К какой категории мер по обеспечению иб относится использование родительского контроля

Обновлено: 12.06.2024

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Свод правил по защите персональных данных (ПДн) в публичных облаках, используемых для их обработки

Information technology. Security techniques and tools. Code of practice for protection of personally identifiable information (Pll) in public clouds acting as Pll processors

Дата введения 2021-06-01

Предисловие

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН) и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27018:2019* "Информационные технологии. Методы обеспечения безопасности. Свод правил по защите персональных данных (ПДн) в публичных облаках, используемых для их обработки" (ISO/IEC 27018:2019 "Information technology - Security techniques - Code of practice for protection of personally identifiable information (Pll) in public clouds acting as Pll processors").

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

ИСО/МЭК 27018 разработан подкомитетом ПК 27 "Методы и средства обеспечения безопасности ИТ" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные и межгосударственные стандарты, сведения о которых приведены в дополнительном приложении ДА

5 ВВЕДЕН ВПЕРВЫЕ

6 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. ИСО и МЭК не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

0.1 Предпосылки и контекст

В случаях, когда для обработки персональных данных (ПДн) используются облачные вычисления, поставщик служб облачных вычислений, действующий на основании соответствующего договора с потребителем, должен организовать свои службы таким образом, чтобы требования законодательства и установленных регуляторами правил в области защиты ПДн соблюдались для обоих участников. Распределение конкретных требований и ответственности за их реализацию между участниками зависит от правовой юрисдикции и условий договора между потребителем и поставщиком. Совокупность законов, устанавливающих правила обработки ПДн (в том числе при их сборе, использовании, передаче и уничтожении), часто называют законодательством по защите данных, а ПДн иногда называют личной или персональной информацией. В различных юрисдикциях обязательства, возлагаемые на операторов ПДн, могут заметно отличаться друг от друга, что затрудняет многонациональное ведение бизнеса, предоставляющего службы облачных вычислений.

При использовании служб публичного облака, в котором обработка ПДн осуществляется в интересах и в соответствии с инструкциями потребителя служб облачных вычислений, поставщик служб публичного облака выступает в роли обработчика ПДн. Потребителями служб облачных вычислений (в рамках договорных отношений с обработчиком ПДн публичного облака) могут быть как физические лица (субъекты ПДн), обрабатывающие в облаке свои собственные ПДн, так и организации (операторы ПДн), обрабатывающие ПДн, принадлежащие многим субъектам ПДн. Потребитель служб облачных вычислений может уполномочить одного или многих связанных с ним пользователей на использование служб, доступных ему в рамках договора с обработчиком ПДн публичного облака. Важно, чтобы у потребителя служб облачных вычислений имелись полномочия на обработку и использование ПДн. Потребитель служб облачных вычислений, который одновременно является оператором ПДн, может подпадать под действие более широкой совокупности обязательств, регулирующих защиту ПДн, чем обработчик ПДн публичного облака. Основным признаком, отличающим обработчика ПДн от оператора ПДн, является то, что в процессе обработки ПДн поставщик служб публичного облака (обработчик ПДн) не имеет никаких других целей и не выполняет никаких других операций, кроме установленных потребителем служб облачных вычислений (оператором ПДн) для решения своих задач.

Примечание - При обработке учетных данных потребителя служб облачных вычислений обработчик ПДн публичного облака может выступать в качестве оператора ПДн. Особенности такого варианта распределения ответственности не являются предметом рассмотрения настоящего стандарта.

Цель настоящего стандарта, при его совместном использовании с целями, мерами обеспечения информационной безопасности (ИБ) ИСО/МЭК 27002, состоит в создании единой совокупности категорий, мер обеспечения ИБ, которые могут быть реализованы поставщиком служб публичного облака, выступающим в качестве обработчика ПДн. Эта цель имеет следующие задачи:

- помочь поставщику служб публичного облака соответствовать применимым обязательствам, если он выступает в качестве обработчика ПДн, и такие обязательства возлагаются на обработчика ПДн в законах, подзаконных нормативных правовых актах и договорных соглашениях;

- обеспечить открытость информации об обработчике ПДн публичного облака в соответствующих вопросах, чтобы потребители служб облачных вычислений могли выбрать хорошо управляемые, основанные на облачных вычислениях службы обработки ПДн;

- помочь потребителю служб облачных вычислений и обработчику ПДн публичного облака составить договорное соглашение;

- предоставить потребителям облачных служб методику для реализации прав и обязанностей по аудиту и соответствию требованиям в тех случаях, когда отдельный аудит со стороны потребителя облачных служб для данных, размещенных в среде виртуализированных серверов (облаков) с множеством участников, технически нецелесообразен и может увеличить риски для применяемых мер обеспечения ИБ физических и логических сетей.

