09.06.2014

Особенности защиты персональных данных в организациях

Широкое применение компаниями для обработки информации компьютеров, а также привлечение для этих целей интернет-ресурсов дает злоумышленникам много возможностей для осуществления деятельности. Достаточно добраться до базы данных компании, чтобы получить информацию о сотнях и тысячах людей. В связи с этим персональным данным, которые обрабатывают организации, нужна надежная защита.

Защиты персональных сведений требует и законодательство. Например, это закреплено в федеральном законе «О персональных данных». Если компания является оператором этих самых данных, то она просто обязана принять дополнительные меры по их защите.

Сначала компания издает указ об установке сроков по созданию системы защиты. В этом документе обычно указывается ответственный работник, упоминается необходимость разработки локальных нормативных актов по вопросу, а также создания комиссии. Обязательно вводится Положение, которое регламентирует проведение мероприятия по защите и обработке данных в организации.

Далее происходит изучение информационных систем предприятия. Именно на этом этапе и выясняется, можно ли организации присвоить статус оператора персональных данных. Статистика указывает, что таковыми являются до 85% от вех действующих предприятий. Если статус присвоен, то защита персональных данных должна быть усилена, что может быть сделано с помощью комплекса организационных, а также технических мер.

К организационным относят разработку вышеупомянутого Положения, получение согласия физических лиц на обработку их персональ информации, а также разработка документации о неразглашении конфиденциальных сведений.

Очень важно уделить серьезное внимание технической стороне вопроса. Ведь именно в ней находят «лазейки» злоумышленники. Поэтому техническая защита должна быть на высшем уровне. Обычно в комплексе применяются средства от несанкционированного доступа, от вирусных атак, а также криптографические. Активно используются и межсетевые экраны. Чтобы защита персональных данных в организации была максимально эффективной, все упомянутые средства должны быть сертифицированы. Обязательно должен быть сформирован список применяемых средств и приложены акты их установки. Должен быть создан журнал учета и хранения носителей охраняемых данных, введены формы актов по их списанию и утилизации. Подписываются соглашения о неразглашении информации. Последний шаг – это подписание заключения о соответствии созданной системы защиты требованиям законодательства.