Например, защита персональных данных в кадровом делопроизводстве, в контрольно-пропускной системе, юридическом структурном подразделении (при учете договоров с субъектами ПДн). При этом должностной инструкцией должна быть установлена персональная ответственность работников этих направлений за надлежащую защиту ПДн.

Приступать к технической защите можно после проведения категорирования персональных данных и определения их объема. Эта операция позволит определить класс защиты ПДн и осуществить подбор необходимых средств, удовлетворяющих требованиям класса защиты. Необходимо также продумать создание системы технической защиты персональных данных. Произвести подготовку и провести аттестацию системы технической защиты ПДн.

– Как классифицировать ИСПДн? Каковы требования к аттестации информационных систем?

– На основании закона классификацию ИСПДн оператор персональных данных должен осуществить самостоятельно. При этом модель угроз создается не исходя из своего опыта и здравого смысла, а на основании методики и базовой модели, утвержденной ФСТЭК.

Что касается общих требований безопасности ИСПДн, то они определены в законе. Оператор при обработке ПДн обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.

– Какие могут быть последствия, если ничего этого не делать?

– Законодательство устанавливает уголовную ответственность за нарушение неприкосновенности частной жизни [1], за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений [2].

Кроме того, гражданское законодательство предусматривает защиту нематериальных благ граждан, включающих, в частности, неприкосновенность частной жизни, личную и семейную тайну, деловую репутацию. Устанавливается компенсация морального вреда, возможность требования по суду возмещения убытков и опровержения сведений, порочащих честь, достоинство и деловую репутацию гражданина [3].

Использование несертифицированных информационных систем, баз и банков данных, несертифицированных средств защиты информации, если они подлежат обязательной сертификации, влечет их конфискацию [4].

А нарушение правил защиты информации и отказ в предоставлении гражданину информации может привести к административному приостановлению деятельности организации сроком до 90 суток [5].

Разглашение информации, доступ к которой ограничен ФЗ, и в частности персональных данных (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, которое имело к ней доступ по служебным или профессиональным обязанностям, карается административным штрафом до десяти тысяч рублей [6].