Как обеспечить безопасность обработки персональных данных в организации

Анастасия Митина · 01 авг 2023 · 10246 · Поделиться

В современном информационном обществе персональные данные стали особенно ценным активом. Компании, органы власти и обычные граждане хранят и обрабатывают огромные объёмы личной информации. Однако с возрастающей важностью персональных данных возрастает и необходимость обеспечения их безопасности. Кража или неправомерный доступ к такой информации может привести к серьезным последствиям, включая финансовые потери, утрату доверия клиентов и штрафы за нарушение законодательства.

По данным аналитического центра НАФИ 38% россиян столкнулись с утечкой персональных данных и их использования недобросовестными лицами для спам-звонков и рекламы (см. источник). В данной статье мы рассмотрим меры по обеспечению безопасности персональных данных в организации.

Какая информация относится к персональным данным

В России действует Федеральный закон № 152-ФЗ «О персональных данных». Он регламентирует основные принципы и правила обработки персональных данных в организации.

Согласно ст. 3 Закона № 152-ФЗ под персональными данными следует понимать любую информацию, которая прямо или косвенно относится к определенному или определяемому физическому лицу (субъекту персональных данных).

Другими словами, достаточно ФИО + номер телефона либо государственный идентификатор (СНИЛС, ИНН, медицинский полис, паспорт), для того чтобы установить личность человека.

Всё это относится к персональным данным, которые компания как оператор обработки этих данных обязана защищать от утечек и несанкционированного доступа. Оператором является любое юридическое лицо, которое осуществляет действия с этой информацией: собирает, систематизирует, использует, хранит, распространяет и т. д.

Меры защиты персональных данных в организации

Закон № 152-ФЗ «О персональных данных» устанавливает три группы мер, направленных на обеспечение безопасности персональных данных: правовые, организационные и технические. Рассмотрим каждую группу подробнее.

Правовые меры защиты персональных данных

К правовым мерам следует отнести принятие локальных актов, направленных на регулирование обработки персональных данных в конкретной организации: положение об обработке персональных данных, приказы руководства о назначении на должность, связанную с обработкой таких данных, должностные инструкции, журналы учёта носителей такой информации и т. д.

Некоторые локальные акты должны быть изданы, опубликованы либо иным образом должен быть обеспечен доступ к их содержанию неограниченному кругу лиц. К таким локальным актам относится документ «Политика обработки персональных данных» (другие его названия: «Политика конфиденциальности», «Положение об обработке персональных данных»). Название может быть разным, но суть одна — в этом документе должна быть указана вся информация, касающаяся процессов обработки персональных данных в конкретной организации. Роскомнадзор составил Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных. В данных Рекомендациях указано, какие положения лучше включить в текст: цель сбора данных, категории собираемых данных, порядок и условия обработки, а также иную информацию.

Политика должна быть четкой, доступной всем сотрудникам организации и регулярно обновляться в соответствии с изменениями в законодательстве и технологическими требованиями.

Помимо Политики обработки персональных данных также должны быть приняты и иные акты, которые регулируют правила обработки запросов, архивное хранение, процедуру обезличивания и т. д.

В случае нарушения требований федерального законодательства и локальных актов организации при обработке персональных данных виновное лицо несёт гражданско-правовую, дисциплинарную, административную или уголовную ответственность (подробнее см. здесь).

Организационные меры защиты персональных данных

К организационным мерам относятся:

  • разработка локальных актов, регламентирующих все вопросы и процедуры обработки персональных данных в конкретной организации;
  • контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информационных систем;
  • обучение сотрудников информационной безопасности, работе с персональными данными и правилам «цифровой гигиены»;
  • учёт носителей конфиденциальной информации;
  • назначение на должности лиц, ответственных за процесс обработки персональных данных.

Технические меры защиты персональных данных

Технические меры защиты конфиденциальной информации включают в себя следующее:

  • использование сертифицированных средств защиты информации — антивирусные программы, межсетевые экраны, системы контроля доступа и пр.;
  • регулярное резервное копирование для предотвращения потери данных в результате технических сбоев или злоумышленных действий;
  • ограничение доступа к конфиденциальной информации, в том числе путём установки паролей для доступа к информационным системам и базам данных;
  • шифрование данных, передаваемых по сети, для предотвращения несанкционированного доступа к конфиденциальной информации.

Эти меры помогают защитить персональные данные от доступа третьими лицами, взлома и кражи, а также соблюсти требования законодательства к защите персональных данных.

С помощью КриптоАРМ ГОСТ 3 можно шифровать электронные сообщения*, которые содержат персональные данные. В одном электронном письме могут содержаться сканы паспорта, свидетельств о браке или о рождении детей и пр. — вся эта информация будет зашифрована на сертификат квалифицированной электронной подписи получателя**. Благодаря этому только получатель — владелец сертификата сможет расшифровать содержимое электронного письма. Взлом почтового аккаунта или перехват сообщения не помогут злоумышленникам получить доступ к конфиденциальной информации.

*Криптографические операции шифрования и расшифрования осуществляются средством криптографической защиты информации КриптоПро CSP 5.0.

**Сертификат квалифицированной электронной подписи приобретается в аккредитованных удостоверяющих центрах физическими лицами, в отделениях ФНС России — директорами юридических лиц и индивидуальными предпринимателями.

Заключение

Таким образом, организациям важно не только обрабатывать персональные данные своих работников и клиентов, но и обеспечивать их безопасность. Российское законодательство устанавливает обязанность перед операторами обработки персональных данных принять ряд локальных актов, реализовать ряд мероприятий и приобрести программное обеспечение, чтобы снизить риски для компании, её сотрудников и клиентов к минимуму. С помощью КриптоАРМ ГОСТ 3 Защищённая почта работники могут обмениваться конфиденциальной информацией в зашифрованном виде по сети Интернет, и злоумышленник не сможет ею воспользоваться в корыстных целях.

Подробнее о возможностях обмена зашифрованными письмами см. статью «Защищённая почта в КриптоАРМ ГОСТ 3».

Пробуйте защищённую электронную почту уже сейчас — временная лицензия КриптоАРМ ГОСТ 3 действует 30 дней и предоставляет доступ ко всему функционалу приложения.

Получить временную лицензию | Скачать дистрибутив

Видеоинструкция Как зашифровать письмо с помощью КриптоАРМ ГОСТ 3

Вернуться к списку новостей

Подпишитесь и получайте новые статьи по почте

Заполните поле Подписаться

Подписываясь, вы соглашаетесь на получение информационных сообщений от компании
ООО «Цифровые технологии» на условиях Политики конфиденциальности

Спасибо, что подписались
на нашу рассылку!

Узнавайте новости первыми —
подпишитесь на нашу новостную рассылку

Заполните поле
Подписаться

Подписываясь, вы соглашаетесь на получение информационных сообщений от компании
ООО «Цифровые технологии» на условиях Политики конфиденциальности

Спасибо, что подписались
на нашу рассылку!