Мы на Workspace
Наверх
8(863)303-51-41
Заказать звонок
phone phone phone phone
Gendalf Gendalf
Главная  →  Новости  →  ЗПДн 
321

Защита ПДн: как перестать бояться за свои данные

Содержание

Безопасность персональных данных стала обязательным стандартом для каждой компании, работающей с конфиденциальной информацией. Федеральный закон №152-ФЗ требует от операторов не только выполнения технических мер защиты, но и точного соблюдения юридических и организационных процедур.

Чтобы обеспечить высокий уровень защиты и предотвратить утечку данных, компании должны учитывать все аспекты – от выбора подходящих средств безопасности до регулярного контроля их эффективности.

В статье мы объясним ключевые принципы создания системы защиты персональных данных и расскажем, как избежать распространенных ошибок.

Требования законодательства

Согласно статье 19 Федерального закона №152-ФЗ «О персональных данных», каждый оператор обязан защищать персональные данные, принимая юридические, организационные и технические меры.

Для этого нужно:

  1. Определить возможные угрозы, которые могут возникнуть при работе с данными в информационных системах.
  2. Применять необходимые организационные и технические меры защиты персональных данных , чтобы она соответствовала уровню, установленному Правительством РФ.
  3. Использовать сертифицированные средства защиты информации.
  4. Проверить, насколько эффективны меры безопасности, до запуска системы в работу.
  5. Учитывать все носители, на которых хранятся персональные данные.
  6. Выявлять несанкционированные попытки доступа к данным и принимать меры по их устранению.
  7. Восстанавливать данные в случае их изменения или утраты из-за несанкционированного доступа.
  8. Установить правила доступа к данным и вести учет всех действий с ними в системе.
  9. Проводить контроль за мерами безопасности и уровнем защищенности систем.

Безопасность данных в информационных системах поддерживается с помощью системы защиты, которая устраняет возможные угрозы.

Система защиты персональных данных

Система защиты ПДн, разработанная оператором, основывается на требованиях Постановления правительства РФ №1119 и включает комплекс организационных и технических мер.

Для выбора средств защиты оператор руководствуется нормативными актами ФСБ и ФСТЭК России. Основной документ, регламентирующий набор мер по безопасности данных в ИСПДн, – это Приказ ФСТЭК России №21.

Согласно Приказу №21, процесс выбора мер безопасности включает:

  1. Определение основного набора мер для уровня защищенности данных, согласно приложению к Приказу.
  2. Адаптацию этого набора, учитывая специфику информационной системы, используемые технологии и особенности работы системы.
  3. Уточнение адаптированного набора, дополнение его мерами для нейтрализации всех актуальных угроз.
  4. Дополнение набора мерами, необходимыми для выполнения требований других нормативных актов по безопасности данных.

Реализация этих мер требует от оператора специальных знаний и навыков, а также затрат времени и ресурсов.

ГЭНДАЛЬФ

Зачем нужна техническая защита персональных данных

Персональные данные по своей природе относятся к конфиденциальной информации, охраняемой законом. Федеральный закон «О персональных данных» относит к ним любые сведения, которые прямо идентифицируют человека. Когда такие данные передаются операторам-компаниям для обработки (при наличии согласия на конкретные способы и цели обработки), они получают защищенный статус.

В отличие от коммерческой тайны, меры по обеспечению защиты персональных данных строго регулируются государством. Приказ ФСТЭК России №21 определяет перечень технических мер, сгруппированных в 15 категорий. В каждой группе есть обязательные базовые меры и дополнительные рекомендации, которые оператор может использовать в зависимости от текущей модели угроз.

Этапы создания системы защиты персональных данных

Прежде чем оператор приступит к обработке данных и направит уведомление о начале деятельности, он должен убедиться, что его система соответствует установленным требованиям и выбраны подходящие средства защиты. Внедрение системы проходит поэтапно, при этом число этапов зависит от уровня защищенности данных, их типа, класса защищенности (определяемого Постановлением Правительства РФ №1119), а также наличия подключения к сетям связи.

Перед внедрением системы технической защиты персональных данных требуется провести ряд организационных мероприятий. Прежде всего, нужно классифицировать возможные угрозы и проанализировать имеющиеся технические средства. Это поможет определить необходимость в установке антивирусного ПО и криптографических средств защиты.

