Электронная защита персональных данных

Предлагаем ознакомиться с тематической статьей, в которой полностью освящен вопрос: электронная защита персональных данных. Если после прочтения останутся дополнительные вопросы или уточнения, то обратитесь к дежурному юристу.

Защита персональных данных в интернете

Защита персональных данных
с помощью DLP-системы

С кандалы с утечкой персональных данных следуют один за другим. Сразу после появления в Сети фотографий интимного содержания американских звезд появилось сообщение об открытом доступе к паролям от электронной почты «Яндекса» и Mail.ru. В комментариях обе компании переложили ответственность на пользователей аккаунтов, посетовав на их легкомысленность.

Многие уверены, что злоумышленники в сети Интернет «охотятся» исключительно за данными богатых и знаменитых. Но это не так. Персональные данные обычных пользователей, попадая в руки мошенников, позволяют им извлекать неправомерную выгоду.

Персональная информация: что это?

ФЗ «О персональных данных» называет так сведения, позволяющие идентифицировать человека (пользователя Интернета). Это фамилия, имя, отчество, полная дата рождения, место жительства, серия и номер паспорта, место работы. А вот пароль от Интернет-аккаунта к персональным данным не относится, поскольку личность пользователя не идентифицирует.

На обнародование данных (телефона, адреса электронной почты) требуется согласие пользователя. Аналогично по запросу гражданина информация удаляется из общего доступа.

Где и как хранится информация?

Серверы большинства Интернет-компаний расположены в США. Mail.Ru Group – собственник пяти дата-центров на территории РФ и арендатор иностранных серверов. «Яндекс» организовал дата-центр в Рязани, выкупив девять цехов завода «Саста». К 2020 году компания планирует установить на территории данного центра 100 000 серверов. Также «Яндекс» арендует серверы в Америке, Финляндии и Нидерландах.

Изменения, внесенные в ФЗ «О персональных данных», обязали компании обеспечить хранение данных российских пользователей Интернета в пределах страны. Поэтому ожидается увеличение количества российских дата-центров. Остается неясным отношение иностранных Интернет-корпораций к данному требованию. В средствах массовой информации периодически появляются сведения о переговорах властей по данному вопросу с Twitter, Facebook и Google.

Пути передачи личной информации

Личными данными граждане расплачиваются за бесплатное пользование Интернетом. Корпорации «Яндекс» и «Гугл» на основе анализа данных из разных источников определяют нужды пользователей. Их заработок зависит от рекламы. Поэтому от изучения запросов пользователя Сети зависит выбор транслируемых объявлений. Facebook отображает рекламную информацию, исходя из данных профиля пользователя и страниц, отмеченных пометкой «нравится».

Использование кнопок шейринга (репост, Pluso) позволяет компаниям получать больше данных пользователей, продажа которых рекламным компаниям приносит дополнительную прибыль.

При работе с сервисом пользователь соглашается с предложенными условиями использования его персональных данных. Сервисы получают доступ к данным, когда пользователь авторизуется или демонстрирует интерес, переходя по ссылкам и отмечая понравившиеся публикации.

Защиту персональной информации пользователей в Сети каждая Интернет-компания обеспечивает по-разному. «Яндекс» шифрует содержание электронных писем, персональные данные корреспондента и используемый логин и распределяет их по трем точкам, безопасность которых обеспечивается тремя группами системных администраторов. Для получения доступа к данным требуется согласованное участие сразу трех групп, что невозможно без проведения внутренних процедур. Попытка открытия несанкционированного доступа к данным пользователя автоматически логируется и передается в службу безопасности «Яндекса».

Кому и зачем нужна личная информация?

Пользуются персональными данными не только для установления личности, но и для мошенничества. Отсутствие защиты персональных данных провоцирует утечку и попадание информации в руки мошенников. Чаще всего встречаются:

  • подмена данных для выполнения определенных действий. Благодаря известным персональным данным, можно завести фейковый аккаунт в соцсети или провести мошенническую операцию;
  • получение финансовых данных пользователя: номеров кредиток, электронных кошельков, аккаунтов платных онлайн-игр. Для открытия доступа к денежным средствам требуется знание личных данных;
  • удаление персональных данных. Уничтожение личной информации пользователей блокирует работу сервиса, а полученная информация используется в преступных целях.

