Информационная безопасность и защита персональных данных

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Информационная безопасность и защита персональных данных». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.

Система защиты персональных данных призвана обеспечить охрану находящейся в распоряжении организации информации, относящейся к конкретным физическим лицам. Это не только анкетные данные, но и сведения о здоровье, финансовом состоянии. Эти данные представляют собой информационный актив, на который могут осуществляться покушения со стороны разнообразных субъектов. Среди основных угроз безопасности:

• конкуренты конкретной компании, желающие нанести ей ущерб;
• международные кибертеррористические организации, заинтересованные в утечках персональных данных в целях обеспечения собственного пиара;
• инсайдеры, сотрудники компании, руководствующиеся своими целями или действующие по чужим поручениям.

Эту систему компания не всегда может разработать самостоятельно, силами ИТ-отдела. Соответствие требованиям по защите персональных данных предполагает разработку, установку и обслуживание сложных программных комплексов, которые решают следующие задачи:

• избежать неправомерного доступа к данным как со стороны внешних посягателей, так и со стороны инсайдеров. Для этого применяются межсетевые экраны, различные системы разграничения доступа, используются криптографические и блокировочные средства;
• предотвратить утечку данных по техническим каналам, например, в виде электромагнитного излучения или звуковой информации. Для этого применяют генераторы шума, экранированные кабели, высокочастотные фильтры.

Какие меры необходимо предпринять по защите персональных данных сотрудников?

Среди мер защиты выделяют:

• ограниченное число работников, которые имеют доступ к персданным;

• принятие нормативных документов;

• утверждение перечня документов, которые содержат пнд;

• внедрение программных для защиты информации на эл. носителях – например, антивирусную защиту;

• проведение профилактических работ с сотрудниками – тесты на знание правил хранения пнд;

• установление режима по пропускам;

Этот список можно продолжать до бесконечности, так как перечень защитных мер работодатели вправе определять самостоятельно.

# Какая деятельность подлежит обязательному лицензированию и какими могут быть сами лицензии?

Начнем с того, что лицензирование представляет собой способ регулирования деятельности организации, характеризующийся установлением правового режима осуществления отдельных видов деятельности. Основные виды лицензий, выдаваемых регулирующими органами Лицензия ФСБ (государственная тайна) Если организация проводит работы с использованием сведений, представляющихгосударственную тайну , необходимо получить лицензию ФСБ. Такая лицензия необходима организациям, вне зависимости от их организационно-правовых форм. Лицензия представляет собой официальный документ и действует в течение установленного срока, разрешая осуществлять на определенных условиях конкретный вид деятельности. Имея лицензию на Гостайну, организация, в том числе и поставщик облачных услуг, может выполнять следующее:

• осуществлять работы с использованием сведений, составляющих государственную тайну;
• осуществлять работы, связанные с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну;
• осуществлять мероприятия и/или оказывать услуги в области защиты государственной тайны.

Лицензия ФСБ на деятельность в области разработки, распространения и технического обслуживания шифровальных (криптографических) средств и предоставления услуг в области шифрования данных Помимо лицензии на Гостайну, ФСБ занимается выдачей лицензии на деятельность в области разработки, распространения и технического обслуживания шифровальных (криптографических) средств и предоставления услуг в области шифрования данных. Такая лицензия позволяет выполнять широкий перечень работ и оказывать услуги в отношении шифровальных (криптографических) средств. В таблице ниже представлен пример работ и услуг, которые можно выполнять при наличии такой лицензии. Список 1. Пример перечня работ/услуг, которые можно выполнять согласно лицензии

• Разработка шифровальных (криптографических) средств.
• Разработка защищенных с использованием шифровальных (криптографических) средств информационных систем.
• Разработка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
• Разработка средств изготовления ключевых документов.
• Модернизация шифровальных (криптографических) средств.
• Модернизация средств изготовления ключевых документов.
• Производство (тиражирование) шифровальных (криптографических) средств.
• Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.
• Производство защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
• Производство средств изготовления ключевых документов.
• Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.
• Производство (тиражирование) шифровальных (криптографических) средств.
• Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.
• Производство защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
• Производство средств изготовления ключевых документов.
• Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.
• Изготовление с использованием шифровальных (криптографических) средств изделий, предназначенных для подтверждения прав (полномочий) доступа к информации и (или) оборудованию в информационных и телекоммуникационных системах.
• Работы по обслуживанию шифровальных средств, предусмотренные технической и эксплуатационной документацией на эти средства.
• Ремонт шифровальных (криптографических) средств.
• Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных систем.
• Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
• Передача шифровальных (криптографических) средств.
• Передача защищенных с использованием шифровальных (криптографических) средств информационных систем.
• Передача средств изготовления ключевых документов.

# Нужны ли лицензии оператору, например, на деятельность по технической защите конфиденциальной информации?

Здесь, пожалуй, можно дать односложный ответ: нет. Дело в том, что лицензии могут понадобиться подрядчику Оператора в случае, если сам оператор приглашает подрядчика оказать услуги по разработке проектов организационно-распорядительных документов и необходимых организационно-технических мер. В этом случае подрядчику понадобится как минимум лицензия на деятельность по технической защите конфиденциальной информации, выдаваемая ФСТЭК России, а также может понадобиться лицензия ФСБ России на деятельность, связанную с применением в ИСПДн шифровальных/криптографических средств. Вывод Ни для клиента, ни для хостинг-провайдера озвученные лицензии не нужны, они необходимы исключительно подрядчику, реализующему внедрение мер по защите информации.

Как используются ваши данные и зачем их защищать

К личной и конфиденциальной информации обычно относятся такие сведения, как номера банковских карт, адреса электронной почты, телефонные номера, дата рождения, СНИЛС и прочее. К подобной информации также относят данные о поведении (например, о посещенных сайтах и используемых социальных сетях). Эти сведения говорят им о вас намного больше, чем вы можете представить.

Это отчасти вызвано растущими возможностями искусственного интеллекта.

ИИ используется на популярных платформах для разработки алгоритмов, определяющих, какие товары могут вас заинтересовать и какую рекламу следует вам показывать. Яркий пример возможностей и точности интеллектуальных алгоритмов показало исследование, проведенное Кембриджским университетом в 2013 году. Оно было посвящено изучению пользователей на основании понравившихся им публикаций в Facebook. Проанализировав всего десять отметок «Нравится» в Facebook, исследователи смогли узнать человека лучше, чем его коллеги. Чем больше таких отметок анализируется, тем более полной становится информация. Изучив 300 понравившихся публикаций, алгоритм уже понимал исследуемого пользователя лучше, чем его партнер или супруг. И с 2013 года алгоритмы постоянно совершенствовались.

Все работники Поликлиники, являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.

При вступлении в должность нового работника непосредственный начальник подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.

Работник должен быть ознакомлен со сведениями настоящей Политики, принятых процедур работы с элементами ИСПДн и СЗПДн.

Работники Поликлиники, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать НСД к ним, а так же возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.

Работники Поликлиники должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей(если не используются технические средства аутентификации).

Работники Поликлиники должны обеспечивать надлежащую защиту оборудования, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, а также свои обязанности по обеспечению такой защиты.

Работникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.

Работникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационной системой Поликлиники, третьим лицам.

При работе с ПДн в ИСПДн работники Поликлиники обязаны не допускать просмотр ПДн третьими лицами с мониторов АРМ.

При завершении работы с ИСПДн работники обязаны защитить АРМ с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.

Работники Поликлиники должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на сотрудников, которые нарушили принятые политику и процедуры безопасности ПДн.

Работники обязаны сообщать обо всех случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству подразделения и/или лицу, отвечающему за защиту персональных данных в ИСПДн.

Что значит обрабатывать персональные данные

Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:

• сбор;
• фиксация;
• систематизация;
• накопление;
• сбережение;
• защита;
• передача;
• использование.

Лицо или орган, производящее эти действия, называется оператором. При любых операциях с персональными данными он должен соблюдать следующие принципы:

1. Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
2. Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
3. Выбирать способы обработки нужно в соответствии с заявленными целями.
4. Все требования касаются только полных и достоверных персональных данных.
5. Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.

Что означает термин «персональные данные»?

Определение персональных данных (ПДн) встречалось и до принятия закона, например, в «Перечне сведений конфиденциального характера», утвержденном указом Президента РФ № 188 от 6 марта 1997 г.:

К конфиденциальной информации относятся: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Однако закон дополнил его. Теперь, согласно ФЗ-152, персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Таким образом, персональные данные — это, прежде всего, паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такие данные есть практически в каждой организации.

При поступлении на работу — это данные отдела кадров работодателя, которые работник указывает в личной карточке, автобиографии, других документах, заполняемых при заключении трудового договора.

При поступлении ребенка в детский сад, школу, институт, другие образовательные учреждения также заполняется множество анкет и форм, в которых указываются данные как ребенка (например, данные свидетельства о рождении), так и его родителей (вплоть до места работы, занимаемой должности).

При прохождении лечения в медицинских учреждениях необходимо указать не только паспортные данные, но и сведения о льготах, медицинских страховках, сведения о предыдущих лечениях, результаты анализов. Во многих медицинских учреждениях амбулаторные/стационарные карты дублируются в электронном виде.

И все эти данные, согласно нынешнему законодательству, подлежат защите.

