Меры безопасности персональных данных

Защита информации и персональных данных: современные методы и способы обезопасить себя – Сигнализация

Меры безопасности персональных данных

Конституцией РФ предусматривается защита персональных данных – необходимая работодателю информация о сотруднике, предусматриваемая трудовыми отношениями и касающаяся конкретного человека.

Узнайте в статье о защите персональных данных, основных методах и возможных сложностях.

Дорогие читатели! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер. 

Если вы хотите узнать, как решить именно Вашу проблему — обращайтесь в форму онлайн-консультанта справа или звоните по телефону +7 . Это быстро и !

Что следует подразумевать под персональными данными:

  • ФИО человека;
  • год, месяц и число рождения;
  • место рождения;
  • адреса;
  • семейное положение;
  • социальный статус;
  • информация об имуществе;
  • образование;
  • профессия;
  • доходы и прочее.

Работодатель вправе производить сбор и обработку исключительно той информации о своем подчиненном, которая непосредственно касается их правоотношений.

Федеральный закон №149, а в частности его статья 16 предусматривает комплекс мер, направленных на защиту персональных данных работников организаций.

В соответствии с законом, работодатель должен обеспечить защиту полученной им информации от каких-либо действий с третей стороны, которые могут быть выражаться в следующем:

  • неправомерный доступ к информации;
  • модифицирование;
  • уничтожение;
  • блокировка;
  • копирование;
  • распространение и пр.

Меры защиты информации:

  1. Для защиты информации личного характера работников, работодатель должен соблюдать элементарные правила конфиденциальности доступа к данным.
  2. Предотвращение неправомерного доступа к данным и последующей их передачи.
  3. В случае несанкционированного доступа – своевременное обнаружение данного факта и исключение возможных негативных последствий подобного действия.
  4. Предотвращение возможности воздействия на технические средства, которыми производится обработка информации во избежание нарушения их функционирования.
  5. Обеспечить наличие защищенных копий с целью незамедлительного восстановления данных в случае несанкционированного доступа к ним.
  6. Основной мерой является контроль, в частности – за уровнем защищенности данных.

Способы

Поскольку информация о работниках чаще всего хранится в электронном виде, образуя базы данных в информационных системах, то целесообразно рассмотреть методы и способы защиты именно в этой области.

Только в той информационной системе, возможно обеспечить защиту данных работников, к которой исключен доступ злоумышленников и созданы условия для исключения возможности вмешательства в работу ее базовых элементов.

Рассмотрим основные способы защиты персональных данных сотрудников в информационной системе:

  • самое первое, что необходимо сделать – ограничить доступ лиц к помещениям с техническими средствами, которые осуществляют обработку и хранение информации. Обеспечить охраной такие помещения;
  • использование антивирусов. Подобные программы позволят предотвратить утечку информации, препятствуя работе вирусов и червей;
  • обеспечение защиты межсетевыми экранами. Такой метод направлен на защиту от целенаправленных атак, в то время как цель антивируса – массовые;
  • установка систем предотвращения вторжения, задача которых – выявление нападений и блокировка наиболее активных атак в проходящем трафике;
  • обеспечение системы сканерами уязвимости позволяют проверять ее на наличие «брешей»;
  • организовать регистрацию действий работников;
  • осуществлять контроль входящей-исходящей информации;
  • не менее значимы криптографические методы защиты информации (шифрование).

Проблемы

Проблемы, возникшие после появления закона, для некоторых остались актуальными.

Так, среди основных вопросов:

  • классификация сведений о сотруднике;
  • необходимость получить лицензию ФСТЭК РФ, позволяющую действовать в рамках технической защиты конфиденциальных данных;
  • не меньшую проблему представляют завышенные, по мнению экспертов, требования к системе защиты информации;
  • вопрос по определению ответственного сотрудника за процесс защиты данных и пр.

Решение этих проблем каждая отдельная организация находит сама, руководствуясь законами и прибегая к помощи опытных юристов.

За нарушение норм защиты персональных данных предусмотрено наказание. На нарушителя может возлагаться материальная ответственность, дисциплинарная, административная и уголовная. Применение таких мер может применяться к обеим сторонам: к работодателю и к работнику.

Не смотря на то, что многие эксперты считают Федеральный закон обобщенным и нуждающимся в доработке, этот документ все же обеспечивает выполнение права человека на конфиденциальность.

Суть закона заключается в требовании к компаниям создавать безопасные и защищенные информационные системы, которые будут доступны не только для сохранения личных данных работников, но и любой другой конфиденциальной информации организации.

Качество защиты информации не только о сотрудниках, но и компании в целом зависит от отношения руководителя к этому процессу, к правам работников и к своим собственным, поскольку именно администрация предприятий обязана осуществлять контроль за выполнением закона и соблюдением порядка хранения-защиты персональных данных.

