Персональные данные (ПДн) – любые сведения о каком-либо лице. Например, ФИО, паспортные данные, медицинские сведения и т.д. Такие данные обрабатываются практически в каждой организации, будь то ПДн сотрудников или клиентов. Детские сады, университеты, школы, больницы – все они обязаны обеспечить защиту ПД своих клиентов. Регламентирована защита ПДн 152 фз — 152 Федеральным Законом, утвержденным 27 июля 2006 года. Он разъясняет обязанности оператора, собирающего ПДн, и условия обработки сведений.
Условия для обработки ПДн
Условия для обработки ПДн, описанные в 152-фз, включают в себя согласие субъекта на обработку и сбор ПДн только в установленном объеме и для установленной законной цели. Ответственность за защиту ПДн несет оператор, даже если обработкой занимается другое лицо.
Согласие субъекта является непреложным правилом для обработки ПДн. Это относится к клиентам и работникам. В согласии должны быть указаны: ФИО субъекта; номер паспорта и сведения о нем; наименование оператора; цель сбора ПДн; список ПДн и список операций, которые будут с ними проводиться; срок хранения ПДн и условия отзыва согласия.
Обязанности оператора
Главная обязанность оператора – обеспечить безопасность ПДн. Для этого он должен разработать положение, устанавливающие стратегию обработки ПДн, и ознакомить с ним сотрудников. В документе необходимо указать:
- состав ПДн;
- цели сбора ПДн;
- виды носителей ПДн;
- технологию обработки и хранения ПДн;
- список лиц, имеющих доступ;
- ответственность за разглашение ПДн.
Также нужно разработать акты, которые описывают меры, предпринимаемые оператором для исключения утечки ПДн.
Выполнение этих обязанностей оператор осуществляет при помощи процедур и мер, которые определяет самостоятельно.
Меры по защите персональных данных по 152-ФЗ
Для охраны персональных данных 152 фз перечисляет меры, которые обязан предпринимать оператор при работе с ПДн:
- установить возможные опасности для ПДн;
- принять организационные и технические меры для охраны ПДн;
- эксплуатировать средства защиты информации (СЗИ), прошедшие проверку;
- оценить действенность принятых мер до запуска системы;
- регистрировать носители ПДн;
- выявлять случаи незаконного доступа к ПДн;
- восстанавливать ПДн при необходимости;
- установить порядок допуска к ПДн;
- регистрировать все операции, которые происходят с ПДн;
- назначить лицо, которое будет нести ответственность за обработку ПДн.
Меры по защите персональных данных по приказу ФСТЭК №21
ПДн обрабатываются посредством системы (ИСПДн). Ее необходимо обезопасить от утечки или незаконного доступа. Защита ПДн при обработке в ИСПДн подразумевает ряд мероприятий, которые указаны в пункте 2 приказа ФСТЭК №21 от 18.02.2013 г. В их число входят:
- распознавание лиц, имеющих доступ к ПДн;
- эксплуатация только разрешенного ПО;
- учет и охрана носителей ПДн;
- учет событий, угрожающих ПДн;
- антивирусная защита;
- выявление фактов незаконного доступа;
- анализ безопасности ПДн;
- защита ИСПДн;
- защита систем связи и передачи ПДн.
Следует учесть, что для разных классов ИСПДн требования отличаются. Поэтому важно правильно определить класс системы. Для этого нужно учитывать категорию ПДн и их объем. Существует 4 категории ПДн:
- категория 4 – общедоступные ПДн;
- категория 3 – ПДн, которые позволяют опознать лицо;
- категория 2 – ПДн, которые позволяют опознать лицо и узнать о нем новые сведения;
- категория 1 – ПДн, содержащие религиозные и политические убеждения, национальность, расу, медицинские сведения.
Помимо категории защищаемых ПДн нужно точно знать количество обрабатываемых сведений. В зависимости от количества субъектов, сведения которых обрабатывает ИСПДн, выделяются 3 объема ПДн:
- 3 – менее 1000,
- 2 – от 1000 до 100000,
- 1 – более 100000.
Зная категорию и объем ПДн, можно установить класс ИСПДн. Всего существует 4 класса:
- 1 класс: нарушение безопасности ПДн может нанести существенный урон субъектам ПДн. Сюда относятся ПДн 1 категории любого объема, а также ПДн 2 категории 1 объема.
- 2 класс: нарушение безопасности ПДн может нанести чувствительный урон. Сюда относятся ПДн 3 категории 1 объема, также ПДн 2 категории 2 объема.
- 3 класс: нарушение безопасности ПДн может нанести незначительный урон. Сюда относятся ПДн 3 категории 3 и 2 объема, а также ПДн 2 категории 3 объема.
- 4 класс: нарушение безопасности ПДн не нанесет урон. Сюда относятся ПДн 4 категории любого объема.
Защита ПДн в ИСПДн 1 класса осуществляется при помощи СЗИ не ниже 4 класса, для ИСПДн 2 класса – СЗИ не ниже 5 класса; для ИСПДН 3 и 4 класса – СЗИ не ниже 6 класса.
Перед запуском ИСПДн необходимо аттестовать. Аттестация – комплекс проверочных мероприятий, целью которых является оценка системы на соответствие нормам информационной безопасности.