|
Каталог статей |
защита персональных данных
Положения ФЗ-152 вступают в силу поэтапно. Операторы ПДн должны:
С 26 января 2007 года:
обрабатывать ПДн в соответствии с нормами ФЗ № 152;
получать и обрабатывать ПДн можно только с согласия субъекта ПДн;
начать разрабатывать организационно-распорядительную документацию;
С 1 января 2008 года:
направить уведомление в Роскомнадзор о том, что обрабатывают ПДн;
определить категории ПДн;
С 27 июля 2011 года:
принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерных действий в отношении ПДн;
обеспечить неограниченный доступ к документу, определяющему политику оператора в отношении обработки ПДн;
До 1 января 2013 года (касается операторов, осуществлявших обработку ПДн до 1 июля 2011 года) представить в Роскомнадзор следующие сведения:
правовое основание обработки ПДн;
данные физ. лица или юр. лица, ответственных за организацию обработки ПДн;
сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе их обработки;
сведения об обеспечении безопасности ПДн (п.2.1, ст.25, № 152-ФЗ).
Мероприятия по защите ПДн
Сформировать из сотрудников рабочую группу, ответственную за приведение защиты ПДн в организации в соответствие ФЗ № 152, или привлечь к работе сторонних специалистов.
Составить список ПДн, которые обрабатывает организация, а так же выяснить:
цели обработки ПДн;
состав и объём ПДн;
сроки обработки и хранения ПДн;
имеется ли согласие субъектов ПДн на обработку их данных.
3. Определить способы обработки ПДн:
автоматизированный или нет;
какие средства автоматизации используются, их характеристики, конфигурация и взаимодействие.
4. Определить перечень угроз ПДн, разработать модель.
5. Направить уведомление в Роскомнадзор о включении в реестр операторов ПДн.
6. Разработать регламенты работы с ПДн:
определить круг лиц, допущенных к обработке ПДн;
организовать доступ в помещение, в котором осуществляется обработка ПДн;
разработать должностные инструкции по работе с ПДн;
установить персональную ответственность за нарушения правил обработки ПДн;
определить сроки хранения ПДн и т.д.
7. Установить технические и программные средства защиты ПДн, которые уберегут данные от несанкционированного доступа и утечки по техническим каналам.
8. Подготовить и утвердить комплект организационно-распорядительной документации:
Приказ о назначении ответственного должностного лица/подразделения;
Положение по защите ПДн;
Положение об обработке персональных данных;
Регламент взаимодействия с субъектами ПДн;
Должностные инструкции по работе с ПДн;
Приказы о допуске, перечень допущенных сотрудников;
Журналы учёта носителей информации и другие документы.
9. Обеспечить неограниченный доступ к документу, определяющему политику оператора в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн.
10. Ознакомить сотрудников с регламентами работы с ПДн, при необходимости провести обучение.
11. Аттестовать систему защиты ПДн. Аттестацию может провести только специализированная организация, у которой есть соответствующая лицензия ФСТЭК.
12. Спланировать и регулярно проводить контрольные мероприятия по защите ПДн, проводить переаттестацию системы защиты ПДн.
Что нового в последней редакции ФЗ № 152
Внимание! 27 июля 2011 года вступили в силу поправки в ФЗ № 152 (внесены ФЗ № 261 от 25.07.2011). Поправки уточняют сферу действия ФЗ № 152, используемые в нём основные понятия, принципы и условия обработки ПДн.
Самые горячие изменения:
Требования к организации защиты ПДн устанавливаются исходя из модели угроз, а не класса ИСПДн (классификация ИСПДн теперь проводится иначе).
Вводится обязанность оператора обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн (п. 2, ст. 18.1, № 152-ФЗ).
Устанавливаются жёсткие сроки, в которые оператор ПДн обязан отвечать на запросы субъекта ПДн, Роскомнадзора и других контролирующих органов (ст. 20, № 152-ФЗ).
Вводится обязанность представить в Роскомнадзор следующие сведения:
правовое основание обработки ПДн;
ФИО физ. лица или наименование юр. лица, ответственных за организацию обработки ПДн, и их контактные данные;
сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе их обработки;
сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными Правительством РФ (п.2.1, ст.25, № 152-ФЗ).
|
Категория: Эксперт | Добавил: MARIO (23.03.2012)
|
Просмотров: 1805
| Рейтинг: 0.0/0 |
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ]
|
|
Статистика
Онлайн всего: 1 Гостей: 1 Пользователей: 0
|