Техническая защита персональных данных в информационных системах. Защита персональных данных – путеводитель. Полученные результаты и способы защиты персональных данных

Содержание
  1. Создание системы защиты персональных данных
  2. Модель угроз безопасности ПДн: пример
  3. Определение уровня защищенности ПДн
  4. Построение системы защиты персональных данных
  5. Выводы
  6. Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности
  7. Техническая защита персональных данных
  8. Для чего требуется техническая защита персональных данных
  9. Этапы создания системы защиты персональных данных
  10. Первичные организационные меры
  11. Способы обработки персональных данных
  12. Определение характеристик технических систем
  13. Оценка соответствия системы требованиям ФСТЭК России
  14. Установка технических средств защиты
  15. Защита информации и персональных данных: современные методы и способы обезопасить себя – Сигнализация
  16. Способы
  17. Проблемы
  18. Методы и способы защиты персональных данных в информационных системах персональных данных
  19. Защита персональных данных в облаке: как сделать все по закону 152-ФЗ
  20. Операторы персональных данных и типы данных
  21. Требования к оператору персональных данных
  22. Обеспечить защиту персональных данных
  23. Зарегистрироваться в Роскомнадзоре
  24. Спрашивать согласие на обработку персональных данных
  25. Облако в законе: можно ли передавать провайдеру персональные данные
  26. Как защищены персональные данные при хранении в облаке
  27. Как работать с персональными данными в облаке по закону
  28. Раскладываем по полочкам: что такое ИСПДн и как защищать персональные данные | Блог Mail.Ru Cloud Solutions
  29. Что такое ИСПДн: раскладываем по полочкам
  30. Какие бывают виды ИСПДн
  31. Уровни защищенности персональных данных и классы защищенности ИСПДн

Создание системы защиты персональных данных

Техническая защита персональных данных в информационных системах. Защита персональных данных - путеводитель. Полученные результаты и способы защиты персональных данных

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

  1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
  2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
  4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
  5. Разработка технического задания на создание системы защиты персональных данных.
  6. Приобретение средств защиты информации.
  7. Внедрение системы защиты персональных данных.
  8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Узнать больше

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал,  «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Модель угроз безопасности ПДн: пример

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

  • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
  • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Определение уровня защищенности ПДн

В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Построение системы защиты персональных данных

В соответствии с Приказом ФСТЭК России от 18.02.

2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации.

Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Выводы

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

Источник: https://kontur.ru/articles/1723

Техническая защита персональных данных

Техническая защита персональных данных в информационных системах. Защита персональных данных - путеводитель. Полученные результаты и способы защиты персональных данных

Большинство компаний в стране являются операторами персональных данных, так как обрабатывают большие объемы информации, прямо относящейся к личности граждан, которую они получают в ходе выполнения свих уставных задач.

Существующие модели угроз требуют адекватных уровню угроз технических средств защиты данных от утечек, неправомерного доступа и использования, утраты при передаче по каналам связи. Перечень таких мер устанавливается нормативными актами ФСТЭК России. Это же ведомство вместе с ФСБ РФ контролирует правомерность их выбора и правильность применения.

Требования ФСТЭК обязательны для применения, в противном случае организация может лишиться права на обработку персональных данных.

Для чего требуется техническая защита персональных данных

По своей правовой природе персональные данные относятся к конфиденциальной, охраняемой законом информации. Федеральный закон «О персональных данных» причисляет к ним любую информацию, которая прямо относится к тому или иному человеку.

После того, как она доверена операторам-компаниям, осуществляющим ее обработку, сведения, переданные физическими лицами при условии оформления согласия на их обработку определенными способами и в определенных целях, получают охраняемый статус.

В отличие от коммерческой тайны, способы защиты персональных данных устанавливаются государством. Перечень конкретных технических средств определяется ФСТЭК России в Приказе № 21.

Рекомендации вводят 15 групп технических мер, в каждой группе прописаны базовые, обязательные для применения, меры и рекомендуемые, которые оператор может использовать по своему усмотрению, сравнивая с актуальной на текущий момент моделью угроз безопасности персональных данных.

Этапы создания системы защиты персональных данных

До направления уведомления о начале осуществления деятельности, связанной с защитой персональных данных, оператор должен позаботиться о том, чтобы его информационная система соответствовала установленным требованиям, и о выборе технических средств.

Процесс внедрения делится на несколько последовательных этапов, их количество зависит от выбранного способа защиты, который, в свою очередь, зависит от типа информации, класса защищенности, определяемого по параметрам, устанавливаемым Постановлением Правительства РФ № 1119, наличия или отсутствия подключения системы к телекоммуникационным каналам связи.

Первичные организационные меры

Прежде чем переходить к реализации системы технических мер по защите персональных данных, необходимо осуществить некоторые организационные меры, относящиеся к классификации угроз и оценке имеющихся в наличии технических средств. Это потребуется для оценки необходимости установки и выбора антивирусных средств и средств криптографической защиты.

В рамках такого анализа устанавливаются:

  • перечень персональных данных, имеющихся в распоряжении организации, и требуемая степень их защиты. Усиленная потребуется при обработке данных, составляющих врачебную тайну, и тех сведений, на основании которых будут приниматься решения, имеющие юридические последствия;
  • цели обработки данных. Это может быть сбор кадровой информации, оказание услуг, связанных с обработкой, услуги по передаче сведений;
  • сроки работы с данными. Закон устанавливает, что они являются ограниченными. Необходимо определить объемы данных, которые должны быть уничтожены, сроки, средства и порядок такого уничтожения.

После определения объекта технической защиты надо перейти к определению технических средств, необходимых для обеспечения защиты персональных данных.

Способы обработки персональных данных

На практике персональные данные на первом этапе обрабатываются вручную, и от оператора требуется только физическая защита материальных носителей, для которой используются такие средства, как пропускная система и оборудование помещений согласно определенному классу безопасности, и только на следующем этапе они поступают в автоматизированные информационные системы. В рамках ручного и технического методов обработки выделяется несколько отдельных способов, при автоматизированной обработке необходимо определить те элементы конфигурации системы, в которых происходит обработка. Это могут быть кадровый и бухгалтерский модуль, модуль по работе с клиентами.

Определение характеристик технических систем

Следующим этапом работы по обеспечению технической защиты персональных данных становится определение основных характеристик автоматизированных систем обработки, их конфигурации, потребности в генерации электронной подписи, установлении сертифицированных средств антивирусной или криптографической защиты. Далее проводится классификация системы в зависимости от качества данных. Выделяются такие группы, как:

  • категория 1. Это сведения, касающиеся здоровья, личной жизни, политических взглядов;
  • категория 2. Любые данные, позволяющие идентифицировать человека и получить о нем в дальнейшем дополнительную информацию;
  • категория 3. Сведения, которые только позволяют идентифицировать субъекта персональных данных;
  • категория 4. Обезличенные данные.

При обработке данных 1-й категории автоматизированная система, в которой хранятся персональные данные, должна быть оборудована техническими средствами защиты как специальная, для остальных будет достаточно базовой модели. Кроме категории данных, на параметры системы влияет количество человек, чьи сведения обрабатываются. Исходя из этого, устанавливается четыре уровня защищенности системы – от максимального до низкого.

Оценка соответствия системы требованиям ФСТЭК России

После определения класса данных и требований к системе нужно установить, какие именно требования ФСТЭК России предъявляет в целях оценки соответствия применяемых для обеспечения безопасности персональных данных технических средств своим требованиям. Они выглядят следующим образом:

  • если система относится к 1-му или 2-му классу, то ее соответствие требованиям, предъявляемым к уровню защищенности, подтверждается обязательной сертификацией (в ряде нормативных документов эта процедура называется аттестацией). Она проводится ФСТЭК России;
  • если система относится к 3-му классу, то от оператора потребуется декларирование соответствия ее параметров предъявляемым требованиям;
  • для систем 4-го класса выбор метода защиты и применяемых технических средств остается на волеизъявление оператора.

После того, как определено, каким параметрам должна отвечать система и какие технические средства для ее работоспособности и надлежащей защиты персональных данных необходимы, начинается построение ее конфигурации. Оценку правильности применяемых решений раз в три года проводит оператор, также соответствие системы требованиям может контролировать ФСТЭК РФ в рамках документарных или выездных проверок.

Установка технических средств защиты

После того, как параметры системы определены, начинается выбор необходимых программных и технических средств, соответствующих заявленному классу безопасности. При выборе базовых и компенсирующих средств необходимо соблюдать баланс между уровнем безопасности и финансовой целесообразностью. Иногда для такой оценки правильным решением будет привлечь специализированную организацию.

Качество средств, требования к их сертификации определяются согласно нормативным документам ФСТЭК Российской Федерации. Все технические средства делятся на две группы:

  • защищающие персональные данные и другую конфиденциальную информацию от несанкционированного доступа. К ним относятся средства антивирусной и криптографической защиты, межсетевые экраны, средства блокировки устройств ввода-вывода информации, системы, ограничивающие возможности вывода информации из защищаемого периметра;
  • средства защиты информации, отвечающие за исключение утечек сведений по техническим каналам связи. Это генераторы шумов, экранированные кабели, исключающие перехват электромагнитного излучения, высокочастотные фильтры на линии связи.

При привлечении специализированной организации для создания технической системы защиты персональных данных необходимо проконтролировать наличие у нее соответствующих лицензий, а также то, чтобы все применяемые средства были сертифицированы в установленном порядке.

Выбор технических средств защиты должен обусловливаться классом защищенности системы, тем, относится она к категории обычных или специальных, собственными возможностями. 

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/tekhnicheskaya-zashchita-personalnyh-dannyh/

Защита информации и персональных данных: современные методы и способы обезопасить себя – Сигнализация

Техническая защита персональных данных в информационных системах. Защита персональных данных - путеводитель. Полученные результаты и способы защиты персональных данных

Конституцией РФ предусматривается защита персональных данных – необходимая работодателю информация о сотруднике, предусматриваемая трудовыми отношениями и касающаяся конкретного человека.

Узнайте в статье о защите персональных данных, основных методах и возможных сложностях.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер. 

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 . Это быстро и !

Что следует подразумевать под персональными данными:

  • ФИО человека;
  • год, месяц и число рождения;
  • место рождения;
  • адреса;
  • семейное положение;
  • социальный статус;
  • информация об имуществе;
  • образование;
  • профессия;
  • доходы и прочее.

Работодатель вправе производить сбор и обработку исключительно той информации о своем подчиненном, которая непосредственно касается их правоотношений.

Федеральный закон №149, а в частности его статья 16 предусматривает комплекс мер, направленных на защиту персональных данных работников организаций.

В соответствии с законом, работодатель должен обеспечить защиту полученной им информации от каких-либо действий с третей стороны, которые могут быть выражаться в следующем:

  • неправомерный доступ к информации;
  • модифицирование;
  • уничтожение;
  • блокировка;
  • копирование;
  • распространение и пр.

Меры защиты информации:

  1. Для защиты информации личного характера работников, работодатель должен соблюдать элементарные правила конфиденциальности доступа к данным.
  2. Предотвращение неправомерного доступа к данным и последующей их передачи.
  3. В случае несанкционированного доступа – своевременное обнаружение данного факта и исключение возможных негативных последствий подобного действия.
  4. Предотвращение возможности воздействия на технические средства, которыми производится обработка информации во избежание нарушения их функционирования.
  5. Обеспечить наличие защищенных копий с целью незамедлительного восстановления данных в случае несанкционированного доступа к ним.
  6. Основной мерой является контроль, в частности – за уровнем защищенности данных.

Способы

Поскольку информация о работниках чаще всего хранится в электронном виде, образуя базы данных в информационных системах, то целесообразно рассмотреть методы и способы защиты именно в этой области.

Только в той информационной системе, возможно обеспечить защиту данных работников, к которой исключен доступ злоумышленников и созданы условия для исключения возможности вмешательства в работу ее базовых элементов.

Рассмотрим основные способы защиты персональных данных сотрудников в информационной системе:

  • самое первое, что необходимо сделать – ограничить доступ лиц к помещениям с техническими средствами, которые осуществляют обработку и хранение информации. Обеспечить охраной такие помещения;
  • использование антивирусов. Подобные программы позволят предотвратить утечку информации, препятствуя работе вирусов и червей;
  • обеспечение защиты межсетевыми экранами. Такой метод направлен на защиту от целенаправленных атак, в то время как цель антивируса – массовые;
  • установка систем предотвращения вторжения, задача которых – выявление нападений и блокировка наиболее активных атак в проходящем трафике;
  • обеспечение системы сканерами уязвимости позволяют проверять ее на наличие «брешей»;
  • организовать регистрацию действий работников;
  • осуществлять контроль входящей-исходящей информации;
  • не менее значимы криптографические методы защиты информации (шифрование).

Проблемы

Проблемы, возникшие после появления закона, для некоторых остались актуальными.

Так, среди основных вопросов:

  • классификация сведений о сотруднике;
  • необходимость получить лицензию ФСТЭК РФ, позволяющую действовать в рамках технической защиты конфиденциальных данных;
  • не меньшую проблему представляют завышенные, по мнению экспертов, требования к системе защиты информации;
  • вопрос по определению ответственного сотрудника за процесс защиты данных и пр.

Решение этих проблем каждая отдельная организация находит сама, руководствуясь законами и прибегая к помощи опытных юристов.

За нарушение норм защиты персональных данных предусмотрено наказание. На нарушителя может возлагаться материальная ответственность, дисциплинарная, административная и уголовная. Применение таких мер может применяться к обеим сторонам: к работодателю и к работнику.

Не смотря на то, что многие эксперты считают Федеральный закон обобщенным и нуждающимся в доработке, этот документ все же обеспечивает выполнение права человека на конфиденциальность.

Суть закона заключается в требовании к компаниям создавать безопасные и защищенные информационные системы, которые будут доступны не только для сохранения личных данных работников, но и любой другой конфиденциальной информации организации.

Качество защиты информации не только о сотрудниках, но и компании в целом зависит от отношения руководителя к этому процессу, к правам работников и к своим собственным, поскольку именно администрация предприятий обязана осуществлять контроль за выполнением закона и соблюдением порядка хранения-защиты персональных данных.

Источник:

Методы и способы защиты персональных данных в информационных системах персональных данных

Можно скачать этот документ в формате MS Word. Скачивание доступно только зарегистрированным пользователям.

«Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки ин­формации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также ис­пользуемые в информационной системе информационные технологии».

Выбор и реализация методов и способов защиты информации в ИСПДн осуществляются на основе определяемых оператором УБПДн (модели угроз) и в зависимости от класса ИСПДн.

Выбранные и реализованные методы и способы защиты информации в ИСПДн должны обеспечивать нейтрализацию предполагаемых УБПДн при их обработке в ИСПДн в составе создаваемой оператором СЗПДн.

Для выбора и реализации методов и способов защиты информации в ИСПДн может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.

В СЗПДн ИСПДн в зависимости от класса ИСПДн и исходя из УБПДн, структуры ИСПДн, наличия межсетевого взаимодействия и режи­мов обработки ПДн с использованием соответствующих методов и способов защиты информации от НСД реализуются функции управления досту­пом, регистрации и учета, обеспечения целостности, анализа защищенно­сти, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.