В ходе такого анализа устанавливаются:

  • Перечень персональных данных и степень их требуемой защиты. Например, для данных, содержащих врачебную тайну или информацию, влияющую на юридические решения, требуется усиленная защита.
  • Цели обработки данных: это может быть сбор кадровой информации, оказание услуг по обработке или передаче данных.
  • Сроки работы с данными: закон ограничивает продолжительность хранения данных. Необходимо определить, какие данные подлежат уничтожению, а также способы, сроки и порядок их удаления.

После установления объекта технической защиты определяется набор технических средств для обеспечения безопасности данных.

1. Обработка персональных данных

На начальном этапе персональные данные часто обрабатываются вручную, и для этого операторы должны обеспечить физическую защиту носителей данных, используя такие меры, как пропускная система и оборудование помещений с нужным классом безопасности. При переходе данных в автоматизированные системы обработки используются уже технические меры по защите персональных данных . Для автоматизированной обработки важно определить модули системы, в которых происходит обработка данных, например, кадровый, бухгалтерский или клиентский.

2. Характеристики технических систем защиты

Следующий этап – определение ключевых характеристик автоматизированных систем обработки данных: их конфигурации, потребности в использовании электронной подписи, антивирусной и криптографической защиты.

Системы классифицируются по качеству обрабатываемых данных и делятся на группы:

  • Категория 1: информация о здоровье, личной жизни, политических взглядах.
  • Категория 2: данные, позволяющие идентифицировать личность и получить дополнительную информацию.
  • Категория 3: данные, позволяющие только идентифицировать субъекта.
  • Категория 4: обезличенные данные.

Системы, обрабатывающие данные 1-й категории, требуют специального уровня защиты. Для остальных категорий достаточно базового уровня защиты. Также параметры системы определяются количеством людей, чьи данные обрабатываются, и на этой основе устанавливается один из четырех уровней защищенности – от максимального до минимального.

3. Установка технических средств защиты

Когда параметры системы определены, оператор приступает к подбору необходимых программных и технических средств, которые соответствуют требуемому классу безопасности. При выборе средств нужно соблюдать баланс между уровнем безопасности и финансовыми затратами. Иногда для комплексной оценки и реализации защиты целесообразно привлечь специализированную организацию.

Качество применяемых средств и требования к их сертификации регламентируются нормативными документами ФСТЭК России.

Все технические средства можно разделить на две основные группы:

  1. Средства защиты от несанкционированного доступа: сюда входят антивирусные программы, криптографические средства, межсетевые экраны, системы блокировки устройств ввода-вывода и прочие инструменты, которые ограничивают возможность утечки данных за пределы защищенного периметра.
  2. Средства предотвращения утечек по техническим каналам связи: сюда относятся устройства подавления сигналов (генераторы шумов), экранированные кабели, которые предотвращают перехват электромагнитных излучений, и высокочастотные фильтры на линиях связи.

Если оператор обращается к специализированной организации для создания системы защиты, важно убедиться, что у нее есть необходимые лицензии, а все применяемые средства прошли сертификацию в соответствии с установленными стандартами.

Выбор конкретных технических средств защиты зависит от класса защищенности системы, категории данных и возможностей оператора. В случае высоких требований к безопасности, когда система обрабатывает данные первой категории (например, данные о здоровье или личной жизни), применяются специализированные средства, которые обеспечивают дополнительный уровень защиты.

Создание системы защиты данных по 152-ФЗ от ГЭНДАЛЬФ

ГЭНДАЛЬФ предлагает полный спектр услуг для создания системы защиты персональных данных, начиная с анализа текущей ситуации и заканчивая аттестацией информационной системы в соответствии с требованиями 152-ФЗ. Мы проводим всестороннее обследование, выявляем потенциальные угрозы и разрабатываем оптимальные меры для защиты данных.

  • Формирование требований к защите данных
    Наши специалисты проводят детальный анализ процессов обработки персональных данных, а также существующих мер и средств для их защиты. Мы выявляем и классифицируем все возможные угрозы, строим информационную систему защиты и проверяем ее на соответствие требованиям 152-ФЗ, чтобы обеспечить высокую степень защищенности ваших данных.
  • Подготовка организационно-распорядительных документов
    Мы помогаем в составлении всех необходимых документов, которые регламентируют порядок и процедуры защиты данных, а также консультируем по подаче уведомления в Роскомнадзор о намерении обрабатывать персональные данные.
  • Разработка системы защиты персональных данных
    Проектирование и создание системы защиты включает разработку эксплуатационной документации, которая описывает порядок и правила использования системы защиты персональных данных.
  • Подключение к государственным информационным системам (ГИС)
    Мы обеспечиваем подключение к федеральным и региональным информационным системам, таким как ФИС ГИА, ФРДО и «Контингент», что позволяет вам работать с данными в рамках государственных стандартов.
  • Внедрение системы защиты персональных данных
    Мы осуществляем поставку, установку и настройку всех необходимых средств защиты, а также вводим в компании организационные меры для поддержания безопасности данных на всех уровнях.
  • Аттестационные испытания
    Проводим аттестационные испытания для подтверждения соответствия системы требованиям 152-ФЗ. В ходе этих мероприятий собираются необходимые документы, которые подтверждают качество и надежность системы защиты данных.
  • Гарантия на 6 месяцев
    Если в течение шести месяцев после аттестации произойдут изменения в законодательстве, мы внесем необходимые правки в документацию бесплатно, обеспечивая актуальность и соответствие вашей системы всем требованиям закона.

3 заблуждения в сфере защиты ПДн

Думаете, что вы в безопасности? Возможно, это не так.

Мы выявили наиболее частые заблуждения о соблюдении требований 152-ФЗ, с которыми сталкиваются наши клиенты. Многие уверены, что их система полностью защищена, но практика показывает обратное.

Вы НЕ защищены, если считаете, что:

  1. «Все персональные данные храним в дата-центре. Там и отвечают за соблюдение закона.»

    Важно помнить: дата-центр действительно отвечает за хранение и удаление данных, когда договор с клиентом расторгается, и может поддерживать базовый уровень безопасности инфраструктуры. Однако вся остальная ответственность лежит на операторе данных, который должен управлять политикой обработки, собирать согласия на использование данных и предотвращать утечки. Сервис-провайдер не возьмет на себя задачи по контролю и мониторингу процессов обработки.
  2. «Я точно соблюдаю 152-ФЗ, ведь у меня есть антивирус и межсетевой экран. Разве этого не хватит?»

    Эти средства полезны, но они – лишь часть решения. Первые шаги в соответствии с 152-ФЗ касаются подготовки организационно-распорядительных документов (ОРД), которые регулируют правовую основу для работы с данными. Роскомнадзор сосредоточен именно на юридических основаниях обработки, поэтому просто наличие антивируса не защитит от правовых нарушений.
  3. «Пакет документов имеется, но персональные данные мы храним у провайдера.»

    152-ФЗ допускает такую схему при условии, что с провайдером оформлено специальное поручение на обработку данных. В нем необходимо зафиксировать все меры защиты, которые провайдер обязуется соблюдать. Без этого поручения провайдер формально не обязан следовать требованиям оператора.

Реальная защита персональных данных начинается с понимания всех аспектов закона и создания системы, где каждый шаг, от хранения до передачи и обработки, полностью соответствует требованиям 152-ФЗ.

Защита персональных данных – это больше, чем просто установка антивируса или аренда дата-центра. Она требует комплексного подхода, от юридического оформления процессов до внедрения сертифицированных средств защиты и проведения регулярных проверок. Только при полном соответствии требованиям 152-ФЗ можно быть уверенным, что ваши данные находятся под надежной защитой. ГЭНДАЛЬФ предлагает помощь на каждом этапе этого пути, обеспечивая полное соблюдение законодательства и готовность вашей системы к любым проверкам.

Хотите узнать, в каком состоянии ваша система безопасности?

Обратитесь к нашим специалистам – они проведут анализ ее работы.

Заказать проверку
Защита персональных данных Закон №152-ФЗ Система защиты персональных данных
Поделиться  

Рейтинг статьи:

4.9

(на основе 11 голосов)

Читайте также

Закон 152-ФЗ в действии: как защитить персональные данные

Как госструктуры создают невидимый щит от цифровых хакеров

5 крупнейших утечек данных 2024 года — как ВАМ избежать миллиардных убытков?

Подписывайтесь на нас в соцсетях

Рейтинг сайта:

4.8

(на основе 464 голосов)

Материалы сайта gendalf.ru носят информационный характер и не являются публичной офертой.
Вы можете использовать материалы данного сайта, при условии наличия ссылки (или гиперссылки) на источник gendalf.ru.
На странице использованы графические материалы: Изображения https://www.freepik.com, иконки www.flaticon.com.

© 1993-2025 ГЭНДАЛЬФ