Настоящий стандарт не заменяет действующих законов и норм и является методической основой для проверки на соответствие поставщика служб публичных облаков, в частности для тех поставщиков, которые ведут свой бизнес на многонациональном рынке.

0.2 Меры защиты персональных данных при использовании служб облачных вычислений в публичных облаках

Настоящий стандарт разработан для использования организациями в качестве справочника при выборе мер защиты ПДн в процессе реализации системы менеджмента ИБ облачных вычислений на основе ИСО/МЭК 27001, а также в качестве рекомендаций по реализации общепринятых мер защиты ПДн для организаций, выступающих в качестве обработчиков ПДн публичного облака. В частности, настоящий стандарт основан на требованиях ИСО/МЭК 27002 с учетом специфической среды (сред) риска, возникающей из тех требований по защите ПДн, которые могут быть применимы к поставщикам служб публичных облаков, выступающим в качестве обработчика ПДн.

Обычно организация, обеспечивающая выполнение требований ИСО/МЭК 27001, защищает свои собственные информационные активы. Однако в контексте требований по защите ПДн для поставщика служб публичного облака, выступающего в качестве обработчика ПДн, организация защищает информационные активы, доверенные ей ее потребителями. В этой ситуации применение обработчиком ПДн публичного облака мер обеспечения ИБ из ИСО/МЭК 27002 не только оправданно, но и необходимо. Настоящий стандарт дополняет ИСО/МЭК 27002 мерами обеспечения ИБ, которые учитывают распределенную природу риска и существование договорных отношений между потребителем служб облачных вычислений и обработчиком ПДн публичного облака. Настоящий стандарт дополняет ИСО/МЭК 27002 двумя способами:

- руководство по реализации, применимое к защите ПДн в публичных облаках, предусмотрено лишь для некоторых из существующих мер обеспечения ИБ из ИСО/МЭК 27002;

- приложение А содержит ряд дополнительных мер обеспечения ИБ, не вошедших в существующий набор мер обеспечения ИБ из ИСО/МЭК 27002, и соответствующее руководство, предназначенное для соблюдения требований по защите ПДн в публичных облаках.

Большинство мер обеспечения ИБ и руководство настоящего стандарта будут также применимы к оператору ПДн. Однако на оператора ПДн в большинстве случаев будут возлагаться дополнительные обязательства, не установленные в настоящем стандарте.

0.3 Требования по защите персональных данных

Важно, чтобы организация установила свои требования по защите ПДн. Существует три основных источника требований:

a) законы, подзаконные нормативные правовые акты, договорные соглашения. Первый источник - это правовые, законодательные, установленные операторами и договором требования, которые должны соблюдаться организацией, ее торговыми партнерами, подрядчиками и поставщиками, а также их социокультурная ответственность и среда ведения бизнеса. Следует отметить, что законы, нормы и договорные обязательства, взятые на себя обработчиком ПДн, могут устанавливать требования к выбору определенных мер обеспечения ИБ и сделать обязательными определенные критерии реализации этих мер обеспечения ИБ. Такие требования могут меняться от одной юрисдикции к другой;

b) риски. Второй источник требований получен из оценки рисков, связанных с ПДн, с учетом бизнес-стратегии и целей организации. В рамках оценки рисков идентифицируются угрозы и уязвимости и оцениваются вероятности их реализации и потенциальные последствия. Руководство по управлению рисками ИБ, включая рекомендации по оценке, принятию, коммуникации, мониторингу и пересмотру рисков, приведено в ИСО/МЭК 27005. Руководство по оценке воздействия на конфиденциальность (тайну личной жизни, приватность) приведено в ИСО/МЭК 29134;

c) корпоративные политики - третий источник требований. В то время как многие аспекты, содержащиеся в корпоративной политике, получены на основании правовых и социокультурных обязательств, организация может принять решение добровольно расширить требования перечисления а).

