2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Меры по защите персональных данных от несанкционированного доступа

Защита персональных данных от несанкционированного доступа. — презентация

Презентация была опубликована 6 лет назад пользователемМихаил Мынкин

Похожие презентации

Презентация на тему: » Защита персональных данных от несанкционированного доступа.» — Транскрипт:

1 Защита персональных данных от несанкционированного доступа

2 Федеральный закон от ФЗ «О персональных данных»; Постановление Правительства Российской Федерации от «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»; Постановление Правительства Российской Федерации от «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; Руководящие и методические документы ФСТЭК России и ФСБ России. 2 / 12 Нормативные правовые акты

3 Персональные данные — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Специальные категории персональных данных — это данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Биометрические персональные данные — это сведения, которые характеризуют физиологические особенности человека, на основе которых можно установить его личность. 3 / 12 Основные понятия, термины и определения

4 Субъект персональных данных — это физическое лицо. Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Реестр операторов — перечень, список операторов, осуществляющих обработку персональных данных. Уполномоченный орган по защите прав субъектов персональных данных — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). 4 / 12 Основные понятия, термины и определения

5 Ведение реестра операторов персональных данных; Проверка сведений, содержащихся в уведомлении об обработке персональных данных операторов; Проверка деятельности операторов по обработке персональных данных; Проверка обеспечения операторами безопасности персональных данных при их обработке в информационных системах персональных данных, а также требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных; Проверка выполнения операторами предписаний по устранению ранее выявленных нарушений требований законодательства области персональных данных. 5 / 12 Основные функции Роскомнадзора

6 Неправомерный доступ к компьютерной информации — несанкционированное собственником информации ознакомление лица с данными, содержащимися на машинных носителях или в ЭВМ; Уничтожение компьютерной информации — полная физическая ликвидация информации или ее элементов, влияющих на изменение существенных, идентифицирующих информацию, признаков; Модификация информации — внесение в нее любых изменений, обуславливающих ее отличие от той, которую включил в систему и которой владеет собственник информационного ресурса; Блокирование — результат воздействия на ЭВМ и ее элементы, повлекший временную или постоянную невозможность осуществлять какие-либо операции над компьютерной информацией. 6 / 12 Преступления в сфере компьютерной информации

7 Уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных; Предоставление субъекту персональных данных по его просьбе информации о целях и способах обработки его персональных данных; Защита персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. 7 / 12 Основные обязанности оператора ПДн

8 Назначение должностных лиц, ответственных за обеспечение безопасности персональных данных; Определение перечня персональных данных подлежащих защите; Определение круга лиц, доступ которых к персональным данным необходим для исполнения служебных обязанностей; Разработка частной модели угроз; Классификация информационных систем персональных данных; Разработка документов, определяющих правила парольной и антивирусной защиты, резервного копирования, ремонта вычислительной техники и обновления программного обеспечения. 8 / 12 Организационные меры защиты ПДн

9 Бумажные и электронные носители персональных данных должны храниться в надежном хранилище (сейф или металлический шкаф); Вход в компьютер должен осуществляться только после ввода пароля, длиной не менее 8 символов; Экраны мониторов должны быть расположены таким образом, чтобы исключить случайное или преднамеренное считывание информации посторонними лицами; Передача персональных данных сторонним лицам и организациям возможна только по их письменному запросу, в котором указано законное основание для получения таких данных и цель их обработки. 9 / 12 Организационные меры защиты ПДн

10 На основании утвержденных документов, а также с учетом имеющихся данных о классе ИСПДн и перечня актуальных угроз формулируются конкретные технические требования по защите ИСПДн и осуществляется конкретный выбор программных и технических средств защиты информации. Направления технической защиты: Управление доступом, регистрация и учет; Обеспечение целостности и контроль отсутствия недекларированных возможностей; Обеспечение безопасного межсетевого взаимодействия и антивирусная защита; Криптографическая защита, защита от утечек по техническим каналам и обнаружение вторжений; Мероприятия по размещению, специальному оборудованию, охране и организации режима допуска в помещения, где ведется работа с ПДн. 10 / 12 Технические меры защиты ПДн