Пользуются персональными данными не только злоумышленники. Личными данными пользователей активно интересуются специалисты по таргетинговой рекламе. Главный источник получения сведений для данного вида рекламы – файлы cookie, которые передаются браузером пользователя на сервер таргетингового агентства.

Защита личной информации

Проконсультироваться относительно организации индивидуальной защиты личных данных стоит с сотрудниками компаний, специализирующихся на оказании услуг в данной отрасли. Также существует список общих рекомендаций, позволяющих защитить личные сведения самостоятельно.

Двойная аутентификация

Непонятное название, но работает этот механизм просто. Логин и пароль обеспечиваются двойной защитой:

  • стандартной комбинацией букв и цифр, которая охраняется на сервере;
  • специальным кодом, передаваемым на устройство, которым владеет только пользователь.

Например, после введения пароля в Интернет-банкинге на телефон приходит СМС с одноразовым кодом. Данный код вводится на сайте для входа в персональный кабинет.

Безопасная связь

Перед оплатой покупки в Интернете или выполнением других финансовых операций стоит отслеживать значок, появляющийся слева от строки адреса. Данный значок должен информировать пользователя о работе с зашифрованным соединением.

При отсутствии защиты соединения рекомендуется пользоваться дополнительными сервисами, которые перенаправят пользователя на HTTPS-версию сайта.

Генерация паролей

Создать сложный пароль – распространенный совет экспертов по безопасности персональных данных. Однако самостоятельно созданный пароль уступает сгенерированному специализированным сервисом. К тому же запомнить его непросто, а записывать в ежедневник – ненадежно.

Специализированные сервисы, называемые «менеджерами паролей», автоматически создают сложные пароли и сохраняют их на защищенных серверах. Поэтому не требуется запоминать данную комбинацию, сервис автоматически впишет ее в нужном месте. Данную услугу предоставляют приложения Enpass, 1Password, LastPass.

Контроль доступа сервисов к личной информации

Для пользователей мобильных устройств iOS и Android включена функция разрешения или запрета получения приложением персональных данных. Важно только не лениться и периодически проверять, к каким сведениям получает доступ скачанное приложение или игра. При появлении подозрительных запросов рекомендуется отказаться от установки и использования такого приложения.

Использование VPN при работе с общедоступными точками Wi-Fi

Пользуясь Интернетом в гостинице, на вокзале или в кафе через Wi-Fi соединение, рекомендуется включать VPN сервис, перенаправляющий трафик на собственный ресурс, выдавая «чистый» доступ, недоступный для незаконных манипуляций. Поскольку использование пароля не обеспечит полноценную защиту.

Читайте так же:  Сколько длится регистрация права собственности на квартиру

Установка лицензионного программного обеспечения

Защиту от вирусов и хакерских атак на домашних и рабочих ПК может обеспечить только лицензионная антивирусная программа, которую нужно своевременно обновлять. Перед установкой программ из Интернета или регистрацией на сервисах с введением персональных данных следует внимательно прочитать пользовательское соглашение, поскольку одним из его условий может быть обработка и использование личной информации.

Правильно доверять организацию защиты личной информации компаниям, предоставляющим такие услуги. Они владеют специальными методами защиты информации и помогут подобрать индивидуальную систему безопасности в зависимости от специфики работы компании-заказчика, типовых угроз. Такие компании организуют защиту сведений в облачном хранилище или на физическом сервере.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/perechen-personalnyh-dannyh-podlezhashchih-zashchite/zaschita-personalnykh-dannykh-v-internete/

Защита персональных данных

Спасибо!

Наш менеджер уже увидел Ваше обращение и спешит помочь Вам как можно скорее!

В рабочее время (пн – пт с 9:00 до 18:00) наши менеджеры очень активны и общительны и с радостью ответят Вам в течение дня.

В остальное время – дожидайтесь ответа на следующий рабочий день.

А пока предлагаем вам:

  • Почитать отзывы наших клиентов;
  • Узнать о новинках для бизнеса в блоге;
  • Пообщаться с нашими клиентами в группе ВКонтакте и на Facebook.

