- Защита персональных данных способы защиты
- Защита персональных данных на персональном компьютере
- Вопросы защиты персональных данных на ПК
- Основа инструментария по обеспечению защиты персональных данных
- Антивирусы
- Межсетевые экраны
- Системы предотвращения вторжений
- Сканеры уязвимостей
- Как защитить персональную информацию на ПК
- Шифрование
- Обновление ПО
- Защита сети Wi-Fi
- Покупки через Интернет – виртуальные карты банков
- Протокол HTTPS для просмотра страниц
- Проверка гиперссылок
- Пароли
- Отказ от использования общественных ПК и беспроводных сетей
Защита персональных данных способы защиты
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)
(см. текст в предыдущей редакции)
1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
(в ред. Федерального закона от 30.12.2020 N 515-ФЗ)
(см. текст в предыдущей редакции)
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.
5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.
6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.
7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.
8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Источник
Защита персональных данных на персональном компьютере
Защита персональных данных
с помощью DLP-системы
Ф едеральное законодательство по вопросам защиты данных при работе на персональных компьютерах коснулось как личной техники, так и оборудования крупных ИТ-компаний. В настоящее время правовая и информативная база в вопросах защиты персональных данных более адаптирована под современные реалии, нежели предыдущие версии нормативных актов. ФЗ «О персональных данных», вступивший в силу в 2010 году, регламентирует действия во всех сферах компьютерной безопасности для персонального пользователя.
Вопросы защиты персональных данных на ПК
По пункту правильности и полноты выполнения нормативов кибербезопасности контроль осуществляет федеральная служба Роскомнадзор. Федеральное законодательство о кибербезопасности наделяет эту структуру исключительными правами в вопросах безопасности контента, находящегося на сайтах российских компаний и юрлиц, работающих в РФ по франшизе. Туда же направляются жалобы граждан.
Подзаконные акты, издаваемые ФСТЭК и ФСБ, также имеют исключительную силу. Согласно с их критериями, разработчикам систем корпоративного секьюрити по факту приходится строить новейшую систему фильтрации и перехвата вирусных угроз. В перечень инструментов входят как антивирусные программы, так и файрвольные решения, программы для разноуровневого шифрования, идентификационные системы, требующие продвинутой аутентификации и прав доступа, различный инструментарий предотвращения утечек данных.
Перечисленные механизмы расписаны в соответствующем постановлении ФСТЭК о проведении мероприятий касательно электронной безопасности в информационных системах персональных данных. Ниже подробно расписаны необходимые продукты защиты, от чего именно эти программы оберегают каждый отдельный ПК и системы данных в целом.
Основа инструментария по обеспечению защиты персональных данных
Единственный способ предотвратить преступление в сфере кибербезопасности – отсечь потенциального киберпреступника от доступа к персональным данным, полностью исключить его воздействие на СУБД, прикладное ПО, ОС, сетевые устройства (равно на «железном» и программном уровнях). К такому инструментарию относятся:
- антивирусные пакеты всех возможных типов;
- межсетевые экраны (они же файрволы);
- инструменты предотвращения сетевых атак и оповещения о них;
- сканеры потенциальных уязвимостей.
Антивирусы
На бытовом уровне «защитник» и комплексная антивирусная система, поставляющаяся с Windows 10 «из коробки», справляется с проникновением в систему с целью хищения персональных данных. Если не серфить подозрительные сайты, не запускать под админом сомнительные исполнимые файлы – большинство проблем обойдут стороной среднего пользователя. Но это относится сугубо к домашнему ПК, на котором не хранится коммерчески важный материал.
Ситуации, когда вирус активно ломал компьютеры, в прошлом – современное железо в настоящее время обладает достаточной степенью защиты от таких взломов. Вирусные атаки совершаются путем внедрения различных видов зловредного ПО, направленного исключительно на похищение конфиденциальной информации, включая персональные данные.
Профессиональный сторонний антивирус обязательно имеет на борту сигнатурную защиту, системы продвинутой эвристики, многоуровневую политику доверенности программам, следит за целостностью особо важных данных. Все эти составляющие антивируса очень тормозят работу всей системы, поэтому для хранения важных данных нужно иметь качественное «железо».