11 Для проверки достигнутого уровня защищенности объектов информатизации проводится процедура аттестации. Для проведения аттестации привлекаются специализированные организации, имеющие лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. Аттестация объектов информатизации состоит из комплекса организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» — подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных государственными органами по сертификации и аттестации в пределах своей компетенции. 11 / 12 Технические меры защиты ПДн

Меры по обеспечению защиты персональных данных в организации

Защита персональных данных
с помощью DLP-системы

Л юбая организация, занимающаяся работой с персональными данными (ПД) и их передачей, считается оператором ПД. Операторы ПД должны руководствоваться в своей деятельности законом РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года и другими правовыми нормами.

Оператор должен пройти регистрацию в Реестре операторов ПД в Роскомнадзоре на официальном сайте регулятора и указать, с какой целью он применяет собранные и запрашиваемые ПД. Если использование ПД служащих предусмотрено трудовым законодательством, то организация имеет право работать с ними без извещения Роскомнадзора.

Обязанностью оператора является принятие необходимых мер для защиты ПД от несанкционированного использования: фальсификации, копирования, удаления, блокировки, распространения и других противозаконных действий.

Регламентация содержания ПД, связанных с трудовой деятельностью

В ПД входят практически все сведения о человеке. Содержание ПД определяется самими операторами. Но имеют место случаи, когда их содержание четко регламентируется нормативно-правовыми актами, и отступление от этих требований является незаконным.
На любом предприятии в форму учета кадров заносятся следующие сведения (персональные данные) о каждом работнике:

  • ФИО;
  • информация о дате рождения;
  • гражданство;
  • СНИЛС;
  • индивидуальный налоговый номер;
  • владение иностранными языками;
  • полученное образование;
  • приобретенные профессии, специальности;
  • сведения о составе семьи;
  • место проживания;
  • контакты;
  • отношение к военной обязанности;
  • трудовая деятельность.

Защита персональных данных

Юридические и физические лица, работающие с ПД, обязаны организовать надлежащую защиту этих сведений. Предусматривается внутренняя и внешняя защита ПД на предприятии и в любой организации.

К внутренней защите ПД относятся такие действия:

  • допуск к ПД работников только строго определенного внутренними документами круга лиц, которым эти сведения необходимы для выполнения своих обязанностей, предусмотренных для занимаемой должности;
  • назначение ответственного служащего, который следит за выполнением правовых норм в области защиты ПД;
  • создание списка документации, в которой содержатся ПД;
  • выпуск регламентирующей документации по защите ПД для внутреннего пользования и контроль за соблюдением правил;
  • ознакомление служащих, обрабатывающих персональные данные, с правовыми нормами по их защите и внутренними регламентирующими документами;
  • периодическая проверка осведомленности служащих по этим вопросам и контролирование выполнения ими нормативных актов по защите конфиденциальных данных;
  • рабочие места должны быть размещены таким образом, чтобы посторонние лица не могли видеть конфиденциальные сведения;
  • создание препятствий для воздействия на техсредства, осуществляющие автоматизированную обработку ПД, в результате которого может нарушиться их работа;
  • формирование списка лиц, имеющих право находиться в кабинетах с персональными данными;
  • описание процедуры удаления неиспользуемой информации;
  • своевременное выявление и устранение нарушений норм защиты ПД;
  • проведение профилактических мероприятий по недопущению разглашения сотрудниками обрабатываемых личных данных.

Внешняя защита ПД предполагает следующие действия:

  • пропускной режим;
  • соблюдение установленных правил приема посетителей и их учета;
  • использование приборов для охраны;
  • программная защита данных.

Информационные системы персональных данных (ИСПД)

Информационные системы персональных данных – это функционирующий набор информационных, аппаратных и программных составляющих.

В состав ИСПД входят:

  • обрабатываемые ПД;
  • технология работы с информацией средствами вычислительной техники;
  • техсредства и приспособления (серверы, рабочие терминалы, сети передачи данных, принтеры, сканеры и т. п.);
  • средства защиты информации.

