современные технологии
для защиты вашего бизнеса

Защита персональных данных

Главная Библиотека Статьи Защита персональных данных
  • Что такое персональные данные?

    Согласно ст.3 Федерального закона "О персональных данных" под персональными данными следует понимать любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его:

    • фамилия, имя, отчество;
    • год, месяц, дата и место рождения;
    • адрес;
    • семейное, социальное, имущественное положение;
    • образование, профессия;
    • доходы;
    • другая информация.

    Закон выделяет отдельный класс общедоступных персональных данных - это персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

    Вывод: под персональными данными следует понимать любую информацию, позволяющую идентифицировать человека и/или получить о нем дополнительную информацию. Любой список сотрудников вашего предприятия, напечатанный на бумаге или хранимый в файле на диске - это персональные данные и их надо защищать.

    Любые действия с персональные данными называются обработкой. Эти действия совершает оператор персональных данных.

  • Что такое оператор и обработка персональных данных?

    Федеральный Закон "О персональных данных вводит следующие определения:

    • оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
    • обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
    • распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
    • использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
    • блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
    • уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
    • обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
    • информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
    • конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
    • трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
  • Что такое ИСПДн?

    Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. (Федеральный закон от 27.07.2006 N 152-ФЗ"О персональных данных").

    В зависимости от обрабатываемой в ИСПДн информации и ее объемов, ей присваивается класс и оформляется акт классификации в соответствии с Приказом об утверждении порядка проведения классификации информационных систем персональных данных.

  • Как защищать персональные данные?

    В данном разделе нам хотелось бы рассказать о необходимых мероприятиях по защите персональных данных. Для проведения большинства из них, даже только для нужд собственной организации, требуется наличие соответствующих лицензий. Вы можете пройти процедуру лицензирования, получить их и заняться защитой персональных данных самостоятельно.

    Если вам дорого время и ресурсы, то вы можете обратиться к нам. Группа компаний "СпецПроект" имеет все необходимые лицензии для защиты персональных данных.

    Любой оператор, осуществляющий обработку персональных данных, столкнувшись с проблемой необходимости выполнения требований ФЗ-152 по обеспечению безопасности персональных данных, неизбежно задается вопросом - как защищать персональные данные. Вопрос этот является, пожалуй, самым актуальным на сегодняшний день и требует профессионального подхода в поисках решения.

    При построении системы защиты ПДн, как правило, выделяют две основополагающие части — это разработка и реализация организационных мер по обеспечению безопасности персональных данных и внедрение (эксплуатация) технических, программно-аппаратных средств защиты персональных данных.

    Организационные меры по защите персональных данных являются первостепенными при проектировании системы защиты ПДн и в отдельных случаях, при отсутствии автоматизированной обработки ПДн, могут являться достаточными для обеспечения должного уровня безопасности персональных данных. К подобным мерам, главным образом, относятся:

    • разработка организационно-распорядительной документации, регламентирующей процесс сбора, хранения, обработки и иных действий с ПДн;
    • разработка перечня мероприятий, необходимых для построения эффективной системы защиты персональных данных.

    Технические меры обеспечения безопасности персональных данных заключаются в предотвращении несанкционированного воздействия (кража, модификация, блокирование и т.д.) на персональные данные путем доступа к ним по средствам технических каналов, возникающих при автоматизированной обработке ПДн.

    При обработке ПДн с использованием средств автоматизации, применение технических мер защиты является обязательным условием, при этом важно учитывать к какому классу относится рассматриваемая информационная система персональных данных и какие угрозы безопасности ПДн являются актуальными согласно разработанной модели угроз безопасности ПДн. Основным требованием, предъявляемым к техническим средствам обеспечения безопасности ПДн, является наличие сертификата ФСТЭК России, подтверждающего соответствие данного продукта требованиям руководящих документов в области защиты информации.

  • Какие нужны средства защиты?

    Средства защиты персональных данных

    Использование технических, программных и программно-аппаратных средств защиты ПДн является важным и неотъемлемым элементом построения эффективной системы обеспечения безопасности ПДн при их автоматизированной обработке.

    Современный рынок средств защиты информации предоставляет огромное количество разнообразных технических решений, реализующих защитные механизмы тем или иным методом. Все они в равной степени имеют плюсы и минусы, проявляющиеся в процессе эксплуатации.

    Однако, определяющим требованием к средствам защиты информации, в соответствии с федеральным законодательством в области защиты информации и п. 13 г) Постановления Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», является наличие сертификата ФСТЭК России, удостоверяющего соответствие технического продукта требованиям руководящих документов по защите информации. Таким образом, выбирая средство защиты информации для реализации технических мер по обеспечению безопасности ПДн, необходимо руководствоваться Государственным реестром средств защиты информации, сертифицированных по требованиям безопасности информации ФСТЭК России.

