Обеспечение защиты персональных данных (ПДн)

Защита персональных данных — это комплекс действий, необходимых для сохранения конфиденциальности, целостности и доступности персональной информации с целью предотвращения её утечки, несанкционированного использования и внесения изменений.

Персональные данные — это информация, прямо или косвенно способствующая идентификации человека. В Российской Федерации к таким данным относятся, например:

  • полное имя (фамилия, имя, отчество);
  • дата и место рождения;
  • адрес проживания;
  • семейное положение;
  • информация об образовании;
  • контактные данные (номер телефона, адрес электронной почты, аккаунты в мессенджерах и социальных сетях, адреса персональных веб-сайтов);
  • фотографии и видеозаписи с изображением лица человека, запись голоса, отпечатки пальцев;
  • паспортные данные, СНИЛС, ИНН;
  • занимаемая должность;
  • информация о доходах и имущественном положении.

Персональные данные имеют следующую классификацию:

  • Общедоступные. Информация, распространяемая непосредственно самим субъектом, либо с его письменного согласия.
  • Специальные. Информация о принадлежности к этническим группам и расе, об идеологических и политических предпочтениях, вероисповедании, а также интимной жизни. К этой категории также относятся данные истории болезней, состояния здоровья, медицинских процедур.
  • Биометрические. Информация, полученная в результате специфической обработки биологических характеристик человека. Например, слепок лица или отпечатки пальцев, параметры роста и веса, слепок голоса.
  • Иные. К этой категории относится информация, которая не попадает под другие виды (например, ФИО, паспортные данные, образование, принадлежность к определённой социальной группе, корпоративные данные и др.).

Стоит отметить, что пока субъект не дал своего письменного согласия на распространение персональных данных, они не являются общедоступными. Например, данные о ФИО субъекта не являются «биометрическими» или «специальными», а без письменного согласия не относятся к «общедоступным» данным, в этом случае данные можно отнести только к категории «иные».

Классификация персональной информации позволяет более точно определить меры информационной защиты, необходимые для разных типов данных. Общедоступные данные требуют одного уровня защиты ПДн, в то время как специальные и биометрические — нуждаются в дополнительных мерах информационной безопасности из-за их чувствительного характера.

Зачем и когда нужно защищать персональные данные

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» накладывает на организации требование соблюдать строгие правила в области обработки и защиты персональных данных (ПДн). Несоблюдение этого требования влечёт за собой значительные штрафы и юридические последствия.

Защита персональных данных направлена на обеспечение их конфиденциальности, то есть предотвращение утечки информации, несанкционированного доступа к ней и компрометации через кибератаки или ошибки в системе безопасности.

Также она направлена на поддержание целостности персональных данных, то есть предотвращение внесения в них изменений без соответствующего разрешения.

Защита персональных данных также обеспечивает их доступность. Это означает, что уполномоченные лица могут получить к ним доступ тогда, когда это необходимо.

Несанкционированное использование персональной информации или её утечка может серьёзно подорвать репутацию организации, привести к потере доверия со стороны контрагентов и партнёров, что, в свою очередь, отрицательно скажется на бизнесе и конкурентных преимуществах.

Управление рисками также играет значительную роль, поскольку защищённость персональной информации сокращает число успешных кибератак, внутренних утечек и других угроз. Это способствует стабильности и безопасности бизнеса.

Также компании, осуществляющие сбор, обработку и защиту персональных данных, несут этическую ответственность, что важно в контексте доверия к организации.

Основные сценарии, когда необходимо обеспечить безопасность персональных данных:

  • Сбор персональной информации через веб-сайты, формы, анкетирование или другие ресурсы.
  • Обработка персональной информации, будь то на уровне хранения, анализа или использования для маркетинговых целей.
  • Передача персональной информации третьим лицам, партнёрам или внутри организации между различными подразделениями.
  • Завершение обработки персональных данных или истечение срока их хранения.
  • Ограничение доступа к персональным данным.

Защита персональных данных — это не только требование законодательства, но и важный элемент стратегического управления и корпоративной культуры в современной цифровой экономике.

Примеры

Ниже приводятся несколько примеров нарушения безопасности персональных данных, чтобы лучше понять природу таких угроз и важность мер для их предотвращения.

Нарушение целостности персональных данных:

  • Киберпреступник, получив доступ к банковской информационной системе, может изменить номер банковского счёта в транзакции, перенаправив средства на свой счёт вместо предназначенного получателя. Это не только нарушит целостность данных, но и может привести к серьёзным финансовым потерям. Подделка документов, таких как удостоверение личности или финансовые отчёты, также нарушает целостность данных, делая их недостоверными и опасными для использования.
  • Во время передачи данных по сети могут возникать ошибки, приводящие к случайному изменению или повреждению информации. Например, неисправность жёсткого диска может привести к искажению данных или полностью сделать их недоступными.
  • Средства массовой информации могут преднамеренно дезинформировать целевую аудиторию для манипуляции общественным мнением. Это нарушает целостность предоставляемых данных и может существенно повлиять на общественные настроения и решения.

Нарушение доступности персональных данных:

  • Злоумышленник, используя уязвимость в веб-приложении, может внедрить вредоносный SQL-код. В результате это приведет к блокировке доступа к базе данных или даже к её разрушению. Пользователи не смогут получить доступ к своей персональной информации до тех пор, пока база данных не будет восстановлена или защищена от подобных атак.
  • В результате целенаправленной атаки злоумышленник может получить доступ к конфиденциальным данным, хранящимся в облачных информационных системах, и изменить права доступа таким образом, что законные пользователи потеряют возможность доступа к своим данным. Например, зашифровать их с последующим требованием выкупа за их восстановление.
  • При передаче данных через ненадёжные или незащищённые сети, такие как общественные Wi-Fi-сети, могут возникать ошибки, которые способны привести к повреждению или потере данных. Например, если файл с персональной информацией передаётся через сеть с высоким уровнем шума и без надлежащего шифрования, данные могут быть частично или полностью утеряны, что нарушит их доступность.

Нарушение конфиденциальности персональных данных:

  • Злоумышленники могут отправить жертве электронное письмо или сообщение, маскирующееся под официальное, например от банка или другой доверенной организации. В письме будет содержаться ссылка на поддельный веб-сайт, где жертву попросят ввести свои личные данные, такие как логин, пароль или банковские реквизиты. Когда жертва введёт эту информацию, злоумышленники получат к ней доступ.
  • Устройство, содержащее конфиденциальные персональные данные клиентов может быть потеряно или украдено. Если информация на этом устройстве не была зашифрована или защищена паролями, злоумышленники могут получить к ним доступ. В результате это приведёт к тому, что личные данные клиентов окажутся в руках тех, кто может использовать их для мошенничества или других злонамеренных целей
  • Неправильная утилизация документов, содержащих конфиденциальную информацию, может привести к утечке данных. Например, выброс медицинских карт, банковских выписок или иных документов в непредназначенных для этого местах, где злоумышленники могут получить к ним доступ и использовать в своих целях.

Как реализуется защита персональных данных в корпоративной среде

Реализация защиты ПДн в корпоративной среде включает в себя несколько ключевых этапов и мер:

  1. Прежде всего, необходимо провести независимый аудит текущих процессов обработки персональных данных и уже существующих мер защиты. Это даст возможность обнаружить слабые места и определить направления для улучшения.
  2. После аудита нужно провести классификацию информационных систем, обрабатывающих персональные данные. Это даст возможность установить приоритеты и разработать оптимальную стратегию защиты ПДн.
  3. Следующий важный этап — разработка и внедрение политики и процедур по защите персональных данных. В эту политику входят инструкции по управлению инцидентами безопасности, правила доступа к данным и меры по их защите. Обучение сотрудников основам информационной и кибербезопасности, а также правильному обращению с персональными данными также играет важную роль.

Меры по обеспечению защиты персональных данных

Технические меры по защите персональных данных включают различные технологии и процессы, которые помогают предотвратить несанкционированный доступ, утечку, изменение и уничтожение данных. Основные из них: межсетевое экранирование, антивирусная защита, шифрование данных, многофакторная аутентификация и системы мониторинга безопасности.

Межсетевое экранирование и антивирусная защита фильтруют трафик и предотвращают внедрение вредоносных программ, в то время как шифрование данных защищает информацию при её передаче и хранении. Многофакторная аутентификация добавляет дополнительные уровни безопасности, требуя от пользователя данные для доступа к информационной среде. Системы мониторинга безопасности собирают и анализируют данные с различных источников для выявления подозрительной активности и быстрого реагирования на инциденты.

Организационные меры включают регулярные аудиты и проверки безопасности для выявления уязвимостей и обеспечения эффективности мер защиты. Ведение детализированных журналов операций с персональными данными является важным элементом, который помогает выявлять попытки несанкционированного доступа и предпринимать соответствующие меры. Ещё одной важной организационной мерой является контроль доступа к персональным данным. Он предоставляется только тем сотрудникам, которым это необходимо для выполнения их рабочих обязанностей. Такая мера значительно снижает риск утечек и несанкционированного использования данных.

Резервное копирование и регулярное тестирование планов восстановления данных являются необходимыми мерами для обеспечения доступности и целостности информации в случае инцидентов. Консультации и поддержка по ведению документации и соответствию требованиям законодательства также помогают поддерживать высокий уровень защиты ПДн.

Таким образом, комплексный подход к защите персональной информации заключается в проведении как технических, так и организационных мер, а также резервного копирования. Эти меры направлены на обеспечение конфиденциальности, доступности и целостности личных данных в соответствии с нормативными требованиями российского законодательства.

Как ИТ-компания «Азон» обеспечивает защиту персональных данных

В своей деятельности «Азон» применяет системный подход к защите данных, который включает проведение независимого аудита для оценки текущих процессов обработки данных и выявления существующих мер и средств защиты. Это позволяет оптимизировать защиту данных посредством классификации информационных систем, работающих с персональными данными.

Кроме того, «Азон» разрабатывает стратегии и планы мероприятий для создания устойчивой системы защиты ПДн, формирует полный комплект документов, соответствующих законодательным требованиям, и обеспечивает внедрение сертифицированных ФСТЭК и ФСБ России средств защиты информации.

Для сохранения необходимого уровня защиты компания также настраивает и регулярно обслуживает средства защиты данных, а также предлагает комплексные услуги по созданию и интеграции систем защиты персональных данных, оказывает помощь в ведении документооборота.

Преимущества ИТ-компании «Азон»:

  • успешная сертификация ФСТЭК и ФСБ России, которая позволяет вести деятельность в области информационной безопасности и работать со специализированными криптографическими средствами защиты данных;
  • партнёрство с ведущими отечественными разработчиками средств защиты информации;
  • квалифицированные эксперты в штате компании;
  • регламентированные условия и фиксированная стоимость оказанных услуг;
  • способность разрабатывать типовые решения и находить индивидуальные подходы к уникальным потребностям клиентов.

Получить консультацию

Отправьте описание задачи, в решении которой нуждается ваша организация, и мы предложим возможные варианты её решения с учётом ваших возможностей.