Чтобы минимизировать риск хищения персональных данных, необходимо использовать для ПК последнюю версию программного обеспечения, что позволит надеяться на выявление новых вирусов, созданных на базе последних технологий. В случае появления угроз современный антивирус сможет их распознать не только благодаря регулярно обновляемой базе вирусных программ, но и путем использования методов эвристического анализа. Это позволяет выявить подозрительные действия и произведенные раньше атаки, оставшиеся неизвестными. Разработка новых вредоносных программ не прекращается, они совершенствуются, появляются новые, поэтому защита от ранее неизвестных вирусов очень нужна для безопасной работы персонального компьютера.
Чтобы выбрать наиболее подходящую антивирусную программу, нужно изучить актуальные обзоры такого ПО, иных программ, обеспечивающих безопасность ПК. Даже бесплатные программы позволят создать действенную защиту компьютера, если нет готовности использовать платные варианты.
Межсетевые экраны
На профессиональном языке они называются файрволами. Пользователь-одиночка может годами просидеть за стандартным брандмауэром Windows – уровень атак на его компьютер никогда не приближается к реально угрожающему, персональные данные остаются целыми. В отношении корпоративной сети необходим принципиально иной уровень защиты персональных данных. Тут могут понадобиться и профессиональный VPN, и перманентное отслеживание подозрительных активностей на всех сетевых уровнях.
В середине нулевых стали весьма популярными пакеты класса Internet Security. Ими занимался фактически каждый крупный разработчик антивируса (Dr. Web, Avira, AVG, Kaspersky, Symantec, Eset, McAfee).
Независимо от типа, файрвол нужно активировать на шлюзовом маршрутизаторе, чтобы создать «демилитаризованную зону», т. е. свод особо строгих правил для защиты электронной почты и внешних сетевых приложений. Опытный администратор всегда имеет несколько конфигураций файрволов – на самые распространенные нештатные случаи защиты персональных данных на ПК.
Системы предотвращения вторжений
Intrusion Prevention System – в профильной литературе фигурируют как IPS (ни в коем случае не путать с технологией производства матриц телевизоров и компьютерных мониторов!). ИПС нужно инсталлировать в разрыв сети для проверки трафика на признаки подозрительной активности и нейтрализовывать их соответственно назначенной политике безопасности.
Системы предотвращения вторжений намного превосходят по эффективности шлюзовые антивирусы, поскольку мониторят не только пакеты, но и корректность используемых протоколов. Сам спектр угроз, от которых защищает ИПС, также намного шире. Производят такие системы защиты персональных данных как традиционные производители антивирусов вроде Check Point и McAfee, так и монополисты в сфере роутеров и иной сетевой электроники вроде Juniper и Cisco.
Сканеры уязвимостей
Проверочная программа на недостатки секьюрити как ОС, так и используемого прикладного софта. Бывают в программном исполнении, сравнительно экзотический форм-фактор – отдельное электронное устройство, которое имитирует разнообразные угрозы по отношению к пользовательскому ПК и сетевым протоколам вокруг него. Представителей класса немало: MaxPatrol, IBM ISS, Symantec, McAfee (Vulnerability Manager). Есть и пассивные сканеры сетевого трафика. Собственно, это все потомки пакетов «проверочных вирусов», запускаемых для оценки «профпригодности» свежеустановленного антивируса. Сканеры уязвимости также служат для внутреннего аудита защиты, регламентированного требованиями ФСТЭК.
Как защитить персональную информацию на ПК
Выполнение нижеприведенных шагов позволит защитить персональные данные на ПК максимально эффективно.
Шифрование
Защитить информацию поможет ее шифрование – на жестких дисках, USB-накопителях содержится огромное количество ПДн. Учетные данные, конфиденциальная информация могут стать достоянием сторонних лиц в случае утери этих носителей. Чтобы защитить эти данные, необходимо не только установить надежный пароль, но и зашифровать диски, что закроет к ним доступ, если неизвестен пароль.
Корпоративные, максимальные версии Windows 7, Windows Vista содержат в себе инструмент шифрования BitLocker. Другие ОС могут использовать бесплатную TrueCrypt (tryecrypt.org), чтобы зашифровать часть данных или полностью весь диск.
