Обеспечение защиты персональных данных (ПДн)
Защита персональных данных — это комплекс действий, необходимых для сохранения конфиденциальности, целостности и доступности персональной информации с целью предотвращения её утечки, несанкционированного использования и внесения изменений.
Персональные данные — это информация, прямо или косвенно способствующая идентификации человека. В Российской Федерации к таким данным относятся, например:
- полное имя (фамилия, имя, отчество);
- дата и место рождения;
- адрес проживания;
- семейное положение;
- информация об образовании;
- контактные данные (номер телефона, адрес электронной почты, аккаунты в мессенджерах и социальных сетях, адреса персональных веб-сайтов);
- фотографии и видеозаписи с изображением лица человека, запись голоса, отпечатки пальцев;
- паспортные данные, СНИЛС, ИНН;
- занимаемая должность;
- информация о доходах и имущественном положении.
Персональные данные имеют следующую классификацию:
- Общедоступные. Информация, распространяемая непосредственно самим субъектом, либо с его письменного согласия.
- Специальные. Информация о принадлежности к этническим группам и расе, об идеологических и политических предпочтениях, вероисповедании, а также интимной жизни. К этой категории также относятся данные истории болезней, состояния здоровья, медицинских процедур.
- Биометрические. Информация, полученная в результате специфической обработки биологических характеристик человека. Например, слепок лица или отпечатки пальцев, параметры роста и веса, слепок голоса.
- Иные. К этой категории относится информация, которая не попадает под другие виды (например, ФИО, паспортные данные, образование, принадлежность к определённой социальной группе, корпоративные данные и др.).
Стоит отметить, что пока субъект не дал своего письменного согласия на распространение персональных данных, они не являются общедоступными. Например, данные о ФИО субъекта не являются «биометрическими» или «специальными», а без письменного согласия не относятся к «общедоступным» данным, в этом случае данные можно отнести только к категории «иные».
Классификация персональной информации позволяет более точно определить меры информационной защиты, необходимые для разных типов данных. Общедоступные данные требуют одного уровня защиты ПДн, в то время как специальные и биометрические — нуждаются в дополнительных мерах информационной безопасности из-за их чувствительного характера.
Зачем и когда нужно защищать персональные данные
Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» накладывает на организации требование соблюдать строгие правила в области обработки и защиты персональных данных (ПДн). Несоблюдение этого требования влечёт за собой значительные штрафы и юридические последствия.
Защита персональных данных направлена на обеспечение их конфиденциальности, то есть предотвращение утечки информации, несанкционированного доступа к ней и компрометации через кибератаки или ошибки в системе безопасности.
Также она направлена на поддержание целостности персональных данных, то есть предотвращение внесения в них изменений без соответствующего разрешения.
Защита персональных данных также обеспечивает их доступность. Это означает, что уполномоченные лица могут получить к ним доступ тогда, когда это необходимо.
Несанкционированное использование персональной информации или её утечка может серьёзно подорвать репутацию организации, привести к потере доверия со стороны контрагентов и партнёров, что, в свою очередь, отрицательно скажется на бизнесе и конкурентных преимуществах.
Управление рисками также играет значительную роль, поскольку защищённость персональной информации сокращает число успешных кибератак, внутренних утечек и других угроз. Это способствует стабильности и безопасности бизнеса.
Также компании, осуществляющие сбор, обработку и защиту персональных данных, несут этическую ответственность, что важно в контексте доверия к организации.
Основные сценарии, когда необходимо обеспечить безопасность персональных данных:
- Сбор персональной информации через веб-сайты, формы, анкетирование или другие ресурсы.
- Обработка персональной информации, будь то на уровне хранения, анализа или использования для маркетинговых целей.
- Передача персональной информации третьим лицам, партнёрам или внутри организации между различными подразделениями.
- Завершение обработки персональных данных или истечение срока их хранения.
- Ограничение доступа к персональным данным.
Защита персональных данных — это не только требование законодательства, но и важный элемент стратегического управления и корпоративной культуры в современной цифровой экономике.
Примеры
Ниже приводятся несколько примеров нарушения безопасности персональных данных, чтобы лучше понять природу таких угроз и важность мер для их предотвращения.
Нарушение целостности персональных данных:
- Киберпреступник, получив доступ к банковской информационной системе, может изменить номер банковского счёта в транзакции, перенаправив средства на свой счёт вместо предназначенного получателя. Это не только нарушит целостность данных, но и может привести к серьёзным финансовым потерям. Подделка документов, таких как удостоверение личности или финансовые отчёты, также нарушает целостность данных, делая их недостоверными и опасными для использования.
- Во время передачи данных по сети могут возникать ошибки, приводящие к случайному изменению или повреждению информации. Например, неисправность жёсткого диска может привести к искажению данных или полностью сделать их недоступными.
- Средства массовой информации могут преднамеренно дезинформировать целевую аудиторию для манипуляции общественным мнением. Это нарушает целостность предоставляемых данных и может существенно повлиять на общественные настроения и решения.
Нарушение доступности персональных данных:
- Злоумышленник, используя уязвимость в веб-приложении, может внедрить вредоносный SQL-код. В результате это приведет к блокировке доступа к базе данных или даже к её разрушению. Пользователи не смогут получить доступ к своей персональной информации до тех пор, пока база данных не будет восстановлена или защищена от подобных атак.
- В результате целенаправленной атаки злоумышленник может получить доступ к конфиденциальным данным, хранящимся в облачных информационных системах, и изменить права доступа таким образом, что законные пользователи потеряют возможность доступа к своим данным. Например, зашифровать их с последующим требованием выкупа за их восстановление.
- При передаче данных через ненадёжные или незащищённые сети, такие как общественные Wi-Fi-сети, могут возникать ошибки, которые способны привести к повреждению или потере данных. Например, если файл с персональной информацией передаётся через сеть с высоким уровнем шума и без надлежащего шифрования, данные могут быть частично или полностью утеряны, что нарушит их доступность.
Нарушение конфиденциальности персональных данных:
- Злоумышленники могут отправить жертве электронное письмо или сообщение, маскирующееся под официальное, например от банка или другой доверенной организации. В письме будет содержаться ссылка на поддельный веб-сайт, где жертву попросят ввести свои личные данные, такие как логин, пароль или банковские реквизиты. Когда жертва введёт эту информацию, злоумышленники получат к ней доступ.
- Устройство, содержащее конфиденциальные персональные данные клиентов может быть потеряно или украдено. Если информация на этом устройстве не была зашифрована или защищена паролями, злоумышленники могут получить к ним доступ. В результате это приведёт к тому, что личные данные клиентов окажутся в руках тех, кто может использовать их для мошенничества или других злонамеренных целей
- Неправильная утилизация документов, содержащих конфиденциальную информацию, может привести к утечке данных. Например, выброс медицинских карт, банковских выписок или иных документов в непредназначенных для этого местах, где злоумышленники могут получить к ним доступ и использовать в своих целях.
Как реализуется защита персональных данных в корпоративной среде
Реализация защиты ПДн в корпоративной среде включает в себя несколько ключевых этапов и мер:
- Прежде всего, необходимо провести независимый аудит текущих процессов обработки персональных данных и уже существующих мер защиты. Это даст возможность обнаружить слабые места и определить направления для улучшения.
- После аудита нужно провести классификацию информационных систем, обрабатывающих персональные данные. Это даст возможность установить приоритеты и разработать оптимальную стратегию защиты ПДн.
- Следующий важный этап — разработка и внедрение политики и процедур по защите персональных данных. В эту политику входят инструкции по управлению инцидентами безопасности, правила доступа к данным и меры по их защите. Обучение сотрудников основам информационной и кибербезопасности, а также правильному обращению с персональными данными также играет важную роль.
Меры по обеспечению защиты персональных данных
Технические меры по защите персональных данных включают различные технологии и процессы, которые помогают предотвратить несанкционированный доступ, утечку, изменение и уничтожение данных. Основные из них: межсетевое экранирование, антивирусная защита, шифрование данных, многофакторная аутентификация и системы мониторинга безопасности.
Межсетевое экранирование и антивирусная защита фильтруют трафик и предотвращают внедрение вредоносных программ, в то время как шифрование данных защищает информацию при её передаче и хранении. Многофакторная аутентификация добавляет дополнительные уровни безопасности, требуя от пользователя данные для доступа к информационной среде. Системы мониторинга безопасности собирают и анализируют данные с различных источников для выявления подозрительной активности и быстрого реагирования на инциденты.
Организационные меры включают регулярные аудиты и проверки безопасности для выявления уязвимостей и обеспечения эффективности мер защиты. Ведение детализированных журналов операций с персональными данными является важным элементом, который помогает выявлять попытки несанкционированного доступа и предпринимать соответствующие меры. Ещё одной важной организационной мерой является контроль доступа к персональным данным. Он предоставляется только тем сотрудникам, которым это необходимо для выполнения их рабочих обязанностей. Такая мера значительно снижает риск утечек и несанкционированного использования данных.
Резервное копирование и регулярное тестирование планов восстановления данных являются необходимыми мерами для обеспечения доступности и целостности информации в случае инцидентов. Консультации и поддержка по ведению документации и соответствию требованиям законодательства также помогают поддерживать высокий уровень защиты ПДн.
Таким образом, комплексный подход к защите персональной информации заключается в проведении как технических, так и организационных мер, а также резервного копирования. Эти меры направлены на обеспечение конфиденциальности, доступности и целостности личных данных в соответствии с нормативными требованиями российского законодательства.
Как ИТ-компания «Азон» обеспечивает защиту персональных данных
В своей деятельности «Азон» применяет системный подход к защите данных, который включает проведение независимого аудита для оценки текущих процессов обработки данных и выявления существующих мер и средств защиты. Это позволяет оптимизировать защиту данных посредством классификации информационных систем, работающих с персональными данными.
Кроме того, «Азон» разрабатывает стратегии и планы мероприятий для создания устойчивой системы защиты ПДн, формирует полный комплект документов, соответствующих законодательным требованиям, и обеспечивает внедрение сертифицированных ФСТЭК и ФСБ России средств защиты информации.
Для сохранения необходимого уровня защиты компания также настраивает и регулярно обслуживает средства защиты данных, а также предлагает комплексные услуги по созданию и интеграции систем защиты персональных данных, оказывает помощь в ведении документооборота.
Преимущества ИТ-компании «Азон»:
- успешная сертификация ФСТЭК и ФСБ России, которая позволяет вести деятельность в области информационной безопасности и работать со специализированными криптографическими средствами защиты данных;
- партнёрство с ведущими отечественными разработчиками средств защиты информации;
- квалифицированные эксперты в штате компании;
- регламентированные условия и фиксированная стоимость оказанных услуг;
- способность разрабатывать типовые решения и находить индивидуальные подходы к уникальным потребностям клиентов.
Получить консультацию
Отправьте описание задачи, в решении которой нуждается ваша организация, и мы предложим возможные варианты её решения с учётом ваших возможностей.