Защитные мероприятия при работе в ИСПД

Чтобы уберечь персональные данные от несанкционированного распространения, необходимо выполнение следующих мероприятий по их защите:

  • определение актуальных угроз безопасности;
  • формирование моделей угроз;
  • разработка систем защиты ПДн (СЗПДн);
  • проверка работоспособности средств защиты информации (СЗИ);
  • заключение о пригодности к эксплуатации;
  • установка и ввод в эксплуатацию СЗИ;
  • обучение сотрудников работе с СЗИ;
  • контроль работы СЗИ;
  • оформление техдокументации;
  • определение круга сотрудников, допущенных к работе с ИСПД;
  • при обнаружении нарушения условий хранения носителей ПД – проведение расследования и составление заключения;
  • принятие мер по ликвидации последствий этих нарушений;
  • обеспечение охраны помещений с оборудованием ИСПД и организация режима допуска;
  • проведение мероприятий по недопустимости утечки информации по техническим каналам.

Защита ПД от несанкционированного доступа

Средствами защиты от несанкционированного доступа служат их подсистемы:

  • управление доступом к ПД, регистрация и учет всех действий с этими данными;
  • обеспечение целостности персональной информации;
  • применение антивирусной защиты для сохранения ПД и предотвращения вирусных атак;
  • создание межсетевого экрана;
  • анализ защищенности и принятие мер по ее усилению;
  • обнаружение вторжений, своевременная их локализация.

Подсистема управления доступом – это не входящие в ядро ОС средства их защиты, а также системы управления баз данных и других программ. К этим средствам защиты относятся специальные утилиты, производящие тестирование файловой системы, журналирование действий, сигнализацию о несанкционированном проникновении в систему.

Обеспечение целостности ПД осуществляется средствами самих ОС и систем управления базами данных. Базовой платформой построения ИСПД может выступать сетевая ОС Microsoft Windows Server (Standard Edition и Enterprise Edition), которая сертифицирована ФСТЭК России и ФСБ.

Для подсистемы антивирусной защиты можно использовать антивирусные средства Лаборатории Касперского, которые также имеют сертификат ФСБ. В зависимости от уровня защищенности ИСПД можно использовать межсетевые экраны третьего-четвертого уровня защиты.

Подсистема анализа защищенности осуществляет контроль настроек защиты ОС на рабочих терминалах и серверах. Она выдает отчет со сведениями об обнаруженных уязвимостях. По результатам сканирования принимаются меры по устранению выявленных недочетов.

Для подсистемы анализа можно использовать сетевой сканер безопасности Xspider фирмы Positive Technologies, сертифицированный ФСТЭК России. Для подсистемы обнаружения вторжений специалисты рекомендуют продукт Cisco Intrusion Detection System, сертифицированный ФСТЭК.

Перед началом ввода ИСПД в эксплуатацию необходимо провести ее аттестацию безопасности и получить Аттестат соответствия требованиям ФСТЭК России.

Аттестация ИСПД по требованиям безопасности информации выполняется до начала обработки информации, которая подлежит защите. Она официально подтверждает эффективность комплексных решений, применяемых в ИСПД мер и инструментов защиты информации

Как документально оформить защиту персональных данных

Исходя из практической целесообразности, можно издать следующие документы:

  • положение о ПД;
  • список служащих, работающих с персональными данными;
  • приказ об утверждении работника, отвечающего за работу с персональными данными;
  • положение о мерах по ЗПД;
  • инструкцию о служебном расследовании фактов разглашения личных данных работников;
  • инструктаж по ЗПД;
  • журнал антивирусных проверок;
  • журнал контроля использования ПД для служебной необходимости.

Передача персональных данных третьим лицам

Чтобы обеспечить соблюдение норм закона о получении согласия физического лица на обработку и передачу ПД, можно оформить коллективный договор со служащими, в котором перечислить всех третьих лиц с указанием наименований, адресов, срока использования данных. Все работники организации должны этот договор подписать.

