Человечество идет дальше в своем развитии – многое из того, что 100 лет назад казалось фантастикой, уже стало реальностью.
Если бы при Иване Грозном достаточно было спросить: «От кого ты, сколько тебе лет, женат ты или нетЭ» - то современные бояре уже не отвечают на подобные вопросы каждому встречному, такие сведения о себе они называют "личными данными", а за разглашение, если их не посадят на кол, могут посадить в тюрьму.
Трудно представить компанию, не имеющую каких-либо персональных данных, к которым относятся: телефонные книги, бухгалтерские записи, списки сотрудников и т.п.
Все данные классифицируются по степени конфиденциальности.
Если компания предоставляет данные о сотрудниках в Пенсионный фонд, то у нее автоматически появляются данные высшей категории – сюда входят справки о заработной плате с указанием ФИО, сведения о социальном статусе сотрудника, инвалидности, семейном положении, количестве детей и т. д. Каждый человек имеет право на неприкосновенность частной жизни, регламентированное «Конвенцией о защите физических лиц при автоматической обработке персональных данных», одобренной еще в 1981 году Европейской комиссией в Страсбурге (закон о ратификации Конвенции в России).
№ 160-ФЗ).
Однако автоматизированная обработка данных – ведение баз данных и регистров – является реальностью сегодняшнего дня.
Оператором данных становится тот, кто владеет персональными данными и обеспечивает их хранение.
Статус оператора данных для юридического лица означает наличие определенной степени ответственности, регламентированной нормативно-правовыми актами.
Прежде всего, Законом 152-ФЗ, а также подзаконными актами ведомств - Минкомсвязи, Роскомнадзора, ФСТЭК, ФСБ.
Все данные операторов внесены в реестр Роскомнадзора (pd.rsoc.ru), на сайте можно узнать дату запланированной ведомством проверки.
Государство уже давно озадачено проблемой сбора всех персональных данных о человеке в единой системе, в том числе с привязкой к банковским счетам.
Сейчас, например, наше правительство активно лоббирует проект создания универсальной электронной карты – электронного цифрового документа с личными данными владельца, в том числе с возможностью хранения на нем денег.
Положение о том, что наши данные закрыты для доступа, весьма условно.
Так, как сообщает агентство "Интерфакс" со ссылкой на статистику, полученную от InfoWatch, количество утечек персональных данных в нашей стране только за 2013 год увеличилось вдвое и составило 109 случаев.
То есть фактически данные 109 компаний просто уплыли на бескрайние просторы Интернета, скомпрометировав 3 миллиона записей.
Зачастую вина за потерю персональных данных ложится на руководителей подразделений, ответственных за хранение данных.
Из статистики Интерфакса: в 5 из 10 случаев потеря данных произошла через Интернет. С этого года Минкомсвязи хочет ужесточить санкции за нарушение правил процессинга личные данные .
Теперь появление персональных данных граждан в открытом доступе обойдется операторам данных в 300 тысяч рублей; для сравнения, предыдущий штраф составлял 10 тысяч рублей.
Увеличиваются штрафы за обработку особых категорий персональных данных о политических убеждениях, медицинской информации и информации о судимости.
Задача юридического лица - оператора данных - при создании системы хранения информации сделать первый шаг - организационный, обеспечить документооборот - создать необходимые документы, разрешающие обработку данных.
Вторым шагом является обеспечение необходимой архитектуры ИТ-системы.
Важнейшими мерами по предотвращению потери данных являются, конечно же, технические меры, предполагающие использование сертифицированных средств защиты информации.
Насколько сложной будет архитектура программного обеспечения, зависит от конфиденциальности данных.
Существует четыре категории персональных данных в порядке возрастания уровня конфиденциальности от К4 до К1: К4 – обезличенные данные.
Оператор данных категории К4 имеет право самостоятельно выбирать технологические решения; наличие сертификата ФСТЭК не обязательно.
К1 – данные, которые необходимо не только защищать, но и шифровать.
Программное обеспечение должно быть сертифицировано ФСТЭК, криптографические системы (при их наличии) одобрены ФСБ.
Так, если для защиты данных низшей категории – К4 – достаточно обеспечить только целостность данных, то для данных категории К1 – полный комплекс защиты данных (часто включая шифрование и борьбу с утечками данных).
Исчерпывающий список функций программного обеспечения, необходимых оператору базы данных, выглядит следующим образом: 1.Защита от несанкционированного доступа 2.Антивирус 3. Брандмауэр 4. Криптографические инструменты (для крупных компаний, где возможна утечка данных) и другие защитные механизмы (см.
методический документ ФНСЭК «Основные меры по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных»).
Все компьютеры в сети, с которых осуществляется обработка персональных данных, должны быть сертифицированы и содержать программное обеспечение, сертифицированное ФСТЭКом (Федеральной службой по техническому и экспортному контролю), а сама сеть должна быть защищена сертифицированным межсетевым экраном.
Небольшие компании, как правило, используют несертифицированное программное обеспечение, с которым межсетевой экран работает без сертификата FSTЭK (Traffic Inspector Gold).
Брандмауэры.
Вся корпоративная сеть и каждое отдельное рабочее место должны быть защищены не только от массированных атак с использованием вирусов, но и от целенаправленных сетевых атак.
Для этого достаточно установить систему блокировки неиспользуемых сетевых протоколов и сервисов, чем и занимается межсетевой экран.
Зачастую функционал межсетевых экранов дополняется средствами организации виртуальных частных сетей (VPN).
Для более крупной компании в целях снижения затрат на сертификацию и приобретение сертифицированного ПО вся работа с персональными данными обычно выносится в отдельную сеть и прикрывается межсетевым экраном ( Инспектор дорожного движения ФСТЭК ) — система блокировки неиспользуемых сетевых протоколов и сервисов.
Межсетевой экран защищает каждое отдельное рабочее место и всю корпоративную сеть не только от массовых атак с использованием вирусов, но и от целенаправленных сетевых атак.
В функционал межсетевого экрана добавлены инструменты для организации виртуальных частных сетей (VPN).
Traffic Inspector обеспечивает доступ к Сети как через прокси-сервер, так и через NAT («преобразование сетевых процессов»).
Преимущества совместного использования NAT и прокси-сервера очевидны: NAT является универсальным способом предоставления доступа в Интернет, а также позволяет анонимизировать трафик; прокси-сервер – пропускает через себя веб-запросы, защищая систему от нежелательной информации.
Программное обеспечение, позволяющее настроить ИТ-архитектуру, способную защитить систему с персональными данными, включает в себя: обеспечение доступа к Сети; межсетевой экран и антивирус, проверка контрольных сумм IP-пакетов, длины IP-пакетов, фильтрация «битых» пакетов.
Любое программное обеспечение, установленное в компании, должно быть соответствующим образом одобрено в специальной документации: 1.Перечень средств защиты персональных данных 2. Журнал учета и хранения носителей персональных данных.
3.Акт установки средств защиты информации.
4. Утвержденная форма акта о списании и уничтожении электронных носителей информации.
5. Утвержденная форма акта об уничтожении документов 6. Подписанные соглашения о неразглашении персональных данных с третьими лицами (организациями) или соответствующие пункты в договорах и соглашениях (особенно при трансграничной передаче данных).
Если организация меняет программное или аппаратное обеспечение, то информация об этом обязательно отображается в этих документах.
Подведем итоги.
Юридическое лицо, оперирующее персональными данными (обезличенными) или данными клиента, автоматически становится оператором данных.
Сейчас в любой организации существует риск нарушений при обработке и хранении персональных данных, как при хранении данных на бумажных или электронных носителях, так и при автоматизированной обработке.
Меры, принимаемые юридическим лицом по обеспечению безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе государственного контроля.
Поэтому, во-первых, определите, с каким классом данных вы работаете (если вы передаете информацию в ПФ, то имеется в виду высокий класс К1).
Во-вторых, обеспечьте свою систему сертифицированным брандмауэром.
В-третьих, посмотрите сайты.
Роскомнадзор и Федеральной службой по тарифам России, где публикуются перечни плановых проверок на предмет соответствия требованиям 152 ФЗ.
Теги: #Смарт-Софт #Инспектор ГИБДД #персональные данные #информационная безопасность
-
Бета-Тестирование
19 Oct, 24 -
Успех Блога Зависит От Этих 5 Качеств
19 Oct, 24 -
Четыре Ключевых Навыка Linux На 2017 Год
19 Oct, 24 -
Tabindex Для Mail.ru
19 Oct, 24
