Кибербезопасность: как защитить персональные данные в интернете

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Кибербезопасность: как защитить персональные данные в интернете». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.

Какие меры необходимо предпринять по защите персональных данных сотрудников?

Среди мер защиты выделяют:

• ограниченное число работников, которые имеют доступ к персданным;

• принятие нормативных документов;

• утверждение перечня документов, которые содержат пнд;

• внедрение программных для защиты информации на эл. носителях – например, антивирусную защиту;

• проведение профилактических работ с сотрудниками – тесты на знание правил хранения пнд;

• установление режима по пропускам;

Этот список можно продолжать до бесконечности, так как перечень защитных мер работодатели вправе определять самостоятельно.

# Какие предприятия должны защищать персональные данные?

Определение Согласно статье 3 ФЗ-152, вводится термин «оператора», под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цель обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ПДн. Предприятия, попадающие под озвученное определение, согласно статье 18.1 всё того же ФЗ-152, обязаны принимать достаточные и необходимые меры по защите персональных данных, обеспечивая тем самым выполнение обязанностей, предусмотренных настоящим Федеральным законом и принятых в соответствии с ним нормативно-правовых актов.

# Нужны ли лицензии оператору, например, на деятельность по технической защите конфиденциальной информации?

Здесь, пожалуй, можно дать односложный ответ: нет. Дело в том, что лицензии могут понадобиться подрядчику Оператора в случае, если сам оператор приглашает подрядчика оказать услуги по разработке проектов организационно-распорядительных документов и необходимых организационно-технических мер. В этом случае подрядчику понадобится как минимум лицензия на деятельность по технической защите конфиденциальной информации, выдаваемая ФСТЭК России, а также может понадобиться лицензия ФСБ России на деятельность, связанную с применением в ИСПДн шифровальных/криптографических средств. Вывод Ни для клиента, ни для хостинг-провайдера озвученные лицензии не нужны, они необходимы исключительно подрядчику, реализующему внедрение мер по защите информации.

Основные этапы защиты ПДн

Мы разделили процесс на 9 этапов, о которых ниже расскажем более подробно:

1. обследование;

2. моделирование угроз;

3. разработка технического задания;

4. проектирование системы защиты;

5. реализация технической части системы защиты;

6. реализация организационных мер;

7. оценка эффективности принятых мер;

8. аттестация;

9. поддержание необходимого уровня защиты в процессе эксплуатации.

Система защиты персональных данных (СЗПДн), строится на основании:

• Отчета по результатам обследования(внутренней проверки) информационных систем персональных данных;
• Перечня персональных данных, обрабатываемых в Поликлинике;
• Акта установления уровня защищенности персональных данных;
• Модели нарушителя и угроз безопасности персональных данных;
• Положения о разграничении прав доступа к обрабатываемым персональным данным;
• Действующего законодательства Российской Федерации в области защиты информации;
• Руководящих документов ФСТЭК,ФСБ России и РОСКОМНАДЗОР.

На основании этих документов определяется необходимый уровень защищенности ПДн ИСПДн Поликлиники. На основании анализа актуальных угроз безопасности ПДн описанного в Модели угроз и Отчета по результатам обследования (внутренней проверки) информационных систем персональных данных, делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПДн. Выбранные необходимые мероприятия отражаются в Плане мероприятий по обеспечению защиты ПДн.

Для ИСПДн должен быть определен состав используемых технических средств защиты, а так же программного обеспечения участвующего в обработке ПДн, на всех элементах ИСПДн: АРМ пользователей; сервера приложений; СУБД; граница ЛВС; каналов передачи в сети общего пользования и (или) международного обмена, если по ним передаются ПДн.

В зависимости от уровня защищенности ИСПДн и актуальных угроз, СЗПДн может включать следующие технические средства:

• программные, программно-аппаратные комплексы защиты от НСД к информации;
• антивирусные средства для рабочих станций пользователей и серверов;
• средства межсетевого экранирования;
• средства криптографической защиты информации, при передаче защищаемой информации по каналам связи.

Технические средства защиты персональных данных применяемые для нейтрализации актуальных угроз должны реализовывать меры защиты, включающие:

• идентификацию и аутентификацию субъектов доступа и объектов доступа;
• управление доступом субъектов доступа к объектам доступа;
• ограничение программной среды;
• защиту машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее — машинные носители персональных данных);
• регистрацию событий безопасности;
• антивирусную защиту;
• обнаружение (предотвращение) вторжений;
• контроль (анализ) защищенности персональных данных;
• обеспечение целостности информационной системы и персональных данных;
• обеспечение доступности персональных данных;
• защиту среды виртуализации;
• защиту технических средств;
• защиту информационной системы, ее средств, систем связи и передачи данных;
• выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее — инциденты), и реагирование на них;
• управление конфигурацией информационной системы и системы защиты персональных данных.

Должностные обязанности пользователей ИСПДн описаны в следующих документах:

• Должностная инструкция ответственного за организацию обработки персональных данных.
• Должностной регламент ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных
• Инструкция администратора безопасности информации;
• Инструкция администратора ИСПДн;
• Инструкция пользователя ИСПДн;
• Инструкция пользователя при возникновении внештатных ситуаций;
• Инструкция о порядке учета и хранения съемных машинных носителей персональных данных, используемых в информационной системе персональных данных;
• Функциональные обязанности ответственного пользователя криптосредств;
• Функциональные обязанности пользователя криптосредств.

Хранение и использование персональных данных

В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.

Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).

Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.

Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.

Что прописано в ФЗ-152?

Даже если всю работу по построению системы защиты ИСПДн будут выполнять аутсорсеры, руководителю нужно быть в курсе основных положений ФЗ-152 по данному вопросу. Необходимая информация представлена в Статье 19, в частности, там указано, что:

1. на оператора возлагается обязанность предупреждать любые риски, связанные с неправомерными операциями с ПДн на всех этапах обработки;
2. должны быть четко установлены угрозы безопасности и предприняты меры (технические и организационные) по их нейтрализации;
3. нужно разработать процедуру анализа соответствия СЗ потенциальным рискам;
4. все носители ПДн должны быть учтены и защищены от несанкционированного физического и информационного воздействия;
5. требуется четкий план действий на случай взлома сервера, хакерской атаки, корпоративного шпионажа, в том числе должны быть продуманы способы и порядок восстановления утраченных либо поврежденных сведений;
6. любая операция с ПДн должна фиксироваться, а процесс соблюдения принятых мер безопасности — контролироваться ответственным за это работником;
7. необходимо четко придерживаться установленных Правительством РФ правил в отношении ПДн разного уровня защищенности и требований к материальным носителям биометрической информации;
8. система безопасности должна постоянно модернизироваться — по желанию операторы могут пользоваться дополнительными средствами и методиками, если это не противоречит основному закону в отношении ПДн.

Что означает термин «персональные данные»?

Определение персональных данных (ПДн) встречалось и до принятия закона, например, в «Перечне сведений конфиденциального характера», утвержденном указом Президента РФ № 188 от 6 марта 1997 г.:

К конфиденциальной информации относятся: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Однако закон дополнил его. Теперь, согласно ФЗ-152, персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Таким образом, персональные данные — это, прежде всего, паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такие данные есть практически в каждой организации.

При поступлении на работу — это данные отдела кадров работодателя, которые работник указывает в личной карточке, автобиографии, других документах, заполняемых при заключении трудового договора.

При поступлении ребенка в детский сад, школу, институт, другие образовательные учреждения также заполняется множество анкет и форм, в которых указываются данные как ребенка (например, данные свидетельства о рождении), так и его родителей (вплоть до места работы, занимаемой должности).

При прохождении лечения в медицинских учреждениях необходимо указать не только паспортные данные, но и сведения о льготах, медицинских страховках, сведения о предыдущих лечениях, результаты анализов. Во многих медицинских учреждениях амбулаторные/стационарные карты дублируются в электронном виде.

И все эти данные, согласно нынешнему законодательству, подлежат защите.

Обеспечение безопасности персональных данных при их обработке

Мероприятия по защите информации трудоемки и могут привести к значительным финансовым затратам, что обусловлено необходимостью:

– получать (по необходимости) лицензию на деятельность по технической защите конфиденциальной информации ФСТЭК России;

– привлекать лицензиата ФСТЭК России для осуществления мероприятий по созданию системы защиты ИСПДн и/или ее аттестации по требованиям безопасности информации;

– отправлять сотрудников, ответственных за обеспечение безопасности информации, на курсы повышения квалификации по вопросам защиты информации и/или нанимать специалистов по защите информации;

– устанавливать сертифицированные по требованиям ФСТЭК средства защиты информации (СрЗИ), сертифицированные ФСБ средства криптографической защиты информации (СКЗИ) в зависимости от класса ИСПДн.

Порядок оформления доступа к персональным данным лица, осуществляющего обработку персональных данных

Во время проверок контролирующие органы уделяют внимание документам, которые регулируют политику компании по обработке ПДн, достаточности мер защиты от неправомерного использования информации, правилам доступа к конфиденциальной информации.

Поэтому компания должна правильно оформить лицо, ответственное за обработку данных:

1. Издать приказ о назначении ответственного лица и ознакомить с приказом сотрудника под подпись.
2. Внести соответствующие дополнения в должностную инструкцию и (или) трудовой договор.
3. Если до назначения сотрудника за безопасность ПДн отвечали другие работники, издать приказ и снять с них ответственность за организацию обработки информации. При этом обязанность работников не разглашать данные необходимо сохранить.
4. Составить перечень работников, которые допущены к обработке данных и утвердить перечень приказом.
5. Со всеми приказами работники должны быть ознакомлены под подпись.

Меры по снижению расходов на проведение мероприятий по защите ПДн

В заключение хочется отметить, что в целях повышения класса (от К1 до К2 или от К2 до КЗ) и, соответственно снижения расходов на проведение мероприятий по защите ПДн может быть рекомендовано:

■ проведение тщательного анализа и возможное сокращение перечня получаемых и обрабатываемых сведений в отношении субъектов ПДн (далеко не каждый реквизит на самом деле будет необходим для осуществления деятельности);

■ осуществление обработки некоторых сведений без ис-пользования средств автоматизации;

■ обезличивание части персональных данных с выводом информации, содержащей сведения, позволяющие ус-тановить однозначную связь между личностью и ПДн (стоит отметить, что операция обезличивания персо-нальных данных является необратимой, в ходе выполнения которой утрачивается однозначная связь между субъектом персональных данных и его персональными данными);

■ минимизация мест хранения и обработки ПДн, разде-ление/сегментирование информационных систем, снижение требований к части сегментов;

■ сокращение числа сотрудников, имеющих доступ к персональным данным;

■ выделение рабочих мест, где используются ПДн в от-дельную локальную вычислительную систему и орга-низация защиты только ее;

■ отключение ИСПДн от сетей общего пользования;

■ обеспечение обмена с другими АРМ с помощью сменных носителей;

■ передача по каналам связи только обезличенной ин-формации.

минимальные требования по защите персональных данных будут предъявлены к тем организациям, которые передадут обработку данных специализированным организациям, имеющим соответствующие технические возможности и опыт в построении системы защиты ПДн (аутсорсинг).

В качестве примера может быть приведена следующая схема структуры ИСПДн, позволяющая снизить затраты на проведение мероприятий по защите персональных данных, так как обработка данных осуществляется сторонней организацией (ЦОД), имеющей лицензию на осуществление деятельности по шщите конфиденциальной информации.

Модель угроз и модель нарушителя в соответствии с требованиями ФСТЭК России

Модель угроз безопасности ПДн при их обработке в ИСПДн содержит систематизированный перечень угроз безопасности ПНд при их обработке в ИСПДн.

В Модели угроз дано обобщенное описание ИСПДн как объектов защиты, возможных источников угроз безопасности ПДн, основных классов уязвимостей ИСПДн, возможных видов неправомерных действий и деструктивных воздействий на ПДн, а также основных способов их реализации.

Угрозы безопасности ПДн, обрабатываемых в ИСПДн, содержащиеся в Модели угроз, необходимо уточнять и дополнять по мере выявления новых источников угроз, развития способов и средств реализации угроз безопасности ПДн в ИСПДн.

В зависимости от технологий, состава и характеристик технических средств ИСПДн, а также опасности реализации УБПДн и наступления последствий в результате несанкционированного или случайного доступа можно выделит следующие типы ИСПДн:

• автоматизированные рабочие места, не имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
• автоматизированные рабочие места, имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
• локальные ИСПДн, не имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
• локальные ИСПДн, имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
• распределенные ИСПДн, не имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
• распределенные ИСПДн, имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена.

Типовые угрозы никак не привязаны к уровням защищенности ИСПДн, а привязаны только к особенностям построения ИСПДн. Поэтому необходимо на основе типовых моделей формировать частные модели угроз для каждой ИСПДн. При формировании частных моделей угроз наборы угроз типовых моделей могут быть детализированы, дополнены, а также сокращен за счет применения методики актуализации угроз. Кроме того, в типовой модели не определено, как модель угроз связана с моделью нарушителя и как для актуальных угроз должны быть назначены меры и средства защиты из перечня мер для соответствующего уровням защищенности ИСПДн.

Кто обеспечивает защиту данных?

Сфера защиты данных юридически регулируется информационным правом (одной из подотраслей административного права), нормы которого прописаны в нескольких законодательных актах. Один из основных — Федеральный закон № от 27.07.2006 «О персональных данных», цель которого заявлена как «общее обеспечение защиты конституционных прав и свобод человека и гражданина при обработке персональных данных», таких как право на неприкосновенность частной жизни, личную и семейную тайну.

Реализация мер по защите персональных данных — это зона ответственности оператора, т. е. субъекта, осуществляющего сбор и обработку данных в информационной системе. Как правило, таким субъектом выступает компания, владеющая базами данных своих сотрудников и клиентов либо сторонняя организация, уполномоченная компанией-владельцем.

Что такое персональные данные:

Персональные данные — это информация любого рода, которая дает возможность определить личность физического лица. Это могут быть как общие сведения (имя, дата и место рождения, адрес), так и более специальные (семейное, социальное и финансовое положения, данные о здоровье, профессия) которые хранятся в информационных системах персональных данных.

Оператор персональных данных — государственный орган, муниципальный орган или частное лицо, который осуществляет обработку и безопасность персональных данных в информационных системах и несет прямую ответственность за их сохранность.

В соответствии со статьей 19 закона РФ №152-ФЗ «О персональных данных», оператор обязан принимать необходимые правовые, технические и организационные меры по обеспечению безопасности персональных данных от любых неправомерных действий на всех этапах работы.

Похожие записи:

• Приемная семья: выплаты в 2023-2024 году
• Оформление дачи в свою собственность в 2023 году — инструкции от юриста
• Получение гражданства РФ по браку в 2022 году: способы и сроки оформления