Защита персональной информации.
День добрый! Давно меня мучает вопрос один и все ни как не могу найти на него ответ! Есть закон № 152 от 27.07.2006 года «О персональных данных» в нем много чего написано, но не написано о том что при разработке базы данных необходимо соблюдать какие нибудь нормы хранение и представления этих данных. Может быть информацию о клиентах, такую как: ФИО, номер телефона, адрес, паспортные данные и тд. необходимо как то кодировать или хранить в разных таблицах? разьясните пожалуйста по этому поводу. Надо ли переживать из-за этого? или может полдогаться только на сторонние средства защиты, типо пароли на комп и ограничение доступа к данным и прочее...?
За раннее блангодарен!:)
За раннее блангодарен!:)
весь софт (включая ОС) должен быть сертифицирован ФСТЭК, а вот какие они требования к шифрованию предъявят - это прямиком к ним спрашивать.
Если я не ошибаюсь - помимо того, что софт должен быть сертифицирован - для выполнения работ по обеспечению необходимо иметь лицензию от регулятора.
Комплекс мероприятий по обеспечению защиты персональных данных состоит из организационных и технических мер защиты информации.
Организационные меры по защите персональных данных включают в себя:
* разработка организационно – распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных (например):
o Положение об обработке персональных данных;
o Положение по защите персональных данных;
o Регламент взаимодействия с субъектами персональных данных;
o Регламент взаимодействия при передаче персональных данных третьим лицам;
o Инструкции администраторов безопасности персональных данных;
o Инструкции пользователей по работе с персональными данными;
* перечень мероприятий по защите персональных данных:
o определение круга лиц, допущенного к обработке персональных данных;
o организация доступа в помещения, где осуществляется обработка ПДн;
o разработка должностных инструкций по работе с персональными данными;
o установление персональной ответственности за нарушения правил обработки ПДн;
o определение продолжительности хранения ПДн и т.д.
Меры организационного характера осуществляются на предприятии независимо от того, нужно подавать уведомление в Роскомнадзор или нет, обработка ПДн осуществляется с использованием средств автоматизации или без использования таких средств. В каждой организации перечень мероприятий и документов может варьироваться в зависимости от специфики обработки ПДн, организационной структуры и других особенностей конкретного предприятия. Реализация организационных мер защиты информации осуществляется с учетом категорий персональных данных – чем выше категория, тем выше требования их защиты.
Технические меры защиты информации предполагают использование программно - аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов предприятия.
Технические средства защиты информации делятся на два основных класса:
* средства защиты информации от несанкционированного доступа (НСД) (системы разграничения доступа к информации; антивирусная защита; межсетевые экраны; средства блокировки устройств ввода-вывода информации, криптографические стредства и т.п.);
* средства защиты информации от утечки по техническим каналам (использование экранированных кабелей; установка высокочастотных фильтров на линии связи; установка активных систем зашумления и т.д.).
В отличие от организационных мер, техническая защита информации является сложным и трудоемким делом, при выполнении которого требуется соблюдать определенные условия, а именно:
* для выполнения работ по технической защите конфиденциальной информации (а персональные данные относятся к сведениям конфиденциального характера) требуются лицензии на выполнение такого вида деятельности;
* требуется тщательное обследование информационных ресурсов предприятия в соответствии с методическими рекомендациями ФСТЭК (определение перечня ПДн, подлежащих защите; определение состава и структуры каждой информационной системы ПДн (ИСПДн); анализ уязвимых звеньев и возможных угроз безопасности ПДн; оценка ущерба от реализации угроз безопасности ПДн; анализ имеющихся в распоряжении мер и средств защиты ПДн);
* на основании проведенного обследования осуществляется обоснование требований по обеспечению безопасности ПДн (разработка модели угроз и модели нарушителя безопасности ПДн; определение класса информационных систем ПДн; при необходимости обосновывается использование средств шифрования);
* далее проводятся работы по проектированию, созданию и вводу в эксплуатацию системы защиты ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн; согласование документов с регуляторами; разработка технического задания на создание системы защиты ПДн; развертывание и ввод в эксплуатацию системы защиты ПДн);
* аттестация (сертификация) информационных систем ПДн по требованиям безопасности информации (для ИСПДн 1-го и 2-го классов требуется аттестация соответствия требованиям информационной безопасности; сертификация средств защиты информации). Работы по аттестации (сертификации) выполняются при наличии соответствующих лицензий.
Реализовать работы по защите ПДн можно и собственными силами, но их эффективность зависит от наличия следующих ресурсных возможностей:
* наличие в штате специалистов по информационной безопасности, обладающих достаточной квалификацией для выполнения требований в соответствии с нормативно – методическими документами (при отсутствии таких специалистов необходимо провести обучение своих сотрудников или найти новых, отвечающих предъявляемым требованиям);
* наличие лицензий ФСТЭК на проведение работ по технической защите конфиденциальной информации, а в случае применения средств шифрования - лицензий ФСБ (при отсутствие соответствующих лицензий – их нужно получить, выполнив требования, предъявляемые к соискателю лицензий (ФЗ №128 «О лицензировании отдельных видов деятельности»);
Цитата:
Комплекс мероприятий по обеспечению защиты персональных данных состоит из организационных и технических мер защиты информации.