Меры по снижению расходов на проведение мероприятий по защите ПДн

В заключение хочется отметить, что в целях повышения класса (от К1 до К2 или от К2 до КЗ) и, соответственно снижения расходов на проведение мероприятий по защите ПДн может быть рекомендовано:

■ проведение тщательного анализа и возможное сокращение перечня получаемых и обрабатываемых сведений в отношении субъектов ПДн (далеко не каждый реквизит на самом деле будет необходим для осуществления деятельности);

■ осуществление обработки некоторых сведений без ис-пользования средств автоматизации;

■ обезличивание части персональных данных с выводом информации, содержащей сведения, позволяющие ус-тановить однозначную связь между личностью и ПДн (стоит отметить, что операция обезличивания персо-нальных данных является необратимой, в ходе выполнения которой утрачивается однозначная связь между субъектом персональных данных и его персональными данными);

■ минимизация мест хранения и обработки ПДн, разде-ление/сегментирование информационных систем, снижение требований к части сегментов;

■ сокращение числа сотрудников, имеющих доступ к персональным данным;

■ выделение рабочих мест, где используются ПДн в от-дельную локальную вычислительную систему и орга-низация защиты только ее;

■ отключение ИСПДн от сетей общего пользования;

■ обеспечение обмена с другими АРМ с помощью сменных носителей;

■ передача по каналам связи только обезличенной ин-формации.

минимальные требования по защите персональных данных будут предъявлены к тем организациям, которые передадут обработку данных специализированным организациям, имеющим соответствующие технические возможности и опыт в построении системы защиты ПДн (аутсорсинг).

В качестве примера может быть приведена следующая схема структуры ИСПДн, позволяющая снизить затраты на проведение мероприятий по защите персональных данных, так как обработка данных осуществляется сторонней организацией (ЦОД), имеющей лицензию на осуществление деятельности по шщите конфиденциальной информации.

Единственный способ избежать претензий Роскомнадзора и внушительных штрафов, которые могут достигать 18 млн р. — правильно организовать защиту и обработку личной информации.

Обработка персональных данных — любые действия с информацией о личности, выполняемые как с применением средств автоматизации, так и без них: сбор, систематизация, обезличивание, иные операции.

Чтобы не нарушить законодательство, компании следует придерживаться ряда правил.

1. Уведомить Роскомнадзор перед тем, как приступить к обработке. Уведомлять не надо при операциях с конфиденциальными данными:
   • сотрудников фирмы;
   • при заключении договоров;
   • в ряде других случаев (ч. 2 ст. 22 ФЗ N 152-ФЗ).
2. Разработать политику компании по обработке данных и разместить её в открытом доступе: на сайте или на видном месте в офисе (если сайта нет).
3. Определить цели работы с личными данными и работать с ними строго с заявленными целями.
4. Обрабатывать данные с применением баз данных, которые расположены на территории РФ.
5. Принять локальные акты, которые определяют правила проведения операции с личными данными. Законодательство не содержит перечень документов, которые обязана иметь компания.

   Руководитель должен самостоятельно решить, какие локальные акты необходимо принять для данной компании, чтобы избежать претензий со стороны контролирующих органов.

   Чаще всего это:

   • регламент обработки данных;
   • правила компании по подбору персонала;
   • введение пропускного режима;
   • перечень мест хранения данных;
   • регламент уточнения, уничтожения ПДн.
6. Назначить лицо, которое отвечает за вопросы безопасности обработки ПДн.
7. Утвердить перечень сотрудников, которые допущены к работе с информацией.

Порядок оформления доступа к персональным данным лица, осуществляющего обработку персональных данных

Во время проверок контролирующие органы уделяют внимание документам, которые регулируют политику компании по обработке ПДн, достаточности мер защиты от неправомерного использования информации, правилам доступа к конфиденциальной информации.

Поэтому компания должна правильно оформить лицо, ответственное за обработку данных:

1. Издать приказ о назначении ответственного лица и ознакомить с приказом сотрудника под подпись.
2. Внести соответствующие дополнения в должностную инструкцию и (или) трудовой договор.
3. Если до назначения сотрудника за безопасность ПДн отвечали другие работники, издать приказ и снять с них ответственность за организацию обработки информации. При этом обязанность работников не разглашать данные необходимо сохранить.
4. Составить перечень работников, которые допущены к обработке данных и утвердить перечень приказом.
5. Со всеми приказами работники должны быть ознакомлены под подпись.

Практика. Создание системы защиты персональных данных

Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.

Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

Обеспечьте защиту персональных данных в вашей компании

Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

Бизнес: • Банки • Богатство и благосостояние • Коррупция • (Преступность) • Маркетинг • Менеджмент • Инвестиции • Ценные бумаги: • Управление • Открытые акционерные общества • Проекты • Документы • Ценные бумаги — контроль • Ценные бумаги — оценки • Облигации • Долги • Валюта • Недвижимость • (Аренда) • Профессии • Работа • Торговля • Услуги • Финансы • Страхование • Бюджет • Финансовые услуги • Кредиты • Компании • Государственные предприятия • Экономика • Макроэкономика • Микроэкономика • Налоги • Аудит
Промышленность: • Металлургия • Нефть • Сельское хозяйство • Энергетика
Строительство • Архитектура • Интерьер • Полы и перекрытия • Процесс строительства • Строительные материалы • Теплоизоляция • Экстерьер • Организация и управление производством

Похожие записи:

• Статья 578 ГК РФ. Отмена дарения
• Требования для участия в лотерее
• Правила въезда в Узбекистан для россиян в 2023 году — нужна ли виза?