Заказ обратного звонка

ЗАЩИТИТЕ ИНФОРМАЦИЮ СЕЙЧАС

Получите полную оценку информационной безопасности предприятия уже сегодня! Мы не только проверим предприятие на соответствие требованиям законодательства, но и предложим Вам комплекс мер, направленных на устранение выявленных нарушений и рассчитаем стоимость услуг.

В связи с ростом атак на компьютеры и компьютерные сети с целью получения доступа к файлам возросла потребность в организации защиты конфиденциальной информации. Проблема защиты персональных данных на предприятии сегодня актуальна как никогда и по значимости не уступает вопросам стратегического развития компании.

Согласно законодательству, компании, работающие с персональными данными, должны следовать требованиям Федерального закона от 27 июля 2006 г. N 152-ФЗ и Постановления Правительства РФ от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». В случае невыполнения требований законодательства предусматривается административная и уголовная ответственность, которая будет наложена как на юридические, так и на физические лица. Законы призваны защищать конфиденциальную информацию, такую как неприкосновенность частной жизни, личной и семейной тайны, прав и свободы при обработке личной информации человека.

ООО «АСП Электронные сервисы» является обособленным подразделением ЗАО «Калуга Астрал» и оказывает полный спектр услуг по приведению информационных систем организаций г.Екатеринбурга в соответствие с требованиями ФЗ № 152 и документов по защите персональных данных ФСТЭК, ФСБ, начиная с «нулевого цикла» и заканчивая выдачей аттестата о соответствии информационной системы ПД требованиям ФСБ России и ФСТЭК.

РОСКОМНАДЗОР ФСБ РФ ФСТЭК России

На них возложены полномочия по проведению плановых и внеплановых проверок организаций, занимающихся обработкой персональных данных. Защита конфиденциальной информации приобрела значимость на государственном уровне.

ООО «АСП Электронные сервисы» предоставляет услуги по обеспечению информационной безопасности и защите персональных данных на территории Уральского Федерального округа.

Основные понятия и определения

Персональные данные — любая информация, относящаяся к определенному физическому лицу (сотруднику компании, клиенту, посетителю и т.д.). Например, фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Обработка персональных данных — действия с персональными данными, включая сбор, хранение, использование, обезличивание, блокирование, уничтожение персональных данных.

Конфиденциальность персональных данных – требование, обязательное для соблюдения получившим доступ к персональным данным лицом не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Оператор персональных данных — любая организация, независимо от ее размера и формы собственности, использующая в своих информационных системах персональные данные.

Цели защиты персональных данных

  • Предотвращение утечки, хищения, утраты, искажения, подделки информации;
  • Предотвращение угроз безопасности личности, общества, государства;
  • Предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации и другого незаконного вмешательства в информационные ресурсы;
  • Сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
  • Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
  • Обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Мероприятия по защите персональных данных

ООО «АСП Электронные сервисы» совместно с ЗАО «Калуга Астрал» предлагает вам полный спектр услуг по приведению информационных систем организаций в соответствие с требованиями ФЗ № 152 и документов по защите персональных данных ФСТЭК, ФСБ на территории Уральского Федерального округа.

Комплекс мер по защите информации включает:

  • Оценка системы информационной безопасности и анализ ее соответствия требованиям законодательства;
  • Определение и утверждение модели угроз;
  • Разработка технического задания на создание или приведение в соответствие системы защиты персональных данных;
  • Разработка организационно-распорядительной документации по защите персональных данных;
  • Поставка и настройка средств защиты информации. Обучение сотрудников работе с ними;
  • Аттестация информационных систем.

Индивидуальный подход к каждому клиенту позволяет построить действенную систему защиты персональных данных.

Спасибо!

Наш менеджер уже увидел Ваше обращение и спешит помочь Вам как можно скорее!

В рабочее время (пн – пт с 9:00 до 18:00) наши менеджеры очень активны и общительны и с радостью ответят Вам в течение дня.

В остальное время – дожидайтесь ответа на следующий рабочий день.

А пока предлагаем вам:

  • Почитать отзывы наших клиентов;
  • Узнать о новинках для бизнеса в блоге;
  • Пообщаться с нашими клиентами в группе ВКонтакте и на Facebook.

Источник: http://asp-edo.ru/uslugi-i-soft/protection/

Защита персональных данных в СЭД

Защита персональных данных
с помощью DLP-системы

З ащита персональных данных, обрабатываемых в системах электронного документооборота, становится самостоятельной технической задачей, иногда не решается силами самого пользователя СЭД. Программные модули, предназначенные для организации электронного документооборота, не всегда защищены должным образом от внутренних и внешних угроз, а обрабатываемые в них сведения часто относятся к категории конфиденциальной информации.

Читайте так же:  Вывих плеча сроки восстановления

Особенности обработки персональных данных в СЭД

Любая крупная компания использует в своей деятельности программы электронного документооборота. Они предназначены для совместной работы над документами, осуществления их визирования и согласования. Часто документы, попадающие для обработки в эти системы, содержат персональные данные сотрудников компании и иных лиц, например, клиентов организации. Примером может стать визирование договора с клиентом, содержащего его имя, данные паспорта, ИНН и места жительства.

В связи с этим при заказе разработки или доработки СЭД у интеграторов клиенты предъявляют требования по ее соответствию законодательству о защите персональных данных. Для того чтобы на СЭД распространялись эти нормы, необходимо соблюдение следующих условий:

  • она должна иметь в своей структуре справочники, содержащие данные физических лиц;
  • сведения должны давать возможность идентифицировать конкретного субъекта персональных данных.

Кроме справочников в СЭД может храниться и другая информация в текстовом виде или в виде сканированных документов – анкеты, истории болезни, личные дела. Особенно много таких данных содержится в СЭД компаний, которые работают в секторе B2С, оказывая услуги именно гражданам. Соответственно, системы документооборота должны защищаться полностью в соответствии с теми требованиями, которые предъявляются к информационным системам персональных данных сообразно уровню их защищенности, установленному постановлением Правительства № 1119.

Как определяются требования к степени защиты СЭД

Нормативно-правовой акт устанавливает четыре уровня, в зависимости от категории данных и количества лиц, сведения о которых обрабатываются в системе. Персональные данные, доверенные компании, делятся на данные сотрудников и клиентов. По классу информации они подразделяются еще на четыре группы:

  • 1 – специальные данные, дополнительная защита которых предусмотрена российским и европейским правом, это сведения о здоровье, интимной жизни, политических и религиозных убеждениях;
  • 2 – биометрическая информация, содержащая сведения о физических особенностях субъекта. Это отпечатки пальцев, фотография, личная подпись;
  • 3 – сведения, переданные субъектом персональных данных, не относящиеся к 1 или 2 группе, но позволяющие получить более подробную информацию о гражданине;
  • 4 – общедоступные данные.

После определения, к какой именно группе защищенности должна относиться СЭД, для выбора технических средств, необходимых для ее работы в режиме защиты персональных данных, нужно построить актуальную модель угроз. В ее основу лягут угрозы трех типов:

  • угрозы 1-го типа обусловлены присутствием недекларированных (недокументированных) возможностей в системном программном обеспечении, установленном в информационных системах персональных данных;
  • угрозы 2-го типа обусловлены присутствием недекларированных возможностей в прикладном программном обеспечении, установленном в информационных системах персональных данных;
  • угрозы 3-го типа не связаны с наличием неявных возможностей во всех типах ПО.

Как именно определяется тип угроз, нормативные акты не регламентируют, компании могут сделать это самостоятельно или поручить подготовить модель угроз разработчику ПО или его интегратору.

Сертифицированное программное обеспечение

Изучая Постановление Правительства и приказы ФСТЭК России, посвященные вопросам обеспечения безопасности информационных систем, содержащих персональные данные, владельцы электронных систем документооборота не всегда могут определиться с ответом на вопрос, обязательна ли сертификация для используемого программного обеспечения. Она требуется для криптографических средств защиты, но нужно ли сертифицировать, к примеру, 1С Документооборот, если он содержит справочники клиентов – физических лиц.

