Наверх
Gendalf Gendalf

405

Система защиты персональных данных: особенности, классификация уровней защиты

Вопрос защиты персональных данных критично важен для бизнеса любого масштаба – будь то компания-новичок или компания-ас в своей деятельности.

В статье расскажем об особенностях построения системы защиты персональных данных.

Какие существуют угрозы персональным данным?

Система защиты персональных данных создается с целью обеспечить безопасность находящейся в распоряжении организации информации, относящейся к физическим лицам.

Такая информация является информационным активом, поэтому может представлять интерес для сторонних субъектов. Покушения на персональные данные фиксируются часто и повсеместно.

Среди основных угроз безопасности персональных данных выделяют следующие:

  • конкуренты конкретной организации, которые хотят нанести ей ущерб;
  • международные кибертеррористические организации, заинтересованные в утечках персональных данных в целях обеспечения собственного пиара;
  • инсайдеры, сотрудники компании, руководствующиеся своими целями или действующие по чужим поручениям.

Зачастую утечки происходят внутри компании. Распространенный риск – когда сотрудник предоставляет персональные данные других лиц, например, своему знакомому, вне профессиональной деятельности. По данным судебной практики, утечка данных одного человека может нанести куда больший вред бюджету и репутации компании, чем случайная по причине несовершенства программных средств защиты.

Все эти факторы вынуждают организации всерьез задуматься о построении собственной системы защиты персональных данных, дабы избежать подобных неприятностей.

Обратите внимание!

Штрафы за несоответствие закону о защите персональных данных в организации могут достигать 75 000 рублей. Общая сумма штрафов, выписанных по итогам проверок, составила более пяти миллионов за предыдущий год.

Уверены, что в вашей организации соблюдаются все нюансы 152-ФЗ?

Закажите услуги по аттестации рабочего места на предмет защиты персональных данных.

Оставить заявку

Что представляет из себе система защиты персональных данных?

Согласно Постановлению Правительства РФ №1119, системы защиты персональных данных (СЗПД) – комплекс мер и мероприятий, носящих как организационный, так и технический характер, призванный предотвратить нелегитимный доступ к персональным данным. Система разрабатывается операторами персональных данных с учетом уровня их задач и степени ответственности, а также с учетом актуальности текущих угроз.

Система безопасности персональных данных должна быть одновременно эффективной и не мешать обычным бизнес-процессам.

Какие есть уровни защиты персональных данных?

Для систем защиты персональных данных законодательство выделяет несколько уровней безопасности:

  1. Максимальный
  2. Высокий
  3. Средний
  4. Низкий

В технических документах уровни отмечаются литерами «У» с цифрой, обозначающей класс защиты, где 1 – наиболее высокий, а 4 – низкий.

Для каждого оператора персональных данных установлен свой уровень защиты с учетом следующих параметров:

  • количества субъектов, чьи данные подлежат обработке;
  • класса и степени ценности обрабатываемой информации;
  • используемых видов обработки, выбранных из перечня, установленного законом;
  • актуальности и типа угроз.

Именно эти характеристики способствуют созданию эффективной системы защиты персональных данных. Чтобы создать такую систему, специалисты по данному направлению.

Что включает в себя система защиты персональных данных?

Система защиты персональных данных включает в себя комплекс мер, которые держатель данных обязан предпринимать, чтобы обеспечить сохранность имеющихся персональных данных от:

  • утечки;
  • утери;
  • искажения;
  • уничтожения.

Организационные меры

  • Направление сообщения в Роскомнадзор о начале обработки персональных данных (заполняется в форме на сайте ведомства и направляется по почте);
  • Разработка нормативных актов, опосредующих передачу данных: положение о защите персональных данных, приказ о назначении ответственного за эту деятельность.
  • Разработка и внедрение режима прохода на объект, на котором расположены массивы информации, содержащей персональные данные (даже предоставление фотографии требует подписания согласия на обработку данных, как говорит судебная практика).
  • Разработка соглашений с третьими лицами, согласно которым им поручается обработка данных с внедрением в них мер ответственности и норм о возмещении возможного ущерба.
  • Определение угроз с учетом анализа внешних и внутренних факторов.
  • Ранжирование лиц, имеющих разные степени допуска к конфиденциальным данным, подписание с ними соглашений о соблюдении коммерческой тайны;
  • Разработка системы внутреннего контроля, которые позволяют все нарушения режима конфиденциальности и в кооперации со службой безопасности оперативно пресечь их.

Технические меры

Технические меры предполагают разработку, установку и обслуживание сложных программных комплексов.

Внедренные средства технической защиты персональных данных должны предотвращать:

  • неправомерный доступа к данным как со стороны внешних посягателей, так и со стороны инсайдеров
  • утечку данных по техническим каналам, например, в виде электромагнитного излучения или звуковой информации.

В данной области подготовки рекомендуем обращаться к специалистам.

Как создается система защиты персональных данных?

Эта задача решается пошагово с привлечением профессионалов. Создание системы защиты персональных данных предполагает следующие этапы:

  • разработка;
  • тестирование;
  • внедрение;
  • анализ результатов;
  • доработка с учетом выявленных недостатков.

Поможем разработать систему защиты персональных данных!

Специалисты «ГЭНДАЛЬФ» проведут аудит и оценят состояние имеющейся в вашей организации системы защиты персональных данных.

По итогам аудита мы предложим наиболее подходящее для вас решение в соответствии с 152–ФЗ.

Создать систему защиты
Поделиться