Найти в Дзене
Информационная безопасность - кратко

152-ФЗ и как его соблюдать?

1
2 мин
Оглавление

В этой статье расскажем, как соответствовать закону, но чтобы информационная система работала и функционировала безопасно.

Термины:

· Персданные - Персональные данные

· ПДн - персональные данные

· ИСПДн - Информационная система персональных данных

Что такое и из чего состоит 152-ФЗ?

Закон об обработке данных, распространяется на коммерческие и государственные организации, которые работают с персональными данными. Не действует на физических лиц. Предприятие пользующееся данными называется – оператором данных(Операторы ПДн)

В закон входят такие понятия взаимодействия с данными как:

  • Обработка
  • Хранение
  • Обновление
  • Удаление
  • Обезличивание
  • Блокирование
  • Передача
  • Сбор

Что делать для соблюдения закона?

  1. Определиться с уровнем защищённости, а именно, как защищать вашу информационную систему
  2. Обработка ПДн без средств автоматизации – В случае если персональные данные хранятся на бумаге и хранятся в сейфе.
  3. Определить типы угроз
  4. Выполнять приказы Роскомнадзора, которые располагаются у них на сайте.

Кто проверяет требование закона 152-ФЗ?

  • Роскомнадзор - Ведёт реестр операторов ПДн и проводит проверки.
  • ФСТЭК России – сосредоточены на гос. компаниях, однако могут наведаться к коммерческим исполнителям по указу Роскомнадзора.
  • ФСБ России – занимаются лицензиатами по криптографии, роскомнадзор может привлечь их к проверке в случае если оператор ПДн пользуется криптографией.

Как выполнить требования 152-ФЗ?

  • Использовать средства защиты
  • Грамотно эксплуатировать систему, проводить ежегодные аудиты.

Что такое уровни защищённости персональных данных?

Уровень защищенности персональных данных – показатель, который характеризует требования, нейтрализирующие определенные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.

Все компании обрабатывают разные персональные данные, а именно такие как:

  • Специальные(Медицинская информация)
  • Биометрические(Биологические особенности человека: Снимок сечатки глаза, отпечаток пальца)
  • Общедоступные(номер бумажного телефона в справочнике)
  • Иные(ФИО, семейное положение)

УЗ зависит:

  • Типы персданных(Сотрудников, контрагентов и.т.д)
  • Кому они принадлежат
  • Сколько их – больше 100000 или меньше
  • Типы угроз для ИСПДн.

Какие типы угроз бывают?

  1. Закладки в системном ПО. Всё что относится операционной памяти и.т.д.
  2. Закладки в прикладном ПО. Всё что входит в пакет офисных приложений, или системы управления базами данных.
  3. Все остальные угрозы. – именно эти угрозы нужно учитывать в первую очередь, так как первые два пункта маловероятны для обычной организации, которая не работает со специальными данными.

Почему важно определить тип угроз?

Это важно, так как содержание информационной системы от типа угроз будет стоить либо дороже, либо дешевле, так как список средств защиты нужных для поддержания системы разительно отличается.

Как понять свой тип угроз?

Если вы не обрабатываете специализированные персданные, а биометрические и иные, то вам подходит третий тип угроз.

Если вы испытываете трудности, то специалисты сервиса контур могут помочь вам, например провести аудит ИСПДН и не только.

Видео, в котором разъясняется всё подробнее.