С обработкой персональных данных в том или ином в виде, в тех или иных целях сталкивается любая организация, как осуществляющая коммерческую деятельность, так и не осуществляющая. Организация, осуществляющая такую обработку, является по законодательству «оператором персональных данных». ПДн бывают самых разных категорий: биометрические, специальные, общедоступные, иные. В зависимости от того, какая категория данных обрабатывается, а также в зависимости от ряда других условий, таких как количество субъектов, и того, какие угрозы актуальны информационной системе, требуется обеспечение конкретного уровня защищенности информационной системы. По этой причине одним из этапов, который должен пройти оператор перед началом обработки персональных данных в информационной системе, является определение этого уровня защищенности. Для этого зачастую формируется специальная комиссия, которая анализирует планирующиеся бизнес-процессы, связанные с обработкой персональных данных, а также свойства информационной системы.
Вывод Оператора об отнесении информационной системы персональных данных к тому или иному уровню защищенности оформляется специальным актом. Выявленному требуемому уровню защищенности соответствует ряд мер, которые должны быть реализованы в рамках данного уровня защищенности. Их перечень содержится в Приказе ФСТЭК от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Единого перечня документов, который обязателен был бы для каждой информационной системы, не имеется. Каждый случай уникальный. Однако зачастую такие документы как инструкции ответственного за организацию обработки, инструкции пользователей информационной системы, формы реагирования на запросы субъектов персональных данных, различные политики требуются всем операторам. Подготовить их поможет представленные на нашем сайте интерактивные шаблоны.
Существует 4 уровня защищенности информационной системы персональных данных, 1й уровень - максимальный, 4 й -минимальный. Каждый последующий уровень защищенности включает дополнительные требования по отношению к нижестоящему. Соответственно, в случае выявления в силу выбранных настроек необходимости 3 и 4 уровней защищенности, надлежит ориентироваться на 3 уровень, если выявлены 2,3,4, то на 2 й. Если выявлены 1,2,3,4, то уровень защищенности должен быть выбран наивысший, то есть 1 й.
- Приказ об утверждении Правил обработки персональных данных без использования средств автоматизации;
Федеральный закон № 152-ФЗ от 27.07.2007г. «О персональных данных»