Защита персональных данных шифрованием

24 октября 2019

Информационная система любой организации содержит персональные данные (ПНд) о сотрудниках и клиентах, которые в соответствии с ФЗ № 152-ФЗ должны быть защищены.

Защита персональных данных методом шифрования

Законодательно подлежат шифрованию ПДн от обезличенно-общих до личных, имеющих прямое воздействие на человека (здоровье, религиозные взгляды, особенности личной жизни). Самая высокая категорийность защиты требуется данным, которые передаются в Пенсионный фонд (ФИО, зарплата, социальное положение, инвалидность, семейное положение, число детей и т.п.).

Уровень защиты для каждой категории должен различаться. Защита от утечек может строиться внутри компании по визуальным или звуковым каналам, за счет использования сертифицированного ФСБ / ФСТЭК оборудования с применением криптографии. Различные подходы к уровням защиты ведут к необходимости работы с разными IT-архитектурами, вплоть до вынесения персональной информации в специальные высокозащищённые базы данных.

Разделяются базы данных на малые, средние и распределенные. В крупных системах важна отладка системы корреляции событий, устанавливающих взаимосвязь сообщений о потенциальных угрозах, проводящих комплексную оценку опасности.

Защита персональных данных выполняется с целью:

  • охраны прав сотрудников, клиентов и руководства предприятия;
  • соответствия законодательству РФ;
  • защиты клиентской базы, утечка информации из которой может нанести серьезные убытки компании и ее репутации.

Законом о шифровании персональных данных 152-ФЗ Правительство РФ установило алгоритм, позволяющий безопасно работать с информацией, а также меры взыскания в случае несоблюдения требований вплоть до уголовной ответственности и аннулирования лицензий. К шифрованию персональных данных предъявляются требования следующего порядка:

  1. Использование криптографических средств, соответствующих уровням защиты при помощи модели угроз.
  2. Защита корпоративной информации путем шифрования данных на удаленных серверах, прозрачное или ассиметричное шифрование, в т.ч. сетевых папок, разграничение права доступа между различными сотрудниками, использование токенов (закрытых ключей внешних информационных носителей).
  3. Использование межсетевых экранов, систем предотвращения вторжений, файерволлов и антивирусов, разработка и обновление моделей угроз, использование сканеров уязвимостей, выработка защитных политик, контроль за электронным документооборотом, мониторинг сотрудников.
  4. Использование электронной подписи для безопасности документов и скорости их оформления.
  5. Защита электронной корпоративной почты (сертификаты открытого и закрытого ключей).

Информационная защита использует механизмы шифрования, сертификация которых проверяется ФСБ. Шифруется все: и базы данных, и их передача по сети, все копии резервных баз. Для безопасной работы необходима интеграция российских алгоритмов шифрования, вплоть до разработки собственных продуктов.

Необходимость регулярного обновления технологий защиты позволила выработать ГОСТы шифрования персональных данных (Р 34.11-2012 «Стрибог», блочные Р 34.12-2015 «Магма»/«Кузнечик», Р 34.13-2015). ГОСТовские алгоритмы устойчивы к взлому, отличаются высокой производительностью и хорошими данными распараллеливания), позволяя подбирать оптимальную защиту к различным (ограниченным или полноценным) ресурсам вычислительного оборудования.

Алгоритмы шифрования данных

Алгоритм защиты персональных данных в организации включает типовой перечень действий, которые необходимо выполнить для защиты:

  1. Создание методики обработки ПДн.
  2. Возможность согласия/отказа на обработку для сотрудников и клиентов.
  3. Уведомительные сообщения о работе с ПДн в общем потоке материалов.
  4. Создание структуры хранения информации.
  5. Создание базы данных.
  6. Определение порядка и способов обработки, наказаний за нарушения.
  7. Работа по дополнению инструкций для работников, ответственных за обработку и хранение ПДн.

Алгоритм построения системы защиты персональных данных состоит из пяти этапов:

  1. Предпроектная оценка остановки. Важно грамотно построить частную модель угроз для конкретной компании
  2. Разрабатывается документация, формируется техническое задание.
  3. Проектирование защиты. Работы ведутся в соответствии с выработанным ТЗ, приобретаются техсредства защиты, проводится их сертификация, определяется круг должностных лиц, ответственных за функционирование средств защиты.
  4. Введение в действие разработанного средства защиты ПДн.
  5. Осуществление техподдержки и сопровождения.

Для распространенной платформы 1С шифрование выполняется без внешних компонентов, com объектов, чтобы полностью изолировать ее от привязки к операционной системе.

Смотрите также:

Антивирусная защита информации
Антивирусные средства защиты информации

Как осуществляется защита информации предприятий от вирусов. Средства администрирования, организационные мероприятия, ограничение доступа, установка и настройка средств антивирусной защиты.

Зоны ответственности заказчика и поставщика облачного сервиса
Ответственность за нарушение закона о персональных данных

Какова позиция законодателя (регулятора) в отношении использования облачных сервисов при хранении, обработке персональных данных. Как выбрать облачного провайдера с точки зрения выполнения норм 152-ФЗ по защите ПНд.

Обработка персональных данных работников
Положение о защите персональных данных работников

Каков порядок обработки персональных данных работников, их родственников, в т.ч. при размещении их в облаке. Каков объем прав у сотрудников на защиту их персональных данных, нужно ли получать согласие работников.

Организация защиты данных на предприятии
Организация систем защиты персональных данных

Организация данных и информации на предприятии - какие мероприятия требуется провести, как составить их план, кого назначить ответственным. Построение эффективной системы защиты информации и персональных данных на предприятии.

Сертификация систем защиты информации (СЗИ) и персональных данных (ПНд)
Аттестация по 152-ФЗ на требования ФСТЭК

Как проводится сертификация систем защиты, обработки и хранения персональных данных, как получить сертификат, пройти аттестацию, аккредитацию. Требования 152-ФЗ, ФСТЭК.

Современный IT аутсорсинг
Современный IT аутсорсинг

Краткая история, текущее состояние и ближайшее будущее интернет-маркетинга в рунете. Чего ждать в ближайшие года, к чему готовиться: больше внимания защите информации, автоматизации процессов.

Что относится к персональным данным с точки зрения законодателя
Что входит в персональные данные

Что такое персональные данные с точки зрения российского законодательства – как происходит их защита, обработка и хранение. Что относится к ПНд в России с точки зрения Роскомнадзора.