Поскольку применение СЗИ не является обязательным для всех ти­пов ИСПДн, то выбор СЗИ необходимо осуществлять с учетом того, что итоговый набор реализуемых мер защиты должен удовлетворять требова­ниям, предъявляемым к ИСПДн соответствующего класса, концентриро­ванное выражение которых приведено в «Положении о методах и способах защиты информации в информационных системах персональных данных», утвержденном приказом ФСТЭК России от 5 февраля 2010 г. № 58 (см. таблицы 1 — 3).

Методы и способы защиты информации от НСД для обеспечения безопасности ПДн в ИСПДн 4 класса и целесообразность их применения определяются оператором.

В ИСПДн, имеющих подключение к информационно телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, исполь­зуются средства антивирусной защиты.

Подключение информационных систем, обрабатывающих государственные информационные ресурсы, к информационно телекоммуникационным сетям международного информационного обмена осуществляется в соответствии с Указом Президента Российской Федера­ции от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно телекоммуникационных сетей международного информационного обмена».

Обмен ПДн при их обработке в ИСПДн осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) применения технических средств.

Подключение ИСПДн к ИСПДн другого класса или к информационно телекоммуникационной сети международного информационного обме­на (сети связи общего пользования) осуществляется с использованием МЭ.

Программное обеспечение СЗИ, применяемых в ИСПДн 1 класса, проходит контроль отсутствия недекларированных возможностей.

Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения СЗИ, применяемых в ИСПДн 2 и 3 классов, определяется оператором.

Защита речевой информации и информации, представленной в виде информативных электрических сигналов и физических полей, осуществля­ется в случаях, когда при определении УБПДн и формировании модели уг­роз применительно к ИСПДн являются актуальными угрозы утечки аку­стической речевой информации, угрозы утечки видовой информации и уг­розы утечки информации по каналам ПЭМИН.

Для исключения утечки ПДн за счет ПЭМИН в ИСПДн 1 класса мо­гут применяться следующие методы и способы защиты информации:

  • использование технических средств в защищенном исполнении;
  • использование СЗИ, прошедших в установленном порядке процедуру оценки соответствия;
  • размещение объектов защиты в соответствии с предписанием на эксплуатацию;
  • размещение понижающих трансформаторных подстанций электропитания и контуров заземления технических средств в пределах охраняемой территории;
  • обеспечение развязки цепей электропитания технических средств с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
  • обеспечение электромагнитной развязки между линиями связи и другими цепями ВТСС, выходящими за пределы охраняемой террито­рии, и информационными цепями, по которым циркулирует защищаемая информация.

В ИСПДн 2 класса для обработки информации используются СВТ, удовлетворяющие требованиям национальных стандартов по электромагнит­ной совместимости, по безопасности и эргономическим требованиям к сред­ствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам СВТ (например, ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96).

Источник: https://signalkaman.ru/sovety/zashhita-informatsii-i-personalnyh-dannyh-sovremennye-metody-i-sposoby-obezopasit-sebya.html

Защита персональных данных в облаке: как сделать все по закону 152-ФЗ

Техническая защита персональных данных в информационных системах. Защита персональных данных - путеводитель. Полученные результаты и способы защиты персональных данных

По российскому законодательству компании обязаны обеспечить безопасность персональных данных сотрудников и клиентов: хранить и обрабатывать их так, чтобы они не попали в руки злоумышленников или общий доступ. При этом не запрещено доверять хранение и обработку таких данных третьей стороне — облаку. Расскажем, как в этом случае соблюсти требования закона.

Операторы персональных данных и типы данных

В России действует 152-ФЗ «О персональных данных». В нем сказано, что лицо, которое собирает и обрабатывает персональные данные, обязано обеспечить их защиту, чтобы данные российских граждан не попали не в те руки.

По закону персональные данные — любые данные, относящиеся к конкретному физическому лицу, то есть субъекту персональных данных.

Например, данные анонимных опросов о политических убеждениях или предпочтениях в еде не будут персональными данными, под действие 152-ФЗ они не попадают. А вот если вы узнаете политические убеждения конкретных людей и запишете эту информацию в базу вместе с ФИО человека — это уже персональные данные.

По закону выделяют четыре типа персональных данных, это нужно для определения уровня защиты:

  1. Специальные: раса, национальность, политические, религиозные и философские убеждения, состояние здоровья.
  2. Биометрические: фото, отпечатки пальцев.
  3. Общедоступные: ФИО, дата и место рождения, адрес проживания, номер телефона, информация о профессии.
  4. Иные: прочие данные о конкретном человеке, такие как имя домашнего питомца или предпочтения в еде.

Компания, которая собирает и обрабатывает эти данные, считается оператором персональных данных.

Требования к оператору персональных данных

Согласно закону 152-ФЗ, чтобы собирать и обрабатывать персональные данные, вы должны:

  1. Обеспечить защиту ПДн в соответствии с требованиями закона.
  2. Зарегистрироваться в Роскомнадзоре как оператор персональных данных.
  3. Спрашивать у людей согласие на сбор и обработку персональных данных.

Рассмотрим каждый пункт реализации требований 152-ФЗ подробно.

Обеспечить защиту персональных данных

При хранении и обработке данных нужно обеспечить им уровень защищенности в соответствии с «Постановлением Правительства РФ N 1119» и 21 приказом ФСТЭК.

Необходимый уровень защищенности зависит от четырех факторов:

  • Типа данных: специальные, биометрические, общедоступные или иные.
  • Отношений с субъектами персональных данных: это ваши сотрудники или люди, с которыми у вас нет трудового договора, например клиенты.
  • Количества субъектов персональных данных: больше 100 000 или меньше 100 000.
  • Типа актуальных угроз: 1, 2 или 3 тип.

Типы данных, отношения с субъектами и количество субъектов легко определить самостоятельно, а вот с типами угроз сложнее. Согласно документу «Методика определения актуальных угроз безопасности ПДн при их обработке», угрозами называются условия и факторы, которые могут обеспечить несанкционированный доступ к персональным данным и привести к их утечке или порче.

В законе они классифицируются так:

  • 1 тип — самые серьезные угрозы, связанные с недокументированными возможностями в системном программном обеспечении (ПО), например в операционной системе.
  • 2 тип — угрозы, связанные с недокументированными возможностями в прикладном ПО, например в установленных программах.
  • 3 тип — угрозы, не связанные с ПО, например уязвимости в оборудовании.

Универсального способа определить тип угроз, актуальных для вашей системы, нет.

Принято считать, что если вы используете ПО, сертифицированное ФСТЭК, то недокументированных возможностей в нем нет, так что угрозы 1 и 2 типа можно считать неактуальными.

А вот если сертификатов у ПО нет, уровень угроз может определить только специалист по технической безопасности. Если такого нет в штате, его можно нанять для консультации.

Как только определен тип данных, отношение с субъектами, количество субъектов и тип актуальных угроз, вы сможете понять, система какого уровня защищенности необходима.

Всего существует 4 уровня защищенности (доверия):

  1. 4 УЗ. Необходим для защиты общедоступных и иных данных с 3 типом угроз. Самый простой, требует несложных мер защиты вроде установки антивируса и регулярного обновления ПО.
  2. 3 УЗ. Кроме общедоступных и иных данных позволяет хранить биометрические и специальные данные, работать при 2 и 3 типе угроз. Требует регулярно искать и устранять уязвимости в оборудовании и ПО, а также ограничить доступ к настройкам информационной системы. Именно этот уровень подходит для большинства компаний.
  3. 2 УЗ. Подходит для хранения любых данных, для некоторых данных допускает даже 1 тип угроз. Требует установить систему обнаружения вторжений, защищать систему от спама, организовать резервное копирование.
  4. 1 УЗ. Позволяет хранить специальные и биометрические данные при 1 типе угроз. Технически самый сложный, к примеру, требует безотказной работы серверов и установки на компьютеры только ПО, заранее разрешенного службой безопасности.

Точные технические требования к каждому уровню прописаны в приложении к 21 приказу ФСТЭК. Если вы передаете данные в облако, часть этих требований соблюдаются на стороне облачного провайдера — например, именно он собирает информацию о событиях безопасности и контролирует физический доступ к серверам.

Всего в приложении к приказу 109 мер, для каждого УЗ отмечены обязательные меры. Например, при 1 уровне защищенности нужно выполнить 69 требований.

Чтобы было проще понять, какой уровень защищенности нужен вашим данным, мы составили таблицу на основе Постановления Правительства РФ N 1119:

Как определить уровень защищенности персональных данных

Например, вы собираете общедоступные данные о клиентах. Клиентов менее 100 000, а тип актуальных угроз вы определили как 3.

Тогда для соблюдения норм законодательства нужно обеспечить 4 уровень защищенности персональных данных, то есть минимальный.

Если среди информации о клиентах есть фотографии, это уже биометрические данные — нужно обеспечить 3 уровень защищенности.

Подтвердить уровень защищенности данных можно несколькими способами. Самый сложный — пройти аттестацию в контролирующих органах и получить сертификат. По закону это необязательно, достаточно в любой форме подтвердить соответствие средств защиты требованиям, например с помощью технической документации.

Если вы хотите пройти аттестацию, эксперты Mail.ru Cloud Solutions проконсультируют по всем вопросам, помогут в сертификации комплекса технических и программных средств и построении системы защиты данных по требованиям ФСТЭК.

Зарегистрироваться в Роскомнадзоре

После того как вы обеспечили защиту данных, нужно зарегистрироваться в качестве оператора персональных данных в Роскомнадзоре. Это делается через интернет.

В форме необходимо указать, какие меры вы предприняли для защиты персональных данных, какие именно данные и где будете хранить.

Чтобы правильно заполнить форму, лучше делать это с юристом, который специализируется на персональных данных.

Роскомнадзор иногда проверяет организации — смотрит, зарегистрировались ли они в качестве операторов. Если не зарегистрируетесь, можете получить штраф — от 1000 рублей для физлица и ИП, от 30 000 рублей для юрлица. Все штрафы прописаны в статье 13.11 КоАП.

Даже если у вас небольшая компания, к примеру, маленький интернет-магазин с базой на 100–200 клиентов, вы должны зарегистрироваться в Роскомнадзоре и соблюсти требования безопасности. Даже если клиент всего один, регистрироваться все равно придется.

Спрашивать согласие на обработку персональных данных

При сборе персональных данных нужно спрашивать разрешение у пользователя. Это делается двумя способами:

  • Лично через подписание договора, например с сотрудником.
  • На сайте, через чекбокс о согласии на сбор и обработку персональных данных.

Перед подписанием согласия нужно рассказать пользователю, что вы будете делать с его персональными данными, как хранить и кому передавать. Обычно для этого на сайте добавляют страницу с политикой конфиденциальности.

«Если бизнес хранит информацию в облаке, он не обязан предупреждать об этом своих клиентов или сотрудников. Люди также дают согласие на обработку персональных данных, отмечая галочкой соответствующее поле на сайте или при заполнении анкеты офлайн. Потом предприниматель может передавать эти данные в облако, не спрашивая дополнительного согласия».
Андрей Андреев, адвокат, общественный деятель, управляющий партнер юридического бюро «United Partners»

Облако в законе: можно ли передавать провайдеру персональные данные

В 152-ФЗ нет запрета на хранение данных в облаке. Главное условие — дата-центр выбранного облачного провайдера должен находиться в России. По разъяснениям Минкомсвязи данные можно передавать и за рубеж, например для обработки. Но первый раз их нужно записать на сервер, который физически находится на территории РФ.

Облачный провайдер — это не оператор персональных данных, оператором остается предприниматель. Если данные попадут в руки злоумышленников, перед Роскомнадзором отвечать будет не провайдер, а оператор, то есть бизнес.

Чтобы такого не случилось, предусмотрена надежная защита ПДн в облаке, однако компании нужно ими правильно управлять, грамотно организовать доступ к информации внутри организации. Провайдер не может решать, кому и на каких условиях открывать данные компании, поэтому владелец данных и инфраструктуры должен внимательно подойти к настройкам доступа.

Можно сравнить облако с флэшкой — вы просто записываете туда информацию, но сами отвечаете за ее сохранность, например, следите, чтобы флэшка не потерялась или не попала не в те руки.

У облачного провайдера есть определенные обязательства перед компанией в рамках заключенного договора, то есть он не может никому просто так отдать данные с флэшки и должен их защищать. Однако провайдер не может ничего сделать, если вы сами разрешите любому желающему брать флэшку и скачивать данные.

При передаче персональных данных в облако предприниматель не снимает с себя ответственность за их сохранность. Поэтому он обязан убедиться в надежности провайдера.

Как защищены персональные данные при хранении в облаке

Единственный критерий защищенности облака — наличие у облачного провайдера аттестата соответствия 152-ФЗ. Этот аттестат выдают контролирующие органы, он гарантирует, что инфраструктура облака построена в соответствии с требованиями приказов ФСТЭК, а данные там надежно защищены.

«При выборе облака стоит отдавать предпочтение провайдерам, имеющим аттестацию ФСТЭК и ФСБ. Ее наличие гарантирует, что провайдер исполняет требования приказа № 21 ФСТЭК, в котором прописаны технические требования к обеспечению безопасности. Главный плюс аттестации облака в том, что при проверке компании у Роскомнадзора возникает меньше вопросов: данные в облаке, облако аттестовано, значит, все надежно и безопасно».
Андрей Андреев — адвокат, общественный деятель, управляющий партнер юридического бюро «United Partners»

Аттестат соответствия 152-ФЗ позволяет хранить в облаке данные, которые требуют 3 и 4 уровня защищенности.

Большинство компаний работают именно с такими общедоступными или иными данными: контактами, ФИО, информацией о работе и месте проживания, составе семьи.

В этом случае делать практически ничего не нужно — просто пользуйтесь сертифицированным ПО, обновляйте программы и антивирус и защищайте паролями компьютеры с доступом в облако.

Иногда у бизнеса или государственных компаний возникает потребность хранить данные 1 и 2 уровня доверия. В публичном облаке организовать такой уровень защиты не получится, за исключением отдельных узкоспециализированных продуктов, например, ГЕОП (государственная единая облачная платформа), где могут работать только государственные ведомства.

Если требуется хранить такие данные в облаке, можно развернуть частное облако на собственной инфраструктуре, обеспечить ее защищенность, при необходимости получить нужные сертификаты. В MCS также есть возможность сертификации по УЗ-1 и УЗ-2, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS.

Как работать с персональными данными в облаке по закону

  1. Если вы собираете данные о клиентах или сотрудниках — вы оператор персональных данных. Это значит, что вы обязаны соответствовать требованиям 152-ФЗ и обеспечить защиту данных.
  2. Чтобы собирать и обрабатывать персональные данные, нужно обеспечить их защиту в соответствии с 21 приказом ФСТЭК, зарегистрироваться в Роскомнадзоре и спрашивать у людей согласие на сбор и обработку данных.
  3. Передавать данные в облако можно. Данные там надежно защищены, однако вы должны правильно настроить доступ к ним.
  4. С точки зрения закона, передавать данные можно только облачным провайдерам, которые аттестованы на соответствие 152-ФЗ.

