Утечка, несанкционированное использование, потеря или незаконное использование личной информации клиентов или партнеров могут нанести серьезный ущерб репутации компании и стать причиной для наложения внушительных штрафных санкций за нарушение требований закона. Российское законодательство обязывает всех операторов защищать обрабатываемые и хранимые ПДн, поэтому бизнес необходимо адаптировать под установленные требования, не забывая отслеживать изменения в нормативно-правовых документах. Однако из-за большого количества нюансов (технических, организационных, юридических) добиться нужного результата бывает сложно. Рассмотрим наиболее важные аспекты, знание которых сделает принятие мер по защите персональных данных максимально быстрым, а вероятность взлома системы или получения неправомерного доступа — минимальной.
Позаботиться о безопасности ПДн должны все без исключения операторы, начиная от муниципальных органов, заканчивая ИП. Объем и тип обрабатываемой информации значения не имеет (хотя от характеристик ИСПДн будут зависеть особенности выбора СЗИ).
Главные требования к мерам по защите персональных данных в организации
Характерным для действующей нормативно-правовой базы РФ в сфере информационной безопасности является предоставление права компаниям и предпринимателям самостоятельно решать, как предупреждать незаконные действия с используемыми ПДн. Есть, конечно, исключения, например, в обязательном порядке в организации должен быть назначен сотрудник, несущий ответственность за соблюдение мер защиты. В остальном можно выбирать те средства, которые:
- будут достаточными, чтобы не дать злоумышленникам или неуполномоченным сотрудникам совершать какие-либо действия с конфиденциальными сведениями;
- позволят эффективно выполнять поставленные рабочие задачи;
- будут соответствовать ФЗ-152 и другим нормативно-правовым актам, регулирующим работу операторов ПДн;
- будут учитывать особенности используемой информационной системы.
Существуют технические и организационные, а также правовые меры защиты персональных данных. К первым относятся методы и средства, позволяющие сделать процесс получения, применения и хранения ПДн безопасным, а вторые связаны с документальным закреплением правил работы с личными сведениями. В отдельных случаях нужно будет учитывать специальные требования, в частности, если оператор подпадает под действие международных регламентов, таких как GDPR. Для тех, кто не часто имеет дело с вопросами информационной безопасности, сориентироваться в правилах достаточно трудно. Проще и быстрее будет довериться профессионалам. Вкладывая время и денежные средства в приведение бизнеса в соответствие с законодательными нормативами, вы делаете удачную инвестицию, поскольку в дальнейшем не придется постоянно что-то дорабатывать, докупать или переучивать персонал.
Что прописано в ФЗ-152?
Даже если всю работу по построению системы защиты ИСПДн будут выполнять аутсорсеры, руководителю нужно быть в курсе основных положений ФЗ-152 по данному вопросу. Необходимая информация представлена в Статье 19, в частности, там указано, что:
- на оператора возлагается обязанность предупреждать любые риски, связанные с неправомерными операциями с ПДн на всех этапах обработки;
- должны быть четко установлены угрозы безопасности и предприняты меры (технические и организационные) по их нейтрализации;
- нужно разработать процедуру анализа соответствия СЗ потенциальным рискам;
- все носители ПДн должны быть учтены и защищены от несанкционированного физического и информационного воздействия;
- требуется четкий план действий на случай взлома сервера, хакерской атаки, корпоративного шпионажа, в том числе должны быть продуманы способы и порядок восстановления утраченных либо поврежденных сведений;
- любая операция с ПДн должна фиксироваться, а процесс соблюдения принятых мер безопасности — контролироваться ответственным за это работником;
- необходимо четко придерживаться установленных Правительством РФ правил в отношении ПДн разного уровня защищенности и требований к материальным носителям биометрической информации;
- система безопасности должна постоянно модернизироваться — по желанию операторы могут пользоваться дополнительными средствами и методиками, если это не противоречит основному закону в отношении ПДн.
С точки зрения закона нет разницы между мерами защиты персональных данных работников, клиентов и поставщиков — в отношении всех категорий действуют единые требования в отношении ПДн физлиц, которые необходимо соблюдать.
Перечень мер по защите персональных данных
Составить список мероприятий, направленных на поддержание защищенности ИСПДн, не так просто, как может показаться на первый взгляд, так как необходимо брать в расчет категории ПДн и способы их хранения. Если сведения находятся в бумажном виде (заявления, договоры, свидетельства и т.д.), то основной акцент делается на ограничение и контроль физического доступа. Фактически достаточно выделить средства на покупку надежного сейфа и определить круг лиц, у которых будет ключ. В отношении данных, которые находятся в электронном формате, требований больше. Для начала придется разобраться с имеющимся типом угрозы, затем выбрать соответствующий уровень защищенности (всего их 4) и только потом прорабатывать конкретный перечень мер безопасности.