Необходимо знать, что законодательство РФ предусматривает передачу персональных данных судебным органам и другим правоохранительным инстанциям без необходимости получения согласия на эти действия.

Время хранения персональных данных

С персональных данных конфиденциальность снимается через 75 лет, если происходит их обезличивание, или по требованию закона.
Когда ПД больше не нужны оператору, они должны быть уничтожены на протяжении пяти лет или сданы в архив.

Методы и способы защиты персональных данных в информационных системах персональных данных

«Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки ин­формации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также ис­пользуемые в информационной системе информационные технологии».

Выбор и реализация методов и способов защиты информации в ИСПДн осуществляются на основе определяемых оператором УБПДн (модели угроз) и в зависимости от класса ИСПДн.

Выбранные и реализованные методы и способы защиты информации в ИСПДн должны обеспечивать нейтрализацию предполагаемых УБПДн при их обработке в ИСПДн в составе создаваемой оператором СЗПДн.

Для выбора и реализации методов и способов защиты информации в ИСПДн может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.

В СЗПДн ИСПДн в зависимости от класса ИСПДн и исходя из УБПДн, структуры ИСПДн, наличия межсетевого взаимодействия и режи­мов обработки ПДн с использованием соответствующих методов и способов защиты информации от НСД реализуются функции управления досту­пом, регистрации и учета, обеспечения целостности, анализа защищенно­сти, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.

Поскольку применение СЗИ не является обязательным для всех ти­пов ИСПДн, то выбор СЗИ необходимо осуществлять с учетом того, что итоговый набор реализуемых мер защиты должен удовлетворять требова­ниям, предъявляемым к ИСПДн соответствующего класса, концентриро­ванное выражение которых приведено в «Положении о методах и способах защиты информации в информационных системах персональных данных», утвержденном приказом ФСТЭК России от 5 февраля 2010 г. № 58 (см. таблицы 1 — 3).

Методы и способы защиты информации от НСД для обеспечения безопасности ПДн в ИСПДн 4 класса и целесообразность их применения определяются оператором.

В ИСПДн, имеющих подключение к информационно телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, исполь­зуются средства антивирусной защиты.

Подключение информационных систем, обрабатывающих государственные информационные ресурсы, к информационно телекоммуникационным сетям международного информационного обмена осуществляется в соответствии с Указом Президента Российской Федера­ции от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно телекоммуникационных сетей международного информационного обмена».

Обмен ПДн при их обработке в ИСПДн осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) применения технических средств.

Подключение ИСПДн к ИСПДн другого класса или к информационно телекоммуникационной сети международного информационного обме­на (сети связи общего пользования) осуществляется с использованием МЭ.

Программное обеспечение СЗИ, применяемых в ИСПДн 1 класса, проходит контроль отсутствия недекларированных возможностей.

Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения СЗИ, применяемых в ИСПДн 2 и 3 классов, определяется оператором.

Защита речевой информации и информации, представленной в виде информативных электрических сигналов и физических полей, осуществля­ется в случаях, когда при определении УБПДн и формировании модели уг­роз применительно к ИСПДн являются актуальными угрозы утечки аку­стической речевой информации, угрозы утечки видовой информации и уг­розы утечки информации по каналам ПЭМИН.

Для исключения утечки ПДн за счет ПЭМИН в ИСПДн 1 класса мо­гут применяться следующие методы и способы защиты информации:

  • использование технических средств в защищенном исполнении;
  • использование СЗИ, прошедших в установленном порядке процедуру оценки соответствия;
  • размещение объектов защиты в соответствии с предписанием на эксплуатацию;
  • размещение понижающих трансформаторных подстанций электропитания и контуров заземления технических средств в пределах охраняемой территории;
  • обеспечение развязки цепей электропитания технических средств с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
  • обеспечение электромагнитной развязки между линиями связи и другими цепями ВТСС, выходящими за пределы охраняемой террито­рии, и информационными цепями, по которым циркулирует защищаемая информация.