Елена Шпрингер

Источник: https://mcs.mail.ru/blog/zashchita-personalnyh-dannyh-v-oblake-kak-sdelat-vse-po-zakonu

Источник: https://zen.yandex.ru/media/mcs/zascita-personalnyh-dannyh-v-oblake-kak-sdelat-vse-po-zakonu-152fz-5e2fed7cc31e4900b03bf3e5

Раскладываем по полочкам: что такое ИСПДн и как защищать персональные данные | Блог Mail.Ru Cloud Solutions

Техническая защита персональных данных в информационных системах. Защита персональных данных - путеводитель. Полученные результаты и способы защиты персональных данных

Если вы храните персональные данные, то обязаны их защищать. Для защиты нужно знать, насколько система, в которой они хранятся, подвержена угрозам. Чтобы это понять, надо определить, к какому виду и классу относится она и сами данные. Разберем, что такое ИСПДн и что полезно знать про такие системы, если вы работаете с персональными данными.

Что такое ИСПДн: раскладываем по полочкам

ИСПДн — это информационная система персональных данных. Она включает в себя сами персональные данные и средства, которые используют для их обработки и защиты.

Например, у вас интернет-магазин и вы собираете в базу персональные данные клиентов. В таком случае вы оператор персональных данных, а к вашей ИСПДн относят:

  1. Сами персональные данные: имена, фамилии, почтовые адреса, номера телефонов, а также другую информацию, которую вы можете спрашивать у клиентов, чтобы предлагать им определенные товары и скидки, например, дату рождения или данные о семейном положении и наличии детей.
  2. Базы данных, в которых эти данные записаны.
  3. Серверы, то есть физическое оборудование, на котором хранятся базы.
  4. Программы, где данные обрабатываются, например CRM менеджеров.
  5. Компьютеры, на которых сотрудники работают с персональными данными.
  6. Защитные программы: антивирусы, межсетевые экраны и другое подобное ПО.

ИСПДн делят на виды и классы, в зависимости от разных параметров. При этом сами данные — обязательная часть системы. Поэтому когда мы говорим о видах и классах ИСПДн, мы можем говорить о видах и классах самих персональных данных.

Какие бывают виды ИСПДн

Согласно документу ФСТЭК об определении угроз, ИСПДн делят на несколько групп по разными критериям. У каждой группы есть базовая защищенность, которую нужно знать, чтобы определить общий уровень защищенности системы.

Общий уровень защищенности считается так:

  1. Если у 70% критериев системы высокий уровень защищенности, а у остальных — средний, то уровень защищенности всей ИСПДн высокий.
  2. Если у 70% критериев системы высокий или средний уровень защищенности, а у остальных низкий — уровень защищенности всей системы средний.
  3. В остальных случаях уровень защищенности системы низкий.

Ниже расскажем, на какие группы ИСПДн делят, а также как оценить общий уровень защищенности системы с учетом базовой защищенности групп, к которым ее относят.

Группы ИСПДн по территориальному размещению:

  1. Распределенные, которые находятся в разных регионах и городах России. Например, ИСПДн облачного провайдера распределенная, так как серверы и клиенты находятся по всей стране.
  2. Городские, все части которых находятся в пределах одного города.
  3. Корпоративные распределенные, все части которой принадлежат одной компании. Они могут находиться как в одном, так и в нескольких городах. Например, если у компании много филиалов по всей стране, ее ИСПДн считается корпоративной распределенной.
  4. Кампусные, все части которых находятся в пределах близко расположенных зданий. Так, ИСПДн завода будет кампусной.
  5. Локальные, все части которых находятся в одном здании. Обычно это ИСПДн небольших локальных фирм.
Тип системыУровень защищенности
РаспределеннаяНизкий
ГородскаяНизкий
Корпоративная распределеннаяСредний
КампуснаяСредний
ЛокальнаяВысокий

Низкий уровень защищенности по какому-либо параметру не означает, что система всегда будет уязвима и данные в ней хранить опасно — это всего лишь накладывает на владельца системы дополнительные обязанности по защите данных.

Группы ИСПДн по наличию выхода в интернет:

  1. Многоточечный выход в сеть, когда выход в интернет есть у нескольких компьютеров и серверов.
  2. Одноточечный выход в интернет, когда все компьютеры и серверы выходят в интернет через один общий шлюз.
  3. Выхода в интернет нет, например, если на заводе построена закрытая сеть.
Тип системыУровень защищенности
С многоточечным выходом в интернетНизкий
С одноточечным выходом в интернетСредний
Без выхода в интернетВысокий

Группы ИСПДн по доступным операциям с данными:

  1. Разрешены только чтение и поиск — база сформирована, дополнять и изменять ее нельзя.
  2. Дополнительно разрешена запись данных, их удаление и сортировка.
  3. Дополнительно разрешена модификация и передача данных — так работают практически все системы.
Тип системыУровень защищенности
Модификация и передача данныхНизкий
Запись, удаление и сортировка данныхСредний
Только чтение и поискВысокий

Группы ИСПДн по разграничению доступа к персональным данным:

  1. Доступ к персональным данным есть только у их субъекта и у отдельных сотрудников оператора персональных данных.
  2. Доступ к персональным данным есть у всех сотрудников оператора.
Тип системыУровень защищенности
Доступ есть у всех сотрудников оператораНизкий
Доступ есть у некоторых сотрудников оператораСредний

Формально может существовать система, в которой доступ к персональным данным есть у любого постороннего человека. Но это запрещено законом — персональные данные не должны находиться в открытом доступе.

