ИСПДн: как защитить?

ИСПДн: как защитить?

ИСПДн: как защитить?
ИСПДн: как защитить?
17.07.2023

Компании практически во всех сферах и любого масштаба – от мелкого до крупного бизнеса сегодня получают и хранят персональные данные, как своих клиентов, так и сотрудников и партнеров. В России существует федеральный закон 152-ФЗ, который обязывает такие компании – операторов ПДн защищать данные, которые они хранят и обрабатывают.

Информационная система персональных данных включает в себя:

  • ИС, в которой хранятся и обрабатываются ПДн;
  • серверы;
  • CRM;
  • компьютеры, через которые проходит работа с ПДн;
  • ПДн (например, имена, фамилии, электронная почта);
  • антивирусы – все вместе называют информационной системой персональных данных (ИСПДн).

Чтобы регулярно обеспечивать безопасность ПДн необходимо контролировать безопасность системы, в которой хранятся данные и понимать, когда ей угрожает опасность. Для этого нужно понимать к какому классу относится ИСПДн и насколько тщательно ее нужно защищать.

В этой статье мы расскажем, как ИСПДн делят на группы по уровню угроз, какие бывают виды и какие классы ИБ-решений обязательны для работы с ИСПДн, а также о том, что требует регулятор в этой части.

Задачи ИСПДн

По сути, ИСПДн это система предназначенная для обеспечения безопасности персональных данных, обрабатываемых в организациях. Она помогает им обезопасить обработку персональных данных и защищать их от несанкционированного доступа.

Основные задачи, которые решает система:

  • защита персональных данных: ИСПДН позволяет организовать меры по предотвращению несанкционированного доступа к персональным данным, их изменению или уничтожению;
  • мониторинг доступа: система может отслеживать доступ к персональным данным и контролировать, кто, когда и с какой целью получал к ним доступ;
  • управление правами доступа: функционал ИСПДН дает возможность ограничить права доступа к персональным данным и предоставить его только необходимым специалистам, настроив надлежащие права на основе ролей и полномочий.
  • учет и аудит доступа: ИСПДН позволяет вести учет доступа к персональным данным и сохранять аудиторские журналы, которые могут быть использованы для расследования инцидентов и выявления нарушений безопасности.

Использование системы помогает организациям соблюдать требования, установленные законодательством о защите персональных данных, например, обеспечивать конфиденциальность, целостность и доступность персональных данных.

Группы ИСПД

Виды ИСПДн определяются согласно соответствующему документу ФСТЭК. Информационные системы персональных данных делятся на несколько групп по уровню опасности. У каждого из них есть своя базовая защищенность, отталкиваясь от которой можно понять, насколько в целом защищена система конкретно этого типа.

Для определения нужного вида ИСПДн или, говоря иначе, уровня защищенности, необходимо пройти процесс оценки ее уровня безопасности. Для этого важно учитывать следующие аспекты, каждый из которых регламентируется регулятором:

  1. Категория персональных данных, которые обрабатываются в системе. Как пример, это могут быть персональные данные связанные с состоянием здоровья субъекта, что будет отнесено к специальной категории. Или паспортные данные (серия и номер), которые могут быть отнесены к иным категориям.
  2. Актуальные угрозы, которым подвержена информационная система. Этот аспект нужен для понимания в какой части системы может присутствовать недекларированная возможность программного обеспечения. Определение такого пункта необходимо для проведения инвентаризации информационных активов в организации.
  3. Количество данных, обрабатываемых в системе. Это может влиять на необходимый уровень защищенности. Постановление оперирует 2-мя пунктами – менее или более 100000 субъектов ПДн.
  4. Кем является субъект предоставляемых данных: работником или не работником? От этого пункта, в том числе зависит финальный уровень, предъявляемый к ИСПДн.

Карэн Багдасарян

Консультант Центра экспертизы компании R-Vision

После того как будут известны все эти факторы, возможно определить уровень защищенности информационной системы. Меры безопасности, связанные с каждым из уровней защиты, определены в приказе ФСТЭК России № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».


Таким образом ИСПДн делятся на группы по территориальному размещению, наличию выхода в интернет, по доступным операциям с ПДн, по разграничению доступа к ПДн, по уровню обезличивания данных и по тому объему данных, который компания предоставляет другим организациям.

В итоге, классы решений для защиты ИСПДн зависят от обрабатываемых категорий персональных данных, их объемов и видов угроз безопасности. Постановление Правительства РФ №1119 определяет какой уровень защищенности персональных данных нужно обеспечить, а приказ ФСТЭК, в свою очередь, определяет обязательный (базовый) перечень мер, которые должны реализовать соответствующие классы ИБ-решений.

Защита ИСПДн

Обычно система защиты персональных данных включает в себя различные инструменты, относящиеся как к защите устройства, на котором хранится база, так и самой передачи ПДн по сети. Эксперты отмечают, что решения, используемые для защиты ИСПДн, по своей сути ничем не отличаются от обычных решений по защите информации. Разница только в том, что ряд решений носят обязательный характер в соответствии с приказом ФСТЭК России №21 о составе организационных и технических мер защиты ИСПДн.

Игорь Гусев

Ведущий инженер «Газинформсервис»

Организационные меры предписывают разработать достаточно большое количество документов для ИСПДн в обязательном порядке, это и есть отличительная специфика решений для защиты ИСПДн. Решения для реализации технических мер практически аналогичны тем, что применяются для защиты иных информационных систем.

Основные риски безопасности ИСПДн определяются основными информационными активами – персональными данными. Конфиденциальность в данном случае выступает на первый план. Поэтому чаще всего становятся известными инциденты, связанные с утечкой персональных данных.

Игорь Гусев

Ведущий инженер «Газинформсервис»

Как правило, такие инциденты связаны с инсайдом или несоблюдением предписанных организационных и технических мер защиты ИСПДн. Одна из сложностей, как ни парадоксально звучит, это соблюдение требований всех регуляторов в части документационного обеспечения. Поэтому Роскомнадзор, следящий за законностью обработки персональных данных, практически всегда находит недостатки у операторов ИСПДн во время проверок.

Важно, что при наивысшем уровне защищенности ИСПДн по классификации регулятора в обязательном порядке операторы ПДн должны применять практически все классы ИБ-решений. Эксперты отмечают, что тут важно точно определить все исходные параметры персональных данных, чтобы защита ИСПДн не стала избыточно дорогим удовольствием для оператора.

Вывод

Сегодня у любых персональных данных есть своя цена и многие компании «гоняются» за ПДн не только с целью ведения своей базы, но и обмена или продажи другим организациям. Именно поэтому часто личные данные называют современным золотом.

Государство старается контролировать этот вопрос уже далеко не первый год и даже десятилетие и стимулировать операторов ПДн защищать полученные и хранимые данные с помощью требований, установленных на законодательном уровне.

Классификация ИСПДн по уровню защищенности, разработанная ФСТЭК, поможет подобрать необходимые базовые инструменты для защиты от утечки данных.

Другие материалы
Уровни информационной безопасности: важность методологии для практики
29.08.2022
Уровни информационной безопасности: важность методологии для практики
Кибепреступления: разнообразие и уголовное преследование
31.07.2023
Кибепреступления: разнообразие и уголовное преследование
Защита электронной почты от спама
17.11.2023
Защита электронной почты от спама
Как кредитным организациям соответствовать ГОСТ Р 57580.3-2022
19.08.2024
Как кредитным организациям соответствовать ГОСТ Р 57580.3-2022
Purple Team: зачем «пурпурные» на киберучениях
09.12.2022
Purple Team: зачем «пурпурные» на киберучениях
Тестирование на проникновение: инструкция к действию
03.08.2022
Тестирование на проникновение: инструкция к действию
2SDnjeQxrTM 2SDnjeQxrTM

Популярные публикации
17.02.2024
SOC (Security Operation Center): для чего компании нужен центр мониторинга кибербезопасности
19.01.2024
XDR, DLP, IDS: какое ИБ-решение выбрать
04.08.2024
Банк угроз ФСТЭК: использовать нельзя игнорировать
27.03.2024
Anonymous vs Killnet: история группировок
06.10.2024
Обзор средств доверенной загрузки
31.12.2024
Аналитическое сравнение российских систем SGRC (Security Governance, Risk and Compliance)
20.01.2024
Как работают TLS-сертификаты Минцифры
29.10.2024
Автоматизированный SOC, NGFW и багбаунти: итоги года и прогнозы на 2024
12.09.2024
Кардинг: технологичное мошенничество или проверка на внимательность?
19.08.2024
ГосСОПКА: какие перспективы у цифрового щита России?
12.08.2024
Этичный хакинг: что это такое и где применяется? Кто такие белые хакеры?
09.10.2024
Критическая информационная инфраструктура (КИИ): инструкция по выявлению и категорированию объектов
06.07.2024
Ситуационные центры России: готова ли государственная информационная инфраструктура к актуальным внешним условиям?
16.03.2024
Менеджеры паролей - 7 лучших решений для бизнеса
30.07.2024
Обзор платформ для практического обучения: направления Offensive и Defensive
15.02.2024
СКЗИ (средства криптографической защиты информации): что это, какие классы, чем отличаются и что проверяет ФСБ
21.12.2024
Как стать хакером с нуля? Что нужно знать и уметь, где учиться?
30.03.2024
SIEM-системы в России - что это, какие популярные решения применяются
14.11.2024
Аналитическое сравнение российских продуктов по управлению уязвимостями
10.08.2024
Импортозамещение в ИБ: как указ президента №250 меняет крупнейшие российские компании
22.07.2024
Пентест или тестирование на проникновение: слабости в обороне компаний, актуальные в 2023 году
17.05.2024
Утечка данных: как случается и что с ними делать
Показать всё
Комментарии 0