Создание систем защиты персональных данных

Что такое система защиты персональных данных

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (152-ФЗ) – основной нормативный акт в области охраны персональных данных (ПДн) граждан. Он устанавливает, что операторы, работающие с ПДн, обязаны гарантировать их безопасность.

Согласно Требований к защите ПДн при их обработке в информационных системах персональных данных (ИСПДн), утвержденных Постановлением Правительства РФ от 01.11.2012 № 1119, гарантия безопасности ПДн в процессе обработки реализуется при помощи системы защиты персональных данных (СЗПДн). Она должна противодействовать угрозам, перечисленным в ч.5 ст.19 152-ФЗ.

Для обеспечения сохранности конфиденциальной информации применяется комплекс мер и технологий, который включает:

• подготовленных специалистов, имеющих квалификацию в области технической защиты информации;
• организационно-распорядительную документацию по защите ПДн (приказы, положения, инструкции пользователям);
• сертифицированные средства защиты информации (СЗИ) для защиты от вторжений и вирусов.

Количество угроз постоянно растет, они эволюционируют, что требует регулярного обновления защитных протоколов. Система защиты ПДн может быть реализована различными способами в зависимости от нужд и особенностей организации и должна находиться под постоянным контролем со стороны специалистов по информационной безопасности.

Где и кому необходимо применение и внедрение СЗПДн

152-ФЗ распространяется на все субъекты, которые осуществляют сбор, обработку и передачу ПДн - как на юридические, так и на частные лица. Это банки, медицинские учреждения, государственные органы, онлайн-сервисы, интернет-магазины и другие, работающие с конфиденциальными данными клиентов.

Внедрение СЗПДн необходимо:

• для обеспечения сохранности ПДн от кибератак, утечек информации, недопущения нарушения прав человека на приватность личной информации;
• для соответствия нормативным требованиям;
• чтобы избежать штрафных санкций при проведении инспекций контролирующих органов.

Требования, специфика и порядок разработки СЗПДн

Основные требования по созданию СЗПДн включают поддержку конфиденциальности, целостности, доступности данных, их защиту от распространения, модификации и уничтожения.

Мероприятия, которые требуется проводить оператору, зависят от уровня защищённости (УЗ) ПДн. Он устанавливается на основе категории личной информации, существующих угроз, способа коммуникации с владельцами ПДн и количества обрабатываемых сведений. Кроме того, СЗПДн должна быть гибкой и масштабируемой, учитывая возможные изменения в законодательстве и бизнес-процессах компании.

Порядок создания СЗПДн следующий.

Формирование требований к СЗПДн

На этом этапе проводится обследование объектов информатизации (ОИ). Нужно получить актуальную информацию о процессах обработки и защиты ПДн в организации по всем ИСПДн:

• функции, условия работы, расположение;
• характеристики комплекса технических средств (серверов, автоматизированных рабочих мест, другого оборудования);
• актуальные угрозы безопасности данных;
• возможные уязвимости.

По итогам обследования составляется:

• отчет об обследовании;
• модель угроз;
• акт определения класса защищенности;
• акт определения УЗ.

Разработка проектных решений СЗПДн

Для выполнения работ по созданию СЗПДн разрабатывается Техническое задание (ТЗ) с учётом требований законодательства по безопасности ПДн. В нем должны быть определены СЗИ, которые обеспечивают:

• проверку подлинности пользователей;
• ограничение программной среды;
• мониторинг инцидентов безопасности;
• защиту от вредоносного ПО;
• систему выявления и блокировки атак;
• оценку уровня защищенности ПДн;
• поддержку работоспособности и доступа к ИСПДн;
• обеспечение безопасности виртуальной среды, оборудования и коммуникационных каналов;
• управление конфигурацией СЗПДн.

Оснащение средствами защиты

В ТЗ на СЗПДн указываются конкретные СЗИ, которые нужно приобрести. Важно обеспечить совместимость этих защитных механизмов с программным обеспечением и оборудованием ИСПДн. Все средства должны иметь соответствующие сертификаты от регулирующих органов в сфере информационной безопасности.

Внедрение и поддержка СЗПДн

После тестирования СЗПДн наступает этап ее внедрения. Этот этап состоит из установки и конфигурирования всех компонентов системы безопасности, описанных в проектной документации, включая аппаратные, программные и комбинированные решения.

Внедрение СЗПДн

Выполняются следующие работы:

• разработка рабочей документации, в том числе эксплуатационной;
• обучение сотрудников, ответственных за обработку данных, по правилам и процедурам безопасной работы с информацией;
• создание механизмов для контроля и мониторинга доступа к данным;
• запуск процессов резервного копирования данных;
• пусконаладочные работы.

Оценка эффективности СЗПДн

Разработанная система защиты ПДн проходит тестирование согласно установленному протоколу проверок.

Проводятся поочередно:

• предварительные испытания;
• опытная эксплуатация;
• приёмочные испытания.

После успешного прохождения этого этапа система может быть введена в промышленную эксплуатацию.

Поддержка СЗПДн

Чтобы гарантировать актуальность системы защиты персональных данных, регулярно проводятся следующие мероприятия:

• обновление и мониторинг системы;
• обнаружение и устранение уязвимостей;
• анализ инцидентов и срочное реагирование на возможные угрозы;
• поддержание в актуальном состоянии документации.

Регулярное проведение проверок и контрольных мероприятий помогает обеспечивать защиту и конфиденциальность личной информации на должном уровне.

Преимущества обращения в УЦ ПРОФИ

Наличие в организации даже одной ИСПДн требует создания СЗПДн. Для это необходимо разработать комплекты документации (регламенты, политики, инструкции, журналы учета и др.), внедрить защитные технологии, провести оценку их эффективности.

Наша компания специализируется на разработке и внедрении современных систем защиты данных. Мы имеем все необходимые лицензии регуляторов (ФСТЭК, ФСБ) и поставляем сертифицированные средства защиты, соответствующие законодательным требованиям.

Обратившись в Центр информационной безопасности УЦ ПРОФИ, вы получите надежного партнера в области кибербезопасности и защиты персональных данных.