Защита данных банковских карт
Узнать большеФедеральный закон от 27.07.2006 N 149-ФЗ считается определяющим нормативным актом в РФ в отношении информации. Здесь указаны правила, требования работы с данными различных категорий, приведена их классификация, обозначены условия и нормы хранения информации. Понимание закона и его практическое использование операторами убережет их от нарушения законодательства и вынесения штрафа со стороны регуляторов.
Федеральный закон от 27.07.2006 N 149-ФЗ : ключевые понятия и определения
Данный законодательный акт определяет права на такие действия с информацией как создание, поиск, получение, воспроизведение, распространение. Действие закона также затрагивает порядок использования информационных технологий, организацию защиты данных. Федеральный закон от 27.07.2006 N 149-ФЗ определяет представленный ниже перечень ключевых понятий:
-
Информация – разнообразные данные без конкретной привязки к образцу.
-
Информационные технологии – алгоритмы, средства, которые связаны с обнаружением, подбором, хранением, анализом, распространением всех известных видов данных.
-
Информационная система – общность сведений, технологий, инструментов, находящихся в БД и необходимых для обработки информации.
-
Информационно-телекоммуникационная сеть – комплекс, состоящий из вычислительной техники, каналов коммутации, который осуществляет передачу данных по сети.
-
Владелец информации – лицо, которое собственными силами создает информацию, или же на законных условиях получает ее из другого источника с правами разрешения или ограничения доступа.
-
Конфиденциальность данных – требование закона исключить передачу сведений третьей стороне, минуя разрешение на это владельца.
-
Оператор данных – любое физическое или юридическое лицо, ведущее регулярные работы в информационной среде, а также занимающееся обработкой сведений в БД.
Классификация видов информации
Согласно категории доступа, все данные делят на:
-
Общедоступные. Публикуются самим владельцем, открыты для широкого круга лиц. Например, фамилия и имя, контакты для связи, ссылки на соцсети.
-
С ограничением доступа. Носят закрытый характер, предназначены для ограниченного круга лиц. Например, коммерческая тайна, служебная информация, государственная тайна.
Согласно порядку распространения и представления, данные можно разделить на следующие категории:
-
Свободно распространяемые. Лишены каких-либо видов ограничений.
-
Представленные по соглашению сторон, вступивших в отношения.
-
С доступом, регламентируемым федеральным законодательством.
-
Ограниченные или запрещенные к распространению.
Согласно назначению, данные делят на:
-
Массовые. Включают базовую и общую информацию, которая используется и понятна большинству людей.
-
Специальные. Включают специфическую информацию, которая используется и понятна узкому кругу лиц при осуществлении отдельных видов деятельности.
-
Секретные. Включают закрытую информацию, передаваемую по отдельным и особо защищенным каналам.
-
Личные. Включают уникальную информацию об отдельном индивидууме характеризующую личность, ее социальное положение и контакты.
Как должна проводиться защита информации по Федеральному закон от 27.07.2006 N 149-ФЗ ?
Для обеспечения полноты и эффективности защиты информации она должна носить многоуровневый характер. Законодательство указывает на три уровня защиты данных:
-
Правовой. Связан с выполнением соответствия защиты государственным стандартам в этой области. Реализуется посредством исполнения оператором указов, постановлений, законов, инструкций. Для того, чтобы защита данных на этом уровне была надежной и эффективной, необходимо соблюсти законные права пользователей и правила обработки информации.
-
Организационный. Связан с созданием регламента работы пользователей с разными видами информации. В первую очередь, сюда входят организация обработки и хранения документации, контроль доступа к информации и ее носителям. Регламент разрабатывается персонально для каждого оператора согласно специфике его деятельности, классу информационных угроз, уровню защиты информации. Это совместная деятельность службы безопасности компании и поставщика системы безопасности. В результате совместных усилий создаются определенные условия доступа к информационным ресурсам, а также устанавливаются права пользователей, связанные с обработкой, хранением, передачей информации.
-
Технический. Подразделяется на физический, аппаратный, программный, криптографический подуровни. Сопровождается внедрением разных классов СЗИ, вспомогательных инструментов ведения контроля и мониторинга информационной системы.
Федеральный закон от 27.07.2006 N 149-ФЗ предоставляет оператору ценные указания, рекомендации, правила, касающиеся работы с данными. Их исполнение – залог прохождения проверок со стороны регуляторов и отсутствия штрафов за нарушения. Дополнительно снизить риски инцидентов безопасности, выявить нарушителей среди собственного персонала поможет Solar Dozor. Внедрение DLP-систем в информационную среду оператора помогает контролировать коммуникации сотрудников, осуществлять мониторинг движения и хранения информации, предотвращать ее утечку, а также расследовать инциденты безопасности.