Группы ИСПДн по уровню обезличивания данных:

  1. Пользователи ИСПДн получают только обезличенные данные, их нельзя связать с конкретным человеком. При этом в самой системе данные хранятся в необезличенном виде, поэтому остаются персональными.
  2. Данные обезличивают при передаче в другие организации, но сотрудники внутри организации могут получить их необезличенными.
  3. Данные не обезличивают даже для передачи.
Тип системыУровень защищенности
Данные не обезличивают даже для передачиНизкий
Данные обезличивают при передаче, но сотрудники оператора могут получить их необезличеннымиСредний
Система выдает только обезличенные данныеВысокий

Группы ИСПДн по объему предоставления базы данных другим компаниям:

  1. По запросу оператор предоставляет другой компании полный доступ к базе персональных данных.
  2. По запросу оператор выдает доступ только к части данных, например, к информации об отдельных пользователях.
  3. Оператор не предоставляет никакой информации, хранит базу только для себя и не передает ее третьим лицам.
Тип системыУровень защищенности
По запросу оператор предоставляет полный доступ к даннымНизкий
По запросу оператор выдает доступ только к части данныхСредний
Оператор не передает никакие данные, хранит базу только для себяВысокий

Предположим, у вашей компании филиалы в разных городах, доступ к интернету многоточечный, доступ к данным разрешен только некоторым сотрудникам, разрешены только чтение и поиск данных, система выдает обезличенные данные и компания хранит данные только для себя. Получается, что по одному критерию у вас низкий уровень защищенности, по двум средний, а по остальным трем — высокий. И у вашей ИСПДн будет средний общий уровень защищенности.

Когда общий уровень защищенности подсчитан, его используют для оценки угроз, актуальных для ИСПДн. Это нужно сделать, чтобы понять, как защищать персональные данные.

Оценка угроз — сложная процедура со множеством технических тонкостей, которая подробно описана в двух документах ФСТЭК: «Методике определения актуальных угроз» и «Базовой модели угроз безопасности». Оценку проводит IT-специалист компании: штатный или на аутсорсе.

Но мало знать уровень защищенности ИСПДн и актуальные угрозы — конкретные технические требования к защите системы зависят еще и от уровня защищенности персональных данных.

Уровни защищенности персональных данных и классы защищенности ИСПДн

До 11 марта 2013 года все, кто работал с персональными данными, обязаны были провести классификацию своей ИСПДн. Для этого нужно было собрать специальную комиссию и тщательно проанализировать систему. Теперь приказ, который обязывал это делать, отменен. Соответственно, классификация ИСПДн по защищенности тоже больше не действует.

Зато теперь уровни защищенности появились у персональных данных. Всего их четыре — чем выше уровень, тем более серьезная защита нужна данным. Уровни защищенности описаны в 1119 постановлении Правительства, меры защиты — в 21 приказе ФСТЭК.

Как определить уровень защищенности персональных данных в зависимости от того, какие данные вы храните и какие угрозы актуальны для вашей ИСПДн

Мы подробно разбирали уровни защищенности, категории персональных данных и типы актуальных угроз в статье о защите персональных данных в облаке.

Если вам нужно хранить данные третьего уровня защищенности и выше, необходимо провести аттестацию ИСПДн во ФСТЭК.

В ходе аттестации ФСТЭК проверяет вашу систему: смотрит, правильно ли вы оценили угрозы, используете ли подходящие технические средства защиты, обеспечили ли достаточную безопасность персональным данным.

По итогам проверки выдается аттестат, который подтверждает, что ваша ИСПДн достаточно надежна.

Если вам нужно пройти аттестацию, эксперты Mail.Ru Cloud Solutions могут с этим помочь. Мы подскажем, как привести свою ИСПДн в соответствие с требованиями ФСТЭК, правильно заполнить все документы и пройти проверку.

Зарегистрируйтесь на платформе MCS и храните данные в соответствии с законодательством

Используйте облачную инфраструктуру, аттестованную по 152-ФЗ

  • Мы берем на себя ответственность за выполнение требований 152-ФЗ
  • Вы получаете отдельное защищенное и сертифицированное облако для размещения ИСПДн

Все возможности защищенной платформы

  1. ИСПДн — это информационные системы персональных данных. В ИСПДн входят как сами персональные данные, так и ПО для их обработки и защиты.
  2. ИСПДн делят на группы по нескольким критериям: территориальному, наличию выхода в интернет и другим.
  3. У разных групп разная базовая защищенность — она нужна, чтобы определить актуальные для системы угрозы и понять, как именно защищать персональные данные.
  4. Классы защищенности ИСПДн упразднены с 2013 года. Теперь есть уровни защищенности самих персональных данных — они зависят от типа данных и актуальных угроз.

Читать по теме:

Источник: https://mcs.mail.ru/blog/chto-takoe-informacionnye-sistemy-personalnyh-dannyh

Законы и акты
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: