Заказать звонок
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Заказать звонок
Работаем
по всей России

Защита ПДн в ИСПДн

Персональные данные (ПДн) – любые сведения о каком-либо лице. Например, ФИО, паспортные данные, медицинские сведения и т.д. Такие данные обрабатываются практически в каждой организации, будь то ПДн сотрудников или клиентов. Детские сады, университеты, школы, больницы – все они обязаны обеспечить защиту ПД своих клиентов. Регламентирована защита ПДн 152 фз — 152 Федеральным Законом, утвержденным 27 июля 2006 года. Он разъясняет обязанности оператора, собирающего ПДн, и условия обработки сведений.

Условия для обработки ПДн

Условия для обработки ПДн, описанные в 152-фз, включают в себя согласие субъекта на обработку и сбор ПДн только в установленном объеме и для установленной законной цели. Ответственность за защиту ПДн несет оператор, даже если обработкой занимается другое лицо.

Согласие субъекта является непреложным правилом для обработки ПДн. Это относится к клиентам и работникам. В согласии должны быть указаны: ФИО субъекта; номер паспорта и сведения о нем; наименование оператора; цель сбора ПДн; список ПДн и список операций, которые будут с ними проводиться; срок хранения ПДн и условия отзыва согласия.

Обязанности оператора

Главная обязанность оператора – обеспечить безопасность ПДн. Для этого он должен разработать положение, устанавливающие стратегию обработки ПДн, и ознакомить с ним сотрудников. В документе необходимо указать:

  • состав ПДн;
  • цели сбора ПДн;
  • виды носителей ПДн;
  • технологию обработки и хранения ПДн;
  • список лиц, имеющих доступ;
  • ответственность за разглашение ПДн.

Также нужно разработать акты, которые описывают меры, предпринимаемые оператором для исключения утечки ПДн.

Выполнение этих обязанностей оператор осуществляет при помощи процедур и мер, которые определяет самостоятельно.

Меры по защите персональных данных по 152-ФЗ

Для охраны персональных данных 152 фз перечисляет меры, которые обязан предпринимать оператор при работе с ПДн:

  • установить возможные опасности для ПДн;
  • принять организационные и технические меры для охраны ПДн;
  • эксплуатировать средства защиты информации (СЗИ), прошедшие проверку;
  • оценить действенность принятых мер до запуска системы;
  • регистрировать носители ПДн;
  • выявлять случаи незаконного доступа к ПДн;
  • восстанавливать ПДн при необходимости;
  • установить порядок допуска к ПДн;
  • регистрировать все операции, которые происходят с ПДн;
  • назначить лицо, которое будет нести ответственность за обработку ПДн.

Меры по защите персональных данных по приказу ФСТЭК №21

ПДн обрабатываются посредством системы (ИСПДн). Ее необходимо обезопасить от утечки или незаконного доступа. Защита ПДн при обработке в ИСПДн подразумевает ряд мероприятий, которые указаны в пункте 2 приказа ФСТЭК №21 от 18.02.2013 г. В их число входят:

  • распознавание лиц, имеющих доступ к ПДн;
  • эксплуатация только разрешенного ПО;
  • учет и охрана носителей ПДн;
  • учет событий, угрожающих ПДн;
  • антивирусная защита;
  • выявление фактов незаконного доступа;
  • анализ безопасности ПДн;
  • защита ИСПДн;
  • защита систем связи и передачи ПДн.

Следует учесть, что для разных классов ИСПДн требования отличаются. Поэтому важно правильно определить класс системы. Для этого нужно учитывать категорию ПДн и их объем. Существует 4 категории ПДн:

  • категория 4 – общедоступные ПДн;
  • категория 3 – ПДн, которые позволяют опознать лицо;
  • категория 2 – ПДн, которые позволяют опознать лицо и узнать о нем новые сведения;
  • категория 1 – ПДн, содержащие религиозные и политические убеждения, национальность, расу, медицинские сведения.

Помимо категории защищаемых ПДн нужно точно знать количество обрабатываемых сведений. В зависимости от количества субъектов, сведения которых обрабатывает ИСПДн, выделяются 3 объема ПДн:

  • 3 – менее 1000,
  • 2 – от 1000 до 100000,
  • 1 – более 100000.

Зная категорию и объем ПДн, можно установить класс ИСПДн. Всего существует 4 класса:

  • 1 класс: нарушение безопасности ПДн может нанести существенный урон субъектам ПДн. Сюда относятся ПДн 1 категории любого объема, а также ПДн 2 категории 1 объема.
  • 2 класс: нарушение безопасности ПДн может нанести чувствительный урон. Сюда относятся ПДн 3 категории 1 объема, также ПДн 2 категории 2 объема.
  • 3 класс: нарушение безопасности ПДн может нанести незначительный урон. Сюда относятся ПДн 3 категории 3 и 2 объема, а также ПДн 2 категории 3 объема.
  • 4 класс: нарушение безопасности ПДн не нанесет урон. Сюда относятся ПДн 4 категории любого объема.

Защита ПДн в ИСПДн 1 класса осуществляется при помощи СЗИ не ниже 4 класса, для ИСПДн 2 класса – СЗИ не ниже 5 класса; для ИСПДН 3 и 4 класса – СЗИ не ниже 6 класса.

Перед запуском ИСПДн необходимо аттестовать. Аттестация – комплекс проверочных мероприятий, целью которых является оценка системы на соответствие нормам информационной безопасности.

 

Заказать звонок
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.