Ла-9Как мне ответило руководство в моей организации: не парься, это просто еще один вид налога на прокорм определенных лиц. Через некоторое время вовсю заработают фирмочки этих людей, предлагающие сертифицированные решения по защите данных, требуемые ФЗ №152. Мы такое купим, поставим, это и будет означать что к нам нет претензий. В остальном все останется как было. На реальную защиту всем наплевать, лишь бы деньги отстегнули.Практически так и есть. В соответствии с указом Президента "Об утверждении Перечня сведений конфиденциального характера" от 6 марта 1997 г. № 188 к конфиденциальной информации относились персональные данные, однако их почти не кто не защищал...
А требования по защите конфиденциальной информации устанавливает ФСТЭК России, в части шифрования - ФСБ России. Любые мероприятия по защите КИ требуют лицензии ФСТЭК и ФСБ. Есть организации, которые оказывают услуги по защите информации, в том числе и по защите персональных данных, они имеют все необходимые лицензии. Поэтому либо сами получаете лицензию (а это нанимаете специалистов по ЗИ, и выполняете еще много требований) или нанимаете соответствующую организацию, которая проведет все необходимые мероприятия или часть (разработка Системы защиты информации: разработка ТЗ, проекта, модели угроз, установка и настройка СРЗИ, аттестация ИСПДн на соответствии требованиям по безопасности информации).

В соседней теме написал, напишу и тут:
Добрый день, помимо ПП 781 и ПП 687, требования по созданию системы защиты информации и применению СрЗИ устанавливаются в документах ФСТЭК и ФСБ России:
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (ДСП)
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (ДСП)
- Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК, 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)
http://www.fstec.ru/_spravs/recomend.doc
- Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. ФСТЭК, 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)
http://www.fstec.ru/_spravs/meropriaytiay.doc,
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации от 21 февраля 2008 г.
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных от 21 февраля 2008 г. (на сайте ФСБ).

Ваше предприятие может выполнить самостоятельно, без привлечения сторонних специалистов, мероприятия, кроме создания системы защиты информации (разработка ТЗ, проекта, установка и настройка средств защиты информации (СрЗИ)) и аттестации. На проведение этих (создание системы защиты информации и аттестация) работ необходима лицензия на деятельность по технической защите конфиденциальной информации.

Расскажу об этом подробней:
Помимо ФЗ-152 «О персональных данных» действуют:
 ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149 (статья 1 п.6).
 ФЗ «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. № 128 (статья 17 п.1, пп. 11);
 Постановление Правительства РФ «О лицензировании деятельности по технической защите конфиденциальной информации» от 16 августа 2006 г. № 504;
 Указ Президента «Об утверждении Перечня сведений конфиденциального характера» от 6марта1997мг. №188;
 СТР-К.
Согласно которым: персональные данные относятся к конфиденциальной информации, для защиты которой необходимо получить лицензию на деятельность по технической защите конфиденциальной информации.
Кроме того: п.3.14 «Основных мероприятий…»:
В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1,2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.

Поэтому, в данном случае, либо мед.учереждению необходимо нанимать в штат специалистов по ЗИ и выполнять все требования для получения лицензии на ТЗКИ, либо заключать договор с организацией, имеющей лицензию (лицензиата), на проведение работ по защите ПДн.
В конечном счете (после проведения всех мероприятий по защите и аттестации), Вашему предприятию нужно получить Аттестат соответствия на Вашу систему. Этот документ будет означать, что все требования по защите ПДн выполнены, и Ваша ИСПДн защищена по закону в соответствии с установленным классом. Аттестат Вы и будете показывать проверяющим органам. Как только Вы его получите, все вопросы о несоответствии системы защиты требованиям (если такие возникнут) будут адресованы лицензиату, выдавшему аттестат на Вашу ИСПДн (при условии, что Вы не меняли условия обработки ПДн и состав средств защиты и ИСПДн).
Вы сможете снизить затраты на защиту путем создания специальной модели угроз с обоснованием, почему не защищаемся от той или иной угрозы. Для примера: У нас класс К1, необходимо защищаться от ПЭМИН, но у нас своя охраняемая территория, до границ контролируемой зоны далеко, поэтому угрозу ПЭМИН можно считать не актуальной и не защищаться от нее. Но опять же, все это будет иметь смысл только при грамотном обосновании. По желанию можно согласовать такую модель во ФСТЭК (но это не обязательно).

Необходимо применять сертифицированные средства защиты информации (СрЗИ) ФСТЭК России, а также, при необходимости шифрования информации, использовать сертифицированные ФСБ средства криптографической защиты информации (СКЗИ). Как писал Выше, данные мероприятия имеют право проводить организации, имеющие лицензии ФСТЭК (ФСБ при наличие СКЗИ).

ФСТЭК открыл еще 2 документа:
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Документ MS Word) Пометка «для служебного пользования» снята Решением ФСТЭК России от 16 ноября 2009 г.
http://www.fstec.ru/_spravs/metodika.doc

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных(выписка) (архив RAR) (При рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа.)
http://www.fstec.ru/_spravs/model.rar