Вопрос задаёт Ирина: Здравствуйте! С этого года моя организация стала страхователем для неработающих жителей г.Байконур, подлежащих обязательному медицинскому страхованию из бюджета города. Сейчас планируется создание базы данных по неработающим жителям и дальнейшая ее передача в ТФОМС. Но данной системы до настоящего времени не существовало как таковой. Перед моей организацией стоит проблема - какое программное обеспечение можно использовать, как осуществить сбор сведений по неработающему населению с учреждений, а так же хранение, накопление, изменение не нарушая закон "О персональны данных". Какие могут быть меры защиты если: - сбор сведений с учреждений в распечатанном виде - является нарушением закона? какую меру защиты можно предпринять в соответствии с законом? - сбор сведений с учреждений в электронном виде, на съемном носителе в документе *.xls - с применение пароля для открытия этого файла является ли мерой защиты? Хранение и обработка сведений осуществляется на ПК, конкретной программы по ведению базы данных нет, используется Excel для этого.... Какие у моей организации сроки как оператора привести в соответствии с законом данную систему по работе с персональными данными? Заранее большое спасибо за любой совет!

Ответ: Добрый день. Вашу ситуацию надо делить на две части: 1. обработка ПДн - порядок создания БД и взаимодействие с ТФОМС; 2. защита ПДн - выбор ПО и орг. мер для обеспечения безопасности собранных ПДн. В первом случае нужно проработать законодательство регулирующее деятельность Вашей организации и данный вид деятельности на предмет поиска обоснования в федеральном законодательстве. Если такого требования закона нет, то, скорей всего, придется собирать согласия с каждого субъекта, но все же рекомендую проработать все нормативные документы по этому вопросу. По второй части Вашего вопроса хочу сказать, что 1. работа с ПДн в распечатанном виде не может являться нарушением закона (это похоже на неправильную трактовку самого ФЗ-152); 2. меры защиты определены в документе ФСТЭКа ("приказ № 58") - вот и что-то из этого перечня Вам и надо будет предпринять. Работа по защите ПДн это комплекс орг. и тех. мер, поэтому купив одну программу Вы не решите всех своих проблем. По вопросу защиты ПДн в ИСПДн рекомендую начинать с "Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" постановление правительства № 781 от 17 ноября 2007 года (http://docs.pravo.ru/document/view/130753/0/).

Вопрос задаёт Сергей Анатольевич: Прошу уточнить что значит (какие условия надо выполнить, чему соответствовать): Сертифицирована с показателями по 5 классу защищенности по требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации». Сертифицированна и может использоваться при создании автоматизированных систем класса защищенности до класса 1Г включительно и информационных систем персональных данных до класса К 2 включительно. По 5 классу - ??? 1Г включительно - ??? К 2 включитель - ???

Ответ: Условия, которым соответствует то СЗИ (или СВТ), из сертификата которого Вы это скопировали, представлены как раз в том руководящем документе, что указан в сертификате. Он доступен на оф. сайте ФСТЭК Росии: http://www.fstec.ru/_docs/doc_3_3_003.htm
Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс – седьмой, самый высокий – первый. Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа секретности обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы. Про классификацию АС можно почитать в РД Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (http://www.fstec.ru/_docs/doc_3_3_004.htm). Классификация АС/ИСПДн проводится по соответствующим документам. Классификация проводится для дифференцированного подхода при выборе СЗИ. После классификации АС/ИСПДн выбираются СЗИ сертифицированные по определенным требованиям безопасности. Эти требования представлены в РД ФСТЭК России, а сертификат - это подтверждение, что СЗИ реально соответствует данным требованиям.