Перечень персональных данных подлежащих защите

Защита персональных данных
с помощью DLP-системы

30 дней для тестирования «КИБ СерчИнформ» с полным функционалом ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Перечень персональных данных, нуждающихся в защите в информационных системах персональных данных (ИСПДн), должен быть изложен организацией в ее Концепции информационной безопасности. Оператор ПД должен обеспечить эффективное функционирование системы защиты персональной информации на своем объекте, контролировать выполнение норм закона о защите ПД, определить лиц, которые обеспечивают сбор, сохранность, передачу этой информации. С этой целью нужно определить, какие данные входят в перечень защищаемых, и разработать систему их защиты исходя из видов используемых ПД.

Какие данные должны быть защищены

Объектами защиты являются данные, которые обрабатываются в ИСПДн. К таким объектам относят:

  • информацию технологического характера;
  • программные продукты и средства информационной обработки;
  • средства информационной защиты;
  • источники и каналы по обмену данными;
  • объекты, помещения с хранящимися ИСПДн.

Список таких объектов на предприятии должен составляться по результатам внутреннего информационного и технического аудита и охватывать анализ получаемых, обрабатываемых и хранящихся данных. Это необходимо для создания устойчивой системы защиты ПД.

Обрабатываемая информация 

Перечень персональной информации каждого субъекта включает в себя основные сведения о нем. К специальным данным относят:

  • национальную принадлежность;
  • расовые признаки;
  • политические взгляды;
  • вероисповедание;
  • отношение к алкогольным, наркотическим, психотропным веществам;
  • семейное положение;
  • состояние здоровья и интимной жизни.

Перечень ПД работников предприятия

На каждом предприятии, в любой организации обрабатываются большие объемы ПД. К ним относятся:

  • ФИО;
  • информация о рождении;
  • адрес прописки по паспорту;
  • адрес проживания (фактический);
  • данные паспорта;
  • информация о полученном образовании (названия образовательных учреждений, специальность, срок обучения, данные из документов, подтверждающих учебу в указанных заведениях);
  • контактные номера телефонов, адреса e-mail, Skype и т. д.;
  • лингвистические знания (иностранные языки);
  • данные с предыдущих мест работы/службы;
  • сведения о трудовом стаже;
  • сведения о трудовом договоре (серийный номер документа, дата и время его оформления и выдачи, тип труда, срок действия договора о труде, наличие у сотрудника льгот, длительность отпусков, график рабочего дня и перерывов, система выдачи заработной платы);
  • оклад;
  • информация о воинском учете (звание, категория запаса, категория годности);
  • индивидуальный номер налогоплательщика (ИНН);
  • информация о перенесенных и хронических заболеваниях;
  • информация о заслуженных наградах, званиях, орденах, медалях;
  • данные о командировках.

Технологическая информация

Защите подлежат следующие виды технологической информации:

  • файлы конфигурации, системные настройки;
  • пароли, ключи доступа, сведения аутентификации;
  • информация о составе и структуре средств защиты данных;
  • все ресурсы, базы данных, таблицы, которые содержат информацию о сотрудниках, планы и схемы эвакуации и т. д.

Программно-технические средства

В этих системах осуществляются обработка, хранение, передача, использование ПД. Их защита является также актуальным вопросом для каждого оператора.

К таким средствам относят:

  • программное обеспечение – общее, специальное, системы управления базами данных, операционные системы, данные удаленных серверов, сведения из систем «клиент-сервер»;
  • все резервные копии ПО;
  • надстройки управляющих систем ИСПДн;
  • автоматизированные компьютеры и серверы, на которых хранятся и обрабатываются ПД;
  • маршрутизаторы, прочее сетевое оборудование.

СЗПДн

Средства защиты персональной информации (СЗПДн) являются аппаратно-программными ресурсами, к ним относят:

  • средства управления пользовательским доступом;
  • средства обработки вводимой информации, регистрационные данные пользователей;
  • средства, которые обеспечивают сохранность данных;
  • защитное ПО – антивирусы, антишпионы, фаерволы и т. д.;
  • сетевое окружение;
  • криптографические ключи защиты ПД.

Помещения с размещенными ИСПДн

Офисные помещения также относятся к объектам, которым нужно обеспечить защиту. В них хранятся и проходят обработку данные, оборудование, физические носители ПД.

Каналы передачи и обмена информацией, телекоммуникационные средства

В случае передачи обрабатываемых сведений или информации технологического характера каналами информобмена, телекоммуникационными линиями они в обязательном порядке должны быть защищены.

Оператор обязан:

  • собирать и обрабатывать только те сведения сотрудников, которые необходимы для обеспечения рабочего процесса;
  • хранить в базе и использовать только те данные работника, включающие в себя сведения, предоставленные им самим либо добавленные с его согласия;
  • не принимать какие-либо незаконные решения касательно работника на основании ПД;
  • нести ответственность за сохранность сведений о работниках.

При получении и обработке сведений о сотрудниках работодатель обязан:

  • не распространять эти сведения;
  • предоставлять доступ к информации только лицам, уполномоченным на это;
  • передавать конфиденциальную информацию только с согласия сотрудника.

Сотрудник предприятия имеет право:

  • получать сведения о хранении своих ПДн;
  • иметь допуск к базе своих данных;
  • вносить поправки в БД (только в личные сведения).

Права о защите персональной информации отстаиваются гражданином в судебном порядке.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними