В современном информационном обществе персональные данные стали особенно ценным активом. Компании, органы власти и обычные граждане хранят и обрабатывают огромные объёмы личной информации. Однако с возрастающей важностью персональных данных возрастает и необходимость обеспечения их безопасности. Кража или неправомерный доступ к такой информации может привести к серьезным последствиям, включая финансовые потери, утрату доверия клиентов и штрафы за нарушение законодательства.
По данным аналитического центра НАФИ 38% россиян столкнулись с утечкой персональных данных и их использования недобросовестными лицами для спам-звонков и рекламы (см. источник). В данной статье мы рассмотрим меры по обеспечению безопасности персональных данных в организации.
В России действует Федеральный закон № 152-ФЗ «О персональных данных». Он регламентирует основные принципы и правила обработки персональных данных в организации.
Согласно ст. 3 Закона № 152-ФЗ под персональными данными следует понимать любую информацию, которая прямо или косвенно относится к определенному или определяемому физическому лицу (субъекту персональных данных).
Другими словами, достаточно ФИО + номер телефона либо государственный идентификатор (СНИЛС, ИНН, медицинский полис, паспорт), для того чтобы установить личность человека.
Всё это относится к персональным данным, которые компания как оператор обработки этих данных обязана защищать от утечек и несанкционированного доступа. Оператором является любое юридическое лицо, которое осуществляет действия с этой информацией: собирает, систематизирует, использует, хранит, распространяет и т. д.
Закон № 152-ФЗ «О персональных данных» устанавливает три группы мер, направленных на обеспечение безопасности персональных данных: правовые, организационные и технические. Рассмотрим каждую группу подробнее.
К правовым мерам следует отнести принятие локальных актов, направленных на регулирование обработки персональных данных в конкретной организации: положение об обработке персональных данных, приказы руководства о назначении на должность, связанную с обработкой таких данных, должностные инструкции, журналы учёта носителей такой информации и т. д.
Некоторые локальные акты должны быть изданы, опубликованы либо иным образом должен быть обеспечен доступ к их содержанию неограниченному кругу лиц. К таким локальным актам относится документ «Политика обработки персональных данных» (другие его названия: «Политика конфиденциальности», «Положение об обработке персональных данных»). Название может быть разным, но суть одна — в этом документе должна быть указана вся информация, касающаяся процессов обработки персональных данных в конкретной организации. Роскомнадзор составил Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных. В данных Рекомендациях указано, какие положения лучше включить в текст: цель сбора данных, категории собираемых данных, порядок и условия обработки, а также иную информацию.
Политика должна быть четкой, доступной всем сотрудникам организации и регулярно обновляться в соответствии с изменениями в законодательстве и технологическими требованиями.
Помимо Политики обработки персональных данных также должны быть приняты и иные акты, которые регулируют правила обработки запросов, архивное хранение, процедуру обезличивания и т. д.
В случае нарушения требований федерального законодательства и локальных актов организации при обработке персональных данных виновное лицо несёт гражданско-правовую, дисциплинарную, административную или уголовную ответственность (подробнее см. здесь).
К организационным мерам относятся:
Технические меры защиты конфиденциальной информации включают в себя следующее:
Эти меры помогают защитить персональные данные от доступа третьими лицами, взлома и кражи, а также соблюсти требования законодательства к защите персональных данных.
С помощью КриптоАРМ ГОСТ 3 можно шифровать электронные сообщения*, которые содержат персональные данные. В одном электронном письме могут содержаться сканы паспорта, свидетельств о браке или о рождении детей и пр. — вся эта информация будет зашифрована на сертификат квалифицированной электронной подписи получателя**. Благодаря этому только получатель — владелец сертификата сможет расшифровать содержимое электронного письма. Взлом почтового аккаунта или перехват сообщения не помогут злоумышленникам получить доступ к конфиденциальной информации.
*Криптографические операции шифрования и расшифрования осуществляются средством криптографической защиты информации КриптоПро CSP 5.0.
**Сертификат квалифицированной электронной подписи приобретается в аккредитованных удостоверяющих центрах физическими лицами, в отделениях ФНС России — директорами юридических лиц и индивидуальными предпринимателями.
Таким образом, организациям важно не только обрабатывать персональные данные своих работников и клиентов, но и обеспечивать их безопасность. Российское законодательство устанавливает обязанность перед операторами обработки персональных данных принять ряд локальных актов, реализовать ряд мероприятий и приобрести программное обеспечение, чтобы снизить риски для компании, её сотрудников и клиентов к минимуму. С помощью КриптоАРМ ГОСТ 3 Защищённая почта работники могут обмениваться конфиденциальной информацией в зашифрованном виде по сети Интернет, и злоумышленник не сможет ею воспользоваться в корыстных целях.
Подробнее о возможностях обмена зашифрованными письмами см. статью «Защищённая почта в КриптоАРМ ГОСТ 3».
Пробуйте защищённую электронную почту уже сейчас — временная лицензия КриптоАРМ ГОСТ 3 действует 30 дней и предоставляет доступ ко всему функционалу приложения.
Получить временную лицензию | Скачать дистрибутив
Видеоинструкция Как зашифровать письмо с помощью КриптоАРМ ГОСТ 3