Система защиты персональных данных представляет собой сочетание мероприятий технического и организационного характера, направленные на предотвращение утечки персональных данных. Такая система должна быть внедрена и использоваться каждой организацией, которая осуществляет хранение персональных данных пользователей, сотрудников, клиентов и т.д. Соответствие защиты персональных данных требованиям законодательства контролируется Роскомнадзором, а за допущенные нарушения предусмотрена серьезная административная ответственность.

Понятие персональных данных

Нормами ФЗ №152 персональные данные представляют собой информацию, идентифицирующую человека. В том числе в их число входит:

• фамилия, имя, отчество человека;
• дата рождения;
• место рождения;
• адрес регистрации и фактического проживания;
• семейное положение, имущественный и социальный статус;
• сведения о профессии, доходов и другие данные.

Выделяют несколько групп персональных данных, в том числе доступные, обрабатываемые в специальных системах, биометрические специальные. Кроме этого, применяется разделение персональных данных на категории, которые четко различаются между собой. В состав первой категории входят сведения о национальности и расовой принадлежности человека, его политических взглядах и т.д. Вторая категория включает сведения, которые дополняют первую категорию и используются для идентификации человека. Третья категория – персональные данные, которые идентифицируют человека. К четвертой категории относятся общедоступные сведения о субъекте.

Построение системы защиты

Создание системы защиты персональных данных осуществляется в несколько стадий. В том числе стадию предварительной подготовки можно разделить следующие основные этапы:

• обследование информационных систем для определения используемых в организации методов обработки и защиты данных, применяемых технических средств;
• разработка концепции по защите персональных данных и составление рекомендаций;
• определение типа угроз и требуемого уровня защищенности;
• разработка модели угроз безопасности персональных данных, включающая преднамеренные и непреднамеренные действия криминальных элементов, физических лиц и организаций.

После подготовительного этапа с учетом требований нормативной документации разрабатывается техническое задание, на основе которого создается система защиты. После этого на основе разработанного ТЗ и законодательных норм выполняется проектирование системы, разрабатывается организационно-распорядительная документация. На основе проекта осуществляется поставка технических средств защиты персональных данных от несанкционированного доступа, а также средства защиты каналов связи, которые используются для передачи персональных данных. Производится монтаж, подключение, настройка оборудования и программного обеспечения. Завершающим этапом является аттестация системы защиты персональных данных.