Требования к системе защиты персональных данных

17/03/25

Б-152

Требования к системе защиты персональных данных

Требования к обеспечению безопасности персональных данных постоянно меняются и ужесточаются. Оператор, который работает с личными сведениями сотрудников и клиентов, должен позаботиться об их полной защите. Расскажем, какие требования к защите персональных данных предъявляются и что должен делать оператор.

Компания или ИП, которые в ходе хозяйственной деятельности обрабатывают личную информацию работников или клиентов, являются операторами ПДн. При обработке личных сведений они должны руководствоваться ФЗ-152 ― именно он регулирует этот вид деятельности.

Персональные данные ― это любая информация о частной жизни, здоровье, имуществе человека, по которой его можно идентифицировать. Конкретного перечня ПДн на законодательном уровне не установлено, но и так понятно, что это ФИО, реквизиты документов, национальность и прочее.

Система защиты персональных данных обеспечивает безопасность информации, находящейся в распоряжении компании и относящейся к конкретным физическим лицам. Это не только анкетные данные, но и сведения о здоровье, финансовом состоянии. По сути, это информационный актив, на который могут осуществляться покушения со стороны разнообразных третьих лиц.

Основные угрозы безопасности:

• конкуренты, которые хотят нанести ущерб компании;
• международные кибер-террористические организации, заинтересованные в утечках данных в целях обеспечения собственного пиара;
• инсайдеры, сотрудники компании, которые руководствуются своими целями или действуют по чужим поручениям.

По большей части утечки происходят внутри компании. Судебная практика показывает, что утечка данных даже одного человека, произошедшая умышленно, может причинить больший финансовый вред, чем случайная, которую вызвало несовершенство или сбои в работе информационной системы.

Требования к обеспечению безопасности персональных данных весьма высокие. Задача оператора ― обеспечить защиту информации от несанкционированного доступа злоумышленников. Так как сегодня для хранения и обработки ПДн преимущественно применяют автоматизированные системы, большая часть мер по защите связана с отражением кибератак.

Существуют определенные особенности реализации требований по защите персональных данных. Операторы предпринимают специальные комплексные меры, направленные на то, чтобы обеспечить сохранность и безопасность личной информации.

Меры могут быть:

• организационными;
• техническими.

Какие конкретно мероприятия следует проводить ― зависит от специфики персональных данных и уровня их защиты.

Существует несколько уровней защиты данных. Их различают в зависимости от следующих факторов:

• Категория персональных данных.
• Возможные угрозы. Например, запланированный или непреднамеренный неправомерный доступ к личным сведениям, в результате которого произойдет их блокирование, утечка, изменение и прочее. Угрозы делятся на разные типы.
• Способы взаимодействия оператора с субъектом персональных данных. Например, он обрабатывает информацию только сотрудников или также прочих лиц.
• Количество обрабатываемых ПДн ― до 100 тыс. человек или более 100 тыс.

Законодательство устанавливает 4 уровня защиты ПДн.

К первому уровню предъявляются самые высокие требования по организации защиты персональных данных.

В целом, чтобы определить уровень защищенности и понять, какие требования к системе защиты персональных данных предъявляются конкретно в вашем случае, можно воспользоваться калькулятором, опубликованном на официальном ресурсе ФСТЭК. Но учтите, что параметры должны указываться корректно. Иначе результат будет неправильным, вы ошибетесь при разработке системы защиты и в итоге при проверке контролирующими органами получите штрафы.

Уровень защиты

УЗ 1

Что включает

Обработка:

• специальных, биометрических и прочих данных при угрозах 1 типа;
• специальных данных более 100 тыс. человек, не являющихся штатными сотрудниками компании, при угрозах 2 типа.

Обработка:

• общедоступных ПДн при угрозах 1 типа;
• специальной информации о сотрудниках компании и лицах, которые в ней не работают, при угрозах 2 типа. При этом количество человек составляет менее 100 тыс.;
• общедоступных данных прочих лиц количеством более 100 тыс. человек и биометрических ПДн;
• специальных данных у более 100 тыс. лиц, не работающих в организации, при угрозах 3 типа.

УЗ 2

УЗ 3

Обработка:

• общедоступных и иных данных работников либо прочих лиц количеством менее 100 тыс. при угрозах 2 типа;
• специальных данных сотрудников и лиц количеством менее 100 тыс. человек при угрозах 3 типа, а также биометрических данных.

Обработка общедоступной информации и иных ПДн сотрудников или других лиц числом менее 100 000 человек при угрозах 3 типа.

УЗ 4

В требованиях по организации безопасности персональных данных перечислен весь комплекс мер, которые обязан предпринять оператор ПДн.

Перечислим, что должен сделать оператор:

• Разработать и принять ЛНА (локальные нормативные акты), а также организационно-распорядительные документы по обработке и защите личных данных. В числе основных локальных нормативных актов ― политика защиты ПДн, положения о правилах уничтожения личных сведений и так далее. Просто скачать документы и поставить наименование компании не выйдет ― шаблоны следует адаптировать под специфику деятельности организации.
• Назначить ответственного за работу с персональной информацией. В большинстве случаев такую обязанность возлагают либо на юриста, либо на кадрового специалиста компании. Назначение человека на должность закрепляют в приказе. Если компания крупная ― часто создают отделы по вопросам защиты персональных данных. Назначения на должности закрепляют в трудовых договорах или приказах.
• Ознакомить персонал с законодательными, локальными нормативными актами, распоряжениями и приказами, которые регламентируют порядок работы с персональными данными.
• Обучить персонал в сфере защиты персональных данных. Сотрудники должны ответственно выполнять свои обязанности и понимать, что их должность ― это не просто формальность. Кроме того, специалисты должны обладать соответствующими знаниями. Поэтому их зачастую отправляют на специальное обучение.
• Организовать взаимодействие с владельцами данных, а также контрагентами. В частности, заключить соглашения о конфиденциальных сведениях, выдать поручения по обработке ПДн, получить согласия владельцев личной информации.
• Своевременно выявлять и устранять нарушения требований к порядку обработки ПДн.
• Организовать рабочие помещения для хранения и обработки носителя персональных данных. Ввести пропускной режим в эти помещения или контролировать допуск третьих лиц ― то есть допускать их только в сопровождении или под контролем сотрудников компании. В помещениях также нужно оборудовать сейфы и специально отведенные места, где будут храниться носители личных сведений.
• Проанализировать процессы работы с личной информацией, чтобы определить перечень технических мероприятий, которые необходимо предпринять в целях защиты сведений.
• Регулярно изменять пароли в инфосистемах и на ПК, использующихся для обработки личных сведений.

Сегодня уже никто не работает только с бумажными носителями. Большинство компаний и предпринимателей используют IT-решения, в том числе и при работе с ПДн. Поэтому крайне важно позаботиться о технических мерах защиты информации.

В Приказе ФСТЭК №21 от 18 февраля 2013 года перечислен весь комплекс технических мер, которые должен использовать оператор ПДн. Важно:

• Чтобы информационная система, которая используется для обработки персональных сведений, прошла аттестацию безопасности и имела соответствующий аттестат.
• Управлять доступом к ПДн, то есть, протоколировать действия, выполненные с информацией, оповещать о несанкционированном доступе в инфосистему с помощью применения специализированных утилит.
• Обеспечивать целостность данных за счет средств операционных систем и систем управления базами данных. Использовать можно только те ОС, которые сертифицированы ФСТЭК и ФСБ.
• Использовать антивирусы, сертифицированные ФСБ, чтобы предотвращать кибератаки и обеспечить сохранность персональных данных.
• Создать межсетевой экран. Рекомендовано использовать межсетевые экраны 3 или 4 уровня в зависимости от категории защиты, которую имеет оператор ПДн.
• Анализировать защиту на рабочих серверах, предпринимать меры по ликвидации выявленных недочетов, усиливать защитные мероприятия. Для анализа следует использовать сетевые сканеры, которые сертифицированы ФСТЭК и ФСБ.

Важно знать, что аттестация информационной системы ― это обязательное мероприятие для муниципальных и государственных организаций. Коммерческие компании получают ее по желанию.

Оператор вправе своими силами разрабатывать меры защиты, но все-таки лучше передать эту задачу на аутсорсинг.

При самостоятельной разработке всеми вопросами занимается должностное лицо, которое назначили ответственным за работы с персональными данными. Если уровень защиты оператора высокий ― лучше привлечь аутсорсеров, которые выполнят весь комплекс мероприятий по защите ПДн. В качестве аутсорсера может выступать как юридическое, так и физическое лицо. Главное, что у него была соответствующая лицензия ФСТЭК или ФСБ, а средства защиты, которые он использует, были сертифицированы.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

реклама

бизнес

юридические вопросы

маркетинг

Материалы по теме