Ответ будет однозначным. Если в системе находятся персональные данные, которые позволяют однозначно идентифицировать то или иное физическое лицо, она должна быть сертифицирована. Обязанность эта возлагается на разработчика, который должен обратиться в ФСТЭК России для сертификации своего продукта согласно установленным требованиям безопасности персональных данных. Следует учитывать, что сертификация имеет особенности:

  • оформляется на конкретную версию программного продукта. При выпуске обновления сертифицировать продукт придется заново;
  • выдается на определенный срок;
  • рассчитана на конкретное количество экземпляров программного продукта;
  • исключает возможность существенной доработки или дописывания программы, что часто делается компаниями применительно к 1С.

Если владелец системы электронного документооборота решит аттестовать систему на ее соответствие требованиям защищенности персональных данных, одной сертификации программного обеспечения может не хватить. Дополнительно придется пройти ту же процедуру в отношении встроенных в нее технических средств защиты, как антивирусной, так и криптографической, если передача информации производится по телекоммуникационным каналам связи общего или локального использования.

Заказчик должен осознавать, что процесс сертификации программных продуктов и аттестации системы защиты персональных данных очень длителен – иногда занимает несколько месяцев. По его завершении может выясниться, что появились новые угрозы, не учтенные в модели, или изменились требования контролирующих органов, и проведенная работа по подготовке системы уже не соответствует требованиям текущего момента.

Частично этот вопрос решается тем, что сейчас сертификация разрешена для отдельных поколений программных продуктов. На практике это означает, что сертифицируется первая версия программного продукта, а после ее обновления вместо сертификации достаточно будет только пройти процедуру инспекционного контроля со стороны ФСТЭК РФ. Инспекция должна выявить, продолжает ли программа соответствовать требованиям, предъявляемым для обеспечения защиты персональных данных. Она завершится успешно для разработчика, если обновление не касалось таких функций программы, как:

  • механизм разграничений прав доступа;
  • криптографический механизм;
  • способы ведения логов.

СЭД и ее отношения с общей информационной системой

Нельзя забывать, что СЭД является только частью общей информационной системы оператора персональных данных и его задачи не решают только приобретение и установка сертифицированного программного продукта. Необходимо соблюдать определенный перечень требований, относящихся ко всей системе. Среди них:

При этом, если сертификация предусмотрена в отношении всей информационной системы и применяемых средств защиты, отдельная сертифицированная программа для СЭД не требуется.

Судебная практика, связанная с обработкой персональных данных в СЭД

Вопросы, связанные с неправомерной обработкой персональных данных, обрабатываемых в системах электронного документооборота, часто становятся предметом рассмотрения судов. Обычно эта категория споров развивается между работодателем и сотрудником и является следствием того или иного затянувшегося трудового конфликта, в котором работник использует нарушения законодательства о защите персональных данных, допущенные работодателем, как инструмент для давления на него.

Читайте так же:  Помощь в оформлении виз и загранпаспортов

Так, Мосгорсуд в 2017 году рассматривал спор, сутью которого стало размещение работодателем в СЭД переписки с работником. Произошла эта ситуация не в частной компании, а в Министерстве юстиции РФ, а в систему электронного документооборота попало заявление работника и ответ его руководства на него. Гражданин уволился по собственному желанию. До этого его руководство, по его мнению, умышленно распространило его персональные данные, в том числе о месте жительства, в системе СЭД Минюста России, о чем он сообщил первому заместителю министра и просил служебную проверку. Но его просьба удовлетворена не была, поэтому он обратился в суд с иском о понуждении такую проверку провести. В первой инстанции он получил отказ, суд не нашел в действиях Минюста нарушений Федерального закона «О персональных данных». Позиция апелляционной инстанции совпала с позицией первой.

Но так легко для работодателя заканчиваются не все споры. В производстве судов крайне часты иски о возмещении вреда, причиненного разглашением персональных данных работников организации. Персонал берет из СЭД требуемую ему информацию о других сотрудниках или клиентах и передает ее третьим лицам. При предъявлении иска к конкретному гражданину, совершившему правонарушение, его работодатель, не обеспечивший надлежащую защиту персональных данных, что входит в его обязанности, может быть привлечен к суду в качестве соответчика и вынужден также компенсировать моральный ущерб.