Организационные меры по защите персональных данных включают в себя:
* разработка организационно – распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных (например):
o Положение об обработке персональных данных;
o Положение по защите персональных данных;
o Регламент взаимодействия с субъектами персональных данных;
o Регламент взаимодействия при передаче персональных данных третьим лицам;
o Инструкции администраторов безопасности персональных данных;
o Инструкции пользователей по работе с персональными данными;
* перечень мероприятий по защите персональных данных:
o определение круга лиц, допущенного к обработке персональных данных;
o организация доступа в помещения, где осуществляется обработка ПДн;
o разработка должностных инструкций по работе с персональными данными;
o установление персональной ответственности за нарушения правил обработки ПДн;
o определение продолжительности хранения ПДн и т.д.
Меры организационного характера осуществляются на предприятии независимо от того, нужно подавать уведомление в Роскомнадзор или нет, обработка ПДн осуществляется с использованием средств автоматизации или без использования таких средств. В каждой организации перечень мероприятий и документов может варьироваться в зависимости от специфики обработки ПДн, организационной структуры и других особенностей конкретного предприятия. Реализация организационных мер защиты информации осуществляется с учетом категорий персональных данных – чем выше категория, тем выше требования их защиты.
Технические меры защиты информации предполагают использование программно - аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов предприятия.
Технические средства защиты информации делятся на два основных класса:
* средства защиты информации от несанкционированного доступа (НСД) (системы разграничения доступа к информации; антивирусная защита; межсетевые экраны; средства блокировки устройств ввода-вывода информации, криптографические стредства и т.п.);
* средства защиты информации от утечки по техническим каналам (использование экранированных кабелей; установка высокочастотных фильтров на линии связи; установка активных систем зашумления и т.д.).
В отличие от организационных мер, техническая защита информации является сложным и трудоемким делом, при выполнении которого требуется соблюдать определенные условия, а именно:
* для выполнения работ по технической защите конфиденциальной информации (а персональные данные относятся к сведениям конфиденциального характера) требуются лицензии на выполнение такого вида деятельности;
* требуется тщательное обследование информационных ресурсов предприятия в соответствии с методическими рекомендациями ФСТЭК (определение перечня ПДн, подлежащих защите; определение состава и структуры каждой информационной системы ПДн (ИСПДн); анализ уязвимых звеньев и возможных угроз безопасности ПДн; оценка ущерба от реализации угроз безопасности ПДн; анализ имеющихся в распоряжении мер и средств защиты ПДн);
* на основании проведенного обследования осуществляется обоснование требований по обеспечению безопасности ПДн (разработка модели угроз и модели нарушителя безопасности ПДн; определение класса информационных систем ПДн; при необходимости обосновывается использование средств шифрования);
* далее проводятся работы по проектированию, созданию и вводу в эксплуатацию системы защиты ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн; согласование документов с регуляторами; разработка технического задания на создание системы защиты ПДн; развертывание и ввод в эксплуатацию системы защиты ПДн);
* аттестация (сертификация) информационных систем ПДн по требованиям безопасности информации (для ИСПДн 1-го и 2-го классов требуется аттестация соответствия требованиям информационной безопасности; сертификация средств защиты информации). Работы по аттестации (сертификации) выполняются при наличии соответствующих лицензий.
Реализовать работы по защите ПДн можно и собственными силами, но их эффективность зависит от наличия следующих ресурсных возможностей:
* наличие в штате специалистов по информационной безопасности, обладающих достаточной квалификацией для выполнения требований в соответствии с нормативно – методическими документами (при отсутствии таких специалистов необходимо провести обучение своих сотрудников или найти новых, отвечающих предъявляемым требованиям);
* наличие лицензий ФСТЭК на проведение работ по технической защите конфиденциальной информации, а в случае применения средств шифрования - лицензий ФСБ (при отсутствие соответствующих лицензий – их нужно получить, выполнив требования, предъявляемые к соискателю лицензий (ФЗ №128 «О лицензировании отдельных видов деятельности»);
ну раз никто не знает ответа на мой вопрос, значит воспользуюсь советом oxotnik333 - ка. Регистрировать конечно все это надо, но хотелось при разработке сразу заложить правильную основу что бы потом не переделывать.
Спасибо огромное за ответы!
Спасибо огромное за ответы!
Пару лет назад, мне довелось быть одним из разработчиков Федеральной базы свидетельств ЕГЭ - так вот там паспортные и многие другие персональные данные хранились довольно банально - никакого шифрования, восновном как текст в полях nvarchar(255). Если бы законом были предусмотренны какие-либо требования безопасности, то нас бы заказчик полюбому бы запряг их соблюдать (учитывая как нас дрючили за любую фигню) - а раз до нас так и не докапались, значит каких то особых норм касательно хранения персональных данных нет.
Цитата: bave
Пару лет назад, мне довелось быть одним из разработчиков Федеральной базы свидетельств ЕГЭ - так вот там паспортные и многие другие персональные данные хранились довольно банально - никакого шифрования, восновном как текст в полях nvarchar(255). Если бы законом были предусмотренны какие-либо требования безопасности, то нас бы заказчик полюбому бы запряг их соблюдать (учитывая как нас дрючили за любую фигню) - а раз до нас так и не докапались, значит каких то особых норм касательно хранения персональных данных нет.
Защиту должна давать система в целом, а не шифрование частных данных. Т.е. что бы СУБД не позволяла сама себя взломать или ОС.
ЗЫ Закон о защите персональной информации был введен менее 2-хлет назад, так что на тот момент требовать защиту от разработчиков не имело смысла.