Ведомственные учреждения и компании испытывают потребность в организации информационной защиты. Своевременная настройка защиты персональных данных повышает эффективность противодействия несанкционированного проникновения в систему с целью кражи информации.
Безопасность базируется на следующих составляющих:
- оценка состояния аппаратной и технической составляющих системы, поиск уязвимостей;
- создание политик безопасности ПДн;
- создание паролей, соответствующих международным стандартам;
- разработка контрмер, внедрение средств защиты ПДн, которые требуются для пресечения несанкционированного доступа.
В работу по организации защиты входит работа с персоналом. Это важный момент, т.к. более 80% нарушения целостности системы и проникновения в нее вредоносного ПО связано с действиями работников. Чаще всего, это случается:
- в момент обновления ПО;
- при открытии писем, приходящих на email;
- во время перехода по ссылкам;
- при открытии съемных носителей информации.
При организации информационной защиты требуется комплексный подход, учитывающий аппаратную, программную составляющие и обязательное обучение персонала. Только в этом случае можно противостоять угрозам из виртуального пространства и не допустить утечки информации.
Работы по обеспечению сохранности данных, по исключению потери доступа и предотвращению проникновения третьих лиц в систему включают:
- автоматический тайм-аут терминала пользователя, в случае открытия при длительном неиспользовании необходимо введение идентификации и пароля;
- автоматическое отключение идентификатора, если наблюдается введение ряда неверных паролей;
- разработка политики безопасности с определением прав сотрудников при доступе к ПДн;
- обучение персонала и информирование его об обязанностях и возможных последствиях нарушений политики;
- обеспечение сотрудникам, отвечающим за безопасность, доступа к ПДн;
- контроль доступа к определенным областям системы обработки персональной информации.
Планирование защитных мероприятий основывается на анализе ресурсов компании и целей, поставленных заказчиком, и заканчивается проверкой работоспособности настроенного оборудования и алгоритмов.
Помимо виртуальной, необходима и защита информации на физическом уровне. Должны обеспечиваться ограничения на доступ в серверную либо проверяться надежность облачного провайдера.
На работодателя накладывается ответственность по обеспечению защиты ПДн, в противном случае Роскомнадзором вводятся штрафные санкции. Следование Положению о защите персональных данных снижает риск штрафов и санкций на должностных лиц, отвечающих за работу с информацией.
Запрещено работать или получать данные, не относящиеся к трудовой деятельности. Под персональными данными следует понимать любую информацию о сотруднике!
При разработке Положения, учитывающего требования по обработке и защите ПДн, пользуются следующим алгоритмом:
- определить, какие именно данные будут использованы;
- утвердить способы сбора информации;
- определить методы для обработки информации;
- разработать правила для хранения ПДн.
В соответствии с Федеральным законом 152-ФЗ в каждой компании, работающей с персональными данными, назначается ответственное за работу лицо. Чаще всего им становится сотрудник, имеющий доступ к документации отдела кадров или клиентской базе. Сотрудник, отвечающий за защиту ПДн, должен пройти теоретическую и практическую подготовку.
Если организация обработки и защиты ПДн выполняется профессионалами, то это является гарантией эффективного решения поставленных задач в сфере безопасности.
Подробнее: https://integrus.ru/blog/it-decisions/organizatsiya-obrabotki-zashhity-dannyh-na-predpriyatii.html