  • Какие лицензии требуются?

    Лицензирование деятельности по защите персональных данных

    Технические меры защиты информации предполагают использование программно-аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов организации.

    Технические средства защиты информации делятся на два основных класса:

    • средства защиты информации от несанкционированного доступа (НСД) (системы разграничения доступа к информации, антивирусная защита, межсетевые экраны, средства блокировки устройств ввода-вывода информации, криптографические стредства и т.п.);
    • средства защиты информации от утечки по техническим каналам (использование экранированных кабелей, установка высокочастотных фильтров на линии связи, установка активных систем зашумления и т.д.).

    В отличие от организационных мер, техническая защита информации является сложным и трудоемким делом, при выполнении которого требуется соблюдать определенные условия, а именно:

    • для выполнения работ по технической защите конфиденциальной информации (а персональные данные относятся к сведениям конфиденциального характера) требуются лицензии на выполнение такого вида деятельности (техническая защита конфиденциальной информации);
    • требуется тщательное обследование информационных ресурсов организации в соответствии с методическими рекомендациями ФСТЭК (определение перечня ПДн, подлежащих защите, определение состава и структуры каждой информационной системы ПДн (ИСПДн), анализ уязвимых звеньев и возможных угроз безопасности ПДн, оценка ущерба от реализации угроз безопасности ПДн, анализ имеющихся в распоряжении мер и средств защиты ПДн).

    На основании проведенного обследования осуществляется обоснование требований по обеспечению безопасности ПДн (разработка модели угроз и модели нарушителя безопасности ПДн, определение класса информационных систем ПДн, при необходимости обосновывается использование средств шифрования).

    Далее проводятся работы по проектированию, созданию и вводу в эксплуатацию системы защиты ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн, согласование документов с регуляторами, разработка технического задания на создание системы защиты ПДн, развертывание и ввод в эксплуатацию системы защиты ПДн), аттестация информационных систем ПДн по требованиям безопасности информации. Работы по аттестации выполняются при наличии соответствующей лицензий ФСТЭК(на техническую защиту конфиденциальной информации).

  • Санкции за невыполнение требований по защите персональных данных

    Невыполнение требований по обработке и защите персональных данных может привести к приостановке основной деятельности, судебным разбирательствам и прочим неприятностям.

    В этом разделе мы собрали воедино информацию из действующих кодексов Российской Федерации.

  • Какие мероприятия необходимы?

    Мероприятия по защите персональных данных

    На сегодняшний день сказано и написано достаточно о том как можно обеспечить безопасность персональных данных при автоматизированной обработке. Однако, при таком разнообразии информации легко запутаться, определяя, что является важным при построении эффективной системы защиты персональных данных.

    Специалисты в области защиты информации выделяют основные этапы построения системы обеспечения безопасности персональных данных.

    Первым этапом является аудит персональных данных. Данный этап включает в себя обследование и разработку заключения по оценке уровня защищённости ПДн на предприятии, в том числе проведение следующих мероприятий:

    • оценка соответствия существующих информационных процессов требованиям действующего законодательства в области обеспечения безопасности ПДн;
    • анализ существующих правил организации защиты информации;
    • подготовка перечня необходимых документов, регламентирующих систему защиты ПДн;
    • разработка перечня первостепенных мер по обеспечению безопасности ПДн и построению эффективной защиты информации.

    Одной из наиболее важных целей аудита ПДн является возможность оценить величину финансовых затрат предприятия на построение системы защиты персональных данных, отвечающей требованиям федерального законодательства.

    Второй этап – разработка документации по защите информации, содержащей персональные данные, в соответствии с требованиями законодательства РФ.

    Следующим этапом можно выделить разработку технического решения по обеспечению безопасности персональных данных.

    Четвертым этапом является внедрение технических, программных и программно-аппаратных средств защиты информации, в содержащие ПДн автоматизированные системы, в соответствии с требованиями ФСБ России и ФСТЭК России.

    Следующей ступенью построения и реализации системы защиты персональных данных является внедрение нормативной документации, регламентирующей доступ к информации, содержащее ПДн, ее сбор, хранение, распространение, использование и уничтожение в соответствии с требованиями действующего законодательства.

    Заключительным этапом построения системы защиты персональных данных на предприятии является аттестация информационных систем на соответствие требованиям действующего законодательства, руководящих и других нормативных документов, в результате которой предприятию выдается аттестат соответствия на информационную систему.