0.4 Выбор и реализация мер обеспечения информационной безопасности в среде облачных вычислений

Меры обеспечения ИБ могут быть выбраны из настоящего стандарта (который включает в себя ссылку на меры обеспечения ИБ из ИСО/МЭК 27002, создающего объединенную справочную совокупность мер обеспечения ИБ для данной области или приложения, определенного в области применения). При необходимости меры обеспечения ИБ могут быть выбраны из других наборов мер обеспечения ИБ, а для удовлетворения соответствующих специфических потребностей могут быть разработаны новые меры обеспечения ИБ.

Примечание - Службы обработки ПДн, предоставляемые обработчиком ПДн публичного облака, могут рассматриваться как приложение облачных вычислений, а не как самостоятельный сектор (отрасль). Тем не менее в настоящем стандарте использован термин "с учетом специфики данной отрасли", поскольку это стандартный термин, используемый в других стандартах серии ИСО/МЭК 27000.

Выбор мер обеспечения ИБ зависит от решений организации, основанных на критериях принятия рисков, вариантах обработки рисков и общем подходе к управлению рисками, примененному к организации и, через договорные соглашения, к ее потребителям и поставщикам, а также должен согласовываться со всеми соответствующими применимыми национальными и международными законами и нормами. Если меры обеспечения ИБ из настоящего стандарта не выбраны, то это должно быть задокументировано с обоснованием причин.

Кроме того, выбор и реализация мер обеспечения ИБ зависят от фактической роли поставщика публичного облака в контексте всей эталонной архитектуры облачных вычислений (см. ИСО/МЭК 17789). В поддержание инфраструктурных служб и приложений в среде облачных вычислений может быть вовлечено много различных организаций. В некоторых случаях выбранные меры обеспечения ИБ могут быть уникальны для определенной категории служб эталонной архитектуры облачных вычислений. В других случаях при реализации мер обеспечения ИБ могут существовать общие роли. Договорные соглашения должны определять обязанности по защите ПДн всех организаций, вовлеченных в поддержание или использование служб облачных вычислений, включая обработчика ПДн публичного облака, его субподрядчиков и потребителя служб облачных вычислений.

Меры обеспечения ИБ, описанные в настоящем стандарте, можно считать руководящими принципами и применимыми для большинства организаций. Такие меры обеспечения ИБ, а также руководство по их реализации подробно рассмотрены в настоящем стандарте. Реализация может быть упрощена, если требования по защите ПДн были учтены на стадии проектирования информационных систем, служб и работ обработчика ПДн публичного облака. Данное соображение является элементом концепции, часто называемой "спроектированная защита данных". Соответствующие документы приведены в библиографии (см. [19]).

0.5 Разработка дополнительных рекомендаций

Настоящий стандарт может рассматриваться как основа для разработки рекомендаций по защите ПДн. Не все меры обеспечения ИБ и руководство из данного свода правил могут быть применимы. Более того, могут потребоваться дополнительные меры обеспечения ИБ и рекомендации, не вошедшие в настоящий стандарт. При разработке документов, содержащих дополнительные рекомендации или меры обеспечения ИБ, в соответствующих местах будет полезным вставить перекрестные ссылки на пункты настоящего стандарта, что упростит проверку соответствия аудиторами и бизнес-партнерами.

0.6 Жизненный цикл персональных данных

У ПДн имеется естественный жизненный цикл - от создания через хранение, обработку, использование и передачу к окончательному разрушению или уничтожению. Риски для ПДн могут изменяться в течение всего времени их жизни, но защита ПДн должна обеспечиваться на всех этапах жизненного цикла.

Требования по защите ПДн должны учитываться на всех этапах жизненного цикла существующих и вновь создаваемых информационных систем.

1 Область применения

Настоящий стандарт устанавливает общепринятые цели, меры обеспечения информационной безопасности (ИБ) и рекомендации по реализации мер защиты персональных данных (ПДн) в соответствии с правилами конфиденциальности ИСО/МЭК 29100 для вычислительной среды публичных облаков.

В частности, настоящий стандарт определяет рекомендации, основываясь на ИСО/МЭК 27002 и учитывая нормативные требования по защите ПДн, которые могут быть применимы в контексте рисков ИБ для поставщика служб публичных облаков.