Источник:

Методы и способы защиты персональных данных в информационных системах персональных данных

Можно скачать этот документ в формате MS Word. Скачивание доступно только зарегистрированным пользователям.

«Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки ин­формации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также ис­пользуемые в информационной системе информационные технологии».

Выбор и реализация методов и способов защиты информации в ИСПДн осуществляются на основе определяемых оператором УБПДн (модели угроз) и в зависимости от класса ИСПДн.

Выбранные и реализованные методы и способы защиты информации в ИСПДн должны обеспечивать нейтрализацию предполагаемых УБПДн при их обработке в ИСПДн в составе создаваемой оператором СЗПДн.

Для выбора и реализации методов и способов защиты информации в ИСПДн может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.

В СЗПДн ИСПДн в зависимости от класса ИСПДн и исходя из УБПДн, структуры ИСПДн, наличия межсетевого взаимодействия и режи­мов обработки ПДн с использованием соответствующих методов и способов защиты информации от НСД реализуются функции управления досту­пом, регистрации и учета, обеспечения целостности, анализа защищенно­сти, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.

Поскольку применение СЗИ не является обязательным для всех ти­пов ИСПДн, то выбор СЗИ необходимо осуществлять с учетом того, что итоговый набор реализуемых мер защиты должен удовлетворять требова­ниям, предъявляемым к ИСПДн соответствующего класса, концентриро­ванное выражение которых приведено в «Положении о методах и способах защиты информации в информационных системах персональных данных», утвержденном приказом ФСТЭК России от 5 февраля 2010 г. № 58 (см. таблицы 1 — 3).

Методы и способы защиты информации от НСД для обеспечения безопасности ПДн в ИСПДн 4 класса и целесообразность их применения определяются оператором.

В ИСПДн, имеющих подключение к информационно телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, исполь­зуются средства антивирусной защиты.

Подключение информационных систем, обрабатывающих государственные информационные ресурсы, к информационно телекоммуникационным сетям международного информационного обмена осуществляется в соответствии с Указом Президента Российской Федера­ции от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно телекоммуникационных сетей международного информационного обмена».

Обмен ПДн при их обработке в ИСПДн осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) применения технических средств.

Подключение ИСПДн к ИСПДн другого класса или к информационно телекоммуникационной сети международного информационного обме­на (сети связи общего пользования) осуществляется с использованием МЭ.

Программное обеспечение СЗИ, применяемых в ИСПДн 1 класса, проходит контроль отсутствия недекларированных возможностей.

Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения СЗИ, применяемых в ИСПДн 2 и 3 классов, определяется оператором.

Защита речевой информации и информации, представленной в виде информативных электрических сигналов и физических полей, осуществля­ется в случаях, когда при определении УБПДн и формировании модели уг­роз применительно к ИСПДн являются актуальными угрозы утечки аку­стической речевой информации, угрозы утечки видовой информации и уг­розы утечки информации по каналам ПЭМИН.

Для исключения утечки ПДн за счет ПЭМИН в ИСПДн 1 класса мо­гут применяться следующие методы и способы защиты информации:

  • использование технических средств в защищенном исполнении;
  • использование СЗИ, прошедших в установленном порядке процедуру оценки соответствия;
  • размещение объектов защиты в соответствии с предписанием на эксплуатацию;
  • размещение понижающих трансформаторных подстанций электропитания и контуров заземления технических средств в пределах охраняемой территории;
  • обеспечение развязки цепей электропитания технических средств с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
  • обеспечение электромагнитной развязки между линиями связи и другими цепями ВТСС, выходящими за пределы охраняемой террито­рии, и информационными цепями, по которым циркулирует защищаемая информация.

В ИСПДн 2 класса для обработки информации используются СВТ, удовлетворяющие требованиям национальных стандартов по электромагнит­ной совместимости, по безопасности и эргономическим требованиям к сред­ствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам СВТ (например, ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96).

Источник: https://signalkaman.ru/sovety/zashhita-informatsii-i-personalnyh-dannyh-sovremennye-metody-i-sposoby-obezopasit-sebya.html

Российское и международное законодательство в области защиты персональных данных

Меры безопасности персональных данных

В предыдущей публикации мы рассмотрели основные понятия и парадигму информационной безопасности, а сейчас перейдем к анализу российского и международного законодательства, регулирующего различные аспекты защиты данных, поскольку без знания законодательных норм, регулирующих соответствующие области деятельности компании, корректно выстроить систему управления риск- и бизнес-ориентированной информационной безопасностью невозможно. Штрафные санкции, а также репутационный ущерб от несоответствия законодательным нормам могут внести существенную коррективу в планы функционирования и развития организации: мы знаем, что, например, невыполнение норм защиты информации в национальной платежной системе может обернуться отзывом лицензии у финансовой организации, а несоответствие требованиям по месту первичного сбора и обработки персональных данных может привести к блокировке доступа к веб-сайту компании. Невыполнение же норм безопасности критической информационной инфраструктуры вообще может обернуться лишением свободы на срок до 10 лет. Разумеется, применимых законов и норм – огромное количество, поэтому в этой и двух последующих статьях сосредоточимся на защите персональных данных, защите объектов критической информационной инфраструктуры и информационной безопасности финансовых организаций. Итак, в сегодняшней серии – персональные данные, поехали!

Прежде всего, надо рассказать об основополагающем документе, который регламентирует порядок работы с различной информацией в РФ, в т.ч. и с персональными данными — речь идет о Федеральном Законе №149 «Об информации, информационных технологиях и о защите информации» от 27.07.2006. Данный документ содержит в себе базовые понятия и определения, которые используются во всех нормативных правовых актах, касающихся защиты информации, а также, помимо прочего, вводит понятие категории информации (общедоступная информация и информация ограниченного распространения) и типа информации (свободно распространяемая, предоставляемая на основании договора, подлежащая распространению в соответствии с законодательством, информация ограниченного доступа/распространения и запрещенная к распространению). В частности, персональные данные классифицируются как информация ограниченного доступа, и в соответствии со ст.9 п.2 данного Закона соблюдение конфиденциальности такой информации является обязательным, вследствие чего государство устанавливает обязательные нормы и правила её обработки. К сожалению, не со всеми видами информации ограниченного распространения есть подобная определенность — например, по сей день отсутствует законодательный классификатор видов тайн, можно выделить лишь некоторые из них: государственная, коммерческая, налоговая, банковская, аудиторская, врачебная, нотариальная, адвокатская тайна, тайна связи, следствия, судопроизводства, инсайдерская информация и т.д. Кроме информации ограниченного распространения в 149-ФЗ (ст.8 п.4) есть также классификатор видов информации, доступ к которой, напротив, не может быть ограничен — например, нормативные правовые акты, информация о деятельности государственных органов, состоянии окружающей среды и т.д.

Российские нормы по защите персональных данных

Переходя к рассмотрению вопросов защиты персональных данных, следует отметить, что они остаются неизменно острыми на протяжении последних лет и поднимаются в самых высоких кабинетах как в России, так и за рубежом, поскольку касаются каждого из нас, вне зависимости от гражданства и должности.

Безопасность персональных данных, в зарубежной интерпретации privacy, уходит корнями в обеспечение неотъемлемых прав и свобод граждан развитых стран — например, в некоторых европейских странах достаточно спорным был вопрос указания имени и фамилии проживающих рядом с почтовыми ящиками и дверными звонками.

С приходом информационных технологий защита личных данных стала еще более актуальной. Так появилась «Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», подписанная в 1981 году и ратифицированная Российской Федерацией в 2001 году.

Уже на тот момент в ней были заложены международные основы законной обработки персональных данных, применяемые и по сей день: использование персональных данных только для определенных целей и в пределах определенных сроков, неизбыточность и актуальность обрабатываемых персональных данных и особенности их трансграничной передачи, защита данных, гарантированные права гражданина — обладателя личных данных. В этом же документе дано и само определение персональных данных, которое затем «перекочует» в первую редакцию отечественного Федерального закона №152 «О персональных данных» от 27.07.2006: «персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице. Целью ратификации данной Конвенции было выполнение международных нормативных требований при вступлении России в ВТО (Всемирная Торговая Организация), которое состоялось в 2012 году.

Совместная работа стран-участников Конвенции продолжается и по сей день.

Так, в конце 2018 года Российская Федерация совместно с другими странами-участницами подписала «Протокол №223 о внесении изменений в Конвенцию Совета Европы о защите персональных данных», который актуализирует Конвенцию в части соответствия вызовам текущего времени: защита биометрических и генетических данных, новые права физических лиц в контексте алгоритмического принятия решений искусственным интеллектом, требования защиты данных уже на этапе проектирования информационных систем, обязанность уведомлять уполномоченный надзорный орган об утечках данных. Граждане отныне имеют возможность получать квалифицированную защиту по вопросам их персональных данных со стороны надзорного органа, а российские компании, вынужденные соответствовать требованиям европейских норм GDPR (General Data Protection Regulation, мы поговорим о них далее), не будут вынуждены применять дополнительные меры по защите, поскольку соответствие нормам Конвенции означает, что страна-участник обеспечивает адекватный правовой режим обработки персональных данных.

Источник: https://habr.com/ru/post/470888/

Техническая защита персональных данных, технические средства защиты ПДн в организациях

Меры безопасности персональных данных

25 декабря 2019 Защита информацииПерсональные данные

ГК «Интегрус» оказывает полный комплекс услуг по построению системы технической защиты персональных данных (ПДн). Нами предлагается выбор адекватных угрозам средств защиты, предотвращающих:

  • неправомерный доступ к персональной информации сотрудников, клиентов, поставщиков, пользователей информационных систем (ИС);
  • ее несанкционированное использование, модификацию, распространение;
  • утечку при хранении, обработке и в момент передачи по каналам связи.

Техническая защита персональных данных в информационных системах в организациях и на предприятиях бывает активной, пассивной и организационной. Пассивные методы технической защиты, как правило, требуют больших капиталовложений и серьезной доработки помещений любого центра обработки данных (ЦОД):

  • отделка помещений звукоизоляционными материалами;
  • установка решеток на окна, металлических входных дверей, турникетов, запорной арматуры на межкомнатные двери и т.д.;
  • использование железобетонных конструкций с повышенным содержанием металла (в качестве дополнительного экрана от электромагнитных помех и повышенной надежности от взлома) для возведения зданий ЦОДов (альтернатива – отделка помещений листовой сталью).

На практике пассивные методы в системах технической защиты персональных данных используются редко и (или) частично. С одной стороны, это очень дорого. С другой, часто невозможно технически (экономически нецелесообразно) или требует проведения строительно-монтажных работ «с нуля».

Почти всегда доступны для использования следующие пассивные средства технической защиты информации и персональных данных:

  • фильтры для электрических сетей (в том числе слаботочных);
  • разделительные и распределительные электрощиты;
  • замена запорной аппаратуры

Одновременно пассивными и активными методами технической защиты информации в организациях и на предприятиях являются:

  • антижучки, подавители, генераторы шума, устройства обнаружения скрытых видеокамер, детекторы радиокоммуникаций, индикаторы магнитного поля;
  • звукоизоляционная и звукоусилительная аппаратура, колонки и микрофоны, пульты управления оборудованием в защищенном исполнении;
  • специализированные средства для защиты речевой информации от утечки по акустическом, виброакустическим каналам, цепям заземления, электропитания;
  • сетевые помехоподавляющие фильтры для защиты от высокочастотных наводок.

Активные методы защиты ПДн применяются, когда контролируемая зона информационной системы превышает площадь объекта или когда использование пассивных средств нецелесообразно экономически или невозможно технически. К активным методам относятся:

  • пространственное зашумление для создания маскирующих помех в окружающем пространстве (затрудняет считывание и дешифровку электромагнитных полей, возникающих при работе мониторов, системных блоков, соединительных кабелей);
  • линейное зашумление линий электропитания;
  • генераторы шума для защиты акустической информации (в кабинетах, переговорных, офисах, включая open space, при использовании гарнитуры);
  • генераторы импульсов для уничтожения закладных устройств (жучков);
  • электромагнитное или ультразвуковое подавление диктофонов.

К организационным методами технической защиты персональных данных можно отнести:

  • проведение специальных проверок и исследований защищенности информационных систем;
  • проверки каналов и линий связи, носителей информации на внедрение электронных средств перехвата (уничтожения) информации (этот метод является одновременно и организационным и пассивным)

Технические методы защиты персональных данных разделяются на:

  • физические, ограничивающие доступ к носителям информации, например, замки на дверях, решетки на окнах, и даже использование при отделке помещений звукоизоляционных материалов для предотвращения прослушки;
  • аппаратные – активные (зашумление электромагнитных генераторов, виброакустическая защита) и пассивные (экраны и фильтры, дополнительные системы заземления);
  • программные – антивирусные программы, программное обеспечение для шифрования данных (криптографическое ПО), межсетевые экраны (брандмауэры и файрволы) между локальной и глобальной сетями, VPN, прокси-сервера.

Согласно п. 5 ч. 1 ст. 12 ФЗ от 04.05.2011 г. №99-ФЗ «О лицензировании отдельных видов деятельности» деятельность по технической защите конфиденциальной информации подлежит лицензированию.

И хотя обработка персональных данных не является лицензируемым видом деятельности, на оператора ПДн накладываются обязательства по принятию технических мер для защиты персональных данных (ч. 1 ст. 19 ФЗ от 27.07. 2006 г.

N 152-ФЗ «О персональных данных»).

При разработке мер по технической защите ПДн необходимо учитывать требования Приказа по обеспечению технической защиты информации персональных данных ФСТЭК России от 23.03.2017 №49.

Защита персональных данных согласно приказу ФСТЭК

Защитные меры устанавливаются нормативными актами ФСТЭК и Роскомнадзора. Документов множество, но содержащиеся в них формулировки размыты, а также содержат отсылки на иные правовые акты. К базовым следует отнести:

Источник: https://integrus.ru/blog/it-decisions/tehnicheskaya-zashhita-personalnyh-dannyh.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.