Система защиты персональных данных как часть системы информационной безопасности

система защиты персональных данных

В условиях цифровизации и повсеместного использования информационных технологий защита персональных данных  становится одной из приоритетных задач для организаций любого масштаба. В Российской Федерации вопросы обработки и защиты персональных данных регулируются Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». Согласно этому законодательному акту, операторы персональных данных обязаны создавать и поддерживать систему защиты персональных данных, которая должна обеспечивать безопасность персональных данных на всех этапах их обработки.

Система защиты персональных данных — понятие

Система защиты персональных данных является составной частью системы информационной безопасности организации как управляемой совокупности организационных, правовых, технических и иных мер, процессов и ресурсов, обеспечивающих требуемый уровень защищённости активов (данных, ИТ-сервисов, инфраструктуры) по ключевым свойствам: конфиденциальности, целостности, доступности, а также подотчётности и устойчивости. На практике система информационной безопасности строится как система менеджмента по риск-ориентированному подходу: формулируются политики, назначаются роли, проводится оценка рисков, выбираются и внедряются меры, а затем система непрерывно улучшается.

В российской юрисдикции общие обязанности владельца информации и оператора информационной системы по защите информации установлены Федеральным законом № 149-ФЗ: требуется предотвращать несанкционированный доступ к информации, своевременно обнаруживать инциденты и предупреждать негативные последствия нарушений доступа. Это основа системы информационной безопасности организации, на который наслаиваются отраслевые и объектовые требования (по защите персональных данных, по взаимодействию с государственными информационными системами, по защите объектов критической информационной инфраструктуры и иные).

Система защиты персональных данных включает в себя совокупность организационных, правовых, технических и иных мер, направленных на обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных.

Специальные требования по защите персональных данных устанавливаются Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», а также Приказом ФСТЭК № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Система защиты персональных данных — структура

1. Организационные меры

Организационные меры являются основой системы защиты персональных данных. Они включают в себя:

  • Назначение ответственных лиц за обработку и защиту персональных данных в организации.
  • Обеспечение реализации мер, предусмотренных Приказом ФСТЭК № 21, внедрение системы контроля и мониторинга доступа к персональным данным, а также учет всех действий с такими данными.
  • Проведение регулярных обучающих программ и тренингов для сотрудников по вопросам защиты персональных данных и обеспечения их безопасности.
  • Разработку и внедрение процедур, которые обеспечат соблюдение принципов минимизации и конфиденциальности персональных данных.

2. Технические меры

Технические меры направлены на предотвращение несанкционированного доступа, уничтожение или изменение персональных данных, а также на обеспечение их целостности и конфиденциальности. К таким мерам относятся:

  • Использование средств криптографической защиты данных, включая шифрование персональных данных как в процессе хранения, так и в процессе передачи.
  • Применение средств контроля доступа, таких как системы аутентификации и авторизации пользователей, системы учёта и контроля доступа.
  • Обеспечение защиты от вирусных атак и других вредоносных воздействий с помощью антивирусных программ и средств защиты от вторжений.
  • Разработка и внедрение систем резервного копирования, чтобы в случае утраты данных можно было восстановить их без потери.
  • Применение средств для мониторинга состояния системы информационной безопасности и своевременного обнаружения инцидентов безопасности.

3. Правовые меры

Правовые меры включают разработку и соблюдение процедур, которые гарантируют соответствие законодательства в области защиты персональных данных. Эти меры включают:

  • Разработку внутренних нормативных актов, регламентирующих обработку персональных данных, их передачу, уничтожение, а также доступ к этим данным.
  • Фиксацию правовых оснований обработки персональных данных, создание модели угроз, определение уровней защищённости информационной системы персональных данных.
  • Реализация мер по уничтожению, обезличиванию персональных данных.
  • Установление обязательных процедур уведомления субъектов персональных данных о том, какие данные обрабатываются, с какой целью и каким образом они будут защищены.
  • Обеспечение реализации прав субъектов персональных данных на доступ, исправление, блокирование или уничтожение их данных в случае нарушения законодательства.
  • Обеспечение исполнения требований по информированию надзорных органов о намерении обрабатывать персональные данные, об утечках персональных данных, по иным случаям взимодействия.
  • Обеспечение регулярных проверок на соответствие внутренних процессов защиты персональных данных требованиям российского законодательства, включая проверки внутренними и внешними аудиторами.

4. Иные меры

Кроме организационных, технических и правовых мер, система защиты персональных данных должна включать иные меры, направленные на повышение уровня защиты данных. К ним можно отнести:

  • Разработку и внедрение политики реагирования на инциденты информационной безопасности, в том числе инциденты, связанные с утечкой или потерей персональных данных.
  • Внедрение процесса обработки инцидентов в рамках системы управления рисками, который будет включать определение причин инцидента, принятие корректирующих мер и уведомление субъектов данных и компетентных органов.

Система защиты персональных данных — это неотъемлемая часть общей системы информационной безопасности организации, направленная на защиту персональных данных от несанкционированного доступа, утраты или уничтожения. Ее элементы включают организационные, технические, правовые меры и другие аспекты. Соблюдение требований  законодательства в области защиты персональных данных снижает возможные репутационные риски и предотвращает значительные убытки, связанные с нарушением работы бизнеса и наложением санкций со стороны контролирующих органов.

 

Продолжая просмотр настоящего сайта, Вы соглашаетесь с использованием файлов cookies (куки) и иных методов, средств и инструментов интернет-статистики и настройки, применяемых на сайте для целей, указанных в Политике обработки персональных данных.