Настоящий стандарт применим к организациям всех типов и размеров, включая публичные и частные компании, государственные и некоммерческие организации, предоставляющим службы обработки информации в качестве обработчиков ПДн на основе облачных вычислений в соответствии с договором с другими организациями.

Рекомендации настоящего стандарта могут относиться к организациям, выступающим в качестве операторов ПДн; однако на операторов ПДн могут распространяться дополнительные законы, нормы и обязательства по защите ПДн, не применимые к обработчикам ПДн. Настоящий стандарт не предназначен для рассмотрения дополнительных обязательств.

2 Нормативные ссылки

В настоящем стандарте использованы следующие нормативные ссылки, для датированных ссылок применяют только указанное издание ссылочного стандарта, для недатированных - последнее издание (включая все изменения):

ISO/IEC 17788, Information technology - Cloud computing - Overview and Vocabulary (Информационная технология. Облачные вычисления. Общие положения и терминология)

ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary (Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общие положения и терминология)

ISO/IEC 27002:2013, Information technology - Security techniques - Code of practice for information security controls (Информационная технология. Методы и средства обеспечения безопасности. Свод правил для мер и средств контроля и управления информационной безопасностью)

3 Термины и определения

В настоящем стандарте применены термины по ИСО/МЭК 17788 и ИСО/МЭК 27000, а также следующие термины с соответствующими определениями.

С целью использования в стандартах ИСО и МЭК поддерживают терминологические базы данных:

Вне зависимости от того, принадлежит ли компания к большому, малому или среднему бизнесу, состоявшаяся это организация или пока еще стартап — вопрос защиты персональных данных актуален для всех. Эта статья посвящена особенностям и средствам такой защиты, а также рекомендациям, которые помогут упростить эту работу и сделать ее более эффективной.

Кто обеспечивает защиту данных?

Реализация мер по защите персональных данных — это зона ответственности оператора, т. е. субъекта, осуществляющего сбор и обработку данных в информационной системе. Как правило, таким субъектом выступает компания, владеющая базами данных своих сотрудников и клиентов либо сторонняя организация, уполномоченная компанией-владельцем.

При невыполнении мер защиты оператор несет законодательно установленную ответственность. Наблюдением и проверками компаний в данном случае занимается Роскомнадзор. В случае если требования законодательства нарушены, оператор несет административную ответственность и обязан заплатить штраф. С 2019 года его размер повысился до сотен тысяч (для юридических лиц — миллионов) рублей — в соответствии с недавними поправками, внесенными в Кодекс РФ об административных правонарушениях.

Общая сумма штрафов, выписанных по итогам проверок, составила более пяти миллионов за предыдущий год.

Что защищать и от чего?

Начнем с вопроса терминологии. Персональные данные представляют собой любую информацию, относящуюся прямо или косвенно к физическому лицу, который в законе прописан как субъект персональных данных. Наиболее распространенные разновидности такой информации:

точное место жительства;

адрес электронной почты.

Фамилия, имя и отчество сами по себе тоже могут являться персональными данными. Попадание этой информации к любым третьим лицам должно быть исключено.

Кроме того, необходимо понимать, что оператор имеет право на обработку данных лишь в некоторых случаях:

если им получено согласие на обработку (необязательно письменное);

планируется заключение договора с субъектом (даже в случае оферты на веб-сайте);

обрабатываются персональные данные своих сотрудников;

в особых случаях, когда обработка нужна для защиты жизни, здоровья и прочих важных интересов человека.

Если компания-оператор не смогла доказать ни одно из перечисленных оснований обработки, на нее также налагается штраф и сбор данных считается незаконным.

Еще один параметр, который нужно учитывать — не стоит обрабатывать персональную информацию, не имеющую непосредственного отношения к предмету договора (скажем, для классического договора купли-продажи не имеют значения профессия, уровень образования или воинская обязанность покупателя). Излишний интерес может быть истолкован надзорными органами как нарушение.

Поскольку время от времени Роскомнадзор проводит внеплановые проверки (чаще всего, если есть жалобы конкретного лица — бывшего сотрудника, конкурирующей компании или клиента, считающего, что его права нарушены), во избежание претензий компании-оператору нужно удостовериться, что:

Политика в отношении персональных данных задокументирована и находится в публичном доступе.

Форма сбора персональных содержит разъясняющую информацию о том для чего они собираются (когда ввод персональных данных необходим для заключения договора, его текст также обязательно должен быть опубликован).

Уже собранные специальные данные человека, включая биометрические (те сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых может быть установлена его личность) не могут быть переданы заграничным компаниям.

Запросы и требования субъектов персональных данных (в том числе об уточнении, удалении, блокировании) всегда удовлетворяются.

Чаще всего проверки Роскомнадзора выявляет нарушения из этого списка. Другая распространенная претензия — недостаточный внутренний контроль за осуществлением обработки и слабая осведомленность сотрудников, которые за нее отвечают о правилах и требованиях ее проведения.

Перечисленные нами условия — это некая база, фундамент, поскольку защита персональных данных основывается не только на соблюдении юридической стороны дела — что, в целом, не так уж и сложно и требует лишь внутренней дисциплины в компании, — но и куда более сложной технической организации.

Когда обработка происходит с использованием информационных систем (а значит, и электронных устройств), появляются новые потенциальные угрозы, которые нужно свести к минимуму, а лучше и вовсе исключить. Рассмотрим их.

Угрозой информации считают возможное влияние или воздействие на автоматизированную систему обработки изнутри или извне, которое влечет за собой любые негативные последствия для субъектов этой информации. Обычно информационные системы становятся особо уязвимыми, когда:

программное обеспечение компании несовершенно, давно не обновлялось и содержит уязвимости;

некоторые процессы системы (в частности, защитные) функционируют не в полную силу;

усложнены условия эксплуатации и хранения информации.

Угрозы принято делить на несколько групп (в основе классификации лежит природа угрозы):

Объективная. Она напрямую зависит от того, насколько грамотно подобрано оборудование для хранения и обработки, работает ли должным образом защитное ПО.

неисправность технических средств,

слабые антивирусы, отсутствие шлюзов безопасности,

невозможность зрительного контроля за серверами и доступом к ним.

Предусмотреть все возможные сбои и неполадки невозможно, но важно знать где и почему они могут потенциально произойти — и подстраховаться.

Случайная. Эта группа включает в себя непредвиденные обстоятельства, различные ЧП и системные сбои. В данном случае важно быть готовыми оперативно их устранить (любые неисправности технических средств на всевозможных уровнях системы, в том числе тех, которые отвечают за контроль доступа, устаревание и износ отдельных микросхем, носителей данных, линейных соединений, неисправность в работе антивирусных, сервисных и прикладных программ).

Субъективная. Как правило, под такими угрозами понимают неправильные действия сотрудников, осуществляющих техническую обработку, хранение и защиту информации. Они могут ошибаться в соблюдении правил безопасности и допускать утечки при загрузке программного обеспечения или в момент активного использования системы, при различных манипуляциях с базами данных, при включении и выключении аппаратуры. Также к этой группе относятся неправомерные действия бывших сотрудников, у которых остался несанкционированный доступ к данным.

Специалисты компании-оператора должны учитывать все типы угроз. Во внимание следует принять критерии, которые помогут понять, какова реальная возможность угрозы того или иного типа (а также вероятность поломки или успешного обхода защитных алгоритмов):

Доступность. Этот критерий демонстрирует, насколько просто злоумышленник может получить доступ к нужной ему информации или к инфраструктуре организации, где хранятся эти данные.

Количество. Это параметр, подразумевающий собой определение количества потенциально уязвимых деталей системы хранения и обработки данных.

Точный расчет вероятности воздействия той или иной угрозы производится математически — это могут сделать аналитические эксперты компании. Такой самоанализ позволяет объективно оценить риски и предпринять дополнительные меры защиты: закупить более совершенное оборудование, провести дополнительное обучение работников, перераспределить права доступа и т. д.

Существует несколько других, более подробных классификаций внутренних и внешних угроз, которые будут полезны для систематизации всех факторов. Рассмотрим и их.

угроза, вызванная небрежностью сотрудников, работающих с информационной системой;

угроза, инициируемая субъектами извне с целью получения личной выгоды.

искусственная угроза, созданная при участии человека;

природная, неподконтрольная человеку (чаще всего — стихийные бедствия).

Непосредственная причина угрозы:

человек, разглашающий строго конфиденциальные сведения;

природный фактор (вне зависимости от масштаба);

специализированное вредоносное программное обеспечение, нарушающее работу системы;

удаление данных случайным путем из-за отказа техники.

