Информационная безопасность банков
+7 (495) 545 54 08

Приведение в соответствие требованиям Федерального закона 152-ФЗ «О персональных данных»

Федеральный закон 152-ФЗ призван обеспечить права субъектов персональных данных и вместе с подзаконными актами регламентирует порядок обработки и обеспечения конфиденциальности персональных данных.

Нарушение требований данных правовых актов, в том числе нормативных документов ФСБ и ФСТЭК в процессе обработки персональных данных может привести к проблемам с государственными органами, которые осуществляют надзор и контролируют данную сферу деятельности (Роскомнадзор, ФСБ России, ФСТЭК России), а также к возможному привлечению организации и ее руководства к административной или другим мерам ответственности. Не исключена также приостановка регуляторами обработки персональных данных в организации, в некоторых случаях может быть приостановлена деятельность компании или аннулирована лицензия.

При выполнении работ мы основываемся на актуальных требованиях законодательства РФ и надзорных органов (Роскомнадзор, ФСТЭК и ФСБ), в частности положений Постановления Правительства РФ от 01.11.2012г. №1119.

Все рекомендации, заключения и отчеты, предоставляемые в ходе выполнения работ, согласуются с Заказчиком и выполняются с учетом требований и пожеланий Заказчика. При построении системы защиты персональных данных мы исходим в том числе из оптимизации затрат на реализацию технической составляющей системы защиты персональных данных.

Практика проверок регуляторов позволяет составить примерный перечень нарушений, допускаемых операторами по обработке персональных данных:

  • данные физического лица обрабатываются не в соответствии с задекларированными целями обработки;
  • не получено согласие субъекта на сбор и обработку персональных данных;
  • отсутствие информирования субъекта о порядке сбора и обработки персональных данных;
  • данные получены оператором незаконными методами;
  • персональные данные не уничтожены по достижении целей обработки.

Порядок выполняемых нами работ и их состав

Предварительный аудит информационной системы и процедур обработки персональных данных, а также их оценка на предмет соответствия требованиям по защите персональных данных, включает в себя:

  • анализ нормативных документов компании, регулирующих порядок обработки и защиты персональных данных;
  • определение используемых средств защиты и оценка их соответствия требованиям регуляторов;
  • определение перечня персональных данных, подлежащих защите;
  • установление перечня объектов информационной системы, на которых производится обработка персональных данных;
  • определение степени участия персонала в обработке персональных данных.

По результатам этапа мы вносим корректировки в документацию компании-клиента, касающуюся ИСПДн.

Разработка требований к системе защиты персональных данных

Данный этап подразумевает проведение контроля корректности разработанных существующих у Заказчика документов «Техническое задание на систему защиты персональных данных», «Технический проект системы защиты персональных данных» или их разработку с нуля. При необходимости мы вносим изменения в указанные документы, согласовывая изменения с Заказчиком. По итогам контроля и доработки документации может быть выявлена необходимость приобретения и внедрения дополнительных средств защиты. Внедрение может быть выполнено Заказчиком самостоятельно или с нашей помощью.

Квалификация и гарантии качества выполняемых работ

Все специалисты компании Data Protection Systems, участвующие в реализации проектов по аудиту систем защиты информации, обладают необходимыми знаниями и опытом в области информационной безопасности. Компания является лицензиатом ФСТЭК в части соответствующих видов деятельности. Нами успешно выполнены десятки проектов по приведению компаний в соответствие 152-ФЗ «О персональных данных».

ООО "Системы защиты данных"
ул. Годовикова, д. 9, стр. 3 129085 Москва
+7 495 545-54-08 info@dpsys.ru