Компании, занимающиеся сбором, обработкой конфиденциальных данных клиентов, персонала, обязаны соблюдать нормативы ФЗ №152. Положения закона обязывают защищать ПДН (персональные данные).
Что такое «защита персональных данных»?
Защита персональных данных в информационных системах — это обязанность каждой коммерческой структуры. Регулируется положениями Федерального Закона № 152. Несоблюдение, игнорирование норм и правил по обеспечению конфиденциальности влечет наложение штрафа.
Она включает комплекс инструментов, действий, направленных на защиту информации, относящейся к персональной. То есть, выработка механизмов обработки данных, при которых нивелируется возможная утечка, кража, доступ со стороны третьих лиц.
Вместе с этим производится каталогизация – распределение на общедоступные, персональные (защищаемые), секретные (доступ к которым ограничен).
Что включает в себя защита ПДН?
Информационная защита персональных данных включает в себя:
- Технологии, использующие преобразование при передаче, переносе информации, при транслировании через открытую или закрытую локальную сеть.
- Использование защищенных технологических средств. Через них непосредственно производится работа с ПДн.
- Интеграция программных средств, позволяющих безопасно работать с ПДн. Также с прочей персональной информацией, требующей обязательной защиты от несанкционированного доступа.
- Использование вспомогательных технических средств, закрывающих все возможные уязвимости при обработке информации.
Какие именно услуги по защите персональных данных требуются в определенной коммерческой структуре — полностью зависит от специфики работы предприятия. Также от используемого формата хранения и обработки пдн. Могут встречаться гибридные системы хранения, включающие бумажные носители и/или цифровые.
Что такое ИСПДн
ИСПДн — это информационная система персональных данных. Эта система позволяет защитить обработку, хранение и передачу персональных данных.
К ИСПДн предъявляются те же требования ФЗ №152. Компания (оператор), проводящие сбор информации о пользователях, клиентах и сотрудниках, обязаны защищать ПДн и ИСПДн.
Существуют критерии, инструменты по пользованию ПДн. Для их соблюдения проводит Роскомнадзор проводит проверку, цель которой — проверить, соблюдаются ли указанные требования по ФЗ №152.
Что включает в себя защита ИСПДН?
Защита персональных данных от информационных угроз включает в себя использование технических, программных инструментов, направленных на нивелирование возможного несанкционированного доступа к данным.
Дополнительно он включает в себя использование элементов криптографии. Они формируют защищенность при передаче и обработке информации. В среде локальной и открытой сети.
Проще говоря, защита ИСПДН также важна как и ПДН, которые хранятся внутри неё.
Категории
ПДН, требующие безопасность, бывают:
Рассмотрим каждую категорию подробнее.
Общедоступные
К общедоступным пдн относятся базовые сведения о владельце. Такие как:
-
ФИО
- год рождения
- возраст
- должность
- образование
Гражданин вправе требовать удалить любые упоминания этой информации у оператора. (компании, которая осуществляет их обработку). Сделать это можно по письменному и устному заявлению в компанию. Оператор будет обязан удалить всю имеющуюся у себя на хранении данные о человеке.
Биометрические
Под биометрическими данными подразумевают:
- фото;
- голос;
- отпечаток пальца;
- отпечаток сетчатки глаза;
- другие физиологические параметры, которые могут признаны уникальными.
Особенность: для обработки этих сведений требуется обязательное письменное согласие. Без него оператор не имеет законного права хранить и взаимодействовать с такой базой.
Передача подобных данных, их хранение будет считаться нарушением ФЗ №152 без согласия. Это приведет к наложению штрафа и обязательству выплатить компенсацию пострадавшему лицу.
Специальные
К специальным персональным данным относятся:
- сведения о здоровье человека;
- о мировоззрении (политические, религиозные взгляды);
- сексуальная ориентация, гендерная принадлежность.
Эти сведения хранятся при согласии человека (письменное или в форме общедоступной оферты) при обращении в органы, специализирующиеся на подобной категории персональных данных. Например, поликлиника, паспортный стол и др.
Иные
Законодательно, четкого указания, что подразумевается под «иной» персональной информацией — нет. Указывается, что это информация, относится к персональной, но не входит в перечень трех перечисленных категорий.
Зачем организовывать защиту ПДн
Защита персональных данных необходима для соблюдения конституционных прав на неприкосновенность личной жизни гражданина, а также для соблюдения закона ФЗ №152.
Это требуется и для организации бесперебойной работы коммерческой организации, на базе которой и функционирует оператор по обработке защищаемых сведений.
Требования к защите ПДн (ИСПДн)
Конкретные требования и рекомендации описаны в опубликованных актах ФСТЭК № 17 и 21. Без их соблюдения пройти аттестацию Роскомнадзора — невозможно.
Действующие уровни защищенности ФСТЭК
Условно выделяют 4 уровня защищенности. Какой именно требуется соблюдать оператору — зависит от спектра хранимых данных и уровня доступа. Например, если информацией распоряжается не только оператор, но и филиалы компании, то требуется повышенный уровень безопасности.
Исходя из этого, подбирается нужная инфраструктура защиты.
Более подробно об необходимых уровнях защищенности можно прочитать на официальной странице ФСТЭК.
Список требований Роскомнадзора
Актуальные требования Роскомнадзора по защите ПДн для операторов перечислен в ФЗ №152.
Необходимые меры защиты
Все ресурсы по защите персональных данных в ИСПДн определяются индивидуально, опираясь на тип обрабатываемой информации и спектра действий, который с ней производится.
Поддерживать максимальный уровень безопасности – это комплексная задача. Справиться с ней без проведения всестороннего анализа, проверки на актуальность используемых инструментов – невозможно.
Эту услугу предлагает наша компания: детальный анализ, тестирование, проверка стрессоустойчивости, подготовка оператора к прохождению аудита и аттестации со стороны Роскомнадзора. В заключении клиент получает детальный отчет. В нем содержится перечень проблем и превентивных мер для дальнейшей успешной работы по всем правилам. Работаем по РФ, в том числе в дистанционном режиме.
Вопросы и ответы
От требуемого уровня защиты информации в ИСПДН, от количества филиалов, узлов связи, через которые данные передаются. Расчеты производятся индивидуально, не существует единой цены.
В лучшем случае — штраф. В худшем – отзыв лицензии, временное прекращение деятельности.
Зависит от уровня риска предприятия. Не чаще 1 раза в 2 года.