Получить консультацию по Solar Dozor

Защита личных данных входит в обязанность операторов, занимающихся хранением и обработкой информации. Персональные сведения представляют большую ценность для злоумышленников, конкурентов. При отсутствии разрешения на их использование вероятно причинение финансового, интеллектуального, морального ущерба владельцу. Законодательство РФ обязывает компании, занимающиеся хранением и обработкой личных данных людей принимать меры по недопущению раскрытия конфиденциальности и попадания информации в руки третьей стороны.

Что входит в понятие личных данных и почему их нужно защищать?

152-ФЗ от 27.07.2006 в третьей статье определяет, что принято считать личной информацией. Согласно этому законодательному акту в перечень включены:

  • Имя отчество, фамилия человека, паспортные реквизиты

  • Место и дата рождения

  • Регистрационные данные о месте проживании

  • Информация, отражающая семейное положение, родственные связи

  • Величина дохода

  • Перечень навыков, личностных качеств

  • Фото, видеозапись по которым можно идентифицировать лицо

  • Сведения, идентифицирующие личность: расовая принадлежность, пол, религиозная и политическая позиции

  • Социальные идентификаторы: адрес электронной почты, аккаунты в социальных сетях и мессенджерах, номер телефона

  • Биометрические показатели

  • СНИЛС

Важной особенностью для рассмотрения перечисленных сведений в качестве личных данных должна быть возможность их персонификации. Сами по себе без привязки к конкретному лицу они могут потерять свою ценность и важность. Обеспечение защиты персональных данных диктуется требованиями законодательства, правилами бизнеса, нормами информационный защиты с целью предотвращения использования персональных сведений против владельца.

Защита персональных данных в информационных системах

Согласно ГОСТ 50922-2006 защитные меры по сохранению целостности и конфиденциальности личных данных должны быть выполнены на четырех уровнях:

  • Физический. Обеспечение информационной безопасности для ограничения доступа физических лиц к закрытым сведениям путем проведения организационных мероприятий и контроля доступа.

  • Криптографический. Использование инструментов криптографического шифрования данных для преобразования исходных информационных ресурсов.

  • Правовой. Разработка, внедрение, использование законодательных и нормативных актов посредством которых осуществляется регулировка в отношении информационных субъектов. Также включает мероприятия по проведению и контролю исполнения законодательных нормативов на практике.

  • Технический. Комплекс технических мер, направленный на обеспечение информационной безопасности с помощью специального ПО, современных технических средств. Например, межсетевые экраны, антивирусы, SIEM-системы, DLP-системы.

Меры по защите информации и персональных данных согласно 152-ФЗ от 27.07.2006

  • Определить масштабность используемой информационной системы, классифицировать данные по категориям.

  • Провести моделирование потенциальных угроз.

  • Пред началом обработки личной информации провести тщательный аудит информационной системы, защитных инструментов на предмет соответствия внутренним правилам, стандартам, методическим указаниям.

  • Использовать систему учета всех видов носителей персональных сведений.

  • Задействовать возможность резервного восстановления информации в случае несанкционированного доступа или ее уничтожения.

  • Ограничить доступ к личным данным согласно действующей иерархии сотрудников компании и их личных привилегий.

  • Внедрить информационную защиту согласно Постановлению Правительства РФ от 1 ноября 2012 г. N 1119.

  • Использовать в работе только те защитные средства, которые прошли сертификацию ФСТЭК и/или ФСБ.

  • Вести регулярный мониторинг действий персонала при хранении и обработке личных данных.

  • Контролировать исполнение защитных мер в полном объеме.

Нормы защиты персональных данных в РФ согласно приказу ФСТЭК № 21 от 18.02.2013

  1. Обязательное использование при обработке информации идентификации и аутентификации пользователей. Для этого назначают уникальные идентификаторы, присвоенные объектам и субъектам информационной системы.

  2. Только ограниченная программная среда. Задействовать контролируемое и находящееся в фиксированном перечне ПО с доступом к данным. Обработка данных осуществляется на основе строгих ролей, присвоенных пользователям заранее.

  3. Съемные носители данных допускаются только в случае их отлаженного учета.

  4. Непрерывный мониторинг безопасности посредством ведения журнала аудита.

  5. Обязательное присутствие в информационной системе антивирусных комплексов.

  6. Задействовать системы обнаружения и предотвращения вторжения.

  7. Регулярный контроль и улучшение текущего уровня информационной безопасности.

Защита информационных систем обработки персональных данных – трудоёмкий и ответственный процесс. Здесь не обойтись без комплексного подхода, рекомендаций регуляторов. Ужесточение законодательства в сфере информационной защиты требует от операторов высокого уровня ответственности и четкого следования законодательным нормативам.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Безопасность данных: что это такое и какие решения существуют

Безопасность данных: что это такое и какие решения существуют

Узнать больше
Авторское право: что это такое и как его защитить

Авторское право: что это такое и как его защитить

Узнать больше
Как обнаружить злоумышленника, который ведет себя нормально

Как обнаружить злоумышленника, который ведет себя нормально

Узнать больше