Забота о надлежащей защите СЭД, если в ней хранятся персональные данные, должна стать задачей, актуальной для всех компаний-операторов. Это позволит избежать рисков привлечения к административной и гражданской ответственности.

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/perechen-personalnyh-dannyh-podlezhashchih-zashchite/zaschita-personalnykh-dannykh-v-sed/

Защита персональных данных

Защита персональных данных
с помощью DLP-системы

Видео (кликните для воспроизведения).

Р ешения для защиты персональных данных в российских компаниях и учреждениях формируются на базе мер организационно-технического характера. Они должны соответствовать нормам правовых актов: Конституции Российской Федерации (статья 24), Федерального закона №152-ФЗ «О персональных данных» и специальным требованиям регуляторов. Функции регуляторов выполняют:

  • Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор;
  • Федеральная служба по техническому и экспортному контролю – ФСТЭК;
  • Федеральная служба безопасности – ФСБ.

Роскомнадзор следит за исполнением законодательства, касающегося персональных данных в целом, ФСТЭК и ФСБ формируют требования к методологическим, техническим и организационным условиям защищенности информационных систем обработки персональных данных.

Что входит в понятие «персональные данные»?

Определение персональных данных (ПДн) содержится в законе 152-ФЗ .

Ключевой особенностью трактовки является словосочетание «любая информация», то есть закон позволяет буквально все организации записать в «операторы персональных данных». Логика понятна. Устраиваясь, например, на работу человек передает работодателю всю информацию о себе, а заключая, скажем, договор с физическим лицом – получает и обрабатывает ПДн. Госструктуры, банки, интернет-магазины, социальные сети – это всего лишь несколько примеров из обширного списка операторов ПДн.

Санкции за нарушение норм закона в области обработки и защиты персональных данных варьируются от штрафов (с 1 июля 2017 года размеры штрафов выросли ) до административной ответственности, не исключено и уголовное преследование.

Нарушение процедуры обращения с персональными данными угрожает также потерей деловой репутации. Выявление подобных фактов в компания нередко становится поводом для оттока клиентов. Значит, исполнять требования 152-ФЗ и соблюдать предписания регулирующих и контролирующих сферу ПДн структур – жизненная необходимость для каждой компании, которая прямо или опосредованно оперирует персональными данными.

Универсального подхода к исполнению требований всеми организациями, которые подпадают под контроль регуляторов, нет. Согласно законодательству, персональные данные разбиты на четыре категории. Компании формируют систему защиты ПДн в зависимости от категории, соответственно, различаются и требования к оператору.

Наиболее сложный и затратный процесс – внедрение полноценного комплекса обеспечения защищенности информационной системы персональных данных (ИСПДн) , в которой обрабатываются сведения о расе и нации субъекта, вере, здоровье, интимной жизни, политических и философских взглядах. Все перечисленные данные входят в группу специальных ПДн . Защищу сведений из этой категории закон требует обеспечивать особенно тщательно.

Высоки требования закона к обеспечению защищенности и биометрических ПДн : биологических и физиологических характеристик, которые позволяют идентифицировать субъекта данных.

Компания, которая получила письменное согласие клиента на обработку ФИО, даты и места рождения, домашнего адреса, данных о профессии, контактных сведений, становится оператором общедоступных ПДн . Подобные сведения используют, например, для составления телефонных справочников. К защите общедоступных персональных данных законодательство предъявляет минимальные в сравнении с другими категориями требования.

К четвертой категории – иных ПДн – причисляют все сведения, которые нельзя отнести к специальным, биометрическими или специальным, но по которым возможно идентифицировать субъекта данных. Защищать иные ПДн проще, чем биометрические или специальные. Однако требования к безопасности выше, чем в случае систем обработки данных из общедоступной категории.

Согласно постановлению правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», операторы при создании механизмов защиты должны учитывать численность субъектов ПДн. Законодательство делит ИСПДн на такие, в которых обрабатывают данные менее 100 тыс. и более 100 тыс. субъектов.

