Выбор средств защиты информации определяется, с одной стороны нормативными требованиями, с другой – актуальными угрозами национальной безопасности, работе организаций и жизнедеятельности граждан.

Нормативно-правовые документы

Основные права, обязанности и задачи в части оборота любой информации и ее защиты устанавливает Федеральный закон №149-ФЗ «Об информации, информационных технологиях и защите информации». Виды данных, подлежащих защите, определяются Указом Президента РФ №188 «Об утверждении перечня сведений конфиденциального характера». К такой информации относятся, в том числе, персональные данные. Задачи и требования по защите персональных данных урегулированы несколькими нормативными актами.

Основные нормативные документы, регулирующие обработку ПД и относящиеся ко всем операторам персональных данных:

• Федеральный закон №152 «О персональных данных» (устанавливает признаки персональных данных, статус их операторов и их основные обязанности, в том числе в части обеспечения защиты и конфиденциальности этой информации). 
• Постановление Правительства РФ №1119 (устанавливает уровни угроз и  защищенности информационных систем персональных данных). 
• Приказ ФСТЭК России №21 (устанавливает состав организационных и технических мер защиты для операторов ПД). 
• Приказы Роскомнадзора:

- №180, который устанавливает формы уведомления об обработке ПД;
- №187, который устанавливает порядок взаимодействия с Роскомнадзором при инциденте и др.

За нарушения в сфере обработки и защиты персональных данных предусмотрена административная и уголовная ответственность. 

Как избежать наказания за утечку?

Способы снижения риска ответственности за нарушение законодательства, касающегося обработки ПД, в т.ч. для субъектов КИИ, изложены в отдельном вебинаре.

Подробнее в видео

×

 

Классификация систем защиты персональных данных

Информационные системы персональных данных подразделяются по трем уровням защищенности (согласно Постановлению Правительства РФ №1119). Зависит это разделение от количества человек, чьи данные обрабатываются, состава обрабатываемых данных и актуальных для системы угроз. 

Оператор персональных данных должен обеспечивать в их отношении:

• Конфиденциальность. Это значит, что оператор не может передавать или сообщать полученные сведения кому-либо без согласия гражданина – субъекта персональных данных или указания закона.
• Целостность. Этот термин подразумевает, что любые изменения данных производятся только в регламентированном порядке и только уполномоченными лицами. Например, изменения в амбулаторную карту больного вправе вносить только лечащий врач. 
• Доступность. Понятие предполагает, что беспрепятственный доступ к данным и возможность производить их правомерное изменение, копирование, уничтожение открыты уполномоченным лицам.

В соответствии с требованиями 152-ФЗ, все операторы обязаны принимать меры к обеспечению защиты персональных данных от внешних и внутренних ИБ-угроз.

Системы защиты конфиденциальных данных можно разделить на автономные, без прямого подключения к телекоммуникационным сетям, и имеющие такие подключения, требующие повышенной заботы об обеспечении безопасности сведений.

Выбор технических средств защиты персональных данных

В условиях изменившегося законодательства и угроз базовыми средствами защиты ПД становятся следующие классы систем:

• DCAP (классификация данных, хранящихся в инфраструктуре, организация контентного доступа к данным).
• DLP (контроль за действиями сотрудников с данными, соблюдением регламентов, пресечение, утечке, фальсификации или уничтожения данных, а также попыток мошенничества, превышения должностных полномочий и т.п., угрожающих нормальной работе организации).
• SIEM (фиксация аномалий в инфраструктуре, включая аномальную активность оборудования, программного обеспечения и сотрудников).

Разъяснение того, как данные классы систем защиты позволяют выполнять нормы законодательства: 

Практика использования SIEM для выполнения нормативных требований.

Использование DLP и DCAP для выполнения нормативных требований.

Выбор средств автоматизации, применяемых для обеспечения безопасности при обработке персональных данных, в конечном счете зависит от таких параметров:

• требуемого уровня защищенности информационной системы персональных данных;
• финансовых и организационных возможностей операторов;
• применяемых в информсистеме оператора технических средств.
• применяемые средства защиты информации должны быть сертифицированы ФСТЭК.

Опираясь на эти параметры, оператор может сформировать набор технических средств защиты, достаточный для обеспечения уровня безопасности, релевантного актуальным угрозам и нормативным требованиям.

С точки зрения защиты от внутренних угроз безопасности персональных данных, оператору необходимо обеспечить наличие технических средств, которые способны:

• идентифицировать и аутентифицировать пользователей, устанавливать индивидуальные уровни допуска к тем или иным файлам;
• контролировать вывод данных из системы, например, передачу по почте или в мессенджере, перенос на съемные носители; 
• выявлять и анализировать все события, происходящие в информационной системе и выделять из них те, которые могут представлять угрозу;
• производить регистрацию всех действий пользователей в системе, что повышает уровень и безопасности персональных данных, и мотивации сотрудников на ее обеспечение.

В нынешних реалиях необходимо учитывать тот факт, что инфраструктура многих организаций является облачной (внутренние, внешние, гибридные облака). Кроме того, особенностью становится дистанционная работа сотрудников, требующая специализированного подхода к обеспечению безопасности.

В решении данных вопросов могут помочь справочные материалы «СёрчИнформ»:

Контроль удаленных сотрудников

Проблемы легитимизации при использовании DLP

Практика защиты данных в облаке (новые подходы к безопасности).