение является добровольным, и может быть выдано в двух формах:

  • Оценка соответствия требованиям по безопасности, выполняемая лицензиатом ФСТЭК;
  • Аттестация по требованиям информационной безопасности к защите персональных данных, выполняемая лицензиатом ФСТЭК с соответствующим пунктом лицензии.

Анкета для бюджетной оценки

вы можете существенно упростить запрос КП, если заполните анкету

СТАНДАРТНЫЙ ХОД ПРОЕКТА И РЕЗУЛЬТАТЫ

  • Этап 1

    20-25 раб. дней

    Обследуем процессы сбора и обработки ПДН

    На этом этапе очень важно взаимодействие с клиентом. Мы уточняем бизнес процессы обработки персональных данных:

    • Как и зачем собираются данные
    • Как они обрабатываются внутри компании
    • Передаются ли они другим компаниям и как завершается обработка
  • Этап 2

    10-15 раб. дней

    Разработка нормативных документов

    Мы разрабатываем обязательные формальные документы, требуемые для прохождения проверки

  • Этап 3

    15-20 раб. дней

    Реализация требований закона

    Мы разрабатываем документы, специфичные для клиента, разрабатываем модель угроз, и вместе с клиентом придумываем, как адаптировать сложные процессы для соответствия законодательству.