Вопрос защиты персональных данных критично важен для бизнеса любого масштаба – будь то компания-новичок или компания-ас в своей деятельности.
В статье расскажем об особенностях построения системы защиты персональных данных.
Какие существуют угрозы персональным данным?
Система защиты персональных данных создается с целью обеспечить безопасность находящейся в распоряжении организации информации, относящейся к физическим лицам.
Такая информация является информационным активом, поэтому может представлять интерес для сторонних субъектов. Покушения на персональные данные фиксируются часто и повсеместно.
Среди основных угроз безопасности персональных данных выделяют следующие:
- конкуренты конкретной организации, которые хотят нанести ей ущерб;
- международные кибертеррористические организации, заинтересованные в утечках персональных данных в целях обеспечения собственного пиара;
- инсайдеры, сотрудники компании, руководствующиеся своими целями или действующие по чужим поручениям.
Зачастую утечки происходят внутри компании. Распространенный риск – когда сотрудник предоставляет персональные данные других лиц, например, своему знакомому, вне профессиональной деятельности. По данным судебной практики, утечка данных одного человека может нанести куда больший вред бюджету и репутации компании, чем случайная по причине несовершенства программных средств защиты.
Все эти факторы вынуждают организации всерьез задуматься о построении собственной системы защиты персональных данных, дабы избежать подобных неприятностей.
Обратите внимание!
Штрафы за несоответствие закону о защите персональных данных в организации могут достигать 75 000 рублей. Общая сумма штрафов, выписанных по итогам проверок, составила более пяти миллионов за предыдущий год.
Уверены, что в вашей организации соблюдаются все нюансы 152-ФЗ?
Закажите услуги по аттестации рабочего места на предмет защиты персональных данных.
Оставить заявкуЧто представляет из себе система защиты персональных данных?
Согласно Постановлению Правительства РФ №1119, системы защиты персональных данных (СЗПД) – комплекс мер и мероприятий, носящих как организационный, так и технический характер, призванный предотвратить нелегитимный доступ к персональным данным. Система разрабатывается операторами персональных данных с учетом уровня их задач и степени ответственности, а также с учетом актуальности текущих угроз.
Система безопасности персональных данных должна быть одновременно эффективной и не мешать обычным бизнес-процессам.
Какие есть уровни защиты персональных данных?
Для систем защиты персональных данных законодательство выделяет несколько уровней безопасности:
- Максимальный
- Высокий
- Средний
- Низкий
В технических документах уровни отмечаются литерами «У» с цифрой, обозначающей класс защиты, где 1 – наиболее высокий, а 4 – низкий.
Для каждого оператора персональных данных установлен свой уровень защиты с учетом следующих параметров:
- количества субъектов, чьи данные подлежат обработке;
- класса и степени ценности обрабатываемой информации;
- используемых видов обработки, выбранных из перечня, установленного законом;
- актуальности и типа угроз.
Именно эти характеристики способствуют созданию эффективной системы защиты персональных данных. Чтобы создать такую систему, специалисты по данному направлению.
Что включает в себя система защиты персональных данных?
Система защиты персональных данных включает в себя комплекс мер, которые держатель данных обязан предпринимать, чтобы обеспечить сохранность имеющихся персональных данных от:
- утечки;
- утери;
- искажения;
- уничтожения.
Организационные меры
- Направление сообщения в Роскомнадзор о начале обработки персональных данных (заполняется в форме на сайте ведомства и направляется по почте);
- Разработка нормативных актов, опосредующих передачу данных: положение о защите персональных данных, приказ о назначении ответственного за эту деятельность.
- Разработка и внедрение режима прохода на объект, на котором расположены массивы информации, содержащей персональные данные (даже предоставление фотографии требует подписания согласия на обработку данных, как говорит судебная практика).
- Разработка соглашений с третьими лицами, согласно которым им поручается обработка данных с внедрением в них мер ответственности и норм о возмещении возможного ущерба.
- Определение угроз с учетом анализа внешних и внутренних факторов.
- Ранжирование лиц, имеющих разные степени допуска к конфиденциальным данным, подписание с ними соглашений о соблюдении коммерческой тайны;
- Разработка системы внутреннего контроля, которые позволяют все нарушения режима конфиденциальности и в кооперации со службой безопасности оперативно пресечь их.
Технические меры
Технические меры предполагают разработку, установку и обслуживание сложных программных комплексов.
Внедренные средства технической защиты персональных данных должны предотвращать:
- неправомерный доступа к данным как со стороны внешних посягателей, так и со стороны инсайдеров
- утечку данных по техническим каналам, например, в виде электромагнитного излучения или звуковой информации.
В данной области подготовки рекомендуем обращаться к специалистам.
Как создается система защиты персональных данных?
Эта задача решается пошагово с привлечением профессионалов. Создание системы защиты персональных данных предполагает следующие этапы:
- разработка;
- тестирование;
- внедрение;
- анализ результатов;
- доработка с учетом выявленных недостатков.
Поможем разработать систему защиты персональных данных!
Специалисты «ГЭНДАЛЬФ» проведут аудит и оценят состояние имеющейся в вашей организации системы защиты персональных данных.
По итогам аудита мы предложим наиболее подходящее для вас решение в соответствии с 152–ФЗ.
Создать систему защиты
