Обзор основных положений Закона и способы выполнения требований
Федеральный закон “О защите персональных данных 152-ФЗ”
Основные понятия и положения закона:
Субъект (персональных данных)
любое физическое лицо
Оператор (персональных данных)
государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных
Персональные данные
любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация
Информационная система ПДн (ИСПДн)
информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств.
Обязанности оператора ПД
Предпринимаемые оператором ПДн меры призваны обеспечить:
- конфиденциальность информации (защита от несанкционированного доступа, т.е. обеспечение того состояния информации, при котором доступ к ней осуществляют только субъекты, имеющие право);
- целостность информации (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения)
- доступность информации (возможность за приемлемое время получить требуемую информационную услугу).
Необходимые действия оператора персональных данных
- Получить согласие у субъекта ПДн на обработку ПДн;
- Разработать организационно-распорядительной документацию;
- Провести категорирование ПДн, классификацию информационных систем ПДн и разработать модели угроз;
- Разработать порядок работы с ПДн, в том числе порядок хранение;
- Довести до сотрудников порядок работы со сведениями о персональных данных (обучение сотрудников);
- Осуществлять регулярный контроль работы системы;
- Направить уведомление в Роскомнадзор с целью включения в реестр операторов;
Основные законодательные и нормативные акты
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Постановление Правительства РФ от 17.11.2007 № 781
- Совместный Приказ Роскомнадзора, ФСБ РФ и ФСТЭК РФ от 13.02.2008 № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;
- Приказ Роскомнадзора от 17.07.2008 № 08 «Об утверждении образца формы уведомления об обработке персональных данных»;
- «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» от 21.02.2008 (ФСБ России).
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15.02.2008 (ФСТЭК России);
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных” от 15.02.2008 (ФСТЭК России).
Что нужно сделать чтобы создать систему защиты песональных данных в гостинице и санатории