Обеспечение сохранности персональных данных, обрабатываемых в системе, начинается с определения наиболее вероятных угроз. Независимо от категории, целей обработки и численности субъектов ПДн, система должна гарантировать защиту от неправомерных операций , включая:

копирование и распространение уничтожение и блокировку несанкционированное изменение

В инфраструктуре комплексной защиты ИСПДн необходимо учитывать возможность присутствия внутреннего нарушителя. Ущерб персональным данным способен причинить любой сотрудник, намеренно или по неосторожности.

Модули «СёрчИнформ КИБ» перехватывают информацию, переданную на внешние устройства, по почте и через облачные сервисы, а также следят за операциями с файламикопированием, удалением, изменением имени и содержания.

Меры, которые помогают предотвратить несанкционированный доступ, усилить надежность и отказоустойчивость ИСПДн, сохранить целостность и доступность информации внутри системы, перечислены в 152-ФЗ. Закон предписывает:

Читайте так же:  Сколько стоит отзыв доверенности у нотариуса

1. Определить масштаб информационной системы и категорию ПДн, смоделировать угрозы безопасности.

2. Внедрить организационно-технические механизмы безопасности в соответствии с четырьмя уровнями защищенности. Определение уровней содержится в постановлении правительства №1119 .

3. Использовать средства информационной защиты, возможности которых подтверждены сертификатами соответствия ФСТЭК и/или ФСБ.

4. Провести до начала обработки ПДн комплексный аудит безопасности, включая аудит информационной системы, компонентов защиты, исполнения требований внутренних организационных и методических распоряжений.

5. Внедрить систему учета всех видов носителей информации ограниченного использования, в том числе ПДн.

6. Заложить в информационной системе функции резервирования и восстановления ПДн в случае несанкционированных изменений или уничтожения.

7. Установить регламент доступа сотрудников оператора к персональным данным в ИС. Уровни доступа должны сегментироваться в зависимости от должностных обязанностей.

8. Внедрить инструменты аудита и журналирования действий сотрудников с персональными данными.

9. Контролировать исполнение правил безопасности эксплуатации персональных данных и непрерывность работы защитных аппаратно-программных сервисов ИСПДн.

Федеральный закон обозначает общее «защитное поле» персональных данных. Конкретные нормы содержатся в приказе ФСТЭК от 18.02.2013 № 21 . Например:

1. В системе обработки ПДн должна применяться идентификация и аутентификация пользователей, компонентов системы и персональной информации – объектов доступа, защиту которых нужно обеспечивать. Реализация требования предполагает сопоставление уникальных идентификаторов, которые присваиваются объектам и субъектам в ИСПДн. Это значит, необходимо задействовать механизмы авторизации и разграничения прав.

2. Программная среда должна быть ограниченной, что подразумевает наличие фиксированного перечня системного и прикладного ПО. У пользователя должны быть заблокированы полномочия изменять набор системных компонентов и разрешенного ПО. Пользователь вправе запускать и использовать ПО в рамках своей роли. Это обеспечит защиту от случайных действий сотрудников, способных нанести ущерб ИСПДн.

3. Хранение и обработка ПДн на съемных носителях возможна только при отлаженном учете устройстве.

4. Оператор должен обеспечить непрерывный мониторинг безопасности: вести журнал аудита событий, чтобы отследить, что произошло и какие меры были предприняты. Одновременно следует надежно защитить сам журнал аудита от модификации и удаления.

5. Система защиты ПДн должна включать антивирусные программные комплексы. Вредоносное ПО нередко становится причиной утечек конфиденциальной информации и частичного (реже – полного) выхода из строя информационной инфраструктуры.

6. Наряду с антивирусом рекомендуется применять системы обнаружения и предотвращения вторжений. Это позволяет анализировать и выявлять факты неавторизованного доступа на уровне сети или компьютерной системы, попытки превышения полномочий или внедрения вредоносного ПО и предпринимать меры по устранению угроз: информирование офицера безопасности, сброс соединения, блокирование трафика и т.д.

7. Несанкционированное изменение, повреждение информационной системы и ПДн фиксируют также системы обеспечения целостности, которые при использовании в ИСПДн должны иметь функции восстановления поврежденных компонентов и информации.

8. Уровень защищенности ИСПДн подлежит регулярному контролю. Развернутые программные компоненты, аппаратный инструментарий и установленные настройки должны обеспечивать непрерывную и полную защиту процедур обработки и хранения информации, исходя из экспертного класса информационной системы.

Перечень мер, устанавливаемых ФСТЭК для реализации системы безопасности ИСПДн, не исчерпывается несколькими пунктами. В приказе № 21 приводятся требования к инструментам виртуализации, каналам связи, конфигурации ИСПДн, классы средств вычислительной техники, антивирусных систем и другие параметры защиты. Кроме приказа ФСТЭК, при внедрении комплекса защиты ПДн организация – обработчик данных должна руководствоваться приказом ФСБ России от 10.07.2014 № 378.

«СёрчИнформ КИБ» сертифицирована ФСТЭК России. Система соответствует четвертому уровня контроля недекларированных возможностей, которые могут навредить обрабатываемой информации. Это значит, что данные в системе защищены не только от утечек, но и от нарушения целостности, доступности и конфиденциальности.

Разработать и внедрить полный комплекс мероприятий по защите ПДн невозможно без освоения нормативной базы, навыков настройки технических средств и знаний принципов ПО, обеспечивающего информационную безопасность. Это значит, защищать персональные данным силами одного сотрудника, по меньшей мере недальновидно. Единственная ошибка на любом уровне рискует обернуться штрафами от регуляторов и потерей лояльности клиентов.

Сотруднику без ИБ-компетенций под силу разобраться в законодательстве и определить категорию ПДн. Пошаговые инструкции, доступные в Сети, помогут разработать регламент информирования субъектов ПДн о сборе информации и составить уведомление в Роскомнадзор о деятельности компании в качестве оператора ПДн – это стандартные документы. Определить роли, разграничить доступ и зафиксировать, какие сотрудники имеют доступ и какие операции вправе совершать с ПДн – несложная задача для специализированного ПО.

Без привлечения специалиста с профильными знаниями не обойтись на этапе при составлении политики безопасности и определении актуальных угроз. Цикл внедрения программно-технических комплексов от подбора до «боевого» использования ПО и оборудования требует понимания документации ФСТЭК и ФСБ. Специалист должен не только ориентироваться в классах СВТ, антивирусах и межсетевых экранах, но и знать, как гарантировать конфиденциальность и обеспечить безотказность связи для сегментов ИСПДн.

Проблема заключается в том, что даже обладающий нужной квалификацией ИТ- или ИБ-специалист не сможет внедрить и поддерживать в ИСПДн подсистему информационной безопасности без соблюдения ряда условий. Работа со средствами технической защиты – деятельность, лицензируемая ФСТЭК. Значит, перед оператором ПДн встанет задача получить лицензию регулятора.

Крупным организациям целесообразно нанять штат специалистов по информационной безопасности, выполнить условия, чтобы получить лицензию ФСТЭК, а затем самостоятельно создать и поддерживать систему обеспечения защиты персональных данных.

Небольшим организациям – обработчикам ПДн содержать ИБ-штат экономически невыгодно. Менее затратным, более разумным и быстрым будет вариант привлечь лицензиатов ФСТЭК. Это организации, которые профессионально занимаются защитой информации. Специалисты лицензиатов уже обладают всеми знаниями нормативной и технической базы, имеют опыт создания комплексных систем безопасности, в том числе информационной.

Читайте так же:  Выезд за границу из беларуси ограничения

Еще одна возможность защитить ПДн для небольших компанийотдать ИБ-задачи на аутсорсинг внештатным специалистам по безопасности «СёрчИнформ».

Источник: http://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/

Практика. Создание системы защиты персональных данных

Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

  1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
  2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
  4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
  5. Разработка технического задания на создание системы защиты персональных данных.
  6. Приобретение средств защиты информации.
  7. Внедрение системы защиты персональных данных.
  8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Модель угроз безопасности ПДн: пример

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

  • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
  • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Определение уровня защищенности ПДн

В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Построение системы защиты персональных данных

В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Выводы

Видео (кликните для воспроизведения).

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.

Рекомендации по защите персональных данных

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.


Источник: http://kontur.ru/articles/1723
Электронная защита персональных данных
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here