Обладателям ОС Mac OS X можно использовать FileVault. Этот инструмент шифрует папки на рабочих столах. Новая версия Mac OS X шифрует весь рабочий стол Lion.
Сегодня можно приобрести внешние диски, накопители, имеющие встроенные средства шифровки, включая сканирование отпечатков пальцев владельца.
Обновление ПО
Это самый простой способ защиты ПК. Обновлять нужно не только саму операционку, но и иные установленные на компьютере программы. Разработчики постоянно обновляют версии собственных продуктов, улучшают их функционал, исправляют недочеты, закрывают слабые места, через которые возможна утечка данных. Часто обновленные версии содержат новые компоненты и наделяются новыми функциями.
Во многих программах есть специальная функция автообновления, оповещения о появившемся обновлении. Если такое сообщение поступает, нужно немедленно установить предлагаемое обновление. Это позволит снизить риск хищения персональных данных и другой конфиденциальной информации.
Следить за обновлениями поможет довольно популярная программа SUMo.
Защита сети Wi-Fi
Домашнюю сеть Wi-Fi нужно обязательно держать закрытой. Для этого используется пароль. В противном случае посторонние могут легко проникнуть в ПК и воспользоваться любой информацией, включая и конфиденциальную.
Защита – шифрование трафика сети Wi-Fi. Это неудобно, так как приходится при каждом присоединении к сети вводить пароль, но делать это необходимо, чтобы защитить свой ПК от посягательств извне.
У современных маршрутизаторов беспроводной сети применяются три стандарта для шифрования:
Два последних имеют более высокую степень защиты от взломов.
Также можно отключить широковещательную передачу имени сети – SSID. В этом случае получение доступа к ней будет возможным только для тех, кому известно ее имя. Остальные ПК не смогут увидеть эту сеть.
Покупки через Интернет – виртуальные карты банков
Покупая в Интернете что-либо, нужно вводить данные своей банковской карты – это часть персональных данных, которые используются в ПК. Чрезвычайно высок риск для безопасности банковского счета, так как нет никакой гарантии добросовестности продавца, а также системы безопасности сайта, на котором совершается покупка.
Использование виртуального номера банковской карты позволит обезопасить платежи. Это реквизиты карты банка, которые позволяют произвести оплату и предотвратить доступ злоумышленникам к банковскому счету. Среди российских банков виртуальные продукты предлагает Альфа Банк, ВТБ и другие.
Протокол HTTPS для просмотра страниц
Серфинг в Интернете будет не таким опасным, если использовать протокол Hypertext Transfer Protocol Secure (HTTPS). Он шифрует трафик, проходящий между ПК и сайтом, предотвращает утечку данных, снижает возможность взлома, но не является гарантией безопасности ресурса, на который заходит пользователь.
Проверка гиперссылок
Иногда даже проверенные и бывшие надежными сайты могут взламываться. Через механизмы поиска злоумышленники вставляют в верхние строчки страниц зараженные коды («отравляют поисковый механизм»), что делает сайт зараженным вредоносной программой. Использование механизма контроля гиперссылок позволит предотвратить заражение вашего ПК.
Такие бесплатные инструменты контроля (сканеры), как Web of Trust, McAfee SiteAdvisor, LinkScanner, позволят защитить компьютер от возможных рисков.
Пароли
Сложные пароли, которые очень трудно подобрать, могут стать надежной защитой от физического проникновения и использования данных с компьютера. Для каждого аккаунта нужно использовать отдельный пароль. В нем нужно задействовать буквы в разных регистрах, цифры, специальные символы. Программы по управлению паролями Keepass для операционок Windows, Mac OS X, а также 1Password помогут управлять паролями и генерировать новые.
Отказ от использования общественных ПК и беспроводных сетей
Использование общественных ПК несет в себе огромные риски утечки персональной информации, заражения вредоносным ПО, контроля перемещения сети, сбора паролей, распространения вирусов. Общественные сети Wi-Fi могут содержать настройки, делающие их пользователей уязвимыми к утечке ПДн, учетных записей. Желательно избегать использования этих ресурсов, чтобы не стать жертвой хищения персональных данных.
Если обойтись без подключения к общественной сети нельзя, не стоит проводить с их использованием банковские операции, регистрироваться на различных сайтах, покупать какие-либо товары и услуги.
Источник
