Главная » Полезное

Средства защиты ПДн: что сегодня могут ИБ-решения

Полезное

В России в 2022 году количество утечек персональных данных достигло 667 миллионов записей, что превышает показатели предыдущего года почти в 2,7 раза. Специалисты отмечают, что в прошлом году наблюдалась тенденция к бесплатным сливам данных, без предпринимания попыток их продажи. Хотя человеческий фактор играет роль в росте утечек, не менее важен выбор средств защиты персональных данных. От этих выборов зависит уровень защищенности и надежности системы. Владимир Арышев, эксперт по комплексным проектам информационной безопасности в компании STEP LOGIC, рассказал о доступных на рынке решениях и особенностях их применения в настоящее время.

Какие виды защиты сейчас требуются от регуляторов? Как отвечает на эти требования отечественный информационно-безопасностной рынок России?

С технической стороны важно выполнение общих требований регулятора, направленных на обеспечение безопасности персональных данных, установленных Приказом ФСТЭК России от 18.02.2013 N 21. Однако, вызывает интерес вопрос о том, какие именно технические средства защиты могут быть использованы. Производители стремятся объединить различные функции в своем продукте, так как чем больше мер он предлагает, тем лучше для заказчика. Именно поэтому на рынке все чаще появляются комбинированные решения, например, межсетевой экран (МЭ) и система обнаружения вторжений (СОВ) в одном устройстве для сети или персональный межсетевой экран (МЭ), антивирусная защита (САВ), система обнаружения вторжений на уровне узла (СОВ) и средство контроля подключения съемных носителей информации (СКН), объединенные в едином программном обеспечении для конечного устройства.

Интересно отметить, что в данном документе не указано явное требование использовать специализированные средства защиты. В связи с этим, для некоторых мер могут применяться уже имеющиеся механизмы защиты системного или прикладного ПО (как это было указано в аналогичном приказе ФСТЭК по защите значимых объектов КИИ), например, управление доступом или регистрация событий безопасности. Однако, для других мер, таких как защита каналов связи или антивирусная защита, такой подход не может быть использован.

Средства защиты имеют разные требования в зависимости от категории и уровня защищенности персональных данных. А для выбора подходящих систем защиты информации (СЗИ) используется механизм сертификации, что значительно облегчает задачу заказчика. Если у продукта есть сертификат нужного уровня, значит его можно использовать для защиты персональных данных.

Какова ваша оценка отечественных приспособлений для предотвращения нелегального доступа, и какими из них вы лично пользуетесь?

– В нашем ассортименте представлено более 20 отечественных продуктов, которые обеспечивают защиту от несанкционированного доступа. Важно отметить, что они не только защищают персональные данные (не все из них обладают сертификатами ФСТЭК), но и обеспечивают комплексную информационную безопасность. Каждый из этих инструментов имеет свои особенности реализации и специфические возможности применения. При выборе системы защиты информации от несанкционированного доступа следует в первую очередь оценить функциональность защиты конечных устройств: способен ли продукт противостоять сетевым угрозам, анализирует ли он сетевой трафик на наличие вредоносного ПО, контролирует ли использование съемных носителей.

Важно отметить, что систему защиты от несанкционированного доступа можно усилить с помощью стандартных инструментов операционной системы и приложений. Рекомендуется использовать эти средства, но предварительно необходимо выполнить проверку их соответствия требованиям.

Каким образом можно выбрать наиболее подходящую систему межсетевого экранирования?

Сочетание межсетевого экранирования с «интеллектуальными» инспекциями трафика в одном шлюзе, также известном как NGFW (Next-Generation Firewall), является наиболее эффективным вариантом реализации. Входящие в состав NGFW функции включают межсетевой экран, систему обнаружения вторжений и контроль приложений. Кроме того, возможно добавление URL-фильтрации и встроенной антивирусной проверки трафика, а также отправка файлов на проверку в стороннее решение, которое эмулирует работу файлов в «песочнице». Трудно дать однозначный ответ на вопрос о том, что лучше, поскольку каждое решение имеет свои преимущества в различных ситуациях и в зависимости от требований заказчиков.

– Какие инструменты вы применяете для изучения безопасности ПДн (сканеры уязвимостей)?

Одним из ключевых критериев, определяющих эффективность сканера, является степень анализа безопасности. Она обозначает способность программного решения обнаруживать максимальное количество уязвимостей и оперативность обновления базы данных новыми сигнатурами уязвимостей.

Часто используется практика локализации ИСПДн в пределах отдельных или нескольких сетевых сегментов, что значительно упрощает выполнение требований регулятора в области безопасности данных. Для небольших сегментов рекомендуется использование обычных инструментов сканирования уязвимостей, а для больших инфраструктур мы предлагаем использовать системы управления уязвимостями, которые позволяют определить приоритеты уязвимостей и постоянно отслеживать уровень защиты данных.

Сейчас очень востребованы облачные сканеры уязвимостей. Их особенность заключается в том, что они проводят сканирование сети из интернета, то есть только внешней части, поэтому такие инструменты обычно не применяются для защиты персональных данных.

– Какую антивирусную программу вы предпочитаете использовать для защиты своего компьютера?

На данный момент очень актуальным является импортозамещение, которое предполагает перенос систем производителей IT-продуктов на различные платформы операционной системы Linux. Существуют два основных варианта миграции: поставка операционной системы и программного обеспечения в рамках одного образа виртуального аппарата или адаптация программного обеспечения для установки на платформе операционной системы Linux, особенно отечественной разработки и имеющей сертификат ФСТЭК. В связи с этим большим спросом пользуются антивирусные продукты, которые поддерживают работу с операционной системой Linux. Также очень важной является скорость обновления базы сигнатур новых вредоносных программ при выборе антивируса.

— Какие меры нужно принять для обеспечения безопасности персональных данных в виртуальной среде?

В нашей работе мы применяем одни и те же основные подходы для защиты как виртуальных сред, так и ИТ-инфраструктуры. Наша главная задача — обеспечить безопасность конечных узлов, то есть виртуальных машин, и контролировать трафик между ними с помощью микросегментации. Однако виртуальная инфраструктура имеет свои особенности, например, требует правильного разделения и контроля доступа к виртуальным машинам со стороны пользователей и администраторов виртуализации. Мы также обеспечиваем защиту гипервизора, который играет важную роль в работе виртуальной инфраструктуры. В крупномасштабных инфраструктурах мы используем шаблоны, так называемые «золотые образы», для создания виртуальных машин, и мы также контролируем их целостность, чтобы обеспечить безопасность всей системы.

Каким образом можно гарантировать полный подход к обеспечению безопасности информации о личных данных в организации, в соответствии с вашим советом?

– Встраивание в каждую из более чем 60 систем, представленных на рынке, может оказаться непосильным для нашего бюджета. Поэтому мы советуем подойти к вопросу обеспечения безопасности персональных данных систематически.

В первую очередь необходимо оценить наличие и достаточность ресурсов, необходимых для создания и поддержания системы защиты информации. На данном этапе необходимо определить, стоит ли прибегать к услугам подрядчиков. Имеются ли в компании специалисты с достаточным уровнем навыков и знаний? И есть ли достаточное количество задач, чтобы они были заняты? Также необходимо учесть, обладает ли компания достаточными ресурсами, чтобы удерживать и развивать этих специалистов.

После этого требуется уменьшить количество возможных способов утечки информации: провести учет информационных активов, проверить права доступа и информационные потоки, просмотреть текущие бизнес-процессы и системную архитектуру, отказаться от обработки лишних данных, уменьшить количество мест хранения и так далее.

На последующем этапе осуществляется разработка и внедрение специальных мер по защите информации. Важно, чтобы эти меры были адаптированы к общей деятельности компании и использованию бизнес-процессов. Необходимо принять не просто формальное решение о применении этих мер, а организовать их реализацию таким образом, чтобы они были легко выполнимы и сложно обойти. Только в этом случае они окажутся действенными.

Только после этапа анализа можно приступить к разработке и реализации системы технических приемов для обеспечения безопасности данных.

До начала выполнения задач компания должна совершить следующие действия:

  • разработать окончательный комплекс противодействия, обязательный с учетом нормативных актов;
  • Определение того, какие меры могут быть реализованы с использованием имеющихся средств, а какие потребуют внедрения дополнительных решений.
  • Необходимо провести анализ оставшихся рисков и определить, нужно ли внедрять дополнительные меры и решения для обеспечения необходимого уровня безопасности и защиты бизнес-процессов организации. Например, возможно потребуется использование DLP, EDR, ZTNA, VDR или решений для скрытого маркирования конфиденциальных данных. Эти решения позволят однозначно определить, кто и когда получал доступ к защищаемым данным, даже если информация была украдена с помощью фотографии экрана.

Пошаговая инструкция: защита персональных данных в 2022 году

Пошаговая инструкция: защита персональных данных в 2022 году

Отмечается 16-летний юбилей принятия закона о персональных данных в 2022 году, а также 13 лет с момента его вступления в силу. Наверняка за все это время все, кто обязан соблюдать законодательство, должны были надежно защитить персональные данные. Однако действительность такова, что до сих пор существует значительное количество предприятий и организаций, которые не смогли полностью выполнить требования. Это подтверждается обнаружением множества нарушений во время проверок со стороны регуляторов.

Кому нужно защищать персональные данные

Каждое предприятие или организация в процессе своей деятельности взаимодействует с бухгалтерией и кадрами, а также поддерживает базу клиентов. Поэтому все юридические лица и индивидуальные предприниматели должны законодательно обязываться защищать персональные данные.

Советуем прочитать:  Частная жалоба

Для обеспечения соответствия требованиям регуляторов и избежания возможных наказаний за нарушения очень важно обеспечить защиту персональных данных. Однако, помимо этих факторов, необходимо учитывать, что количество киберугроз и выявленных инцидентов продолжает расти из года в год, особенно учитывая тот факт, что большинство компаний и организаций переходят к онлайн-формату многих бизнес-процессов. Поэтому защита персональных данных становится отличной возможностью для создания эффективной системы защиты своего бизнеса от кибератак.

Основные этапы защиты ПДн

Какие возможности предоставляют современные ИБ-решения для защиты персональных данных?

Ниже приведено подробное описание 9 этапов, на которые мы разделили процесс:

  1. обследование;
  2. симуляция опасностей;
  3. создание плана технического проекта
  4. разработка системы обеспечения безопасности;
  5. претворение в жизнь технического компонента мероприятий по обеспечению безопасности;
  6. осуществление мер, связанных с организацией;
  7. оценка результативности примененных действий;
  8. аттестация;
  9. Обеспечение достаточного уровня безопасности в процессе использования.

Пусть первым этапом будет осознание неотложности необходимости обеспечения безопасности личной информации. Уточните, в каких информационных системах обрабатываются персональные данные в вашей фирме.

При принятии решения о начале деятельности по обеспечению безопасности личных данных, ориентируйтесь на информацию, предоставленную Роскомнадзором о результате проведенных проверок. В случае нарушений возможен максимально возможный штраф в размере 8 миллионов рублей, а также возможна приостановка деятельности юридического лица до устранения выявленных несоответствий.

Защита персональных данных: пошаговый план

Этап 1. Тщательное исследование бизнес-процессов организации с целью определения, каким образом и в каких из них происходит обработка персональных данных. Основной задачей является выявление всех информационных систем, в которых содержатся персональные данные, начиная от стандартных систем бухгалтерии и кадрового делопроизводства, заканчивая системами для заказа визиток и оплаты спортзала. В результате данного этапа должен быть составлен подробный аналитический отчет, в котором будут указаны все выявленные несоответствия действующему законодательству.

Второй этап. Анализ потенциальных угроз. Модель угроз, являющаяся основой для построения системы защиты персональных данных, является неотъемлемой частью этого процесса. Чтобы обеспечить безопасность информационных систем от возможных угроз, необходимо определить их актуальность. Для этой цели используется специальная методика. Кроме того, при моделировании угроз обычно проводится оценка уровня защищенности персональных данных. Подробнее об этом можно узнать из нашей статьи «Модель угроз». В ближайшем будущем мы выпустим отдельную статью, посвященную моделированию угроз, в которой будет рассмотрены обновления в законодательстве и требования, предъявляемые к предприятиям в 2022 году.

Фаза 3. Проектирование технического задания. Основой для определения требований к системе защиты персональных данных являются модель угроз (МУ) и уровень защиты информационной системы персональных данных (УЗ). Основная цель системы заключается в предотвращении возможных угроз, описанных в МУ, с использованием базового набора мер защиты, определенного в Приказе ФСТЭК №21 и зависящего от УЗ.

Составление Модели угроз для ИСПДн представляет собой задачу, требующую внимательного анализа и разработки.

На данном этапе осуществляется разработка системы, предназначенной для защиты персональных данных. В соответствии с поставленным техническим заданием, проводится разработка технического проекта СЗПДн (системы защиты персональных данных). В данном проекте необходимо определить программные и программно-аппаратные средства, которые будут использоваться для обеспечения безопасности информации. Эти средства могут включать в себя:

  • Инструменты, предназначенные для предотвращения несанкционированного доступа, включая технологии авторизованной загрузки;
  • программы, предназначенные для защиты от вирусов; инструменты, обеспечивающие безопасность от вредоносного программного обеспечения; антивирусные средства, предотвращающие атаки со стороны вирусов; технологии, обеспечивающие безопасность компьютерных систем от вредоносных угроз.
  • инструменты, предназначенные для оценки уровня безопасности;
  • Система захвата несанкционированных действий;
  • система безопасности, которая контролирует и фильтрует трафик между сетями
  • многочисленные другие системы защитной информации

Шаг 5. Реализация или внедрение системы обеспечения безопасности персональных данных. В техническом проекте представлены подробные характеристики средств защиты информации, которые необходимо приобрести или получить в форме услуги.

Фаза 6. Осуществление мер организации. Создаются документы, определяющие порядок работы, проводится обучение сотрудников и прочие мероприятия. При выполнении данного этапа будет подготовлена вся необходимая информация для уведомления Роскомнадзора, которое требуется заполнить и направить в РКН.

На этапе 7 осуществляется оценка эффективности принятых мер по обеспечению безопасности персональных данных после создания системы защиты ПДн и до ее введения в эксплуатацию. Для этого выполняются испытания созданной системы, которые состоят из трех последовательных стадий: предварительных испытаний, опытной эксплуатации и приемочных испытаний. Для проведения испытаний необходимо разработать программу и методики. По результатам каждого этапа составляются протоколы и акты. Испытания могут быть выполнены в виде услуги, то есть система безопасности будет представлена уже как испытанная система.

Восьмой этап – проведение процедуры аттестации. Форму аттестации обязательно проходят государственные органы, в то время как коммерческие предприятия могут ее пройти по своему усмотрению.

Стадия 9. Применение. Обеспечение технической поддержки Системы Защиты Информации (СЗИ) является существенным аспектом, который необходимо учитывать.

Для обеспечения надлежащей безопасности персональных данных необходимо следить за состоянием системы защиты. Для этой цели регулярно проводятся проверки информационных систем, содержащих персональные данные. Частота проведения проверок определяется самим предприятием, и обычно варьируется от одного раза в неделю до одного раза в месяц, в зависимости от типа проверки и требований регламента контроля защищённости.

Возникновение новой формы обратной связи на имеющемся веб-ресурсе предполагает необходимость рассмотреть возможные угрозы, которые связаны с вводом персональных данных. Важно определить, будет ли достаточным только электронное согласие на передачу ПДн или требуется внедрение дополнительных мер по защите конфиденциальной информации.

Вывод:Если в вашей компании есть системы типа бухгалтерии, кадров или CRM, то вам необходимо обеспечить защиту персональных данных. Для соответствия законодательству требуется создать регламенты, политики, приказы, положения, журналы, инструкции и т.д., а также внедрить средства защиты информации и убедиться в их эффективности. Альтернативным вариантом может быть передача всех этих задач на аутсорсинг. Удобно использовать защищенное облачное хранилище, вынести систему туда и воспользоваться инфраструктурой, программным обеспечением и средствами защиты информации от поставщика услуг. Также можно передать на аутсорсинг подготовку всех организационных мероприятий. Однако компания-поставщик услуг должна обладать лицензиями ФСТЭК и ФСБ, а также иметь соответствующие средства защиты информации, чтобы выполнить все требования законодательства.

Как построить процесс защиты персональных данных в организации

Как построить процесс защиты персональных данных в организации

Конструирование системы обеспечения безопасности информации в структуре организации.

Согласно отчету компании BI.ZONE, за прошедший 2022 год было обнаружено утечку 925 баз данных, содержащих персональные данные. Общий объем информации составил 1,4 миллиарда строк, занимающих более 160 гигабайт. Нужно обсудить практические меры по предотвращению подобных инцидентов и разработке надежной системы кибербезопасности, которая на самом деле сможет эффективно защитить данные клиентов, сотрудников и партнеров.

  1. Согласование: запросы государственных норм и реальные меры безопасности
  2. Руководство по организации надежной защиты индивидуальных данных в реальных условиях
    1. Первый этап — выполнить проверку и учет информации.
    2. 2.2. Второй шаг. Выявление потенциальных нарушителей и опасностей.
    3. 3.3. Следующим этапом будет разработка защитной системы, с учетом ограничений финансовых ресурсов.

    Баланс: требования законодательства и практическая безопасность

    Регулирующий орган стимулирует предприятия к активной деятельности в области кибербезопасности. Законодательство не только устанавливает требования по защите персональных данных, но также предоставляет подробный перечень мер, которыми могут воспользоваться компании, не знающие, с чего начать.

    1. Важно отметить, что в Российской Федерации существует постановление Правительства № 1119, которое устанавливает процедуру выделения ИСПДн — информационных систем персональных данных.
    2. Определение потенциальных угроз и лиц, нарушающих безопасность (методика, предложенная ФСТЭК России в 2021 году, база данных ФСТЭК России).
    3. Разработать механизм обеспечения безопасности (указ Федеральной службы технического и экспортного контроля России № 21).

    Соблюдение требований регуляторов поможет предотвратить наложение штрафов на организацию в размере до 18 млн рублей для юридических лиц и до 1 млн рублей для физических лиц. Однако, нельзя быть уверенным, что соблюдение этих требований только на бумаге защитит бизнес от возможных инцидентов. Например, если компания использует дорогостоящие средства защиты, но неправильно настраивает их, то они не смогут предотвратить утечку данных. В таких случаях бизнес рискует потерять клиентов, испортить отношения с партнерами и понести финансовые и репутационные потери. К тому же, злоумышленники могут использовать украденную информацию для будущих атак.

    Чтобы компаниям, осуществляющим обработку персональных данных, быть в соответствии с законодательством, необходимо обратить особое внимание на обеспечение безопасности в сети. Чтобы помочь вам успешно справиться с этой задачей, мы разработали обширное руководство, содержащее простые и понятные инструкции.

    Инструкция: как на практике выстроить защиту персональных данных

    Безопасность киберпространства строится на основе четырех основополагающих принципов:

    1. Различные люди, работники, обладают базовыми знаниями в области киберграмотности.
    2. Благодаря ясной системе инструкций, достигнута эффективная координация между деятельностью людей и использованием инструментов.
    3. В мире технологий активно применяются специальные инструменты, которые гарантируют полную безопасность информации как внутри предприятия, так и за его пределами. Среди таких средств защиты можно выделить антивирусную программу, специальную систему против спама, SIEM (система управления информационной безопасностью), средства обнаружения и предотвращения атак (IPS/IDS), а также веб-приложение фильтрации (WAF). Все эти инструменты в совокупности обеспечивают надежную защиту данных и предотвращают угрозы со стороны внешних и внутренних источников.
    4. У нас имеется опыт экспертного уровня в области кибербезопасности, а также у нас работают профессионалы с навыками подбора и использования систем защиты информации (СЗИ).

    Если отсутствует хотя бы один компонент, система полностью разрушается. Например, если сотрудники не знакомы с правилами цифровой гигиены, технические средства защиты не смогут обеспечить безопасность организации от возможных инцидентов. Невнимательный сотрудник может случайно запустить вредоносный файл из прикрепленного к письму или подкинутого USB-накопителя, тем самым подвергая компанию риску компрометации.

    С учетом этих принципов мы разработали специальный алгоритм, позволяющий создать систему практической кибербезопасности, полностью соответствующую требованиям законодательства. Чтобы достичь этой цели, необходимо выполнить три последовательных шага:

    1. Необходимо провести проверку данных с целью выявления важных активов, требующих защиты.
    2. Выявить потенциальных злодеев. Уточнить, кто является источником угрозы для обеспечения безопасности инфраструктуры.
    3. Разработать защитную систему, учитывая финансовые возможности.

    Указанный процесс требует постоянного развития и обновления, а также актуализации. Давайте более подробно рассмотрим каждую фазу.

    Необходимо осуществить перечень всех имеющихся данных

    Первоначально требуется выяснить, какие информационные данные имеют наибольшую важность для предприятия, какие системы их обрабатывают и кто получает доступ к ним. Важно также определить, какие правовые требования предъявляются к организации.

    Существуют различные методы достижения этой цели: заполнение анкет, проведение бесед с важными сотрудниками или анализ документации.

    Основной приоритет состоит в постоянном обновлении данных, иначе они не будут полезны для создания защиты. Например, когда структура компании изменяется или появляются новые системы, процессы должны быть обновлены. Это можно легко сделать с использованием инструментов автоматизации, таких как BI.ZONE Compliance Platform.

    2-й этап. Выявление потенциальных преступников и опасностей.

    На данной стадии требуется выяснить следующее:

    • кто может представлять потенциальную угрозу;
    • как будет действовать.
    • Какие негативные последствия может повлечь успешная атака, вызванная его действиями?

    Чтобы найти уникальное решение, необходимо просканировать все информационные системы персональных данных и разработать модель угроз. Эту модель следует дополнить данными о ранее выявленных уязвимостях и произошедших инцидентах, что позволит выявить наиболее актуальные сценарии.

    С помощью механизмов моделирования, включая предложенные ФСТЭК России, можно отобрать наиболее актуальные угрозы из общего списка, которые применимы к определенной компании. Это позволяет разумно распределить бюджет, чтобы приобрести только необходимые системы защиты информации.

    Актуализация модели угроз, регулярный анализ защищенности информационных систем и пересмотр рисков являются важными задачами. При этом использование средств автоматизации может значительно облегчить данный процесс.

    Третий этап: Создание бюджетной системы защиты.

    Собранная информация и созданная модель угроз способствуют более эффективному обеспечению кибербезопасности. Однако необходимо следовать принципу «люди — процессы — технологии».

    • Необходимо обучить специалистов, которые в совершенстве владеют системами защиты информации и обладают навыками реагирования на возможные инциденты, а также проводить регулярные обучения для персонала.
    • Разумно организовать системы кибербезопасности, обеспечивающие непрерывность функционирования организации, и систематически вносить в них улучшения.
    • Распространить системы защиты информации, позволяющие эффективно противостоять основным опасностям, а также наблюдать за возникновением новых уязвимостей и отыскивать пути обеспечения их защиты.

    При выполнении работы необходимо принимать во внимание требования законодательства и усилить контроль над наиболее уязвимыми аспектами.

    Результат

    Корпорация разрабатывает конкретные меры безопасности в сфере киберпространства, учитывая все требования, установленные законодательством. В этом процессе:

    • Бизнесу становится понятно, какие меры необходимы для эффективного использования ресурсов, благодаря прозрачному бюджету на кибербезопасность.
    • Были установлены оптимальные рабочие потоки, и персонал успешно обучен эффективному управлению системой обеспечения безопасности.
    • Регулярное обращение с данными, обновление потенциальных угроз и улучшение системы защиты способствуют уменьшению вероятности утечек.

    Невозможно обеспечить абсолютную защиту от всех кибератак, однако можно снизить риск и минимизировать возможные последствия для бизнеса. Это достижимо путем создания эффективной системы безопасности, которая позволит заранее защитить инфраструктуру и оперативно реагировать на возможные инциденты.

    Защита ПДн в небольших, средних и больших организациях. Так ли все гладко

    Защита ПДн в небольших, средних и больших организациях. Так ли все гладко?

    При сравнении заморских государств и их подхода к обеспечению конфиденциальности личных данных, можно отметить определенные различия с Россией.

    • люди волнуются, когда они передают свои личные данные организации;
    • принцип защиты персональных данных не сводится к избеганию проверок
    • Корпорации с полной осведомленностью и чувством ответственности направляют свои финансовые ресурсы на разнообразные системы защиты информации, обучение персонала, а также на постоянное обновление и пересмотр угроз и рисков, связанных с информационной безопасностью.

    Введение

    При представлении материалов читателю принято делить информацию на разделы, главы и так далее с целью их классификации. Я хотел бы выразить мое мнение, сложившееся в результате реализации проектов, связанных с обработкой персональных данных. Основная проблема заключается в том, что в России закон о персональных данных (далее в тексте — ПДн) является обременением для всех: как для компаний, так и для их сотрудников и клиентов. Компаниям необходимо самостоятельно или с помощью компетентной организации защищать персональные данные, обучать сотрудников и требовать от клиентов подписывать соглашение о передаче и обработке данных. В результате возникают многочисленные проблемы и правила, которые требуется соблюдать.

    Организационная часть

    Разработка проекта по ПДн состоит из четырех главных этапов:

    1. Обследование.
    2. Создание заказа на разработку.
    3. Разрабатывается система, обеспечивающая безопасность.
    4. Внедрение.
    1. Сотрудник не в состоянии постичь цель и необходимость оформления этих документов.
    2. Как только процесс обучения завершается, все новые знания и навыки, полученные в ходе этого процесса, начинают быстро забываться уже через месяц. Это происходит потому, что после окончания обучения никто не осуществляет надзор и контроль за его последующим применением в повседневной практике.
    3. Смешной является тот факт, что возложение вину за раскрытие…
    4. Руководство убедилось, что «ПДн защищено» и больше нет нужды об этом вспоминать, поэтому проблемы отсутствуют.
    1. Не проявление интереса к тому, что происходит с персональными данными и куда они передаются.
    2. Не имеет смысла защищаться, и это не требуется.
    3. Для какой цели следует заключить «документ о передаче персональных данных»? Какая необходимость в этом?
    4. Тишина царит, пока все находится в спокойствии, а только после утечки ПДн наступает паника.

    Техническая часть

    Здесь задача усложняется. Разобьем проект на несколько частей: для большой компании, средней организации и небольшого предприятия.

    Небольшое предприятие

    С позиции технической стороны данная ситуация является довольно простой. Основная часть инфраструктуры построена на операционных системах Windows, имеется только один сервер для программного обеспечения 1С и несколько рабочих станций. Процесс установки и настройки средств защиты информации (далее — СЗИ) проходит быстро и без особых проблем. Таким образом, на текущем этапе технических аспектов все находится в норме. Однако, возникают сложности в процессе обучения сотрудников работе с данными СЗИ. Если не учитывать механизмы идентификации и аутентификации, работа становится чрезвычайно сложной. Большинство сотрудников отрицательно относятся к изменениям в своей работе, особенно если это связано с использованием новой техники. В итоге, мы сталкиваемся с следующей ситуацией:

    1. Внедрение систем защиты информации завершено успешно, настройка выполнена, однако отмечается низкая активность их использования.
    2. Работник сталкивается с увеличенной сложностью в выполнении своих основных обязанностей в связи с необходимостью работы с системами защиты информации (СЗИ).
    3. Кому-то необходимо заниматься обслуживанием систем защиты информации, однако обычно такого специалиста отсутствует.

    Средние предприятия

    Тут все становится сложнее. У нас создан отдел IT или у нас есть постоянный системный администратор. Иногда нам потребуется безопасник. Мы создали инфраструктуру. Но здесь возникает проблема. Внедрение системы защиты информации (СЗИ), которая удовлетворяет требованиям контролирующих органов, требует перестройки нашей текущей инфраструктуры. Обычно в таких случаях мы выделяем ИСПДн в отдельный сегмент и защищаем его отдельно, чтобы не нарушать общую архитектуру и работу компании. В данном случае у нас уже есть команда, которая будет администрировать СЗИ, и это является преимуществом. Однако сотрудники не в восторге от изменений в своей работе, и выполнение организационных мер по защите становится второстепенным. Контроль за их выполнением лежит на IT-специалистах, которые также заняты более важными задачами. В результате мы имеем:

    1. Защитные информационные системы успешно установлены, настроены и, в большинстве случаев, эффективно управляются.
    2. Работник сталкивается с увеличенной сложностью в выполнении своих основных обязанностей в связи с необходимостью работы с системами защиты информации (СЗИ).
    3. Внедрение ИСПДн не приводит к разрушению существующей инфраструктуры.

    Крупные предприятия

    В данном случае имеется еще более захватывающая сторона. IT-отдел, отдел безопасности, информационная система с децентрализованной структурой, виртуализация, обширный набор корпоративных сервисов и другие аспекты. Как правило, все хорошо защищено с применением логического подхода, шифрования и соблюдения всех необходимых правил и передовых практик. Однако, присутствует одна потенциальная слабость – сертификация. Здесь каждый проект обладает уникальными особенностями, которые можно описать в статье, невозможно привести все под одну категорию. В конечном итоге, как в организационном, так и в техническом аспекте, все находится в полном порядке. Ответственные сотрудники исполняют свои обязанности. Пользователи дополнительно обучены, процесс подконтролен. В результате получается:

    1. Установка, конфигурация и администрирование систем защиты информации (СЗИ) уже выполнены.
    2. Работник сталкивается с увеличенной сложностью в выполнении своих основных обязанностей в связи с необходимостью работы с системами защиты информации (СЗИ).
    3. Внедрение ИСПДн не приводит к разрушению существующей инфраструктуры.
    4. Организационные протоколы аккуратно выполняются в соответствии с предписаниями и установленными процедурами.

    Заключение

    В заключение хотелось бы отметить, что защита личных данных является важной и необходимой задачей, при условии, что она выполняется правильно. Однако, учитывая нашу ситуацию, для малых и средних предприятий это не приносит никакой пользы, а является лишней тратой денег. Опять же, я говорю о большинстве организаций, но мне не встречался малый бизнес, у которого все хорошо с личными данными. Я не говорю, что защищать личные данные необходимо пренебрегать, но подход к этому должен быть изменен.

    • личные сведения
    • 152-фз
    • Защита данных

    Защита персональных данных: почему не уделяют внимания и почему придется уделить

    Защита персональных данных: почему не уделяют внимания и почему придется уделить

    Андрей Михайлович Гончаров

    Почему важно обеспечить защиту персональных данных?

    Роскомнадзор (РКН) и ФСБ активно занимаются сокрушительными мерами по отношению к организациям, которые имеют дело с личными данными (ПДн). Это ясно видно из свежих документов, которые уже вступили в силу. Ведение обработки ПДн осуществляется операторами ПДн. Любая компания, независимо от своей организационно-правовой формы, может выступать в роли оператора, собирающего и обрабатывающего личные данные своих пользователей, клиентов или сотрудников. Поэтому предлагаемые изменения затрагивают всех, кто обрабатывает ПДн, особенно операторов, осуществляющих трансграничную передачу данных. Неудивительно, что такое внимание уделяется защите личной информации, ведь за последнее время случаи утечек, краж и дальнейшего распространения значительно участились.

    Не так давно были украдены личные данные около миллиона клиентов банка МТС. Это создает опасность серьезных атак со стороны киберпреступников, которые получили доступ к этой конфиденциальной информации.

    Новые требования регуляторов по защите ПДн

    1. Официальный документ Российской Федерации под названием Постановление Правительства РФ №2526 от 29 декабря 2022 года был издан.
    2. Постановление Правительства Российской Федерации №24 от 16 января 2023 года.
    3. Постановление Правительства Российской Федерации №6 от 10 января 2023 года.
    4. Указание Роскомнадзора №128 от 5 августа 2022 года
    5. регламентирует деятельность Роскомнадзора в сфере контроля за информационными ресурсами в интернете.
    6. Распоряжение Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №179 от 28 октября 2022 года.
    7. Официальный документ под названием «Приказ ограничительных мер Роскомнадзора №187 от 14.11.2022 года» был издан.
    8. Постановление Федеральной службы безопасности №77 от 13.02.2023 года

    Фактологические материалы относятся к обновлениям закона №152, которые регулируются указом №266 от 14.07.2022 года и официально применимы с 01.03.2023 года.

    Внесенные изменения в Федеральный закон № 266 являются крайне значимыми, так как они направлены на обеспечение надежной защиты персональных данных людей и акцентируют внимание операторов на этом вопросе.

    Обращаем внимание на условия введения новшеств и кратко выделяем главное.

    Важно отметить, что ранее не все лица были обязаны уведомлять Роскомнадзор о своей работе с персональными данных. Однако в настоящее время, если организация осуществляет обработку такой информации, она обязана направить соответствующее уведомление.

    В извещении содержится обширное количество данных о процессе обработки и защите персональных данных.

    Приказы Кабинета Министров РФ 24, 6 и 2526

    Эти решения связаны с ограничениями или запретами на международную передачу информации.

    Необходимо отметить, что при передаче данных через границу также требуется отправить уведомление в РКН.

    В соответствии с архивом РКН, имеется возможность регулировать передачу персональных данных, в случае, если это будет считаться необходимым.

    Предписание от Роскомнадзора под номером 128

    РКН активно выдает огромное количество Приказов, которые имеют значимое значение.

    В списке, утвержденном РКН под номером 128, перечислены зарубежные страны, где обеспечивается надлежащая защита прав субъектов персональных данных.

    Наказание Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №178

    Изданием документа под названием Приказ №178 была установлена система инновационных принципов оценки ущерба.

    В отчете указано три уровня нанесения ущерба:

    Окончательным итогом оценки необходимо составить Акт, включающий в себя:

    • Название и место жительства провайдера ПДН
    • Составление Акта было проведено в определенный день.
    • Определение дня проведения оценки
    • ФИО, занимаемая должность и автограф эксперта, осуществлявшего анализ
    • Представление о степени нанесенного ущерба

    Если все три уровня вреда соответствуют субъекту персональных данных, то в Акте следует отразить наивысшую степень.

    Распоряжение Роскомнадзора под номером 179

    В соответствии с Приказом Роскомнадзора № 179 требуется не только осуществлять удаление персональных данных, но также обязательно сохранять подтверждения о факте удаления.

