Выводы. 
Защита персональных данных

Государство создало необходимые условия для выполнения требований по безопасности персональных данных. Оно определило понятия ПДн и операторов, которые эти данные обрабатывают. Согласно Законодательству операторами ПДн являются практически все организации, которые ведут свою деятельность на территории РФ, поскольку они как минимум осуществляют сбор, систематизацию и хранение сведений о своих сотрудниках, клиентах и партнерах.

Государство возложило на операторов ПДн определенные обязанности. Важнейшим из них является обеспечение безопасности персональных данных. Это означает, что оператор ПДн обязан принять все необходимые меры для обеспечения конфиденциальности (а в некоторых случаях доступности и целостности) сведений о субъектах ПДн. Уполномоченные государством органы разработали требования по созданию системы защиты персональных данных и конкретизировали их в нормативно-методических документах.

Практика показала, что реализовать данные требования самостоятельно организациям достаточно сложно. На помощь им приходят специализированные компании, работающие на рынке информационной безопасности. Имея в своем распоряжении достаточные и квалифицированные ресурсы, компании-интеграторы способны реализовать требования законодательства в конкретных решениях.

Защита персональных данных является сегодня приоритетным направлением деятельности Центра информационной безопасности компании «Инфосистемы Джет». Специалисты нашей компании рассматривают эту задачу не только как выполнение требований российского и международного законодательства, но и как возможность создать полноценную систему обеспечения безопасности.

Накопив значительный опыт в проведении проектов по обеспечению информационной безопасности, специалисты компании «Инфосистемы Джет» разработали свой подход к реализации задачи защиты персональных данных. Он базируется на государственных стандартах (ГОСТ 34.201−89, ГОСТ 34.601−90), нормативных актах и документах регулирующих органов, а также на экспертном опыте наших специалистов.

При этом главными принципами при проведении проектов по реализации требований российского законодательства в области защиты персональных данных наша компания считает:

• · Минимизацию затрат на создание СЗПДн. Компания «Инфосистемы Джет» одной из основных задач в проектах по приведению ИСПДн в соответствие с нормативной базой видит минимизацию расходов заказчиков. Это становится возможным, в первую очередь, за счет оптимизации процессов обработки и хранения персональных данных, из которых исключаются избыточные звенья и ненужные процедуры, сокращения неоправданно большого объема ПДн, рассмотрения возможности их обезличивания, замены персональных данных на условные обозначения или коды, исключения избыточных ИСПДн и сужения круга лиц, вовлеченных в процесс обработки ПДн, а также внедрения альтернативных механизмов защиты.
• · Защиту персональных данных как важнейшего элемента общей системы информационной безопасности организации. Компания «Инфосистемы Джет» делает акцент не только на удовлетворении нормативных требований, но и на повышении фактической защищенности персональных данных, защите не только средств обработки ПДн, но и самих персональных данных. Здесь речь идет об информации, которая выходит за рамки ИСПДн и попадает в руки сотрудников, имеющих легальный доступ к персональным данным. По статистике более 80% утечек происходит по вине этих сотрудников (как умышленно, так и по неосторожности). Специалисты компании «Инфосистемы Джет» видят решение этой задачи в построении правильного процесса обработки персональных данных всеми вовлеченными в него сотрудниками, использовании дополнительных механизмов защиты, что в свою очередь повышает общий уровень информационной безопасности компании.

Необходимость учета отраслевой специфики при проведении проектов. Компания «Инфосистемы Джет» учитывает специфику исполнения Закона организациями из разных отраслей. При этом наши специалисты стараются избежать типового подхода как к этапности проведения работ, так и к подбору средств защиты. Это позволяет находить такие решения, которые могли бы одновременно закрывать требования и Закона, и отраслевых стандартов, учитывать при разработке решений по защите персональных данных специфику деятельности организации и ведения ее бизнес-процессов.