Безопасность ИСПДн в 2022 году

Персональные данные — один из самых важных активов любого человека в современном мире. Они используются повсеместно в самых разных сферах жизни, и именно такой широкий спектр применения делает их утечку настолько насущной проблемой. Случаи компрометации или продажи данных растут с каждым годом, и обеспечение безопасности информационных систем персональных данных (ИСПДн) уже давно стало необходимостью.

В этой статье мы рассмотрим основные меры по защите персональных данных и почему она так актуальна в наше время.

Основные понятия

В современном мире каждый из нас является обладателем персональных данных — информации любого типа, которая позволяет определить личность физического лица. Это могут быть как общие сведения (паспортные данные), так и более специальные (семейное и финансовое положения, данные о здоровье, профессия), которые хранятся в информационных системах персональных данных.

Любая организация, которая осуществляет обработку и хранение персональных данных в своих информационных системах называется оператором персональных данных. Все операторы ПДн обязаны обеспечивать защиту вверенной им информации.

Случаи утечек персональных данных и различных кибератак стремительно учащаются. Количество утечек в России за первое полугодие 2022 года увеличилось на 45,9% по сравнению с первым полугодием 2021 года. За полгода в сеть попало количество записей ПДн, превышающее население России. Эти инциденты затрагивают компании самого разного масштаба и направленности и приносят им не только финансовый и репутационный ущерб, но и проблемы с законом. Чтобы защитить данные клиентов, сотрудников как государственных, так и частных учреждений, существует целый ряд государственных инициатив и конечно же огромный рынок услуг по информационной безопасности. Для этой сферы, безопасность ИСПДн — одно из основных и самых популярных направлений.

Нормативная база

Основополагающим законом при работе с персональными данными является Федеральный закон №152-ФЗ «О персональных данных». Он регулирует обработку персональных данных, которую осуществляют государственные и частные организации. Также, помимо дачи основных определений в области информационной безопасности, этот закон обязывает операторов ПДн принимать необходимые правовые, технические и организационные меры по обеспечению безопасности персональных данных от утечек, несанкционированного доступа и любых других неправомерных действий.

Невыполнение или нарушение требований по обеспечению безопасности персональных данных предусматривает административный штраф, а если инцидент случился на объектах критически важной инфраструктуры нашей страны, то и тюремным заключением.

Помимо законов, существуют требования регулирующих органов, постановлений и стандартов. Такие как:

Приказ ФСТЭК России от 18.02.2013 г. № 21. Утверждает состав организационных и технических мер по защите ПДн в информационных системах персональных данных.
Постановление Правительства РФ от 1 ноября 2012 г. № 1119. Определяет требования к защите ПДн в информационных системах персональных данных.
Приказ ФСТЭК России от 29.04.2021 № 77. Утверждает порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну.

Процессы защиты ИСПДн

Создание системы безопасности ИСПДн происходит в соответствии с нормативными документами и в первую очередь представляет собой совокупность технических и организационных мер.

Обследование информационных систем персональных данных

Обследование ИСПДН. Позволяет получить актуальную информацию об уже реализованных мер по обработке и защите ПДН, а также провести анализ соответствия имеющихся документов и мероприятий, проводимых в компании, нормативной базе в области ИБ.
Разработка концепции безопасности ИСПДн и рекомендаций по улучшению процессов обработки и защиты информации. Это позволяет установить отправные точки и ограничения в реализации проекта, основные вопросы и описания предлагаемых решений, а также перечень и стоимость предполагаемых средств защиты информации.
Определение уровня защищенности ПДН. Угрозы безопасности персональных данных делятся на те, которые связаны с наличием недокументированных возможностей в а) системном или б) прикладном ПО, которое используется в ИСПДн. К каждому типу угроз применяется свой уровень защищенности (от 1 до 4). Определение уровня защищенности ИСПДн производится в зависимости от типа ИСПДн, категории и количества субъектов организации.
Разработка модели угроз безопасности ПДН и модели нарушителя. Обеспечивает перечень угроз безопасности персональных данных в ИСПДн.
Создание технического задания на создание системы защиты ПДн. Определяет цели создания системы, требования к применяемым мерам, порядок внедрения СЗИ.
Разработка комплекта организационно-распорядительной документации. Комплект документов, регламентирующих процессы обработки и защиты ПДн требуется для их приведения в соответствие с действующим законодательством.
Поставка, установка и настройка СЗИ. При защите данных используются только средства, прошедшие в установленном порядке процедуру оценки соответствия требованиям законодательства РФ в области ИБ и имеющие соответствующие лицензии ФСТЭК и ФСБ России. При установке и настройке этих средств необходимо ориентироваться на их совместимость с ИСПДн.
Оценка эффективности принимаемых мер по защите ПДн. Производится до ввода в эксплуатацию ИСПДн. Проводится не реже одного раза в 3 года.
Аттестация ИСПДн или оценка эффективности. Проведение аттестационных испытаний, в результате которых подтверждается соответствие системы защиты ИСПДн требованиям информационной безопасности.

Заключение

Обеспечение безопасности ИСПДн — безусловно одна из самых важных тем для любой организации. При этом, комплексность необходимых мер предполагает обращение к профессиональным системным интеграторам. Компании этого профиля возьмут всю «головную боль» по защите данных на себя и помогут как обезопасить организацию от возможных рисков, так и удовлетворить все требования закона.

Комментировать

0 комментариев

Дорогой читатель! Ваш комментарий отправляется на пре-модерацию и вскоре будет опубликован на портале. Спасибо за внимание к нашим материалам

Ссылки, начинающиеся с http:// автоматически становятся гиперссылками.
Также можно использовать теги оформления

Форматирование текста

[b] [/b] – выделенный тегом [b] текст отображается жирным;
[i] [/i] – выделенный тегом [i] текст отображается наклонным;
[s] [/s] – выделенный тегом [s] текст отображается ~~зачеркнутым~~;
[left] [/left], [center] [/center], [right] [/right] - выделенный этими тегами текст выравнивается по левому, правому краям или по центру;
[quote][/quote] – выделенный текст выводится цитатой.

Вставки в текст

[url=//66.ru]Это ссылка на сайт[/url] – добавляет ссылку в текст;
[user]НИКНЕЙМ[/user] – добавляет ссылку на пользователя НИКНЕЙМ, если он зарегистрирован на 66.ru. Если такого пользователя нет, то имя выводится обычным текстом. В теге [user] [/user] можно указать ID пользователя на сайте. Это тоже сработает;
[img] [/img] – вставляет изображение. Между тегами указывайте полный адрес картинки в интернете;
[photo] [/photo] – вставляет картинку, если между тегами указан ID фотографии из фотоальбомов 66.ru. Готовый код для вставки фотографии можно получить на странице любой незакрытой фотографии;
[video] [/video] – вставляет видеоролик, если между тегами указан ID видеоролика, загруженного на 66.ru;
[photoalbum] [/photoalbum] – вставляет фотоальбом с прокруткой, если между тегами указан ID альбома. Готовый код для вставки можно получить на странице любого незакрытого фотоальбома;
[audio] [/audio] – вставляет mp3 файл, предварительно загруженный на 66. Тоже по ID;
[---cut---] – используется только в текстах постов. Скрывает под кат часть текста, следующую за тегом (будет написано «читать далее»).

	Вы уверены, что хотите удалить запись?