В ИСПДн 2 класса для обработки информации используются СВТ, удовлетворяющие требованиям национальных стандартов по электромагнит­ной совместимости, по безопасности и эргономическим требованиям к сред­ствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам СВТ (например, ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96).

При применении в ИСПДн функции голосового ввода ПДн в ИСПДн или функции воспроизведения информации акустическими средствами ИСПДн для ИСПДн 1 класса реализуются организационные и технические меры для обеспечения звукоизоляции ограждающих конструкций помеще­ний, в которых расположена ИСПДн, их систем вентиляции и кондициони­рования, не позволяющей вести прослушивание акустической (речевой) ин­формации при голосовом вводе ПДн в ИСПДн или воспроизведении ин­формации акустическими средствами.

Величина звукоизоляции определяется оператором исходя из характеристик помещения, его расположения и особенностей обработки ПДн в ИСПДн.

Размещение устройств вывода информации СВТ, информационно вычислительных комплексов, технических средств обработки графиче­ской, видео и буквенно-цифровой информации, входящих в состав ИСПДн, в помещениях, в которых они установлены, осуществляется таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей ПДн.

Анализ защищенности проводится для распределенных ИСПДн и ИСПДн, подключенных к сетям международного информационного обме­на, путем использования в составе ИСПДн программных или программно аппаратных средств (систем) анализа защищенности.

Средства (системы) анализа защищенности должны обеспечивать возможность выявления уязвимостей, связанных с ошибками в конфигура­ции программного обеспечения ИСПДн, которые могут быть использова­ны нарушителем для реализации атаки на систему.

Обнаружение вторжений проводится для ИСПДн, подключенных к сетям международного информационного обмена, путем использования в составе ИСПДн программных или программно-аппаратных средств (сис­тем) обнаружения вторжений.

Для ИСПДн 1 класса применяется программное обеспечение СЗИ, соответствующее 4 уровню контроля отсутствия недекларированных возможностей.

Требования к защите, определенные для специальной ИСПДн со­гласно построенной модели угроз, сопоставляются и суммируются с тре­бованиями, определенными для нее согласно ее классу (К1, К2, КЗ или К4). При сопоставлении однотипных требований в качестве окончатель­ного требования выбирается более жесткое.

Следует обратить особое внимание на то, что все используемые оператором СЗИ должны быть сертифицированы ФСТЭК России, СКЗИ сертифицированы ФСБ России и должны входить в государственный реестр сертифицированных СЗИ.

Принципиально возможен такой вариант, когда в ИСПДн изначально используются несертифицированные СЗИ и организовывается сертификация ИСПДн в целом. Однако, это является длительным и дорогостоящим процессом. Кроме того при внесении в ИСПДн любых изменений — от перенастройки до установки обновлений программного обеспечения — потребуется ее повторная сертификация.

Таблица 1 — Требования к системе защиты персональных данных для ИСПДн З класса

Меры по защите персональных данных

Любое юридическое лицо в силу требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обязано принимать меры по защите персональных данных, при этом перечень таких мер оно вправе определять самостоятельно.

Мероприятия по защите персональных данных можно разделить на две большие подгруппы: по внутренней и внешней защите персональных данных.

К мерам по внутренней защите персональных данных относятся следующие действия:

• ограничение числа работников (с регламентацией их должностей), которым открыт доступ к персональным данным. Кого может включать этот перечень? Абсолютно всех, кто имеет доступ к личным делам, т. е. сотрудников отделов кадров или ответственных за кадровое делопроизвод-
ство, работников бухгалтерии, секретарей-делопроизводителей, специалистов, которые заключают договоры с физическими лицами, а также инженеров, программистов, юристов;

• назначение ответственного лица, обеспечивающего исполнение организацией законодательства в рассматриваемой сфере;

• утверждение перечня документов, содержащих персональные данные;

• издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением;

• ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами; проведение систематических проверок соответствующих знаний работников, обрабатывающих персональные данные, и соблюдения ими требований нормативных документов по защите конфиденциальных сведений. Следует иметь в виду, что все сотрудники, которые имеют доступ к персональным данным других людей, должны быть ознакомлены с особенностями законодательства в области защиты персональных данных;

• рациональное размещение рабочих мест для исключения несанкционированного использования защищаемой информации;

• утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;

• утверждение порядка уничтожения информации;

• выявление и устранение нарушений требований по защите персональных данных;

• проведение профилактической работы с сотрудниками по предупреждению разглашения ими персональных данных.

