Добрый день, Максим! Обеспечение безопасности ПДн при их обработке в ИСПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование и распространение персональных данных. Обязанность по обеспечению безопасности ПДн при их обработке в ИСПДн полностью возлагается на оператора персональных данных. В связи с этим оператор обязан:
проводить мероприятия, направленные на предотвращение несанкционированного доступа (далее НСД) к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
своевременно обнаруживать факты НСД к персональным данным;
не допускать воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
незамедлительно восстанавливать ПДн, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;
осуществлять постоянный контроль за обеспечением уровня защищенности ПДн.
Безопасность ПДн при их обработке в ИСПДн обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (уполномоченное лицо). При этом оператор должен заключать договор с уполномоченным лицом. Существенным условием этого договора является обязанность уполномоченного лица обеспечить конфиденциальность и безопасность ПДн при их обработке в ИСПДн.
Я все равно не совсем понял, как должна производиться защита? Что конкретно должен делать оператор? Шифровать или что?
Вы когда предоставляете свои персональные данные подписываете согласие на их обработку при этом конкретно должны указать какие из этих данных вы разрешаете оператору обработать в каком виде и отдельно право на сообщение этих данных третьим лицам. Оператор ведет учет этих заявлений у него должен быть ответственный назначенный приказом за эту работу и тот ведет журнал и запроса данных и их передачи. Федеральным законом № 152-ФЗ «О персональных данных» от 27 июля 2006 г. установлены правила в отношении порядка обработки и обеспечения конфиденциальности персональных данных в организации. Российское законодательство признает оператором персональных данных любые организации, осуществляющие обработку персональных данных. Каждая такая организация должна предпринимать необходимые организационные и технические меры для защиты этих данных. В соответствии со статьей 23 ФЗ-152 для контроля и надзора за соответствием обработки персональных данных требованиям федерального закона назначается Уполномоченный орган по защите прав субъектов персональных данных. Такие функции возложены на Роскомнадзор, ФСТЭК и ФСБ в рамках компетенции каждой организации.
Добрый день.
Способ защиты ПДн выбирается оператором самостоятельно исходя из класса ПДн, моделей угроз и т.п. Задача оператора не зашифровать данные, а обеспечить сохранность данных, т.е. невозможность свободного доступа к охраняемой информации. Запросите у оператора положение об обработке ПДн в котором должны быть указаны способы защиты данных.
Есть какие-то определенные требования к защите 1 и 2 класса ПДн? например шифрование или аутентификация? Что конкретно должен делать оператор, чтобы избежать несанкционированного доступа к ПДн?
В двух словах это описать сложно.
Определением моделей угроз, определением необходимых мероприятий по защите информации 1 и 2 класса занимаются организации, имеющие лицензию на выполнение работ по защите информации. Перечень конкретных действий определяется на основании разработанной модели угроз (туда может входить шифрование, антивирусная защита и т.д.). Требования к разработки моделей угроз, способам защиты от видов угроз определены в соответствующих нормативных документах ФСТЭК, часть этих документов не предназначена для свободного распространения.