erid: 2SDnjeU7TaZ erid: 2SDnjeU7TaZ
ИСПДн: как защитить?

ИСПДн: как защитить?

Премия «Киберпросвет» 2024
ИСПДн: как защитить?
ИСПДн: как защитить?
17.07.2023

Компании практически во всех сферах и любого масштаба – от мелкого до крупного бизнеса сегодня получают и хранят персональные данные, как своих клиентов, так и сотрудников и партнеров. В России существует федеральный закон 152-ФЗ, который обязывает такие компании – операторов ПДн защищать данные, которые они хранят и обрабатывают.

Информационная система персональных данных включает в себя:

  • ИС, в которой хранятся и обрабатываются ПДн;
  • серверы;
  • CRM;
  • компьютеры, через которые проходит работа с ПДн;
  • ПДн (например, имена, фамилии, электронная почта);
  • антивирусы – все вместе называют информационной системой персональных данных (ИСПДн).

Чтобы регулярно обеспечивать безопасность ПДн необходимо контролировать безопасность системы, в которой хранятся данные и понимать, когда ей угрожает опасность. Для этого нужно понимать к какому классу относится ИСПДн и насколько тщательно ее нужно защищать.

В этой статье мы расскажем, как ИСПДн делят на группы по уровню угроз, какие бывают виды и какие классы ИБ-решений обязательны для работы с ИСПДн, а также о том, что требует регулятор в этой части.

Задачи ИСПДн

По сути, ИСПДн это система предназначенная для обеспечения безопасности персональных данных, обрабатываемых в организациях. Она помогает им обезопасить обработку персональных данных и защищать их от несанкционированного доступа.

Основные задачи, которые решает система:

  • защита персональных данных: ИСПДН позволяет организовать меры по предотвращению несанкционированного доступа к персональным данным, их изменению или уничтожению;
  • мониторинг доступа: система может отслеживать доступ к персональным данным и контролировать, кто, когда и с какой целью получал к ним доступ;
  • управление правами доступа: функционал ИСПДН дает возможность ограничить права доступа к персональным данным и предоставить его только необходимым специалистам, настроив надлежащие права на основе ролей и полномочий.
  • учет и аудит доступа: ИСПДН позволяет вести учет доступа к персональным данным и сохранять аудиторские журналы, которые могут быть использованы для расследования инцидентов и выявления нарушений безопасности.

Использование системы помогает организациям соблюдать требования, установленные законодательством о защите персональных данных, например, обеспечивать конфиденциальность, целостность и доступность персональных данных.

Группы ИСПД

Виды ИСПДн определяются согласно соответствующему документу ФСТЭК. Информационные системы персональных данных делятся на несколько групп по уровню опасности. У каждого из них есть своя базовая защищенность, отталкиваясь от которой можно понять, насколько в целом защищена система конкретно этого типа.

Для определения нужного вида ИСПДн или, говоря иначе, уровня защищенности, необходимо пройти процесс оценки ее уровня безопасности. Для этого важно учитывать следующие аспекты, каждый из которых регламентируется регулятором:

  1. Категория персональных данных, которые обрабатываются в системе. Как пример, это могут быть персональные данные связанные с состоянием здоровья субъекта, что будет отнесено к специальной категории. Или паспортные данные (серия и номер), которые могут быть отнесены к иным категориям.
  2. Актуальные угрозы, которым подвержена информационная система. Этот аспект нужен для понимания в какой части системы может присутствовать недекларированная возможность программного обеспечения. Определение такого пункта необходимо для проведения инвентаризации информационных активов в организации.
  3. Количество данных, обрабатываемых в системе. Это может влиять на необходимый уровень защищенности. Постановление оперирует 2-мя пунктами – менее или более 100000 субъектов ПДн.
  4. Кем является субъект предоставляемых данных: работником или не работником? От этого пункта, в том числе зависит финальный уровень, предъявляемый к ИСПДн.

Карэн Багдасарян

Консультант Центра экспертизы компании R-Vision

После того как будут известны все эти факторы, возможно определить уровень защищенности информационной системы. Меры безопасности, связанные с каждым из уровней защиты, определены в приказе ФСТЭК России № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».


Таким образом ИСПДн делятся на группы по территориальному размещению, наличию выхода в интернет, по доступным операциям с ПДн, по разграничению доступа к ПДн, по уровню обезличивания данных и по тому объему данных, который компания предоставляет другим организациям.

В итоге, классы решений для защиты ИСПДн зависят от обрабатываемых категорий персональных данных, их объемов и видов угроз безопасности. Постановление Правительства РФ №1119 определяет какой уровень защищенности персональных данных нужно обеспечить, а приказ ФСТЭК, в свою очередь, определяет обязательный (базовый) перечень мер, которые должны реализовать соответствующие классы ИБ-решений.

Защита ИСПДн

Обычно система защиты персональных данных включает в себя различные инструменты, относящиеся как к защите устройства, на котором хранится база, так и самой передачи ПДн по сети. Эксперты отмечают, что решения, используемые для защиты ИСПДн, по своей сути ничем не отличаются от обычных решений по защите информации. Разница только в том, что ряд решений носят обязательный характер в соответствии с приказом ФСТЭК России №21 о составе организационных и технических мер защиты ИСПДн.

Игорь Гусев

Ведущий инженер «Газинформсервис»

Организационные меры предписывают разработать достаточно большое количество документов для ИСПДн в обязательном порядке, это и есть отличительная специфика решений для защиты ИСПДн. Решения для реализации технических мер практически аналогичны тем, что применяются для защиты иных информационных систем.

Основные риски безопасности ИСПДн определяются основными информационными активами – персональными данными. Конфиденциальность в данном случае выступает на первый план. Поэтому чаще всего становятся известными инциденты, связанные с утечкой персональных данных.

Игорь Гусев

Ведущий инженер «Газинформсервис»

Как правило, такие инциденты связаны с инсайдом или несоблюдением предписанных организационных и технических мер защиты ИСПДн. Одна из сложностей, как ни парадоксально звучит, это соблюдение требований всех регуляторов в части документационного обеспечения. Поэтому Роскомнадзор, следящий за законностью обработки персональных данных, практически всегда находит недостатки у операторов ИСПДн во время проверок.

Важно, что при наивысшем уровне защищенности ИСПДн по классификации регулятора в обязательном порядке операторы ПДн должны применять практически все классы ИБ-решений. Эксперты отмечают, что тут важно точно определить все исходные параметры персональных данных, чтобы защита ИСПДн не стала избыточно дорогим удовольствием для оператора.

Вывод

Сегодня у любых персональных данных есть своя цена и многие компании «гоняются» за ПДн не только с целью ведения своей базы, но и обмена или продажи другим организациям. Именно поэтому часто личные данные называют современным золотом.

Государство старается контролировать этот вопрос уже далеко не первый год и даже десятилетие и стимулировать операторов ПДн защищать полученные и хранимые данные с помощью требований, установленных на законодательном уровне.

Классификация ИСПДн по уровню защищенности, разработанная ФСТЭК, поможет подобрать необходимые базовые инструменты для защиты от утечки данных.

erid: 2SDnjdbjuoP erid: 2SDnjdbjuoP
Популярные публикации
06.05.2024
Microsoft не будет автоматически исправлять ошибку обновления Windows
06.05.2024
Северокорейские хакеры маскируются под журналистов для шпионажа
06.05.2024
Хакеры обрушились на Microsoft: облачные сервисы под угрозой
06.05.2024
Google усиливает безопасность с помощью новых ключей доступа
03.05.2024
TikTok вновь полностью функционирует в России
Показать всё
Комментарии 0