Защита ПДн в ИСПДн

Персональные данные (ПДн) – любые сведения о каком-либо лице. Например, ФИО, паспортные данные, медицинские сведения и т.д. Такие данные обрабатываются практически в каждой организации, будь то ПДн сотрудников или клиентов. Детские сады, университеты, школы, больницы – все они обязаны обеспечить защиту ПД своих клиентов. Регламентирована защита ПДн 152 фз — 152 Федеральным Законом, утвержденным 27 июля 2006 года. Он разъясняет обязанности оператора, собирающего ПДн, и условия обработки сведений.

Условия для обработки ПДн

Условия для обработки ПДн, описанные в 152-фз, включают в себя согласие субъекта на обработку и сбор ПДн только в установленном объеме и для установленной законной цели. Ответственность за защиту ПДн несет оператор, даже если обработкой занимается другое лицо.

Согласие субъекта является непреложным правилом для обработки ПДн. Это относится к клиентам и работникам. В согласии должны быть указаны: ФИО субъекта; номер паспорта и сведения о нем; наименование оператора; цель сбора ПДн; список ПДн и список операций, которые будут с ними проводиться; срок хранения ПДн и условия отзыва согласия.

Обязанности оператора

Главная обязанность оператора – обеспечить безопасность ПДн. Для этого он должен разработать положение, устанавливающие стратегию обработки ПДн, и ознакомить с ним сотрудников. В документе необходимо указать:

• состав ПДн;
• цели сбора ПДн;
• виды носителей ПДн;
• технологию обработки и хранения ПДн;
• список лиц, имеющих доступ;
• ответственность за разглашение ПДн.

Также нужно разработать акты, которые описывают меры, предпринимаемые оператором для исключения утечки ПДн.

Выполнение этих обязанностей оператор осуществляет при помощи процедур и мер, которые определяет самостоятельно.

Меры по защите персональных данных по 152-ФЗ

Для охраны персональных данных 152 фз перечисляет меры, которые обязан предпринимать оператор при работе с ПДн:

• установить возможные опасности для ПДн;
• принять организационные и технические меры для охраны ПДн;
• эксплуатировать средства защиты информации (СЗИ), прошедшие проверку;
• оценить действенность принятых мер до запуска системы;
• регистрировать носители ПДн;
• выявлять случаи незаконного доступа к ПДн;
• восстанавливать ПДн при необходимости;
• установить порядок допуска к ПДн;
• регистрировать все операции, которые происходят с ПДн;
• назначить лицо, которое будет нести ответственность за обработку ПДн.

Меры по защите персональных данных по приказу ФСТЭК №21

ПДн обрабатываются посредством системы (ИСПДн). Ее необходимо обезопасить от утечки или незаконного доступа. Защита ПДн при обработке в ИСПДн подразумевает ряд мероприятий, которые указаны в пункте 2 приказа ФСТЭК №21 от 18.02.2013 г. В их число входят:

• распознавание лиц, имеющих доступ к ПДн;
• эксплуатация только разрешенного ПО;
• учет и охрана носителей ПДн;
• учет событий, угрожающих ПДн;
• антивирусная защита;
• выявление фактов незаконного доступа;
• анализ безопасности ПДн;
• защита ИСПДн;
• защита систем связи и передачи ПДн.

Следует учесть, что для разных классов ИСПДн требования отличаются. Поэтому важно правильно определить класс системы. Для этого нужно учитывать категорию ПДн и их объем. Существует 4 категории ПДн:

• категория 4 – общедоступные ПДн;
• категория 3 – ПДн, которые позволяют опознать лицо;
• категория 2 – ПДн, которые позволяют опознать лицо и узнать о нем новые сведения;
• категория 1 – ПДн, содержащие религиозные и политические убеждения, национальность, расу, медицинские сведения.

Помимо категории защищаемых ПДн нужно точно знать количество обрабатываемых сведений. В зависимости от количества субъектов, сведения которых обрабатывает ИСПДн, выделяются 3 объема ПДн:

• 3 – менее 1000,
• 2 – от 1000 до 100000,
• 1 – более 100000.

Зная категорию и объем ПДн, можно установить класс ИСПДн. Всего существует 4 класса:

• 1 класс: нарушение безопасности ПДн может нанести существенный урон субъектам ПДн. Сюда относятся ПДн 1 категории любого объема, а также ПДн 2 категории 1 объема.
• 2 класс: нарушение безопасности ПДн может нанести чувствительный урон. Сюда относятся ПДн 3 категории 1 объема, также ПДн 2 категории 2 объема.
• 3 класс: нарушение безопасности ПДн может нанести незначительный урон. Сюда относятся ПДн 3 категории 3 и 2 объема, а также ПДн 2 категории 3 объема.
• 4 класс: нарушение безопасности ПДн не нанесет урон. Сюда относятся ПДн 4 категории любого объема.

Защита ПДн в ИСПДн 1 класса осуществляется при помощи СЗИ не ниже 4 класса, для ИСПДн 2 класса – СЗИ не ниже 5 класса; для ИСПДН 3 и 4 класса – СЗИ не ниже 6 класса.

Перед запуском ИСПДн необходимо аттестовать. Аттестация – комплекс проверочных мероприятий, целью которых является оценка системы на соответствие нормам информационной безопасности.