152-ФЗ "О персональных данных"
В этой статье мы разберёмся как определить необходимый уровень защищённости для обработки персональных данных.
Что такое персональные данные(ПД)?
Персональные данные – это информация, которая идентифицирует или может идентифицировать конкретного человека.
Они подразделяются на несколько типов:
- Общие персональные данные, включающие ФИО, паспортные данные, СНИЛС, ИНН, дату рождения и адрес электронной почты.
- Специальные персональные данные, такие как данные о расовой или национальной принадлежности, состоянии здоровья или интимной жизни.
- Биометрические персональные данные, включающие данные о физиологических и биологических особенностях человека, такие как ДНК, голос или отпечатки пальцев.
- Иные персональные данные, например, предпочтения в питомцах или в еде.
Если Вы храните ПД, то Вы обязаны их защищать.
Мы, компания «Максиплэйс», также будучи оператором персональных данных, придаем высочайшее значение безопасности этих данных и применяем передовые методы и технологии для их защиты. Полностью осознавая нашу ответственность перед клиентами, мы постоянно работаем над обеспечением уровня защиты и конфиденциальности данных.
Ключевые Меры Безопасности
Наша компания принимает ряд важных мер для обеспечения безопасности данных наших клиентов:
Шифрование данных: Мы используем передовые технологии шифрования, чтобы обеспечить защиту данных в пути и в покое, гарантируя, что конфиденциальная информация остается недоступной для несанкционированных лиц.
Физическая Безопасность: Наши серверные центры оборудованы современными системами физической защиты, включая контроль доступа и системы видеонаблюдения, чтобы предотвратить несанкционированный доступ к серверам и оборудованию.
Защита от DDoS-атак: Мы имеем в нашем арсенале эффективные механизмы защиты от DDoS-атак, чтобы гарантировать непрерывную доступность наших услуг для клиентов даже в условиях атак.
Регулярные Аудиты и Тестирование Безопасности: Мы регулярно проводим аудиты безопасности и тестирование на проникновение, чтобы выявлять и устранять уязвимости в наших системах до того, как они могут быть использованы злоумышленниками.
Обучение Персонала: Наш персонал проходит обучение по правилам безопасности и процедурам обработки данных, чтобы гарантировать, что каждый сотрудник понимает важность безопасности данных и свою роль в ее обеспечении.
Соответствие Законодательству
Мы строго соблюдаем все применимые законы и положения, касающиеся защиты персональных данных, такие как Общий Регламент по Защите Данных (GDPR) и Федеральный закон о защите персональных данных в России (152 ФЗ).
Это включает в себя соблюдение правил по сбору, хранению и обработке персональных данных, а также оперативную реакцию на запросы и требования со стороны регулирующих органов.
Наши системы обеспечивают шифрование данных, жесткий контроль доступа и мониторинг уязвимостей для предотвращения несанкционированного доступа и утечек информации.
Наша компания прошла сертификацию по международному стандарту ИСО-27001. Этот стандарт определяет требования к системе управления информационной безопасностью и подтверждает наши высокие стандарты в области безопасности информации.
Сертификация ИСО-27001 от независимого центра сертификации свидетельствует о том, что мы уделяем самое серьезное внимание управлению рисками, защите конфиденциальности и целостности данных, а также обеспечивает надежную защиту информации от угроз и уязвимостей. (Сертификат соответствия ГОСТ Р ИСО/МЭК 27001-2021 (ISO IEC 27001:2022), система менеджмента информационной безопасности)
Рассмотрим небольшой практический кейс о защите персональных данных.
При хранении и обработке ПД, им нужно обеспечить соответствующий уровень защищённости. Это регулируется «Постановлением Правительства РФ N 1119» и 21 приказом ФСТЭК.
Необходимый уровень защищенности зависит от:
- Типа ПД (общие, специальные, биометрические, иные)
- Субъекта ПД (ваши сотрудники или клиенты)
- Количество субъектов (больше 100 000 или меньше 100 000)
- Типа актуальных угроз (1, 2 или 3 тип).
Тип персональных данных и субъекты обработки персональных данных Вы легко определите самостоятельно.
Давайте немного поговорим о типах актуальных угроз.
В законе актуальные угрозы классифицируются как:
- 1 тип - самые серьезные угрозы, связанные с недокументированными возможностями в системном программном обеспечении (ПО), например в операционной системе.
- 2 тип - угрозы, связанные с недокументированными возможностями в прикладном ПО, например в установленных программах.
- 3 тип - угрозы, не связанные с ПО, например уязвимости в оборудовании.
