Защита персональных данных в информационных системах услуга компании

Защита персональных данных в информационных системах услуга компании «Эскейп»

• К 1 июля 2011 г. все операторы, обрабатывающие персональные данные субъектов, должны привести свои информационные системы в соответствие c требованиями Федерального закона от 27 июля 2006 г. № 152 - ФЗ "О персональных данных".

Проверки регуляторами • Статья 25 Федерального закона № 152 - ФЗ "О персональных данных" гласит: "Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года", из чего можно заключить, что информационные системы, созданные в 2011 г. должны изначально соответствовать указанному Федеральному закону.

Проверки регуляторами Надзорными органами (регуляторами), уполномоченными защищать права субъектов персональных данных, являются: • Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) • ФСТЭК России • ФСБ России • Трудовая инспекция • Прокуратура

Ответственность оператора • Статья 24 Федерального закона № 152 - ФЗ "О персональных данных" гласит: "Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность". В дополнение к ней рекомендуем ознакомиться со статьями 5. 39, 13. 11, 13. 12, 13. 13, 13. 14, 19. 5, 19. 6, 19. 7, 19. 20 Кодекса об административных правонарушениях РФ и статьями 136, 137, 138, 140, 293 статьи Уголовного Кодекса РФ, ст. 81 и 90 Трудового Кодекса РФ. Следовательно, заниматься защитой ПДн необходимо, причём делать это нужно на профессиональном уровне.

Ответственность оператора Согласно действующим нормативным актам по защите персональных данных: • за безопасность обмена данными отвечает сторона передающая ПДн; • за безопасность обработки данных отвечает оператор, обрабатывающий эти ПДн. В различных сферах деятельности существуют рекомендации от управляющих органов, как именно приводить ИСПДн к соответствию требованиям Федерального закона № 152 - ФЗ "О персональных данных". Но необходимо помнить, что Федеральное Законодательство всегда стоит выше муниципального и регионального. Регуляторы имеют полное, и - стоит отметить - абсолютно законное право игнорировать любые методические рекомендации, трактовка которых позволяет обойти четко прописанные требования Федерального закона № 152 - ФЗ. Важно помнить: ОБРАБОТКА ПДн ДОЛЖНА БЫТЬ ЗАКОННОЙ, а таковой она становится только в случае полного соответствия требованиям закона "О персональных данных".

Методические рекомендации Минздравсоцразвития 29 июня 2011 г. на официальном сайте Министерства здравоохранения и социального развития Российской Федерации были выложены свежие методические рекомендации: • "Методические рекомендации по проведению работ по информационной безопасности на региональном уровне единой государственной информационной системы в сфере здравоохранения обязательные для создания в 2011 - 2012 годах в рамках реализации региональных программ модернизации здравоохранения". • "Методические рекомендации по составу прикладных компонентов регионального уровня единой государственной информационной системы в сфере здравоохранения, а также функциональные требования к ним, обязательные для создания в 2011 - 2012 годах в рамках реализации региональных программ модернизации здравоохранения".

Методические рекомендации Минздравсоцразвития • • • "Методические рекомендации по порядку организации работ по созданию субъектом Российской Федерации в 2011 -2012 годах регионального фрагмента единой государственной информационной системы в сфере здравоохранения". "Методические рекомендации по составу и техническим требованиям к сетевому телекоммуникационному оборудованию учреждений системы здравоохранения для регионального уровня единой государственной информационной системы в сфере здравоохранения, а также функциональные требования к ним, обязательные для создания в 2011 - 2012 годах в рамках реализации региональных программ модернизации здравоохранения". "Методические рекомендации по оснащению медицинских учреждений компьютерным оборудованием для регионального уровня единой государственной информационной системы в сфере здравоохранения, а также функциональные требования к ним, обязательные для создания в 2011 - 2012 годах в рамках реализации региональных программ модернизации здравоохранения".

Требования ФЗ № 152: Аттестация ИСПДн • Конечным итогом приведения любой информационной системы персональных данных (ИСПДн) класса 1 К (высший класс присваивается всем системам, содержащим данные о здоровье граждан РФ) в соответствие требованиям Федерального закона № 152 – ФЗ " О персональных данных " является документ, именуемый "Аттестат соответствия требованиям безопасности информации".

Услуга компании «Эскейп» : Аттестация ИСПДн • ООО "Фирма "Эскейп", обладая всеми необходимыми лицензиями и сертификатами, а также опытом и необходимой квалификацией, предлагает свои услуги по приведению любой ИСПДн в соответствие с требованиями Федерального закона № 152 - ФЗ "О персональных данных" с последующей выдачей "Аттестата соответствия требованиям безопасности информации".

Услуга компании «Эскейп» : Аттестация ИСПДн Услуга включает в себя 4 этапа: 1. Обследование и классификация информационной системы персональных данных (ИСПДн). 2. Проектирование системы защиты персональных данных. 3. Внедрение системы защиты ПДн. 4. Аттестация систем персональных данных на соответствие требованиям.

Услуга компании «Эскейп» : Аттестация ИСПДн • В результате каждого из этапов работ составляется необходимый пакет документов, с перечнем которых Вы можете ознакомиться на странице нашего сайта "Результирующий пакет документов".

Программные продукты компании «Эскейп» • Кроме того, компанией «Эскейп» предприняты все необходимые меры по приведению своих программных продуктов к требованиям по обеспечению защиты информации с обязательной сертификацией во ФСТЭК. АСУЛОН "М-АПТЕКА", версия 6, является сертифицированным ПО, отвечает требованиям, предъявляемым к ИСПДн класса 1 К и обеспечивает защиту конфиденциальной информации.

Комплекс средств защиты АСУЛОН "М-АПТЕКА", версии 6 1. Разграничение доступа пользователей к модулю: • Администрирование пользователей. • Ограничение сроков действия логинов/паролей. • Восстановление доступа к модулю при утрате пароля. • Восстановление доступа на объектах старшего уровня. • Восстановление доступа на выносных объектах нижнего уровня модуля • Ввод нового пользователя. • переход ранее установленных модулей на подсистему улучшенной безопасности по обработке ПДн. 2. Создание для пользователей ограниченной замкнутой среды внутри базы данных каждого модуля: • Работа пользователя с данными нескольких подразделений. • Наделение пользователя доступом к функциям модуля. • Установка уровня доступа пользователей к ПДн пациентов. • Управление доступом пользователей к модулю.

Комплекс средств защиты АСУЛОН "М-АПТЕКА", версии 6 3. Регистрация событий безопасности в журнале регистрации событий; просмотр протоколов работы пользователе. 4. Обеспечение безопасной связи "клиент-сервер". 5. Контроль целостности защищаемых ресурсов: • Проверка баз данных на внутреннюю целостность. • Проверка средствами модуля. • Проверка средствами СУБД Cache. 6. Криптозащита информации, пересылаемой между отдельными объектами модулей.

• Обеспечение законности обработки ПДн любого класса информационной системы должно осуществляться профессионалами. Верным выбором является привлечение организации, отвечающей всем законным требованиям в сфере защиты ПДн и обладающей хорошей репутацией на рынке. Наши заказчики, клиенты и коллеги, имеющие опыт сотрудничества с нами, знают, что в нашем лице приобретают не просто "Исполнителя", но и надежного партнера и друга.

Мы готовы ответить на любые интересующие Вас вопросы: ведущий специалист по защите ИСПДн - Владислав Кулапин тел. : 8 (499) 968 -91 -00 mailto: info@esc. ru Подробная информация – на нашем официальном сайте: http: //esc. ru