Задать вопрос

Спасибо!

Ваше сообщение успешно отправлено!

Заявка на услуги

Защита личных данных

Уже не один раз на страницах нашего сайта мы затрагивали тему персональных данных. Действительно каждый интернет-магазин, курьерская служба наравне с операторами персональных данных ежедневно сталкиваются в своей работе с личными данными клиентов. 

Согласно федеральному закону от 27.07.2006 г. № 152-ФЗ «О персональных данных» обеспечение безопасности персональных данных достигается, в частности:

  1. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  2. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  3. применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  4. оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  5. учетом машинных носителей персональных данных;
  6. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
  7. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  8. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  9. контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
При этом закон устанавливает различные меры в зависимости от того используется при обработке персональных данных ИСПДн (информационная система персональных данных) или нет.

Неавтоматизированная обработка – это обработка персональных данных на бумажных носителях.

Основные мероприятия по защите документов, содержащих персональные данные

Хранение документов. Документы (как в бумажном так и в электронном виде), содержащие персональные данные, должны храниться отдельно от остальных документов. Доступ в места хранения документов, содержащие персональные данные должен быть ограничен (помещение должно запираться на ключ, быть оснащено техническими средствами охраны). Сотрудники, обрабатывающие персональные данные должны быть ознакомлены с порядком физической защиты носителей ПДн (документов). Для этого разрабатывается «Инструкция о порядке физической охраны помещений, содержащих носители персональных данных». 

Доступ к документам. Должен быть разработан и утвержден руководителем перечень лиц, имеющих доступ к документам, содержащим персональные данные. Он может быть определен в «Положении о разграничении прав доступа к персональным данным». 

Инструкция по обработке персональных данных. Сотрудники, работающие с документами, содержащими персональные данные должны быть ознакомлены с порядком обработки ПДн. Для этого разрабатывается «Инструкция по обработке персональных данных без использования средств автоматизации». Необходимо ознакомить с ней работников под роспись. 
Для того, чтобы правильно уничтожить документы, содержащие персональные данные необходимо в организации создать комиссию по уничтожению. Она создается приказом руководителя. Уничтожение производится комиссионно. По результатам оформляется «Акт об уничтожении носителей, содержащих персональные данные».
В соответствии с законом о персональных данных под информационной системой персональных данных понимают совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. 
Сегодня действует Постановление Правительства РФ от 01.11.2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», а также Приказ ФСТЭК № 58 от 05.02.2010 года «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных». 

Если в организации обработка персональных данных происходит с использованием ИСПДн, то тогда необходимо назначить администратора безопасности. 

Администратор безопасности – сотрудник в должностные обязанности которого входит обеспечение защиты персональных данных в информационной системе. Он должен следить за работой средств защиты информации, своевременно проводить антивирусные проверки, консультировать сотрудников по вопросам безопасности персональных данных и т.п. Администратор безопасности назначается приказом руководителя («Приказ о назначении администратора безопасности информационных систем персональных данных»).
Чтобы определить требуемые меры по защите персональных данных необходимо определить класс ИСПДн. Правильно классифицировать информационную систему персональных данных (ИСПДн) необходимо для того, чтобы определить минимальные необходимые меры защиты. Классификация ИСПДн проводится в соответствии с совместным приказом ФСТЭК № 55, ФСБ № 86, Минсвязи № 20 от 13 февраля 2008 г. «Об утверждении порядка проведения классификации информационных систем персональных данных». Для проведения классификации на предприятии должна быть создана комиссия. В состав комиссии обязательно должен быть включен ответственный за защиту персональных данных. Комиссия должна быть назначена приказом руководителя и осуществлять свою деятельность на основании Положения о комиссии по классификации.
По результатам классификации должен быть оформлен акт. Акт классификации является конфиденциальным документом, т.е. должен иметь гриф конфиденциальности ("Конфиденциально", "ДСП", "Коммерческая тайна") и учетный номер. 

В акте нужно указать:
  • категорию обрабатываемых в системе персональных данных;
  • объем обрабатываемых персональных данных;
  • тип ИСПДн;
  • структуру информационной системы;
  • наличие подключений к сетям связи общего пользования и (или) сетям международного информационного обмена;
  • режим обработки персональных данных в системе;
  • разграничение прав доступа пользователей;
  • местонахождение ИСПДн;
  • класс ИСПДн. 
Категория обрабатываемых в системе персональных данных в соответствии с указанным приказом выделяют 4 категории:
  • категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
  • категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
  • категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
  • категория 4 - обезличенные и (или) общедоступные персональные данные. 
Персональные данные 4 категории, как правило, представляют собой статистические данные. Защищать их нет никакой необходимости.
Довольно редко встречаются системы, в которых обрабатываются персональные данные 3 категории. Это связано с тем, что для реальных задач нужны не только данные идентифицирующие субъекта (ФИО, паспортные данные), но и дополнительная информация о нем (например, сведения о зарплате).
Наиболее часто встречаются информационные системы, в которых обрабатываются персональные данные 2 категории. 