    Актом уничтожения персональных данных будет подтверждено наличие необходимых доказательств.

    Приказ включает в себя указания, которые необходимы для корректного оформления письменного материала, исходя из следующих критериев:

    • Название и место жительства провайдера ПДН
    • Персональные данные лица, которое выполняет обработку в соответствии с поручением
    • Полное имя физического лица, обладателя персональных данных
    • Фамилия, роль и подпись исполнителя, осуществившего удаление
    • Список классификаций уничтоженных личных данных был аннигилирован.
    • Наименование и объем страниц уничтоженного архивного материала
    • Можно изменить текст следующим образом: «Наименование информационной системы, содержащей персональные данные населения»
    • Способ
    • Причина
    • Дата

    Если использовалась автоматизированная система для обработки персональных данных, то для подтверждения действий можно использовать выгрузку из журнала событий. В Приказе также указаны требования к такой выгрузке.

    Обязательно храни акт оничтожения ПДн не менее трех лет, даже если раньше некоторые операторы ПДн не составляли такие документы, сейчас это требование распространяется на всех.

    187-й приказ Роскомнадзора

    Указание Роскомнадзора под номером 187 описывает процедуру сообщения Роскомнадзору о происшествиях.

    На сайте РКН можно заполнить специальную форму, чтобы отправить уведомление в электронном виде или в виде бумажного документа.

    Необходимо отправить данное письмо в первоочередном порядке в течение 24 часов, либо в случае возникновения разногласий или необходимости уточнений дополнительно в течение 72 часов.

    Необходимо включить в первоначальное уведомление следующую информацию:

    1. Материалы о случившемся инциденте, факторах, возможных угрозах и проведенных превентивных действиях.
    2. Ошибка работы аппарата ПДн

    Информационное сообщение дополняет информацию и содержит следующую информацию:

    1. Во внутреннем расследовании
    2. О тех, кто стал источником происшествия

    Постановление Федеральной службы безопасности Российской Федерации под номером 77

    Окончательное внесение изменений происходит посредством официального документа от Федеральной службы безопасности.

    Операторы ИСПДн получили Приказ №77, который устанавливает правила сообщения регулятору о компьютерных инцидентах. Теперь они знают, как взаимодействовать с ГосСОПКА в случае возникновения таких ситуаций.

    По прежнему, существуют два варианта передачи информации: через Национальный координационный центр по вопросам информационной безопасности или через официальный сайт Роскомнадзора.

    Обязательно сообщать в Федеральную службу безопасности в течение 24 часов после обнаружения событий, связанных с нарушением безопасности компьютерных систем.

    Рекомендации Роскомнадзора по защите персональных данных

    Тема защиты персональных данных в последнее время вызывает особую остроту, поэтому надзирательные органы прилагают усилия, внедряя изменения в законодательство, чтобы привлечь внимание к этому вопросу у операторов персональных данных.

    В августе 2023 года Роскомнадзор вышел с инновационными предложениями по обеспечению безопасности персональных данных. Они предлагают:

    1. Будет реализовано сужение списка Персональных Данных, подлежащих обработке.
    2. Гарантированное сегрегирование персональных данных в соответствии с их категориями и целями обработки.
    3. Система должна обеспечивать сохранение идентификаторов, которые указывают на человека и данные о его взаимодействии, в различных базах данных. Для таких связей требуется назначать новые идентификаторы и хранить их в специально выделенной базе данных.
    4. Своевременное устранение персональных данных
    5. В процессе передачи обработанных данных третьим лицам оператором используются технические и программные средства.
    6. аказованного воздушного движения является неотъемлемой частью обеспечения безопасности полетов. Важно оперативно и точно сообщать о происшествиях, чтобы принять меры и предотвратить возможные аварии или инциденты. Регулятор должен быть в курсе всех происходящих событий, чтобы принимать правильные решения и обеспечивать безопасность всех участников воздушного движения.
    7. Улучшение надзора над физическим входом к личным данным
    8. Основная задача назначенного лица — обеспечить надлежащую защиту персональных данных.

    Необходимость соблюдения правил защиты персональных данных также отражена в ранее представленных нормативных документах. Роскомнадзор всего лишь подчеркнул повторно, насколько важно следовать этим правилам.

    Важно отметить самое значимое нововведение — неотложное информирование органа по контролю о произошедших в компании инцидентах.

    Инцидентом подразумевается любое событие, которое привело к незаконной передаче персональных данных. Организации должны стремиться к установлению эффективной системы защиты персональных данных, чтобы время обнаружения инцидентов было сведено к минимуму.

    Советуем ознакомиться:

    1. Какие права и обязанности имеет отец ребенка, рожденного вне брака, если не жил с матерью и не планировал создавать семью? 398₽ VIP
    2. Что такое оферта? Виды и преимущества
    3. Виды таможенных платежей
    4. 1/6 в виде процентов
    5. Штакетник, рабица, профнастил. Каким должен быть забор на даче по закону
    6. Полицейская проверка гражданства: важная информация и советы
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Adblock
detector