Среди мер по внешней защите персональных данных следует выделить такие:

• введение пропускного режима, порядка приема и учета посетителей;

• внедрение технических средств охраны, программных средств защиты информации на электронных носителях и др.

Несмотря на то что законом не установлены конкретные требования к количеству и содержанию локальных актов, принимаемых в организации по вопросам обработки и защиты персональных данных, практика реализации данного нормативного акта сформировала необходимый минимум документов, которые должны быть разработаны в компании:

• общий документ, определяющий политику фирмы в отношении обработки персональных данных, например положение о персональных данных;

• список лиц, обрабатывающих персональные данные;

• приказ о назначении сотрудника, ответственного за организацию обработки персональных данных. Указанное лицо должно осуществлять внутренний контроль за соблюдением компанией и ее работниками законодательства о персональных данных, в том числе требований к их защите, доводить до сведения персонала положения законодательства о персональных данных, локальных актов по вопросам их обработки, а также требования к защите таких данных, организовывать прием и обработку обращений и запросов субъектов персональных данных и (или) контролировать прием и обработку таких обращений и запросов;

• положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных. В данном положении рекомендуется прописать конкретные меры по защите персональных данных (введение пропускного режима, применение программных средств защиты информации – паролей, антивирусных программ, хранение персональных данных обособленно от других сведений, на отдельных материальных носителях и в специально оборудованных помещениях с ограниченным доступом и т. д.);

• локальный акт, устанавливающий процедуры,направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений. Так, в компании могут быть разработаны план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, вестись журнал антивирусных проверок и контроля работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных.

Какие контрольные органы вправе затребовать персональные данные

Суды и другие правоохранительные органы могут беспрепятственно получать от компаний персональные данные сотрудников, клиентов или контрагентов без согласия последних. Но ответ на вопрос о том, имеют ли аналогичные права другие контролирующие структуры и какие именно, приходится искать не только в законах, но и в судебной практике.

Сколько хранить?

Режим конфиденциальности персональных данных снимается в случаях их обезличивания или по истечении 75-летнего срока их хранения, если иное не определено законом.

Согласно ФЗ-152, персональные данные должны быть уничтожены оператором по достижении цели их обработки. А, например, первичные документы по кадровому учету и заработной плате необходимо хранить в течение 75 лет. Но они должны находиться в архиве, а ФЗ-152 на архив не распространяется в соответствии с законом об архиве. Таким образом, после сдачи документов в архив организация уже не может хранить эти сведения у себя.

Что касается больничных листов, то это касается субъекта. К примеру, если работник уволился, заново никуда устроиться не успел и заболел, то больничный рассчитывается ему на основании дохода по последнему месту работы. А в организации в соответствии с налоговым законодательством обязаны хранить все финансовые документы за пять прошедших лет для налоговой проверки. Причем отсчет срока хранения ведется от начала нового финансового года или даты передачи дела в архив, а это тоже обычно происходит в конце года. И кстати, до пяти лет допускается хранение документов в организации, без передачи их в архив.

Практика. Создание системы защиты персональных данных

Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

  1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
  2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
  3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
  4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
  5. Разработка технического задания на создание системы защиты персональных данных.
  6. Приобретение средств защиты информации.
  7. Внедрение системы защиты персональных данных.
  8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

Модель угроз безопасности ПДн: пример

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

  • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
  • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Определение уровня защищенности ПДн

В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

Построение системы защиты персональных данных

В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

Выводы

Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.

Рекомендации по защите персональных данных

Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

Ссылка на основную публикацию
Adblock
detector