Защита персональных данных в информационных системах услуга компании «Эскейп»
К 1 июля 2011 г. все операторы, обрабатывающие персональные данные субъектов, должны привести свои информационные системы в соответствие c требованиями Федерального закона от 27 июля 2006 г ФЗ "О персональных данных".Федерального закона от 27 июля 2006 г ФЗ "О персональных данных"
Проверки регуляторами Статья 25 Федерального закона ФЗ "О персональных данных" гласит: "Информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года", из чего можно заключить, что информационные системы, созданные в 2011 г. должны изначально соответствовать указанному Федеральному закону.
Проверки регуляторами Надзорными органами (регуляторами), уполномочен- ными защищать права субъектов персональных данных, являются: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) ФСТЭК России ФСБ России Трудовая инспекция Прокуратура
Ответственность оператора Статья 24 Федерального закона ФЗ "О персональных данных" гласит: "Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность". В дополнение к ней рекомендуем ознакомиться со статьями 5.39, 13.11, 13.12, 13.13, 13.14, 19.4, 19.5, 19.6, 19.7, Кодекса об административных правонарушениях РФ и статьями 136, 137, 138, 140, 293 статьи Уголовного Кодекса РФ, ст. 81 и 90 Трудового Кодекса РФ. Следовательно, заниматься защитой ПДн необходимо, причём делать это нужно на профессиональном уровне.
Ответственность оператора Согласно действующим нормативным актам по защите персональных данных: за безопасность обмена данными отвечает сторона передающая ПДн; за безопасность обработки данных отвечает оператор, обрабатывающий эти ПДн. В различных сферах деятельности существуют рекомендации от управляющих органов, как именно приводить ИСПДн к соответствию требованиям Федерального закона ФЗ "О персональных данных". Но необходимо помнить, что Федеральное Законодательство всегда стоит выше муниципального и регионального. Регуляторы имеют полное, и - стоит отметить - абсолютно законное право игнорировать любые методические рекомендации, трактовка которых позволяет обойти четко прописанные требования Федерального закона ФЗ. Важно помнить: ОБРАБОТКА ПДн ДОЛЖНА БЫТЬ ЗАКОННОЙ, а таковой она становится только в случае полного соответствия требованиям закона "О персональных данных".
Методические рекомендации Минздравсоцразвития 29 июня 2011 г. на официальном сайте Министерства здравоохранения и социального развития Российской Федерации были выложены свежие методические рекомендации : "Методические рекомендации по проведению работ по информационной безопасности на региональном уровне единой государственной информационной системы в сфере здравоохранения обязательные для создания в годах в рамках реализации региональных программ модернизации здравоохранения". "Методические рекомендации по составу прикладных компонентов регионального уровня единой государственной информационной системы в сфере здравоохранения, а также функциональные требования к ним, обязательные для создания в годах в рамках реализации региональных программ модернизации здравоохранения".
Методические рекомендации Минздравсоцразвития "Методические рекомендации по порядку организации работ по созданию субъектом Российской Федерации в годах регионального фрагмента единой государственной информационной системы в сфере здравоохранения". "Методические рекомендации по составу и техническим требованиям к сетевому телекоммуникационному оборудованию учреждений системы здравоохранения для регионального уровня единой государственной информационной системы в сфере здравоохранения, а также функциональные требования к ним, обязательные для создания в годах в рамках реализации региональных программ модернизации здравоохранения". "Методические рекомендации по оснащению медицинских учреждений компьютерным оборудованием для регионального уровня единой государственной информационной системы в сфере здравоохранения, а также функциональные требования к ним, обязательные для создания в годах в рамках реализации региональных программ модернизации здравоохранения".
Конечным итогом приведения любой информационной системы персональных данных ( ИСПДн) класса 1К (высший класс присваивается всем системам, содержащим данные о здоровье граждан РФ) в соответствие требованиям Федерального закона 152 – ФЗ " О персональных данных " является документ, именуемый "Аттестат соответствия требованиям безопасности информации". Требования ФЗ 152: Аттестация ИСПДн
ООО "Фирма "Эскейп", обладая всеми необходимыми лицензиями и сертификатами, а также опытом и необходимой квалификацией, предлагает свои услуги по приведению любой ИСПДн в соответствие с требованиями Федерального закона ФЗ "О персональных данных" с последующей выдачей "Аттестата соответствия требованиям безопасности информации".лицензиями и сертификатами Услуга компании «Эскейп»: Аттестация ИСПДн
Услуга включает в себя 4 этапа: 1.Обследование и классификация информационной системы персональных данных (ИСПДн). 2.Проектирование системы защиты персональных данных. 3.Внедрение системы защиты ПДн. 4.Аттестация систем персональных данных на соответствие требованиям.
В результате каждого из этапов работ составляется необходимый пакет документов, с перечнем которых Вы можете ознакомиться на странице нашего сайта "Результирующий пакет документов". "Результирующий пакет документов" Услуга компании «Эскейп»: Аттестация ИСПДн
Кроме того, компанией «Эскейп» предприняты все необходимые меры по приведению своих программных продуктов к требованиям по обеспечению защиты информации с обязательной сертификацией во ФСТЭК. АСУЛОН "М-АПТЕКА", версия 6, является сертифицированным ПО, отвечает требованиям, предъявляемым к ИСПДн класса 1К и обеспечивает защиту конфиденциальной информации. Программные продукты компании «Эскейп»
Комплекс средств защиты АСУЛОН "М-АПТЕКА", версии 6 1. Разграничение доступа пользователей к модулю: Администрирование пользователей. Ограничение сроков действия логинов/паролей. Восстановление доступа к модулю при утрате пароля. Восстановление доступа на объектах старшего уровня. Восстановление доступа на выносных объектах нижнего уровня модуля Ввод нового пользователя. переход ранее установленных модулей на подсистему улучшенной безопасности по обработке ПДн. 2. Создание для пользователей ограниченной замкнутой среды внутри базы данных каждого модуля: Работа пользователя с данными нескольких подразделений. Наделение пользователя доступом к функциям модуля. Установка уровня доступа пользователей к ПДн пациентов. Управление доступом пользователей к модулю.
Комплекс средств защиты АСУЛОН "М-АПТЕКА", версии 6 3. Регистрация событий безопасности в журнале регистрации событий; просмотр протоколов работы пользователе. 4. Обеспечение безопасной связи "клиент-сервер". 5. Контроль целостности защищаемых ресурсов: Проверка баз данных на внутреннюю целостность. Проверка средствами модуля. Проверка средствами СУБД Cache. 6. Криптозащита информации, пересылаемой между отдельными объектами модулей.
Обеспечение законности обработки ПДн любого класса информационной системы должно осуществляться профессионалами. Верным выбором является привлечение организации, отвечающей всем законным требованиям в сфере защиты ПДн и обладающей хорошей репутацией на рынке. Наши заказчики, клиенты и коллеги, имеющие опыт сотрудничества с нами, знают, что в нашем лице приобретают не просто "Исполнителя", но и надежного партнера и друга.
Мы готовы ответить на любые интересующие Вас вопросы: ведущий специалист по защите ИСПДн - Владислав Кулапин тел.: 8 (499) mailto: Подробная информация – на нашем официальном сайте: