Безопасность персональных данных

В этой статье нам хотелось бы поднять тему защиты персональных данных (далее будем называть их — ПДн). Защита персональных данных (ПДн) – очень актуальная тема. Совсем недавно поднялся хайп по поводу изменения законодательства о ПДн.

Вся эта шумиха основана на мифах о персональных данных. Давайте разберемся, что произошло на самом деле, чем это грозит и как этого избежать. Беспокойство по данному поводу в большинстве случаев вызвано поверхностным пониманием закона о ПДн.

Решения для защиты персональных данных в российских компаниях и учреждениях формируются на базе мер организационно-технического характера. Они должны соответствовать нормам правовых актов: Конституции Российской Федерации (статья 24), Федерального закона №152-ФЗ «О персональных данных» и специальным требованиям регуляторов.

Функции регуляторов выполняют:

• Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор;
• Федеральная служба по техническому и экспортному контролю – ФСТЭК;
• Федеральная служба безопасности – ФСБ.

Что входит в понятие
«защита персональных данных»?

Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности. Развернутое определение ПДн содержится в законе 152-ФЗ.

Исполнять требования 152-ФЗ и соблюдать предписания сфер ПДн структур – жизненная необходимость для каждой компании, которая прямо или опосредованно оперирует персональными данными. 

Система Олимп оказывает безопасность ПДн в соответствии с требованиями Законодательства безопасности информационных систем, в которых осуществляется обработка, хранение и передача персональных данных (далее – ИСПДн). 

Рассмотрим техническую реализацию мер в системе Олимп по обеспечению безопасности персональных данных (ПДн) в соответствии с возможными угрозами. В рамках оказываемых услуг проводятся мероприятия по созданию системы защиты персональных данных, в том числе включающие: 

Защита от несанкционированного доступа данным в системе Олимп:

1. Идентификация и аутентификация субъектов доступа - персональные логины и пароли)
2. Управление доступом субъектов доступа к объектам доступа - гибкая система раздачи ролей и контрольных точек доступа
3. Ограничение программной среды - состав модулей и режимов соответствует назначенным правам
4. Обнаружение вторжений - автоматическая регистрация всех фактов неудачного входа
5. Регистрация событий безопасности - регистрация всех фактов входа в систему и выхода из нее

Защита от преднамеренных действий пользователей:

1. Управление конфигурацией информационной системы и системы защиты персональных данных - за счет раздачи каждому пользователю прав доступа и назначения ролей
2. Регистрация фактов изменения и уничтожения данных - независимое от пользователя протоколирование изменения и удаления данных

Защита от нарушения работоспособности:

1. Выявление инцидентов и реагирование на них - автоматическая фиксация в системном журнале всех возникающих сбоев, отправка информации об ошибках разработчику
2. Текущая система защиты ПДн позволит разграничить доступ к серверу обработки ПДн и защитит рабочие станции от актуальных угроз безопасности.

При реализации мер обеспечения безопасности ПДн специалисты системы Олимп руководствуются требованиями использования наиболее экономически-эффективных решений в соответствии с индивидуальными особенностями защищаемых ИСПДн и спецификой деятельности Заказчика.

В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и технические меры защиты ПДн.

Таким образом, система Олимп содержит профессиональный набор инструментов для обеспечения разграничения доступа и защиты информации: программные продукты системы разработаны в архитектуре «клиент-сервер» и ориентированы на использование современных SQL-серверов и операционных систем. Помимо этого, в системе разработан набор рекомендаций о резервном копировании.

Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.