Защи́та персональных данных — комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
Защита персональных данных включена в раздел охраны труда на предприятии, является самостоятельным элементом. Государство гарантирует работникам защиту их персональных данных, а также их права на труд, с учетом использования их персональных данных (например, паспорт).
Этапы работ по защите персональных данных
Обязательные (в том числе предварительные) этапы работ по защите персональных данных:
Определить все ситуации, когда требуется проводить обработку персональных данных (ПДн).
Выделить бизнес-процессы, в которых обрабатываются персональные данные.
Выбрать ограниченное число бизнес-процессов для проведения аналитики. На этом этапе формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности.
Определить круг информационных систем и совокупность обрабатываемых ПДн.
Провести категорирование ПДн и предварительную классификацию информационных систем (ИС).
Выработать меры по снижению категорий обрабатываемых ПДн.
Сформировать актуальную модель угроз для каждой информационной системы обработки персональных данных (ИСПДн).
Подготовить техническое задание (ТЗ) по созданию требуемой системы защиты.
Провести уточнение классов ИС, с последующей подготовкой рекомендаций по использованию технических средств защиты ПДн.
Подать уведомление о начале обработки персональных данных в Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) для регистрации в качестве оператора ПДн.
Отправить заявку на получение экземпляров руководящих документов ФСТЭК России по организации системы защиты.
Разработать требования для конкретной ИСПДн, с учетом присвоенного класса защиты.
Подготовить технический проект по защите ИСПДн и помещений.
Разработать пакет организационно-распорядительных документов для СЗПДн (положения, приказы, инструкции, регламенты);
Спроектировать и внедрить систему защиты персональных данных (СЗПДн);
Взять согласия на обработку ПДн с субъектов персональных данных;
Проводить контрольные мероприятия по выявлению нарушений защиты персональных данных.
Проверить при трансграничной передаче находится ли получатель персональных данных в стране, где осуществляется надлежащая защита персональных данных.
В Российской Федерации защита персональных данных сводится к созданию режима обработки персональных данных, включающего:
Создание внутренней документации по работе с персональными данными.
Создание организационной системы защиты персональных данных.
Внедрение технических мер защиты.
Получение лицензий регулирующих органов (ФСБ, ФСТЭК). Лицензия ФСТЭК России на Техническую защиту конфиденциальной информации нужна только в случае если организация оказывает услуги по созданию системы защиты персональных данных для других лиц. При создании системы защиты персональных данных силами организации (для собственных нужд) как техническими средствами, так и организационными — данная лицензия не нужна.
Получение сертификатов регулирующих органов (ФСБ, ФСТЭК) на средства защиты информации.
