Информационная система персональных данных

Классификация информационных систем персональных данных (ИСПДн)

A B
1 ИТ ЭНИГМА
2 Полный прайс-лист
3 со скидками от 10.12.2018
4
5 Классификация информационных систем персональных данных (ИСПДн)
6

Коммерческое предложение будет отправлено на Вашу почту после ввода данных

Классификация ИСПДн

В соответствии с Постановлением Правительства № 1119 от 1 ноября 2012г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» для ИСПДн установлено 4 уровня защищенности.

Для определения уровня защищенности необходимо определить тип информационной системы и актуальные угрозы.

По типам информационные системы делятся на:

  • Обрабатывающие специальные категории персональных данных;
  • Обрабатывающие биометрические персональные данные;
  • Обрабатывающие общедоступные персональные данные;
  • Обрабатывающие иные категории персональных данных;
  • Обрабатывающие персональные данные сотрудников оператора.

Актуальные угрозы делятся на следующие типы:

  • Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;
  • Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;
  • Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе;

Итоговое определение уровня защищенности информационной системы персональных данных производится на основании следующей таблицы:

Тип ИСПДн

Категории субъектов

Количество субъектов

Тип актуальных угроз

1 тип

(НДВ в СПО)

2 тип(НДВ в ППО)

3 тип (нет НДВ)

ИСПДн-С(специальные)

Не сотрудников

Более 100 000

УЗ 1

УЗ 1

УЗ 2

Менее чем 100 000

УЗ 1

УЗ 2

УЗ 3

Сотрудников

Любое

УЗ 1

УЗ 2

УЗ 3

ИСПДн-Б(биометрические)

Любых

Любое

УЗ 1

УЗ 2

УЗ 3

ИСПДн-И (иные)

Не сотрудников

Более 100 000

УЗ 1

УЗ 2

УЗ 3

Менее чем 100 000

УЗ 1

УЗ 3

УЗ 4

Сотрудников

Любое

УЗ 1

УЗ 3

УЗ 4

ИСПДн-О(общедоступные)

Не сотрудников

Более 100 000

УЗ 2

УЗ 2

УЗ 4

Менее чем 100 000

УЗ 2

УЗ 3

УЗ 4

Сотрудников

Любое

УЗ 2

УЗ 3

УЗ 4

A B
1 ИТ ЭНИГМА
2 Полный прайс-лист
3 со скидками от 10.12.2018
4
5 Классификация информационных систем персональных данных (ИСПДн)
6

Коммерческое предложение будет отправлено на Вашу почту после ввода данных

Как защитить персональные данные?

Федеральный закон №149, а в частности его статья 16 предусматривает комплекс мер, направленных на защиту персональных данных работников организаций.

В соответствии с законом, работодатель должен обеспечить защиту полученной им информации от каких-либо действий с третей стороны, которые могут быть выражаться в следующем:

  • неправомерный доступ к информации;
  • модифицирование;
  • уничтожение;
  • блокировка;
  • копирование;
  • распространение и пр.

Меры защиты информации:

  1. Для защиты информации личного характера работников, работодатель должен соблюдать элементарные правила конфиденциальности доступа к данным.
  2. Предотвращение неправомерного доступа к данным и последующей их передачи.
  3. В случае несанкционированного доступа – своевременное обнаружение данного факта и исключение возможных негативных последствий подобного действия.
  4. Предотвращение возможности воздействия на технические средства, которыми производится обработка информации во избежание нарушения их функционирования.
  5. Обеспечить наличие защищенных копий с целью незамедлительного восстановления данных в случае несанкционированного доступа к ним.
  6. Основной мерой является контроль, в частности – за уровнем защищенности данных.

Способы

Поскольку информация о работниках чаще всего хранится в электронном виде, образуя базы данных в информационных системах, то целесообразно рассмотреть методы и способы защиты именно в этой области.

Только в той информационной системе, возможно обеспечить защиту данных работников, к которой исключен доступ злоумышленников и созданы условия для исключения возможности вмешательства в работу ее базовых элементов.

Рассмотрим основные способы защиты персональных данных сотрудников в информационной системе:

  • самое первое, что необходимо сделать – ограничить доступ лиц к помещениям с техническими средствами, которые осуществляют обработку и хранение информации. Обеспечить охраной такие помещения;
  • использование антивирусов. Подобные программы позволят предотвратить утечку информации, препятствуя работе вирусов и червей;
  • обеспечение защиты межсетевыми экранами. Такой метод направлен на защиту от целенаправленных атак, в то время как цель антивируса – массовые;
  • установка систем предотвращения вторжения, задача которых – выявление нападений и блокировка наиболее активных атак в проходящем трафике;
  • обеспечение системы сканерами уязвимости позволяют проверять ее на наличие «брешей»;
  • организовать регистрацию действий работников;
  • осуществлять контроль входящей-исходящей информации;
  • не менее значимы криптографические методы защиты информации (шифрование).

Проблемы

Проблемы, возникшие после появления закона, для некоторых остались актуальными.

Так, среди основных вопросов:

  • классификация сведений о сотруднике;
  • необходимость получить лицензию ФСТЭК РФ, позволяющую действовать в рамках технической защиты конфиденциальных данных;
  • не меньшую проблему представляют завышенные, по мнению экспертов, требования к системе защиты информации;
  • вопрос по определению ответственного сотрудника за процесс защиты данных и пр.

Решение этих проблем каждая отдельная организация находит сама, руководствуясь законами и прибегая к помощи опытных юристов.

За нарушение норм защиты персональных данных предусмотрено наказание. На нарушителя может возлагаться материальная ответственность, дисциплинарная, административная и уголовная. Применение таких мер может применяться к обеим сторонам: к работодателю и к работнику.

Не смотря на то, что многие эксперты считают Федеральный закон обобщенным и нуждающимся в доработке, этот документ все же обеспечивает выполнение права человека на конфиденциальность.

Суть закона заключается в требовании к компаниям создавать безопасные и защищенные информационные системы, которые будут доступны не только для сохранения личных данных работников, но и любой другой конфиденциальной информации организации.

Качество защиты информации не только о сотрудниках, но и компании в целом зависит от отношения руководителя к этому процессу, к правам работников и к своим собственным, поскольку именно администрация предприятий обязана осуществлять контроль за выполнением закона и соблюдением порядка хранения-защиты персональных данных.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *