Все организации в процессе работы используют персональные данные как сотрудников, так и клиентов. Федеральный закон № 152-ФЗ обязывает защищать эту информацию.
По закону персональные данные подлежат обязательному шифрованию, вне зависимости от того, являются ли они обезличенно-общими или имеют непосредственное отношение к конкретному человеку, его медицинской истории, вероисповеданию, нюансам личной жизни. Максимальная защита предъявляется для тех данных, которые передаются в ПФР, так как информация содержит паспортные данные человека, указание на его социальное положение, наличие инвалидности, семейное положение, наличие детей и т.п.
Требования к защите различаются по категориям. Безопасность строится на основе каналов (визуальных и звуковых), криптографического сертифицированного оборудования российского производства, соответствующего требованиям ФСБ и ФСТЭК. В основе многоуровневой защиты лежит различная IT-архитектура, при необходимости информация может храниться в высокозащищенных БД.
Защита ПНд:
- охраняет права всех владельцев данных – начиная с рядовых сотрудников и вплоть до руководства, а также клиентов и партнеров;
- соответствует требованиям, определенным законодательством РФ;
- защищает базы данных, содержащие информацию о клиентах, от утечек, поддерживая репутацию надежной компании.
Закон 152-ФЗ устанавливает алгоритм для безопасной работы, а также определяет санкции за несоблюдение законодательства. Крайними мерами считаются аннулирование лицензии и уголовная ответственность. Для защиты ПНд применяются:
- Криптошифрование в зависимости от модели возможных угроз.
- Шифрование разных видов: прозрачное либо ассиметричное, с разграничением прав доступа либо использованием токенов, а также непосредственно применяемое на серверах (в том числе удаленных).
- Межсетевые фильтрующие трафик экраны, программные или аппаратные системы компьютерной и сетевой безопасности, предупреждающие вторжения, файерволы, антивирусные программы, сканеры уязвимости, разработанные для конкретной организации защитные политики, различные способы контроля за электронными документами, проверка сотрудников.
- Электронные цифровые подписи.
- Открытый и закрытый сертификат ключа для корпоративной почты.
Обновление защитных алгоритмов и технологий позволило определить государственные стандарты, взломоустойчивые, высокопроизводительные и обладающие надежным распараллеливанием, способные выбрать в каждой конкретной ситуации оптимум защиты для ресурсов, вне зависимости от того, полноценные они или ограниченные.
Существует последовательность действий по защите ПНд:
- Разработка методики обработки данных.
- Вариативность действий в случае получения отказа либо согласия на работу с персональными данными для дальнейшего их использования.
- Уведомления о работе при потоковой работе с материалами.
- Разработка структуры для хранения ПНд.
- Формирование БД.
- Выбор способов, определение порядка обработки информации, выработка системы наказаний за допущенные в ходе обработки ПНд нарушения.
- Создание дополнений к инструкциям для работников, ответственных за сбор, обработку, хранение ПНд.
Алгоритм состоит из следующих этапов:
- Предпроектный, определяющий уровень индивидуальной угрозы.
- Документальный, формирующий ТЗ.
- Проектный, создающий защиту в строгом соответствии с прописанным ТЗ, с применением необходимых средств, их сертификацией, назначением должностных лиц, несущих ответственность за сохранность информации.
- Рабочий, запускающий в работу достаточные для обеспечения безопасности ПНд средства защиты.
- Сопроводительный, включающий техподдержку и консультирование в процессе работы.
Платформа 1С позволяет использовать шифрование без привязки к внешним компонентам или объектам, что делает ее полностью изолированной от привязки к любой ОС.
Подробнее: https://integrus.ru/blog/it-decisions/zashhita-personalnyh-dannyh-shifrovaniem.html