Повсеместное использование средств автоматизации для операций с ПДн, с одной стороны, позволяет значительно ускорить их фиксацию, копирование, изменение, блокирование и распространение, но при этом создает дополнительные трудности из-за необходимости обеспечения информационной безопасности. При отсутствии тщательно продуманной защиты есть опасность утечки или несанкционированного использования сведений, и как результат — судебных исков от субъектов и штрафных санкций со стороны государственных служб.
Наиболее удобным способом решения проблемы является обращение к специалистам, которые возьмут на себя оценку рисков, проработку документальной базы, подбор техники и обучение персонала. Но даже в случае делегирования полномочий по организации системы и построению СЗПДн руководителю необходимо иметь представление о том, какие существуют принципы обработки ПДн и что требует законодательство от операторов. Немногие знают, что принимать меры защиты следует в отношении любой информации о гражданах, за исключением той, которая является общедоступной и не привязанной к конкретному субъекту. Даже если вы просто просите у посетителя сайта заполнить форму для обратной связи, нужно предупредить незаконное применение/изменение/распространение Ф.И.О., телефонного номера, электронной почты и т.д. Больше того, для легального сбора и оперирования данными нужно согласие их владельца в письменном или электронном виде.
В Федеральном Законе № 152-ФЗ указано, что автоматизированная обработка информации — это действия с ПДн, в которых используется вычислительное оборудование: компьютеры, ноутбуки, планшеты, мобильные и т.д. Для АС, как и для неавтоматизированных операций, предусмотрен ряд требований:
- лимитированное время использования (до момента достижения конкретной цели);
- запрет на объединение баз персональных данных, собранных для обработки в разных целях;
- создание условий, в которых становится невозможным несанкционированный доступ;
- назначение ответственных за безопасность лиц, разработка внутренней нормативной документации;
- обязанность уничтожить ПДн после того, как потребность в них исчезает (нельзя хранить дольше необходимого);
- сообщение субъекту, для чего требуются личные сведения, и получение согласия на последующие действия.
Использование средств автоматизации при обработке персональных данных в ИСПДн
Чтобы при хранении, сборе, блокировке, изменении, удалении ПДн не возникало никаких сбоев и все законодательные требования были на 100% соблюдены, оператору нужно грамотно организовать работу информационной системы. В неё входят не только все используемые сведения, сформированные в БД, но также технологии и оборудование. ИП или юридическое лицо может позаботиться об информационной защите самостоятельно либо заключить договор на делегирование полномочий. Надежным партнером во втором случае может стать наш Центр, обладающий лицензией ФСТЭК и многолетним опытом в обеспечении безопасности ПДн. Своими силами продумать все нюансы проблематично, если только в вашем распоряжении нет команды профессионалов, но содержать их в штате дорого. Аутсорсинговое обслуживание обходится дешевле и позволяет оперативно решать текущие вопросы.
В список главных обязанностей, которые ложатся на оператора, входят:
- профилактика несанкционированного доступа (НСД);
- мониторинг на предмет утечек или незаконного проведения операций;
- поддержание необходимого уровня защищенности системы автоматической обработки данных;
- предупреждение воздействия на вычислительную технику со стороны персонала и сторонних лиц;
- восстановление утерянных сведений в кратчайшие сроки;
- определение ответственного лица (или нескольких сотрудников), который будет отслеживать положение дел, уведомлять о проблемах и заниматься их урегулированием.
Дополнительно приходится тратить усилия, время и денежные ресурсы на подбор, установку, настройку и техническое обслуживание оборудования и программного обеспечения, а также отслеживать изменения в законодательной базе, чтобы своевременно вносить коррективы и осуществлять модернизацию.
Основные меры защиты
Безопасная автоматизированная обработка информации возможна при наличии четко прописанных во внутренней документации правил, а также проведении определенных мероприятий:
- установление возможных рисков НСД в процессе хранения, корректировки, блокировки и т.д. с последующей разработкой модели угроз;
- формирование СЗПДн для профилактики и устранения утечек и других опасностей в соответствии с установленным классом ИС;
- составление списка лиц, допущенных для работы с конкретными БД, организация контроля на каждом этапе;
- подбор, монтаж средств автоматизированной обработки информации и защиты данных, проверка их работоспособности;
- ведение учета СЗИ, технической документации, случаев несоблюдения инструкций по их применению;
- разработка детального описания системы.
Специфика организации СЗПДн
Разбираясь в том, что такое автоматизированная обработка информации, особое внимание нужно уделить именно защите. Во-первых, этого требует действующее российское законодательство, во-вторых, только так можно завоевать положительные отзывы от партнеров и клиентов, и, наконец, бесперебойно работающая СЗПДн — гарантия отсутствия претензий от Роскомнадзора, ФСТЭК и других проверяющих органов.
По-настоящему хорошая система защиты должна:
- отвечать актуальным правовым нормативам;
- иметь разные уровни, которые будут в равной степени защищены от угроз;
- быть ориентированной на профилактику НСД;
- соответствовать характеристикам используемого ПО и вычислительной техники;
- базироваться на комбинации результативных методов и технологий;
- адаптироваться под вероятные системные изменения;
- предполагать контроль по всем направлениям;
- отвечать потребностям конкретной деятельности;
- функционировать без сбоев до окончания жизненного цикла ИС.