В зависимости от особенностей реализации различают две группы защитных мероприятий: внешние и внутренние. К первым относится разработка процедуры приема и учета посетителей организации, введение пропускной системы и технических средств, а также специализированного софта, позволяющего уберечь цифровые данные от несанкционированной обработки. Вторые связаны с регулированием деятельности в сфере ПДн внутри организации и включают:
- установление ограничений по доступу персонала к личным сведениям;
- выбор ответственного за безопасность ПДн лица;
- составление и утверждение локальных документов;
- информирование персонала о требованиях по работе с цифровыми или бумажными персональными данными;
- планирование правильного расположения рабочих мест;
- создание списков работников, которые могут находиться в помещениях с носителями ПДн;
- установление порядка уничтожения конфиденциальных сведений;
- интеграция механизмов контроля, профилактики и противодействия компьютерным атакам.
Документы, регулирующие технические и организационные меры по защите персональных данных
Проанализировав законодательную базу, не удастся найти точный список внутренней документации, которая должна быть у предприятия, для регулирования вопросов защиты ПДн. Руководитель организации вправе самостоятельно его определять, исходя из особенностей деятельности, объема обрабатываемых данных, способов и длительности их хранения, а также других факторов. На практике в минимальный печень входят:
- Положение о ПДн — позволяет очертить общие моменты, связанные с использованием личной информации. Документ может называться также «Политика в отношении обработки ПДн»;
- Список лиц, которым предоставляется доступ к защищаемым сведениям;
- Приказ о назначении сотрудника, несущего ответственность за все организационные аспекты работы с ПДн (можно отдельно обозначить ответственных за сведения о персонале и клиентах либо включить все аспекты в обязанности одного сотрудника);
- Положение о предпринимаемых мерах защиты в отношении персональных данных, в котором четко прописываются организационные и технические, а также правовые методы и средства, позволяющие исключить опасность совершения незаконных действий с данными из ИСПДн;
- План мероприятий для контроля уровня информационной безопасности или иной документ, устанавливающий порядок обнаружения и устранения нарушений (дополнительно желательно иметь журнал проверок на вирусы, инструкции о проведении служебных расследований, инструкции и порядок выполнения аттестаций);
- Соглашение о соблюдении конфиденциальности для сотрудников, которые в той или иной степени имеют дело с личными данными клиентов или других штатных/внештатных специалистов.
Большинство фирм работают параллельно офлайн и онлайн. На сайте в обязательном порядке должен быть размещен локальный акт, который даст пользователям представление о том, как будут использоваться их персональные данные. Ссылка на электронную версию должна быть на видном месте, а текст отражаться корректно на любом устройстве.
Особенности технической защиты ПДн
Если раньше основные усилия приходилось прилагать, чтобы ограничить физический доступ к носителям конфиденциальной информации, то сейчас на первый план выступают технические меры защиты персональных данных. При работе с большими массивами ПДн заниматься их разработкой и интеграцией должны профессионалы, чтобы гарантировать достижение следующих целей:
- предупреждение незаконного применения, распространения и изменения сведений о гражданах;
- исключение риска утечки на всех этапах обработки, начиная от получения, заканчивая хранением и уничтожением;
- не дать секретным данным попасть в распоряжение третьих лиц без согласия владельца.
Различают следующие группы методов защиты ПДн:
- Пассивные — наиболее затратные как с точки зрения финансовых вложений, так и в плане времени. К ним относит обработку звуконепроницаемыми материалами, монтаж ограждений и других защитных конструкций, установку высокопрочных дверных и оконных систем, а также использование ЖБИ конструкций, позволяющих свести к минимуму вероятность взлома. Радикальные способы, несмотря на эффективность, используются преимущественно частично, поскольку не всегда есть средства и техническая возможность создать нужные условия для работы с ПДн. С другой стороны, есть более дешевые и достаточно результативные варианты обеспечения защиты, например, инсталляция модернизированной запорной арматуры, распределительных электрощитов и фильтров электросетей.
- Активные — совокупность средств, позволяющих защищать ПДн в ИСПДн, зона которой распространяется за пределы площади объекта. Их также применяют, если пассивные СЗИ реализовать экономически крайне невыгодно либо невозможно с технической точки зрения. Речь идет, прежде всего, о линейном и пространственном зашумлении, генераторах шума и импульсов (позволяют нейтрализовать всевозможные жучки), системы ультразвукового либо электромагнитного подавления диктофонов.
- Комбинированные (считаются в равной степени активными и пассивными). К ним относятся звукоусилители и звукоизоляционные устройства, пульты ДУ в защищенной модификации, микрофоны, антижучки и шумогенераторы, индикаторы магнитного поля, сетевые фильтры с опцией подавления помех, а также узкоспециализированная аппаратура, которая делает безопасной передачу информации по цепям заземления, виброакустическим и акустическим каналам.
- Организационные — проверочные мероприятия для обнаружения линий и каналов связи, определение степени текущей защищенности ИСПДн, выявление утечек, интеграция средств уничтожения сведений.
Между собой технические методы разделяются по принципу действия на:
- аппаратные (пассивные, активные);
- программные (все, что связано с обеспечением шифрования информации);
- физические — не дают человеку проникнуть непосредственно в место расположения персональных сведений.
Обработка ПДн не требует предварительного получения лицензии, однако на этапе реализации мер защиты конфиденциальных данных сотрудник должен исполнять обязательства, прописанные в статье 19 ФЗ-152, а также учитывать требования, прописанные в Приказе ФСТЭК № 21.