Анализ коммуникаций — красная таблетка для офицера внутренней безопасности
Узнать большеЗащита личных данных входит в обязанность операторов, занимающихся хранением и обработкой информации. Персональные сведения представляют большую ценность для злоумышленников, конкурентов. При отсутствии разрешения на их использование вероятно причинение финансового, интеллектуального, морального ущерба владельцу. Законодательство РФ обязывает компании, занимающиеся хранением и обработкой личных данных людей принимать меры по недопущению раскрытия конфиденциальности и попадания информации в руки третьей стороны.
Что входит в понятие личных данных и почему их нужно защищать?
152-ФЗ от 27.07.2006 в третьей статье определяет, что принято считать личной информацией. Согласно этому законодательному акту в перечень включены:
-
Имя отчество, фамилия человека, паспортные реквизиты
-
Место и дата рождения
-
Регистрационные данные о месте проживании
-
Информация, отражающая семейное положение, родственные связи
-
Величина дохода
-
Перечень навыков, личностных качеств
-
Фото, видеозапись по которым можно идентифицировать лицо
-
Сведения, идентифицирующие личность: расовая принадлежность, пол, религиозная и политическая позиции
-
Социальные идентификаторы: адрес электронной почты, аккаунты в социальных сетях и мессенджерах, номер телефона
-
Биометрические показатели
-
СНИЛС
Важной особенностью для рассмотрения перечисленных сведений в качестве личных данных должна быть возможность их персонификации. Сами по себе без привязки к конкретному лицу они могут потерять свою ценность и важность. Обеспечение защиты персональных данных диктуется требованиями законодательства, правилами бизнеса, нормами информационный защиты с целью предотвращения использования персональных сведений против владельца.
Защита персональных данных в информационных системах
Согласно ГОСТ 50922-2006 защитные меры по сохранению целостности и конфиденциальности личных данных должны быть выполнены на четырех уровнях:
-
Физический. Обеспечение информационной безопасности для ограничения доступа физических лиц к закрытым сведениям путем проведения организационных мероприятий и контроля доступа.
-
Криптографический. Использование инструментов криптографического шифрования данных для преобразования исходных информационных ресурсов.
-
Правовой. Разработка, внедрение, использование законодательных и нормативных актов посредством которых осуществляется регулировка в отношении информационных субъектов. Также включает мероприятия по проведению и контролю исполнения законодательных нормативов на практике.
-
Технический. Комплекс технических мер, направленный на обеспечение информационной безопасности с помощью специального ПО, современных технических средств. Например, межсетевые экраны, антивирусы, SIEM-системы, DLP-системы.
Меры по защите информации и персональных данных согласно 152-ФЗ от 27.07.2006
-
Определить масштабность используемой информационной системы, классифицировать данные по категориям.
-
Провести моделирование потенциальных угроз.
-
Пред началом обработки личной информации провести тщательный аудит информационной системы, защитных инструментов на предмет соответствия внутренним правилам, стандартам, методическим указаниям.
-
Использовать систему учета всех видов носителей персональных сведений.
-
Задействовать возможность резервного восстановления информации в случае несанкционированного доступа или ее уничтожения.
-
Ограничить доступ к личным данным согласно действующей иерархии сотрудников компании и их личных привилегий.
-
Внедрить информационную защиту согласно Постановлению Правительства РФ от 1 ноября 2012 г. N 1119.
-
Использовать в работе только те защитные средства, которые прошли сертификацию ФСТЭК и/или ФСБ.
-
Вести регулярный мониторинг действий персонала при хранении и обработке личных данных.
-
Контролировать исполнение защитных мер в полном объеме.
Нормы защиты персональных данных в РФ согласно приказу ФСТЭК № 21 от 18.02.2013
-
Обязательное использование при обработке информации идентификации и аутентификации пользователей. Для этого назначают уникальные идентификаторы, присвоенные объектам и субъектам информационной системы.
-
Только ограниченная программная среда. Задействовать контролируемое и находящееся в фиксированном перечне ПО с доступом к данным. Обработка данных осуществляется на основе строгих ролей, присвоенных пользователям заранее.
-
Съемные носители данных допускаются только в случае их отлаженного учета.
-
Непрерывный мониторинг безопасности посредством ведения журнала аудита.
-
Обязательное присутствие в информационной системе антивирусных комплексов.
-
Задействовать системы обнаружения и предотвращения вторжения.
-
Регулярный контроль и улучшение текущего уровня информационной безопасности.
Защита информационных систем обработки персональных данных – трудоёмкий и ответственный процесс. Здесь не обойтись без комплексного подхода, рекомендаций регуляторов. Ужесточение законодательства в сфере информационной защиты требует от операторов высокого уровня ответственности и четкого следования законодательным нормативам.
