Система защиты персональных данных

Создание системы защиты персональных данных

Иногда некоторые компании хитрят, говоря о том, что при технической защите конфиденциальной информации и создании системы защиты персональных данных можно обеспечить гарантированную защиту от негативных результатов проверок Роскомнадзора. Даже при помощи сертифицированного программного обеспечения по защите информации невозможно добиться максимально высокого уровня защищенности персональных данных.

Обеспечение безопасности ПДН, обрабатываемых в информационных системах персональных данных, при помощи сертифицированного ПО – это одно из средств защиты. Важно понимать, что система защиты персональных данных подразумевает под собой и технические, и организационные мероприятия. При этом учитывается весь набор актуальных угроз по обеспечению безопасности ПДН. Выбор средств защиты информации зависит непосредственно от оператора, от того, каким набором технических средств он располагает. При использовании таких средств обязательно учитывается Федеральный Закон "Об утверждении порядка проведения классификации информационных систем персональных данных", а также другие законодательные акты, которые действуют в данной сфере. Необходимо понимать, что защита персональных данных – это требование законодательства, так как информация о физиологических, биологических, других особенностях человека не должна быть в открытом доступе, ведь она может быть использована третьими лицами в преступных или иных целях. Также защита персональных данных – это требование бизнеса. Без такой деятельности, как построение системы защиты персональных данных, невозможно представить себе ведение какого-либо бизнеса. На каждом предприятии и в любой организации всегда ведется работа, которая согласно федеральному закону включает в себя компоненты обработки персональных данных. Но при этом существует достаточно большое количество угроз безопасности персональных данных, которые направлены на то, что без согласия субъекта персональных (личных) информационных данных, происходит использование информации в различных целях.

Состав и содержание персональных данных

Что означает термин «персональные данные»? В соответствии с ФЗ №152 персональные данные представляют собой информацию, которая идентифицирует человека. Что входит в понятие персональные данные? Характеристики безопасности персональных данных должны включать в себя ФИО, дата рождения, место рождения, адрес регистрации, проживания, положение относительно семьи, социального, имущественного статуса. Также это может быть информация о профессии, доходах и т. д.

Существуют различные категории персональных данных. Это могут быть общедоступные ПДН, обрабатываемые в специальных системах ПДН (ИСПДН), биометрические, специальные ПДН. Также существует разделение непосредственно на категории. Такие категории персональных данных четко разделены между собой. Так, к первой категории относят информацию, которая относится к национальности, расовой принадлежности, к политическим взглядам и т. д. Для второй категории характерна информация по идентификации субъекта, которая дополняет первую категорию. Третья категория идентифицирует субъекта, представляя персональные данные. В четвертой категории представлены общедоступные данные.

Для системы защиты персональных данных характерно несколько ступеней, то есть, для создания такой системы нужно пройти несколько стадий. В первую очередь проводится обследование информационных систем, благодаря которому можно получить информацию о том, какие методы обработки, защиты данных используются на предприятии, какие технические средства по обеспечению безопасности ПДН применяются. Далее разрабатывается концепция и устанавливаются рекомендации по защите персональных данных. Следующий этап – это определение уровня защищенности от несанкционированного доступа, определяется тип угроз безопасности ПДН. Далее должна быть разработана модель угроз безопасности. В данном документе представлен перечень угроз безопасности персональных данных. Модель угроз безопасности может включать в себя преднамеренные, непреднамеренные действия различных физических лиц, организаций, криминальных элементов. Поэтому очень важно, чтобы модель угроз была составлена правильно, благодаря чему в дальнейшем будет обеспечен оптимальный уровень защиты имеющихся данных.

После этого разрабатывается техническое задание на создание системы защиты персональных данных. При этом учитываются все нормативные документы, которые необходимы для мероприятия по защите ПДН при обработке в ИСПДН. Следующий этап – проектирование системы на основании вышеуказанного федерального закона, других нормативных актов Российской Федерации. Затем разрабатывается организационно-распорядительная документация по защите ПДН, поставляются средства защиты ПДН от несанкционированного доступа, средства защиты каналов при передаче ПДН. После чего обязательно следует установка и настройка средств защиты информации, при этом учитывается согласованность таких средств с установленным ранее программным обеспечением. На последнем этапе происходит аттестация информационных систем персональных данных по требованиям безопасности информации, где  представлены организационные и технические мероприятия, подтверждающие соответствие системы защиты требованиям системы безопасности и защиты информации. Необходимо понимать, что обязательно требуется лицензирование деятельности по защите персональных данных, но лицензия требуется не на обработку информации, а на техническую защиту конфиденциальных данных.

Наша компания выполнит всю работу, которая включает в себя обеспечение безопасности персональных данных при их обработке. Сначала нужно обосновать весь комплекс мероприятий, который будет внедряться для обеспечения безопасности и защиты ПДН. Такие мероприятия включают в себя выявление, закрытие утечки каналов информации, закрытие информации от несанкционированного доступа, установка и настройка различных средств защиты. Важно понимать, что утечка может происходить даже по сетям международного информационного обмена, поэтому проверяются и анализируются все возможные каналы, которые могут присутствовать в информационной системе конкретной организации. Технические средства защиты способны исключить и пресечь сетевые атаки, заблокировать утечки речевых потоков информации и многие другие источники.

Оценка соответствия ИСПДН требованиям безопасности персональных данных обязательно требует предварительной разработки «стандарта организации». Чаще всего такой стандарт представляет собой технические условия, в которых представлены требования к ИСПДН. Только на основании имеющихся ТУ оператор разрабатывает доказательную базу, которая подтверждает соответствие ПДН тем требованиям, которые представлены в ТУ.  Для каждого оператора является личным и субъективным делом то, выполнить аттестацию или провести добровольную оценку соответствия. Выбирая путь поставленной задачи, оператор автоматически определяет тот комплекс методов и способов, которые будут использоваться для реализации поставленных задач.

Нужно знать, что обработка данных может быть автоматизированной и неавтоматизированной. Автоматизированная обработка персональных данных требует использования специальных систем, которые имеют определенную классификацию. Также в автоматизированных системах должна содержаться информация с разным уровнем конфиденциальности, также должен иметься определенный уровень доступа объектов АС, кроме того, должен существовать коллективный или индивидуальный режим по обработке данных.

Защита ПДН при неавтоматизированной обработке осуществляется при непосредственном участии человека. Обеспечивает такую защиту положение, регламентирующее порядок обработки и защиты ПДН, которое было принято Правительством РФ 15.09.2008 года.  При этом обработка персональных данных не может быть признана автоматизированной только на основании того, что персональные данные были извлечены из информационной системы.

Прежде чем понять, что представляет собой защита ПДН при трансграничной передаче данных, важно узнать определение трансграничной передачи. То передача информации оператором через государственную границу РФ органам власти, физическим, юридическим лицам других государств. Защита такой информации должна входить в комплекс мероприятий, которые внедряются на предприятии для защиты всех персональных данных. Для этого существуют специальные требования к средствам защиты ПДН, устанавливается регламент для проведения безопасного обмена и передачи информации, учитывается состав законодательства того государства, куда передается информация.

Если говорить про жизненный цикл персональных данных, то это меняющееся состояние системы, которое проявляется появлением замысла и реализацией разработки до окончания ее эксплуатации. Почему необходимо защищать персональные данные? Это объективная реальность, так как информация о человеке всегда оставалась ценной и требует сохранения конфиденциальности. Принятие различных защитных мер также необходимо потому, что себя существенно возросли возможности технических средств, которые позволяют копировать и распространять информацию. Соответственно, самозащита таких данных сейчас становится малоэффективной.