Актуальные требования к ИСПДн и что это: как «Максиплейс» соблюдает 152 ФЗ в 2024

Персональные данные – это информация, которая идентифицирует или может идентифицировать конкретного человека. Существует несколько видов персональных данных:

• Общие персональные данные, включающие ФИО, паспортные данные, СНИЛС, ИНН, дату рождения и адрес электронной почты.
• Специальные персональные данные, такие как данные о расовой или национальной принадлежности, состоянии здоровья или интимной жизни.
• Биометрические персональные данные, включающие данные о физиологических и биологических особенностях человека, такие как ДНК, голос или отпечатки пальцев.
• Иные персональные данные, например, предпочтения в питомцах или в еде.

Персональные данные собираются, обрабатываются и хранятся в ИСПДн – информационных системах персональных данных. Эти системы включают в себя наборы персональных данных (ПДн), содержащиеся в базах данных (БД), а также информационные технологии и технические средства, с помощью которых осуществляется обработка таких ПДн.

Оператором персональных данных называют организацию, которая обрабатывает данные субъекта — человека, предоставившего о себе персональные сведения.

Если ваша компания занимается сбором, обработкой и хранением персональных данных, по закону о персональных данных вы обязаны их защищать. Это особенно актуально в связи с участившимися атаками хакерских группировок: совсем недавно жертвами стали такие отечественные компании, как «СДЭК», занимающийся курьерской доставкой документов и грузов, и «Смарт офис», специализирующийся специализируется на серверах 1С.

Мы, компания «Максиплейс», также будучи оператором персональных данных, придаем высочайшее значение безопасности этих данных и применяем передовые методы и технологии для их защиты. Полностью осознавая нашу ответственность перед клиентами, мы постоянно работаем над обеспечением уровня защиты и конфиденциальности данных.

Типы угроз

Теперь нужно сказать несколько слов об угрозах для персональных данных. В законе актуальные угрозы классифицируются как:

• Первый тип. Самые серьезные угрозы, связанные с недокументированными возможностями в системном программном обеспечении (ПО), например, в операционной системе.
• Второй тип. Угрозы, связанные с недокументированными возможностями в прикладном ПО, например, в установленных программах.
• Третий тип. Угрозы, не связанные с ПО, например, уязвимости в оборудовании.

Уровни защищенности и примеры

При сборе, обработке и хранении персональных, им нужно обеспечить соответствующий уровень защищенности (доверия). Это регулируется «Постановлением Правительства РФ N 1119» и 21 приказом ФСТЭК. Необходимый уровень защищенности зависит от:

• Типа персональных данных (общие, специальные, биометрические, иные);
• Субъекта персональных данных (ваши сотрудники или клиенты);
• Количество субъектов (больше 100 000 или меньше 100 000);
• Типа актуальных угроз (1, 2 или 3 тип).

Всего существует четыре уровня защищенности, подробнее о которых мы расскажем ниже. Для наглядности мы также приведем примеры их применения.

Первый уровень защищенности

УЗ-1 позволяет хранить специальные и биометрические данные при первом типе угроз. Технически этот уровень самый сложный. Так, к примеру, он требует безотказной работы серверов и установки на компьютеры только ПО, заранее разрешенного службой безопасности.

Пример. Федеральное агентство обрабатывает высокочувствительные государственные данные, такие как данные о национальной безопасности и законодательстве. Агентство применяет самые строгие меры безопасности, включая аудит безопасности, физические барьеры и системы защиты от вторжений, чтобы предотвратить утечку и несанкционированный доступ к государственным секретам.

Второй уровень защищенности

УЗ-2 подходит для хранения любых данных, для некоторых данных допускает даже первый тип угроз. Требует установить систему обнаружения вторжений, защищать систему от спама, организовать резервное копирование.

Пример. Банковский филиал обрабатывает финансовые данные своих клиентов, такие как банковские счета и транзакции. Филиал использует передовые технологии защиты, такие как биометрическая аутентификация и системы мониторинга транзакций, для защиты финансовых данных клиентов от мошенничества и кибератак.

Третий уровень защищенности

УЗ-3 кроме общедоступных и иных данных, позволяет хранить биометрические и специальные данные, работать при втором и третьем типе угроз. Требует регулярно искать и устранять уязвимости в оборудовании и ПО, а также ограничить доступ к настройкам информационной системы.

Пример. Медицинская клиника обрабатывает чувствительные медицинские данные пациентов, такие как результаты анализов и медицинские диагнозы. Клиника применяет дополнительные меры безопасности, такие как шифрование данных и установку системы контроля доступа, чтобы предотвратить несанкционированный доступ к конфиденциальным медицинским данным.

Четвертый уровень защищенности

УЗ-4 необходим для защиты общедоступных и иных данных с третьим типом угроз. Самый простой, требует несложных мер защиты вроде установки антивируса и регулярного обновления ПО.

Пример. Небольшой магазин хранит данные клиентов, такие как их контактные данные и историю покупок. Магазин применяет базовые меры безопасности, такие как использование антивирусного программного обеспечения и регулярные обновления ПО для защиты данных клиентов от вредоносного программного обеспечения и хакерских атак.

Меры по обеспечению безопасности персональных данных

«Максиплейс» принимает ряд важных мер для обеспечения безопасности данных наших клиентов:

• Шифрование данных. Наша система защиты персональных данных использует передовые технологии шифрования, чтобы обеспечить защиту данных в пути и в покое, гарантируя, что конфиденциальная информация остается недоступной для несанкционированных лиц.
• Физическая безопасность. Наши серверные центры оборудованы современными системами физической защиты, включая контроль доступа и системы видеонаблюдения, чтобы предотвратить несанкционированный доступ к серверам и оборудованию.
• Защита от DDoS-атак. Мы имеем в нашем арсенале эффективные механизмы защиты от DDoS-атак, чтобы гарантировать непрерывную доступность наших услуг для клиентов даже в условиях атак.
• Регулярные аудиты и тестирование безопасности. Мы регулярно проводим аудиты безопасности и тестирование на проникновение, чтобы выявлять и устранять уязвимости в наших системах до того, как они могут быть использованы злоумышленниками.
• Обучение персонала. Наш персонал проходит обучение по правилам безопасности и процедурам обработки данных, чтобы гарантировать, что каждый сотрудник понимает важность безопасности данных и свою роль в ее обеспечении.

Соответствие законодательству

Мы строго соблюдаем все применимые законы и положения, касающиеся защиты персональных данных, такие как Общий Регламент по Защите Данных (GDPR) и Федеральный закон о защите персональных данных в России (152 ФЗ).

Подробнее о том, как в «Максиплейс» организовано облачное хранение данных, мы писали в прошлом году. Если кратко, оно включает в себя соблюдение правил по сбору, хранению и обработке персональных данных, а также оперативную реакцию на запросы и требования со стороны регулирующих органов.

Наши системы обеспечивают шифрование данных, жесткий контроль доступа и мониторинг уязвимостей для предотвращения несанкционированного доступа и утечек информации.

«Максиплейс» прошел сертификацию по международному стандарту ИСО-27001. Этот стандарт определяет требования к системе управления информационной безопасностью и подтверждает наши высокие стандарты в области безопасности информации.

Сертификация ИСО-27001 от независимого центра сертификации свидетельствует о том, что мы уделяем самое серьезное внимание управлению рисками, защите конфиденциальности и целостности данных, а также обеспечивает надежную защиту информации от угроз и уязвимостей.

Кроме того, мы постоянно отслеживаем изменения в российском законодательстве, в частности одними из первых в РФ прошли регистрацию в Роскомнадзоре в качестве хостинг-провайдера, о чем подробно писали в одной из предыдущих публикаций.

Резюме

Понимание уровней защищенности информации не только обеспечивают безопасность персональных данных, но и помогает эффективно управлять рисками и соответствовать требованиям законодательства. Следование принципам классификации уровней защищенности позволяет операторам ИСПДн выбирать подходящие меры безопасности в зависимости от конкретных потребностей и степени конфиденциальности информации, что способствует обеспечению ее защиты на высоком уровне.

В конечном итоге, понимание и применение уровней защищенности является необходимым элементом работы с клиентскими данными. Обеспечение конфиденциальности и целостности данных является золотым стандартом для всех операторов ИСПДн, и система классификации уровней защищенности является важным инструментом для достижения этой цели.