Персональные данные – это информация, которая идентифицирует или может идентифицировать конкретного человека. Существует несколько видов персональных данных:
Персональные данные собираются, обрабатываются и хранятся в ИСПДн – информационных системах персональных данных. Эти системы включают в себя наборы персональных данных (ПДн), содержащиеся в базах данных (БД), а также информационные технологии и технические средства, с помощью которых осуществляется обработка таких ПДн.
Оператором персональных данных называют организацию, которая обрабатывает данные субъекта — человека, предоставившего о себе персональные сведения.
Если ваша компания занимается сбором, обработкой и хранением персональных данных, по закону о персональных данных вы обязаны их защищать. Это особенно актуально в связи с участившимися атаками хакерских группировок: совсем недавно жертвами стали такие отечественные компании, как «СДЭК», занимающийся курьерской доставкой документов и грузов, и «Смарт офис», специализирующийся специализируется на серверах 1С.
Мы, компания «Максиплейс», также будучи оператором персональных данных, придаем высочайшее значение безопасности этих данных и применяем передовые методы и технологии для их защиты. Полностью осознавая нашу ответственность перед клиентами, мы постоянно работаем над обеспечением уровня защиты и конфиденциальности данных.
Теперь нужно сказать несколько слов об угрозах для персональных данных. В законе актуальные угрозы классифицируются как:
При сборе, обработке и хранении персональных, им нужно обеспечить соответствующий уровень защищенности (доверия). Это регулируется «Постановлением Правительства РФ N 1119» и 21 приказом ФСТЭК. Необходимый уровень защищенности зависит от:
Всего существует четыре уровня защищенности, подробнее о которых мы расскажем ниже. Для наглядности мы также приведем примеры их применения.
УЗ-1 позволяет хранить специальные и биометрические данные при первом типе угроз. Технически этот уровень самый сложный. Так, к примеру, он требует безотказной работы серверов и установки на компьютеры только ПО, заранее разрешенного службой безопасности.
Пример. Федеральное агентство обрабатывает высокочувствительные государственные данные, такие как данные о национальной безопасности и законодательстве. Агентство применяет самые строгие меры безопасности, включая аудит безопасности, физические барьеры и системы защиты от вторжений, чтобы предотвратить утечку и несанкционированный доступ к государственным секретам.
УЗ-2 подходит для хранения любых данных, для некоторых данных допускает даже первый тип угроз. Требует установить систему обнаружения вторжений, защищать систему от спама, организовать резервное копирование.
Пример. Банковский филиал обрабатывает финансовые данные своих клиентов, такие как банковские счета и транзакции. Филиал использует передовые технологии защиты, такие как биометрическая аутентификация и системы мониторинга транзакций, для защиты финансовых данных клиентов от мошенничества и кибератак.
УЗ-3 кроме общедоступных и иных данных, позволяет хранить биометрические и специальные данные, работать при втором и третьем типе угроз. Требует регулярно искать и устранять уязвимости в оборудовании и ПО, а также ограничить доступ к настройкам информационной системы.
Пример. Медицинская клиника обрабатывает чувствительные медицинские данные пациентов, такие как результаты анализов и медицинские диагнозы. Клиника применяет дополнительные меры безопасности, такие как шифрование данных и установку системы контроля доступа, чтобы предотвратить несанкционированный доступ к конфиденциальным медицинским данным.
УЗ-4 необходим для защиты общедоступных и иных данных с третьим типом угроз. Самый простой, требует несложных мер защиты вроде установки антивируса и регулярного обновления ПО.
Пример. Небольшой магазин хранит данные клиентов, такие как их контактные данные и историю покупок. Магазин применяет базовые меры безопасности, такие как использование антивирусного программного обеспечения и регулярные обновления ПО для защиты данных клиентов от вредоносного программного обеспечения и хакерских атак.
«Максиплейс» принимает ряд важных мер для обеспечения безопасности данных наших клиентов:
Мы строго соблюдаем все применимые законы и положения, касающиеся защиты персональных данных, такие как Общий Регламент по Защите Данных (GDPR) и Федеральный закон о защите персональных данных в России (152 ФЗ).
Подробнее о том, как в «Максиплейс» организовано облачное хранение данных, мы писали в прошлом году. Если кратко, оно включает в себя соблюдение правил по сбору, хранению и обработке персональных данных, а также оперативную реакцию на запросы и требования со стороны регулирующих органов.
Наши системы обеспечивают шифрование данных, жесткий контроль доступа и мониторинг уязвимостей для предотвращения несанкционированного доступа и утечек информации.
«Максиплейс» прошел сертификацию по международному стандарту ИСО-27001. Этот стандарт определяет требования к системе управления информационной безопасностью и подтверждает наши высокие стандарты в области безопасности информации.
Сертификация ИСО-27001 от независимого центра сертификации свидетельствует о том, что мы уделяем самое серьезное внимание управлению рисками, защите конфиденциальности и целостности данных, а также обеспечивает надежную защиту информации от угроз и уязвимостей.
Кроме того, мы постоянно отслеживаем изменения в российском законодательстве, в частности одними из первых в РФ прошли регистрацию в Роскомнадзоре в качестве хостинг-провайдера, о чем подробно писали в одной из предыдущих публикаций.
Понимание уровней защищенности информации не только обеспечивают безопасность персональных данных, но и помогает эффективно управлять рисками и соответствовать требованиям законодательства. Следование принципам классификации уровней защищенности позволяет операторам ИСПДн выбирать подходящие меры безопасности в зависимости от конкретных потребностей и степени конфиденциальности информации, что способствует обеспечению ее защиты на высоком уровне.
В конечном итоге, понимание и применение уровней защищенности является необходимым элементом работы с клиентскими данными. Обеспечение конфиденциальности и целостности данных является золотым стандартом для всех операторов ИСПДн, и система классификации уровней защищенности является важным инструментом для достижения этой цели.
Статья добавлена 6 месяцев назад. Автор - Blog Admin