Семинар "Обеспечение защиты персональных данных"     

11 марта 2010 г. в г. Чебоксары состоялся семинар "Обеспечение защиты персональных данных", проводимый компанией "Кейсистемс", на сегодняшний день единственным в Чувашии владельцем лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Федеральный закон от 27.07.2006 №152-ФЗ "О персональных данных" требует от операторов, осуществляющих обработку персональных данных, принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

От ОСЗН г. Шумерля на семинар была направлена администратор баз данных, Н.Г. Бланк.

Участники семинара прослушали приветственное слово председателя Госкомсвязьинформа Чувашии С.А. Захарова.

С докладом выступил начальник отдела по защите прав субъектов персональных данных Управления Роскомнадзора по Чувашской Республике, Л.П. Иванов, рассказавший о требованиях Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» и подзаконных нормативных актов, контроле и надзоре в сфере обработки персональных данных, а также об ответственности за нарушение требований по защите персональных данных.

 Далее прозвучал доклад заместителя начальника отдела управления ФСТЭК России по Приволжскому Федеральному округу – В.А. Моклякова. Доклад касался требований законодательства по обеспечению безопасности персональных данных, практических рекомендаций по построению систем защиты персональных данных, контроля и надзора за соблюдением требованием требований к обеспечению безопасности персональных данных.

Специалист «Кейсистемс» по защите информации, М.А. Сорокин, рассказал об этапах проведения работ по обеспечению безопасности персональных данных: обследовании объекта и разработке комплекта организационно-распорядительных документов, построении системы защиты персональных данных, аттестации.

Затем был проведен круглый стол для ответов на вопросы участников семинара.

Основные рассматриваемые вопросы:

1.       основные понятия в области защиты персональных данных

2.       основные положения Федерального закона «О персональных данных»

3.       права субъектов персональных данных

4.       обязанности операторов персональных данных

5.       последствия несоблюдения ФЗ «О персональных данных»

6.       уполномоченный орган по защите прав субъектов и его функции

7.       Постановления Правительства РФ №781 и №687 по защите персональных данных

8.       «Приказ трех» о классификации информационных систем, обрабатывающих персональные данные

9.       порядок уведомления Роскомнадзора об обработке персональных данных

10.   разработка организационно-распорядительных документов по обеспечению безопасности персональных данных

11.   требования, которые необходимо выполнить для успешного прохождения проверки Роскомнадзора

12.   требования и рекомендации ФСТЭК и ФСБ в области защиты персональных данных

13.   основные стадии создания системы защиты персональных данных

14.   возможные каналы утечки персональных данных

15.   модель угроз безопасности персональных данных

16.   модель вероятного нарушителя

17.   классификация информационных систем персональных данных на основании модели угроз

18.   разработка технического задания и проекта на создание системы защиты персональных данных

19.   особенности внедрения комплексной системы защиты персональных данных

20.   аттестация информационной системы, обрабатывающей персональные данные

21.   порядок получения лицензии ФСТЭК для выполнения работ по защите персональных данных

Единственный вопрос, оставшийся нераскрытым, - финансовый. Ориентировочная стоимость комплекта услуг в сфере защиты персональных данных для небольшой организации, где на десятке рабочих мест задействовано некоторое количество программ, обрабатывающих персональные данные (внимание, данные сотрудников для выплаты заработной платы и налоговых отчислений – это тоже персональные данные!) – около 500 тыс. руб. И это только комплект услуг компании.  А еще есть такая расходная статья как приведение помещений, где обрабатываются персональные данные, в соответствие требованиям безопасности. И получение сертификатов соответствия на используемые компьютеры. И обучение персонала…

По итогам семинара можно сделать однозначный вывод: защита персональных данных необходима, но в настоящее время отсутствуют средства на проведение мероприятий.