Главная » Разное

Способы обеспечения безопасности персональных данных

Содержание
  1. Способы обеспечения безопасности персональных данных
  2. Средства обеспечения безопасности персональных данных
  3. Нормативно-правовая документация
  4. Классификация систем защиты персональных данных
  5. Выбор технических средств защиты персональных данных

Способы обеспечения безопасности персональных данных

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

(в ред. Федерального закона от 30.12.2020 N 515-ФЗ)

(см. текст в предыдущей редакции)

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

Читайте также:  Чтение как способ речевой деятельности

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

Читайте также:  Сангвиритрин способ применения раствор

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Источник

Средства обеспечения безопасности персональных данных

Защита персональных данных
с помощью DLP-системы

В опрос защиты информационных прав человека и его персональных данных уже не первый год стоит на повестке дня. Меняются модели угроз, меняются используемые технические и информационные средства. Документы, издаваемые государственными ведомствами, не только стараются успеть за меняющейся реальностью, но и предоставляют операторам возможность самостоятельно выбирать средства для защиты персональных данных.

Нормативно-правовая документация

Система обеспечения конфиденциальности персональных данных регулируется Федеральным законом «О персональных данных», Постановлением Правительства № 1119, рекомендациями ФСТЭК России. В законе описаны основные термины и определения, устанавливаются права и обязанности оператора, в том числе в области выбора средств обеспечения персональных данных, ответственность операторов. Постановление Правительства определяет, по каким критериям информационные системы персональных данных относятся к различным уровням защищенности. Приказ ФСТЭК России № 21 называет конкретные 15 групп технических мер, применяемых для обеспечения безопасности. В каждой группе определяются и средства, которые вправе использовать оператор.

Классификация систем защиты персональных данных

Информационные системы персональных данных подразделяются по уровням защищенности – от низкого до максимального. Зависит это ранжирование от количества человек, чьи данные обрабатываются, и от характеристики данных. По рангам системы обеспечения безопасности данных разделяются операторами на две группы:

К первой группе относятся системы, чьей задачей становится только обеспечение режима конфиденциальности и безопасности данных. Понятие конфиденциальности подразумевает соблюдение двух параметров:

  • обработка данных допустима только силами лиц, специально на это уполномоченных внутренней документацией организации-оператора;
  • передача данных осуществляется только при условии их шифрования.

Для специальных систем обеспечения безопасности данных, кроме характеристики конфиденциальности, требуется обеспечить дополнительные меры защиты, хотя бы одну из перечня. К ним относятся:

  • целостность. Этот термин подразумевает, что любые изменения данных производятся только в регламентированном порядке, например, изменения в амбулаторную карту больного вправе вносить только лечащий врач. Также целостность обеспечивается передачей данных по телекоммуникационным сетям только с использованием электронной подписи;
  • доступность. Понятие предполагает, что система используется только определенными пользователями и в определенных временных рамках.
Читайте также:  Алгебра 7 класс мерзляк функции способы задания функции

К специальным системам, требующим применения специальных средств обеспечения безопасности данных, относятся две группы:

  • обрабатывающие данные, связанные со здоровьем человека;
  • обрабатывающие персональные данные таким образом, что результат работ становится основанием для принятия юридически значимых решений.

Также системы защиты конфиденциальных данных можно разделить на автономные, без прямого подключения к телекоммуникационным сетям, и имеющие такие подключения, требующие повышенной заботы об обеспечении безопасности сведений.

Выбор технических средств защиты персональных данных

Выбор средств автоматизации, применяемых для обеспечения безопасности при обработке персональных данных, в конечном счете зависит от таких параметров:

  • требуемого Постановлением Правительства уровня защищенности информационной системы персональных данных;
  • финансовых и организационных возможностей операторов;
  • применяемых для обеспечения безопасности технических решений;
  • наличия или отсутствия лицензии ФСТЭК.

Опираясь на эти параметры, оператор может к базовым средствам защиты безопасности персональных данных добавлять инициативные, для достижения системой уровня безопасности, релевантного актуальным угрозам субъектам персональных данных и их информационным правам.

Таким образом, оператору необходимо обеспечить наличие технических средств, которые способны:

  • идентифицировать и аутентифицировать пользователей, устанавливать индивидуальные уровни допуска к тем или иным категориям персональных данных;
  • контролировать выход данных из системы, например, передачу по почте или в мессенджере, перенос на съемные носители. Эту задачу могут решить DLP-системы и SIEM-системы. Кроме того, необходимо обеспечить шифрование сведений, передаваемых по штатным каналам связи или находящихся непосредственно в информационных базах, при помощи средств криптографической защиты;
  • обеспечивать максимально возможную защиту информационных баз персональных данных, подключенных к телекоммуникационным сетям, от внешних атак. Для этого требуется установка антивирусной защиты, других способов защиты от хакерских и иных атак, использование электронной подписи, шифрование исходящего трафика при помощи ключей и сертификатов, сгенерированных пользователем и зарегистрированных в удостоверяющих центрах;
  • производить регистрацию всех действий пользователей в системе, что повышает уровень и безопасности персональных данных, и мотивации сотрудников на ее обеспечение.

Технические средства и программные продукты должны быть аттестованы и сертифицированы ФСТЭК России по классу не ниже АК2 по классификации ФСБ РФ. Для примера, операционной системой, соответствующей этому классу, является Windows XP с пакетом обновления Secure Pack Rus. Для специальных систем требуется соблюдение всех требований этого класса защищенности. Дополнительно потребуется аттестация ФСТЭК РФ помещения, в котором находятся компьютеры. Раз в три года необходимо проводить проверку соответствия применяемых средств текущим предъявляемым требованиям.

От опыта и технической подготовки оператора зависят и выбор средств обеспечения безопасности персональных данных, и сама их защищенность. При возникновении сомнений в своей компетенции лучше обратиться за профессиональными услугами.

Источник

Оцените статью
Разные способы
© 2024 Разные способы.
Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.