![Защита данных от внутренних угроз](/upload/cssinliner_webp/iblock/d94/oqv66rearwohj1tl271hb0228sj8kmxw/zashchita_dannyh_ot_vnutrennih_ugroz.webp)
Защита данных от внутренних угроз
Узнать больше17.06.2022
Защита личных данных входит в обязанность операторов, занимающихся хранением и обработкой информации. Персональные сведения представляют большую ценность для злоумышленников, конкурентов. При отсутствии разрешения на их использование вероятно причинение финансового, интеллектуального, морального ущерба владельцу. Законодательство РФ обязывает компании, занимающиеся хранением и обработкой личных данных людей принимать меры по недопущению раскрытия конфиденциальности и попадания информации в руки третьей стороны.
Что входит в понятие личных данных и почему их нужно защищать?
152-ФЗ от 27.07.2006 в третьей статье определяет, что принято считать личной информацией. Согласно этому законодательному акту в перечень включены:
Имя отчество, фамилия человека, паспортные реквизиты
Место и дата рождения
Регистрационные данные о месте проживании
Информация, отражающая семейное положение, родственные связи
Величина дохода
Перечень навыков, личностных качеств
Фото, видеозапись по которым можно идентифицировать лицо
Сведения, идентифицирующие личность: расовая принадлежность, пол, религиозная и политическая позиции
Социальные идентификаторы: адрес электронной почты, аккаунты в социальных сетях и мессенджерах, номер телефона
Биометрические показатели
СНИЛС
Важной особенностью для рассмотрения перечисленных сведений в качестве личных данных должна быть возможность их персонификации. Сами по себе без привязки к конкретному лицу они могут потерять свою ценность и важность. Обеспечение защиты персональных данных диктуется требованиями законодательства, правилами бизнеса, нормами информационный защиты с целью предотвращения использования персональных сведений против владельца.
Защита персональных данных в информационных системах
Согласно ГОСТ 50922-2006 защитные меры по сохранению целостности и конфиденциальности личных данных должны быть выполнены на четырех уровнях:
Физический. Обеспечение информационной безопасности для ограничения доступа физических лиц к закрытым сведениям путем проведения организационных мероприятий и контроля доступа.
Криптографический. Использование инструментов криптографического шифрования данных для преобразования исходных информационных ресурсов.
Правовой. Разработка, внедрение, использование законодательных и нормативных актов посредством которых осуществляется регулировка в отношении информационных субъектов. Также включает мероприятия по проведению и контролю исполнения законодательных нормативов на практике.
Технический. Комплекс технических мер, направленный на обеспечение информационной безопасности с помощью специального ПО, современных технических средств. Например, межсетевые экраны, антивирусы, SIEM-системы, DLP-системы.
Меры по защите информации и персональных данных согласно 152-ФЗ от 27.07.2006
Определить масштабность используемой информационной системы, классифицировать данные по категориям.
Провести моделирование потенциальных угроз.
Пред началом обработки личной информации провести тщательный аудит информационной системы, защитных инструментов на предмет соответствия внутренним правилам, стандартам, методическим указаниям.
Использовать систему учета всех видов носителей персональных сведений.
Задействовать возможность резервного восстановления информации в случае несанкционированного доступа или ее уничтожения.
Ограничить доступ к личным данным согласно действующей иерархии сотрудников компании и их личных привилегий.
Внедрить информационную защиту согласно Постановлению Правительства РФ от 1 ноября 2012 г. N 1119.
Использовать в работе только те защитные средства, которые прошли сертификацию ФСТЭК и/или ФСБ.
Вести регулярный мониторинг действий персонала при хранении и обработке личных данных.
Контролировать исполнение защитных мер в полном объеме.
Нормы защиты персональных данных в РФ согласно приказу ФСТЭК № 21 от 18.02.2013
Обязательное использование при обработке информации идентификации и аутентификации пользователей. Для этого назначают уникальные идентификаторы, присвоенные объектам и субъектам информационной системы.
Только ограниченная программная среда. Задействовать контролируемое и находящееся в фиксированном перечне ПО с доступом к данным. Обработка данных осуществляется на основе строгих ролей, присвоенных пользователям заранее.
Съемные носители данных допускаются только в случае их отлаженного учета.
Непрерывный мониторинг безопасности посредством ведения журнала аудита.
Обязательное присутствие в информационной системе антивирусных комплексов.
Задействовать системы обнаружения и предотвращения вторжения.
Регулярный контроль и улучшение текущего уровня информационной безопасности.
Защита информационных систем обработки персональных данных – трудоёмкий и ответственный процесс. Здесь не обойтись без комплексного подхода, рекомендаций регуляторов. Ужесточение законодательства в сфере информационной защиты требует от операторов высокого уровня ответственности и четкого следования законодательным нормативам.
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.