Система защиты персональных данных - это совокупность мер, направленных на обеспечение сохранности и безопасности персональных данных. Она охватывает как организационные, так и технические аспекты защиты персональных данных.
Система защиты персональных данных разрабатывается в соответствии с требованиями к защите персональных данных, утвержденными постановлением Правительства Российской Федерации от 01.11.2012 №1119. Ее целью является нейтрализация актуальных угроз безопасности персональных данных.
Безопасность персональных данных в процессе их обработки в информационной системе персональных данных (ИСПДн) обеспечивается благодаря системе защиты, которая эффективно нейтрализует угрозы, определенные в части 5 статьи 19 Федерального закона "О персональных данных".
Согласно части 5 статьи 19 этого закона, федеральные органы исполнительной власти, ответственные за выработку государственной политики и нормативно-правовое регулирование в своей сфере, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов и иные государственные органы (органы государственной власти) в пределах своих полномочий принимают нормативные правовые акты, определяющие актуальные угрозы безопасности персональных данных, которые могут возникнуть при их обработке в ИСПДн, используемых в соответствующих сферах деятельности. Эти угрозы учитывают содержание персональных данных, характер и способы их обработки.
Таким образом, под системой защиты персональных данных следует понимать комплекс мер, направленных на нейтрализацию угроз, определенных нормативным правовым актом об определении угроз безопасности персональных данных, актуальных для обработки персональных данных в ИСПДн, которые используются в областях, регулируемых органами государственной власти.
Компоненты системы защиты персональных данных
Система защиты персональных данных представляет собой комплекс мер, включающий организационные и технические меры
Организационные меры
- Политика защиты данных: Документ, определяющий правила использования, обработки и хранения персональной информации. Это фундаментальный документ, регламентирующий все аспекты работы с персональными данными внутри организации.
- Обучение сотрудников: Регулярные тренинги, направленные на повышение осведомленности сотрудников о правилах работы с персональными данными и процедурах обеспечения безопасности.
- Контроль доступа: Разграничение доступа к информации в зависимости от должностных обязанностей сотрудников. Это включает использование ролевых моделей, паролей и двухфакторной аутентификации (2FA) для дополнительной защиты. Регулярное обновление паролей – обязательная мера.
Технические меры
- Шифрование: Защита данных как в хранилищах, так и при передаче по сетям (в том числе открытым). Это критически важный аспект, предотвращающий доступ к данным в случае компрометации.
- Мониторинг и анализ: Системы, отслеживающие активность в ИСПДн для выявления аномалий и попыток несанкционированного доступа. Это позволяет оперативно реагировать на угрозы.
- Обновление ПО: Регулярное обновление программного обеспечения и установка патчей безопасности для устранения известных уязвимостей. Это одна из самых важных мер профилактической защиты.
- Резервное копирование: Регулярное создание резервных копий данных для минимизации рисков потери информации и обеспечения быстрого восстановления после инцидентов.
Правовая база
- Федеральный закон "О персональных данных": Основной нормативный акт, регулирующий обработку и защиту персональных данных в России. Часть 5 статьи 19 этого закона делегирует федеральным органам исполнительной власти определение актуальных угроз безопасности персональных данных для различных сфер деятельности.
- Постановление Правительства РФ № 1119 от 01.11.2012: Устанавливает требования к защите персональных данных при их обработке в ИСПДн. Определяет уровни защищенности и требования к их обеспечению.
- Приказы ФСБ России и ФСТЭК России: Регламентируют выбор средств защиты информации, включая средства криптографической защиты информации (СКЗИ). Приказ ФСБ России №378 от 10.07.2014 определяет требования к СКЗИ, а приказ ФСТЭК России №21 от 18.02.2013 – к другим средствам защиты.
Определение угроз и уровней защищенности
Актуальные угрозы, нейтрализуемые системой защиты персональных данных
Система защиты персональных данных призвана противостоять реальным опасностям, которые могут возникнуть в процессе их обработки в ИСПДн.
Под актуальными угрозами безопасности персональных данных подразумевается совокупность условий и факторов, создающих риск несанкционированного доступа к информации, что может привести к ее уничтожению, изменению, блокированию, копированию, предоставлению или распространению, а также к другим неправомерным действиям.
Выделяют три типа угроз, в зависимости от наличия или отсутствия недокументированных возможностей (НДВ) в программном обеспечении, используемом в ИСПДн:
- Угрозы 1-го типа: связаны с наличием НДВ в системном программном обеспечении, которое применяется в ИСПДн.
- Угрозы 2-го типа: связаны с НДВ в прикладном программном обеспечении, также используемом в ИСПДн.
- Угрозы 3-го типа: не зависят от наличия НДВ в программном обеспечении.
Определение типа актуальных угроз для конкретной ИСПДн осуществляется с учетом оценки возможного вреда, проведенной в соответствии с пунктом 5 части 1 статьи 18.1 Федерального закона "О персональных данных", а также нормативных правовых актов, принятых в рамках части 5 статьи 19 этого же закона.
Уровень защищенности персональных данных
Система защиты персональных данных должна гарантировать определенный уровень их защищенности.
Под уровнем защищенности понимается совокупность требований, выполнение которых позволяет нейтрализовать конкретные угрозы безопасности данных в процессе их обработки в ИСПДн.
Оценка уровня защищенности персональных данных в ИСПДн осуществляется в соответствии с требованиями, утвержденными постановлением Правительства Российской Федерации от 01.11.2012 №1119, и должна быть ориентирована на нейтрализацию актуальных угроз безопасности.
Выбор средств защиты информации для системы защиты персональных данных
При выборе средств защиты информации для системы защиты персональных данных оператор руководствуется нормативными правовыми актами, принятыми ФСБ России и ФСТЭК России в соответствии с частью 4 статьи 19 Федерального закона "О персональных данных".
Выбор СКЗИ для системы защиты персональных данных
Выбор СКЗИ для системы защиты персональных данных осуществляется на основе приказа ФСБ России от 10.07.2014 №378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
Выбор других средств защиты информации (за исключением СКЗИ)
Выбор других средств защиты информации, не относящихся к СКЗИ, производится в соответствии с приказом ФСТЭК России от 18.02.2013 №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
Ответственность оператора
Оператор персональных данных может самостоятельно разработать и внедрить систему защиты, либо передать эту функцию на аутсорсинг. Однако в любом случае ответственность за соблюдение законодательства и обеспечение безопасности персональных данных лежит на операторе.
