СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Прочее
Артем
28.09.2020
#Dev#ИБ#Инфра

Информационная безопасность персональных данных

Информационная безопасность персональных данных – совокупность мероприятий организационного, организационно-технического и технического характера, с помощью которых осуществляется защита информации, которая относится к определенному или определяемому на основе подобных данных физическому лицу.

Информационная безопасность персональных данных – составляющий, но самостоятельный элемент охраны труда компании. В России сотрудникам предприятий гарантированная защита их персональной информации, прав на труд с использованием их персональных данных.

Что требуется сделать для защиты персональных данных?

Существует выработанный комплекс мер, с помощью которых выполняется предотвращение несанкционированного, неправомерного доступа к персональным данным, отказоустойчивость и надежность информационных систем персональных данных, доступность и целостность информации внутри таких систем. Перечень таких мер содержится в 152-ФЗ. Федеральное законодательство обязует руководство предприятий разного уровня выполнять следующие мероприятия:

  • определение масштаба необходимой информационной системы, категории персональных данных, которые будут защищаться, моделирование угроз кибербезопасности предприятия;
  • внедрение требуемых организационных и технических мер в информационную систему персональных данных, учитывая 4 уровня защищенности (согласно правительственному постановлению №1119);
  • эксплуатация средств защиты информации, функционал которых подтверждается сертификационной документацией, полученной во ФСТЭК России или ФСБ;
  • проведение перед обработкой персональных данных аудита кибербезопасности (информационной системы, компонентов защиты, исполнения регламентов внутренних распоряжений и требований регуляторов);
  • внедрение системы учета различных типов носителей информации ограниченной эксплуатации;
  • интеграция в информационную систему персональных данных функционала резервирования и восстановления информации при ее неправомерном изменении или удалении;
  • разработка регламента доступа специалистов оператора к персональной информации в информационной системе (уровни доступа необходимо сегментировать с учетом должностных обязанностей сотрудников);
  • внедрение инструментов аудита, протоколирования действий работников, которые они совершают с персональными данными;
  • обеспечение контроля исполнения правил безопасности использования ПДн и беспрерывности работы защитных программно-аппаратных сервисов информационной системы ПДн.

Согласно федеральному законодательству, вокруг защищаемых персональных данных необходимо формирование общего «защитного поля». Определенные нормы прописаны в приказе ФСТЭК России №21. В частности, даны следующие указания:

  • в системах обработки персональных данных необходимо использование механизмов аутентификации и идентификации пользователей, ПДн, системных компонентов и иных объектов доступа, защита которых организуется;
  • необходимо формирование ограниченной программной среды, что предполагает наличие определенного списка прикладного и системного программного обеспечения;
  • у пользователей не должно быть прав по изменению набора разрешенного программного обеспечения и системных компонентов;
  • со стороны оператора должен обеспечиваться беспрерывный мониторинг информационной безопасности персональных данных (ведение протокола событий безопасности, чтобы отслеживать инциденты и принятые в связи с ними меры);
  • обязательно наличие антивирусных решений в системах защиты персональных данных (вредоносный софт зачастую приводит к утечкам данных, к нарушениям в работе систем информационной безопасности персональных данных);
  • вместе с антивирусными решениями необходимо пользоваться инструментами, позволяющими обнаружить и предотвратить вторжения в систему извне;
  • неправомерное изменение, повреждение системы информационной безопасности персональных данных должны фиксировать системы обеспечения целостности, которые при эксплуатации информационной системы ПДн должны располагать функционалом восстановления поврежденных данных, отдельных компонентов;
  • степень защищенности информационной системы персональных данных требуется постоянно контролировать.

Список мер, которые установлены ФСТЭК России для реализации системы безопасности информационных систем персональных данных включает в себя множество пунктов, рекомендаций, регламентов. В приказе ФСТЭК России №21 приведены требования к каналам связи, инструментам виртуализации, конфигурации информационных систем персональных данных, классам средств компьютерного оборудования, антивирусов и иных защитных параметров.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: