Компании, занимающиеся сбором и обработкой конфиденциальных данных клиентов и персонала, обязаны соблюдать нормативы ФЗ № 152. Положения закона обязывают защищать ПДн (персональные данные).
Что включает в себя защита ПДн
Защита персональных данных в информационных системах — это обязанность каждой коммерческой структуры.
В это понятие входит комплекс инструментов и действий, направленных на защиту информации, относящейся к персональной. Вырабатываются механизмы обработки данных, при которых нивелируется возможная утечка, кража, доступ со стороны третьих лиц.
Вместе с этим производится каталогизация — разделение на общедоступные, персональные (защищаемые), секретные (с ограниченным доступом).
Защиту ПДн регулируют положения Федерального Закона № 152. Несоблюдение, игнорирование норм и правил по обеспечению конфиденциальности влечет наложение штрафа.
Информационная защита персональных данных включает несколько основных компонентов.
- Технологии, использующие преобразование при передаче, переносе информации, при транслировании через открытую или закрытую локальную сеть.
- Использование защищенных технологических средств. Через них непосредственно производится работа с ПДн.
- Интеграция программных средств, позволяющих безопасно работать с ПДн. А также — с прочей персональной информацией, требующей обязательной защиты от несанкционированного доступа.
- Использование вспомогательных технических средств, закрывающих все возможные уязвимости при обработке информации.
Какие именно услуги по защите персональных данных требуются в определенной коммерческой структуре — полностью зависит от специфики работы предприятия, а также от используемого формата хранения и обработки ПДн. Могут встречаться гибридные системы хранения, включающие бумажные и/или цифровые носители.
ИСПДн: что такое, как защитить
ИСПДн — это информационная система персональных данных. Она позволяет защитить обработку, хранение и передачу персональных данных.
К ИСПДн предъявляются те же требования по ФЗ № 152. Компания (оператор), проводящая сбор информации о пользователях, клиентах и сотрудниках, обязана защищать ПДн и ИСПДн.
Существуют критерии использования ПДн и определенный перечень инструментов. Роскомнадзор проверяет их наличие. Цель этой процедуры — определить, соблюдаются ли требования ФЗ № 152.
Защита персональных данных от информационных угроз включает в себя использование технических и программных инструментов, направленных на нивелирование возможного несанкционированного доступа к данным. Также в нее входит использование элементов криптографии. Они отвечают за безопасную передачу и обработку информации в среде локальной и открытой сети.
Защита ИСПДН (системы) так же важна, как и безопасность ПДн (данных), хранящихся внутри неё.
Категории ПДн
ПДн, требующие защиты, бывают:
- общедоступными;
- специальными;
- биометрическими;
- иными.
Рассмотрим каждую категорию подробнее.
Общедоступные
К общедоступным ПДн относятся базовые сведения о владельце. Вот некоторые примеры:
- Ф. И. О.;
- год рождения;
- возраст;
- должность;
- образование.
Гражданин вправе потребовать от оператора (организации, которая осуществляет их обработку) удалить любые упоминания этой информации . Сделать это можно по письменному и устному заявлению в компанию. Оператор будет обязан удалить все имеющиеся у себя на хранении данные о человеке.
Биометрические
Под биометрическими данными подразумевают:
- фото;
- голос;
- отпечаток пальца;
- отпечаток сетчатки глаза;
- другие физиологические параметры, которые могут быть признаны уникальными.
Особенность: для обработки этих сведений требуется обязательное письменное согласие. Без него оператор не имеет законного права хранить их и взаимодействовать с такой базой.
Без согласия передача подобных данных или их хранение будет считаться нарушением ФЗ № 152. Это приведет к наложению штрафа и обязательству выплатить компенсацию пострадавшему лицу.
Специальные
К специальным персональным данным относятся:
- сведения о здоровье человека;
- информация о мировоззрении (политические, религиозные взгляды);
- сексуальная ориентация, гендерная принадлежность.
Такие сведения сохраняются при согласии человека (письменном или в форме общедоступной оферты) при обращении в органы, специализирующиеся на этой категории персональных данных. Например, в поликлинике, паспортном столе и других подобных местах.
Иные
В законодательстве нет четкого указания, что подразумевается под «иной» персональной информацией. Прописано, что она относится к персональной, но не входит в перечень трех вышеперечисленных категорий.
Требования к защите ПДн (ИСПДн)
Защита персональных данных необходима для соблюдения конституционных прав на неприкосновенность личной жизни гражданина, а также закона ФЗ № 152. Она требуется и для организации бесперебойной работы коммерческой организации, на базе которой функционирует оператор.
Конкретные требования и рекомендации описаны в опубликованных актах ФСТЭК № 17 и 21. Без их соблюдения невозможно пройти аттестацию Роскомнадзора.
Список актуальных требований Роскомнадзора по защите ПДн для операторов можно найти в ФЗ № 152.
Действующие уровни защищенности ФСТЭК
Всего выделяется 4 уровня. Какой именно требуется соблюдать оператору — зависит от спектра хранимых данных и уровня доступа. Например, если информацией распоряжается не только сам оператор, но и его филиалы, требуется повышенный уровень безопасности. Исходя из этого подбирается нужная инфраструктура защиты.
Более подробно об уровнях защищенности можно прочитать на официальной странице ФСТЭК.
Как организовать защиту
Все ресурсы по защите персональных данных в ИСПДн определяются индивидуально, с опорой на тип обрабатываемой информации и спектр действий, которые с ней производятся.
Поддерживать максимальный уровень безопасности — комплексная задача. Справиться с ней невозможно без проведения всестороннего анализа, проверки на актуальность используемых инструментов.
Эту услугу предлагает наша компания. Мы проводим детальный анализ, тестирование, проверку стрессоустойчивости, подготовку оператора к прохождению аудита и аттестации со стороны Роскомнадзора. В итоге клиент получает детальный отчет. В нем содержится перечень проблем и превентивных мер для дальнейшей успешной работы по всем правилам. Работаем по всей РФ, в том числе в дистанционном режиме.