Какими бы ни были угрозы безопасности при обработке персональных данных, выбор средств их защиты должен соответствовать требованиям законодательства. В этой статье подробно разберем этапы обеспечения защиты персональных данных и расскажем, какие требования нужно соблюдать для каждого вида угроз.
Законодательная база
Требования к обработке данных в информационных системах персональных данных (ИСПДн) прописаны в следующих законодательных актах РФ:
- Федеральный закон № 152-ФЗ «О персональных данных».
- Постановление Правительства РФ № 1119 от 1 ноября 2012 года «О требованиях к защите персональных данных при их обработке в информационных системах персональных данных».
Какие персональные данные могут обрабатывать ИСПДн
Информационные системы могут обрабатывать 5 видов персональных данных:
- Общедоступные
- Биометрические
- Данные сотрудников оператора
- Специальные категории данных
- Иные категории данных
Защита ПДн: определение угроз, выбор средств защиты, требования к безопасности
Процесс защиты персональных данных включает в себя несколько этапов. Без их соблюдения невозможно организовать систему защиты данных, которая отвечала бы требованиям законодательства.
Расскажем про каждый этап.
Определить актуальные угрозы
Защита ПДн при их обработке в ИСПДн начинается с определения актуальных угроз безопасности персональных данных. Этот процесс требует навыков работы с банком данных Федеральной службой по техническому и экспортному контролю (ФСТЭК) и умения определять актуальные угрозы.
Эти знания можно получить, пройдя наш курс.
Вне зависимости от угроз безопасности, выбирать средства защиты информации для системы защиты персональных данных нужно в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю.
Установить уровни защищенности ПДн
После определения актуальных угроз безопасности нужно установить уровни защищенности персональных данных для каждой ИСПДн.
Всего существует три уровня защищенности. В зависимости от уровня оператор должен соблюдать разные требования безопасности при обработке персональных данных.
Процесс определения уровня защищенности подробно описан в курсе.
Требования безопасности
Теперь рассмотрим, какие требования безопасности нужно соблюдать на разных уровнях защищенности персональных данных:
| Третий уровень защищенности | Второй уровень защищенности | Первый уровень защищенности |
|---|---|---|
|
|
|
Меры обеспечения безопасности персональных данных
Система защиты персональных данных включает в себя организационные и технические меры обеспечения безопасности. Конкретный состав мер зависит от списка актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
Организационные меры – это необходимые меры защиты, но они недостаточны для обеспечения информационной безопасности. Совместно с ними нужно использовать технические меры защиты информации.
Технические меры защищают информацию на компьютерах и в информационных системах.
Основные шаги для реализации базовой защиты:
- Развернуть сервер, на котором будет работать ИСПДн, с учетом базовых мер информационной безопасности.
- Провести аудит информационной безопасности.
- Реализовать физическую защиту сервера, например, установив систему контроля доступа и климата.
- Настроить межсетевые экраны и права доступа.
- Реализовать защиту от вредоносного ПО.
- Устранить уязвимости, существующие на вашем сервере.
- Выбрать систему управления базами данных и реализовать ее защиту.
- Обеспечить защиту от несанкционированного доступа.
- Реализовать систему резервного копирования.
- Обеспечить мониторинг за работой сервера и ИСПДн.
- Обеспечить защиту ИСПДн в том числе при удаленной работе.
- Обеспечить сетевую безопасность.
- Организовать обучение сотрудников.
Обеспечение безопасности персональных данных в ИСПДн – это комплексная задача, требующая внимания к законодательству, точной оценки угроз, выбора эффективных технических и организационных мер. Системный подход позволяет не только соответствовать требованиям закона, но и формировать доверие пользователей к вашей компании.
Полный пакет, чтобы быть готовым к проверкам РКН
Сервис 152Doc + курс Комплексная защита ПДн и 1С-серверов на практике:
- Изучите все организационные и технические меры защиты персональных данных
- В сервисе 152Doc сможете за 30 минут создать весь пакет документов
- Получите помощь и проверку эксперта
66 800 руб. 47 015 руб.
Запись вебинара ждет вас!
12 августа состоялся вебинар, где слушателям рассказали, как успешно пройти проверку Роскомнадзора в 20235 году. Если вас тоже интересует эта тема, вы можете получить запись вебинара – это бесплатно!