Момент воздействия угрозы на информационные ресурсы:

в момент обработки информации (обычно это происходит из-за рассылок вирусных утилит);

при получении системой новой информации;

независимо от степени активности работы системы (например, при направленном взломе шифров или криптозащиты).

Существуют и другие классификации, учитывающие среди параметров возможность доступа работников к самой системе или ее элементам, способ доступа к основным частям системы и конкретные способы размещения информации.

Значительную часть всех угроз эксперты связывают с объективными внешними факторами и информационным вторжением со стороны конкурентов, злоумышленников и бывших сотрудников. Особую опасность представляют те из них, кто знаком с правилами функционирования конкретной системы, обладает знаниями на уровне разработчика программ и имеет сведения о том или ином уязвимом месте в системе.

Построение системы защиты персональных данных

Классификация уровней защиты

Информационная безопасность подразумевает четыре уровня защиты от угроз:

Первый уровень. Наиболее высокий, предполагает полную защиту специальных персональных данных (национальная и расовая принадлежность, отношение к религии, состояние здоровья и личная жизнь).

Второй уровень. Предполагает защиту биометрических данных (в том числе фотографии, отпечатки пальцев).

Третий уровень. Представляет собой защиту общедоступных данных, то есть тех, к которым полный и неограниченный доступ предоставлен самим человеком.

Четвертый уровень. Это сборная группа, в которую включают все данные, не упомянутые в предыдущих трех пунктах.

Таким образом, все данные, собранные в информационной базе компании, могут быть четко распределены по уровням защиты.

Обеспечение защиты

Защита информации по уровням в каждом случае состоит из цепочки мер.

Четвертый уровень. Означает исключение из помещения, где находится информационное оборудование, посторонних лиц, обеспечение сохранности носителей данных, утверждение четкого списка работников, которые имеют допуск к обработке данных, а также использование специальных средств защиты информации.

Третий уровень. Подразумевает выполнение всех требований, предусмотренных для предыдущего уровня, и назначение ответственного за информационную безопасность должностного лица.

Второй уровень. Помимо выполнения требований предыдущего уровня, включает в себя ограничение доступа к электронному журналу безопасности.

Первый уровень. Кроме всех требований, которым необходимо следовать на втором уровне, включает обеспечение автоматической регистрации в электронном журнале безопасности полномочий сотрудников, имеющих доступ к данным, в случае изменения этих полномочий, а также возложение ответственности за информационную безопасность на специально созданное подразделение.

Должное выполнение прописанных в законодательстве мер защиты персональных данных в соответствии с уровнями обеспечивает максимальную эффективность общей стратегии защиты информации, принятой в компании-операторе.

Средства защиты информации

Подробный список технических и организационных мер по обеспечению безопасности также определен юридически. К ним относятся процедура идентификации и аутентификации субъектов и объектов доступа, цепочка управления доступом, ограничение программной среды, надежная защита машинных носителей информации, антивирусная защита, предотвращение и обнаружение вторжений, аналитика степени защищенности среды наряду с обеспечением доступности данных и выявлением событий, которые потенциально приведут к сбоям в работе системы. Кроме того, закон обязывает в случае технической невозможности реализации каких-либо мер разрабатывать другие, компенсирующие меры по нейтрализации угроз.

Технические средства защиты также имеют отдельную классификацию и должны выбираться в зависимости от требуемого уровня защиты. Средства определены официальным документом, составленным Федеральной службой по техническому и экспортному контролю (орган исполнительной власти, занимающийся защитой информации). Документ доступен на официальном ресурсе службы. Каждый из классов имеет минимальный набор требований по защите.

Криптографические средства защиты информации

Одним из наиболее действенных способов защиты персональных данных является использование средств криптографии. Если упростить, то речь идет о шифровании текста с помощью цифрового кода.

К криптографическим средствам относятся аппаратные, программные и комбинированные устройства и комплексы, способные реализовывать алгоритмы криптографического преобразования информации.

Они предназначены одновременно для защиты информации при передаче по каналам связи и защиты ее от неразрешенного доступа при обработке и хранении. Логика проста: злоумышленник, который не знает кода, не сможет воспользоваться данными, даже если получит к ним доступ, поскольку не прочтет их. Для него они остануться бессмысленным набором как будто случайных цифр.

Регламент использования криптографических средств определяется Федеральной службой безопасности и документирован в соответствующем приказе.