Объем, обрабатываемых персональных данных

Объем, обрабатываемых ПДн определяет количество субъектов, персональные данные которых обрабатываются в системе.
Применяется следующая градация:
  • до 1000 (коэффициент ХНПД=3);
  • от 1000 до 100 000 (коэффициент ХНПД=2);
  • свыше 100 000 (коэффициент ХНПД=1).

Класс ИСПДн

Класс информационной системы персональных данных определяется на основании категории и объема в соответствии с таблицей приведенной ниже.


Категории меньше 1000 (ХНПД = 3) от 1000 до 100 000 (ХНПД = 2) свыше 100 000 (ХНПД = 1)
Категория 4
(обезличенные ПДн)
 К4 К4 К4
Категория 3
(ПДн позволяющие только идентифицировать)
  К3   К3 К2
Категория 2
(ПДн позволяющие идентифицировать + дополнительные сведения)
 К3 К2 К1
Категория 1
(ПДн касающиеся здоровья, национальности, интимной жизни и т.д.)
 К1   К1 К1

Тип ИСПДн

По типу информационные системы персональных данных делятся на типовые и специальные. 
Типовые ИСПДн – информационные системы, в которых требуется обеспечить только конфиденциальность ПДн. 
Специальные ИСПДн – информационные системы, в которых кроме конфиденциальности необходимо обеспечить еще хотя бы одну характеристику безопасности персональных данных (целостность, доступность).
Кроме того к специальным системам относятся все ИСПДн, обрабатывающие данные о здоровье субъектов и ИСПДн, в которых предусмотрено принятие решений порождающих для субъекта юридические последствия на основании автоматизированной обработки.

Большинство существующих ИСПДн - специальные. Это связано с тем, что кроме конфиденциальности также важно, чтобы ПДн были всегда доступны для обработки, целостны и достоверны. Для всех специальных систем необходимо разработать «Частную модель актуальных угроз».

Структура информационной системы

По структуре информационные системы делятся на:
  • автономные - представляет собой одно автоматизированное рабочее место (компьютер);
  • локальные - автоматизированные рабочие места (АРМ), объединенные в локальную сетью;
  • распределенные - автоматизированные рабочие места или локальные сети, связанные между собой при помощи технологий удаленного доступа.
Для удешевления стоимости средств защиты информации рекомендуем преобразовать существующие в Вашей организации распределенные системы в локальные, либо автономные.
Наличие подключений к сетям связи общего пользования и (или) сетям международного информационного обмена 
Под сетями общего пользования подразумеваются сети, доступ в которые Вы не можете контролировать. Например, локальная сеть провайдера.

Режим обработки персональных данных в системе

По режиму обработки персональных данных в системе ИСПДн делятся на однопользовательские и многопользовательские. Однопользовательские системы – большая редкость. Как правило даже за одним автономным рабочим местом работают минимум два человека (на случай отпусков и болезней).

Разграничение прав доступа пользователей

Многопользовательские ИСПДн делятся на:
без разграничения прав доступа. В таких системах все пользователи имеют доступ ко всей информации;
с разграничением прав доступа. Каждый пользователь имеет доступ к строго определенной части информации в системе.
По результатам классификации должен быть оформлен «Акт классификации информационной системы персональных данных».

Для каждой ИСПДн должна быть разработана «Частная модель актуальных угроз». В этом документе из всех возможных угроз безопасности персональных данных выделяются те, которые реально представляют опасность. Модель угроз разрабатывается на основе экспертных оценок. Ее разработку целесообразно поручить организации, которая имеет необходимое (3-4) число экспертов (людей, имеющих образование по защите информации и работающих в данной области).
Система защиты персональных данных разрабатывается на основании модели угроз и требований к классу ИСПДн. В большинстве случаев система защиты информации должна включать следующие компоненты: 
  • антивирус; 
  • средство защиты от несанкционированного доступа; 
  • межсетевой экран. 
Если осуществляется передача персональных данных по открытым каналам, то должны использоваться средства шифрования. Все средства защиты информации должны иметь сертификаты ФСТЭК, либо ФСБ.


Хотите больше полезных лайфхаков? Подпишитесь на нашу рассылку
Никакого спама. Только полезные материалы. Честно.
Хочу!