Если вы не считаете что в используемом вами ПО есть "закладки", то угрозы 1го и 2го типа можно считать не актуальными.
При обработке персональных данных применяются так называемые уровни защищенности.
Всего существует 4 уровня защищенности (доверия), они же УЗ:
1 УЗ. Позволяет хранить специальные и биометрические данные при 1 типе угроз. Технически этот уровень самый сложный. Так, к примеру, он требует безотказной работы серверов и установки на компьютеры только ПО, заранее разрешенного службой безопасности.
2 УЗ. Подходит для хранения любых данных, для некоторых данных допускает даже 1 тип угроз. Требует установить систему обнаружения вторжений, защищать систему от спама, организовать резервное копирование.
3 УЗ. Кроме общедоступных и иных данных, позволяет хранить биометрические и специальные данные, работать при 2 и 3 типе угроз. Требует регулярно искать и устранять уязвимости в оборудовании и ПО, а также ограничить доступ к настройкам информационной системы.
4 УЗ. Необходим для защиты общедоступных и иных данных с 3 типом угроз. Самый простой, требует несложных мер защиты вроде установки антивируса и регулярного обновления ПО.
| Таблица для определения уровня защищённости | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Категория ПД | Специальные | Биометрические | Иные | Общие | |||||||
| Собственные работники | нет | нет | да | нет | нет | да | нет | нет | да | ||
| Количество субъектов | более 100 000 | до 100 000 | более 100 000 | до 100 000 | более 100 000 | до 100 000 | |||||
| Тип актуальных угроз | 1 | 1 УЗ | 1 УЗ | 1 УЗ | 1 УЗ | 1 УЗ | 2 УЗ | 2 УЗ | 2 УЗ | 2 УЗ | 2 УЗ |
| 2 | 1 УЗ | 2 УЗ | 2 УЗ | 2 УЗ | 2 УЗ | 3 УЗ | 3 УЗ | 2 УЗ | 3 УЗ | 3 УЗ | |
| 3 | 2 УЗ | 3 УЗ | 3 УЗ | 3 УЗ | 3 УЗ | 4 УЗ | 4 УЗ | 4 УЗ | 4 УЗ | 4 УЗ | |
Облако Maxiplace соответствует третьему уровню защищенности (УЗ-3) , что подтверждает соответствующий документ - Сертификат соответствия ГОСТ Р ИСО/МЭК 27001-2021 (ISO IEC 27001:2022), защита персональных данных УЗ-3
Давайте рассмотрим примеры применения уровней защищенности:
Уровень защищенности 4 (УЗ-4): Небольшой магазин хранит данные клиентов, такие как их контактные данные и историю покупок. Магазин применяет базовые меры безопасности, такие как использование антивирусного программного обеспечения и регулярные обновления ПО для защиты данных клиентов от вредоносного программного обеспечения и хакерских атак.
Уровень защищенности 3 (УЗ-3): Медицинская клиника обрабатывает чувствительные медицинские данные пациентов, такие как результаты анализов и медицинские диагнозы. Клиника применяет дополнительные меры безопасности, такие как шифрование данных и установку системы контроля доступа, чтобы предотвратить несанкционированный доступ к конфиденциальным медицинским данным.
Уровень защищенности 2 (УЗ-2): Банковский филиал обрабатывает финансовые данные своих клиентов, такие как банковские счета и транзакции. Филиал использует передовые технологии защиты, такие как биометрическая аутентификация и системы мониторинга транзакций, для защиты финансовых данных клиентов от мошенничества и кибератак.
Уровень защищенности 1 (УЗ-1): Федеральное агентство обрабатывает высокочувствительные государственные данные, такие как данные о национальной безопасности и законодательстве. Агентство применяет самые строгие меры безопасности, включая аудит безопасности, физические барьеры и системы защиты от вторжений, чтобы предотвратить утечку и несанкционированный доступ к государственным секретам.
Понимание уровней защищенности информации не только обеспечивают безопасность данных, но и помогает эффективно управлять рисками и соответствовать требованиям законодательства. Следование принципам классификации УЗ позволяет операторам ПД выбирать подходящие меры безопасности в зависимости от конкретных потребностей и степени конфиденциальности информации, что способствует обеспечению ее защиты на высоком уровне.
В конечном итоге, понимание и применение УЗ является необходимым элементом работы с клиентскими данными.
Обеспечение конфиденциальности и целостности данных является золотым стандартом для всех операторов ПДн, и система классификации УЗ является важным инструментом для достижения этой цели.