Практическая защита
персональных данных
+7 (499) 390-65-05
Автоматизированная обработка
Прежде всего необходимо выделить информационные системы персональных данных (ИСПДн).
Информационная система персональных данных – это совокупность программных (например «1С-Предприятие») и технических средств (компьютеры, принтеры, сканеры, коммутационное оборудование и т.д.) на которых обрабатываются персональные данные. Обработка – это добавление, изменение, удаление, хранение, анализ, распространение персональных данных. Каждая ИСПДн должна иметь свою цель обработки. Именно цель обработки является основным критерием при выделении ИСПДн. Например, во многих медицинских учреждениях можно выделить 2 ИСПДн – «Сотрудники» и «Пациенты». Они имеют разные цели обработки персональных данных.
У всех ИСПДн должен быть назначен администратор безопасности. Администратор безопасности – сотрудник в должностные обязанности которого входит обеспечение защиты персональных данных в информационной системе. Он должен следить за работой средств защиты информации, своевременно проводить антивирусные проверки, консультировать сотрудников по вопросам безопасности персональных данных и т.п. Администраторов безопасности может быть несколько (например по одному на каждую ИСПДн). Администратор безопасности назначается приказом руководителя («Приказ о назначении администратора безопасности информационных систем персональных данных»).
Чтобы определить требуемые меры по защите персональных данных необходимо определить уровень защищенности ИСПДн.О том как это сделать Вы можете прочитать в разделе Определение уровня защищенности ИСПДн.
По результатам определения уровня защищенности должен быть оформлен «Акт определения уровня защищенности информационной системы персональных данных».
Для каждой ИСПДн должна быть разработана «Частная модель актуальных угроз». В этом документе из всех возможных угроз безопасности персональных данных выделяются те, которые реально представляют опасность. Модель угроз разрабатывается на основе экспертных оценок. Ее разработку целесообразно поручить организации, которая имеет необходимое (3-4) число экспертов (людей, имеющих образование по защите информации и работающих в данной области).
Система защиты персональных данных разрабатывается на основании модели угроз и требований к уровню защищенности ИСПДн.
В большинстве случаев система защиты информации должна включать следующие компоненты:
- Антивирус;
- Средство защиты от несанкционированного доступа;
- Межсетевой экран.
Если осуществляется передача персональных данных по открытым каналам, то должны использоваться средства шифрования.
Все средства защиты информации должны иметь сертификаты ФСТЭК, либо ФСБ.