Защита личных данных

Защита личных данных входит в обязанность операторов, занимающихся хранением и обработкой информации. Персональные сведения представляют большую ценность для злоумышленников, конкурентов. При отсутствии разрешения на их использование вероятно причинение финансового, интеллектуального, морального ущерба владельцу. Законодательство РФ обязывает компании, занимающиеся хранением и обработкой личных данных людей принимать меры по недопущению раскрытия конфиденциальности и попадания информации в руки третьей стороны.

Что входит в понятие личных данных и почему их нужно защищать?

152-ФЗ от 27.07.2006 в третьей статье определяет, что принято считать личной информацией. Согласно этому законодательному акту в перечень включены:

• Имя отчество, фамилия человека, паспортные реквизиты

• Место и дата рождения

• Регистрационные данные о месте проживании

• Информация, отражающая семейное положение, родственные связи

• Величина дохода

• Перечень навыков, личностных качеств

• Фото, видеозапись по которым можно идентифицировать лицо

• Сведения, идентифицирующие личность: расовая принадлежность, пол, религиозная и политическая позиции

• Социальные идентификаторы: адрес электронной почты, аккаунты в социальных сетях и мессенджерах, номер телефона

• Биометрические показатели

• СНИЛС

Важной особенностью для рассмотрения перечисленных сведений в качестве личных данных должна быть возможность их персонификации. Сами по себе без привязки к конкретному лицу они могут потерять свою ценность и важность. Обеспечение защиты персональных данных диктуется требованиями законодательства, правилами бизнеса, нормами информационный защиты с целью предотвращения использования персональных сведений против владельца.

Защита персональных данных в информационных системах

Согласно ГОСТ 50922-2006 защитные меры по сохранению целостности и конфиденциальности личных данных должны быть выполнены на четырех уровнях:

• Физический. Обеспечение информационной безопасности для ограничения доступа физических лиц к закрытым сведениям путем проведения организационных мероприятий и контроля доступа.

• Криптографический. Использование инструментов криптографического шифрования данных для преобразования исходных информационных ресурсов.

• Правовой. Разработка, внедрение, использование законодательных и нормативных актов посредством которых осуществляется регулировка в отношении информационных субъектов. Также включает мероприятия по проведению и контролю исполнения законодательных нормативов на практике.

• Технический. Комплекс технических мер, направленный на обеспечение информационной безопасности с помощью специального ПО, современных технических средств. Например, межсетевые экраны, антивирусы, SIEM-системы, DLP-системы.

Меры по защите информации и персональных данных согласно 152-ФЗ от 27.07.2006

• Определить масштабность используемой информационной системы, классифицировать данные по категориям.

• Провести моделирование потенциальных угроз.

• Пред началом обработки личной информации провести тщательный аудит информационной системы, защитных инструментов на предмет соответствия внутренним правилам, стандартам, методическим указаниям.

• Использовать систему учета всех видов носителей персональных сведений.

• Задействовать возможность резервного восстановления информации в случае несанкционированного доступа или ее уничтожения.

• Ограничить доступ к личным данным согласно действующей иерархии сотрудников компании и их личных привилегий.

• Внедрить информационную защиту согласно Постановлению Правительства РФ от 1 ноября 2012 г. N 1119.

• Использовать в работе только те защитные средства, которые прошли сертификацию ФСТЭК и/или ФСБ.

• Вести регулярный мониторинг действий персонала при хранении и обработке личных данных.

• Контролировать исполнение защитных мер в полном объеме.

Нормы защиты персональных данных в РФ согласно приказу ФСТЭК № 21 от 18.02.2013

1. Обязательное использование при обработке информации идентификации и аутентификации пользователей. Для этого назначают уникальные идентификаторы, присвоенные объектам и субъектам информационной системы.

2. Только ограниченная программная среда. Задействовать контролируемое и находящееся в фиксированном перечне ПО с доступом к данным. Обработка данных осуществляется на основе строгих ролей, присвоенных пользователям заранее.

3. Съемные носители данных допускаются только в случае их отлаженного учета.

4. Непрерывный мониторинг безопасности посредством ведения журнала аудита.

5. Обязательное присутствие в информационной системе антивирусных комплексов.

6. Задействовать системы обнаружения и предотвращения вторжения.

7. Регулярный контроль и улучшение текущего уровня информационной безопасности.

Защита информационных систем обработки персональных данных – трудоёмкий и ответственный процесс. Здесь не обойтись без комплексного подхода, рекомендаций регуляторов. Ужесточение законодательства в сфере информационной защиты требует от операторов высокого уровня ответственности и четкого следования законодательным нормативам.