Защита персональных данных шифрованием

Информационная система любой организации содержит персональные данные (ПНд) о сотрудниках и клиентах, которые в соответствии с ФЗ № 152-ФЗ должны быть защищены.

Законодательно подлежат шифрованию ПДн от обезличенно-общих до личных, имеющих прямое воздействие на человека (здоровье, религиозные взгляды, особенности личной жизни). Самая высокая категорийность защиты требуется данным, которые передаются в Пенсионный фонд (ФИО, зарплата, социальное положение, инвалидность, семейное положение, число детей и т.п.).

Уровень защиты для каждой категории должен различаться. Защита от утечек может строиться внутри компании по визуальным или звуковым каналам, за счет использования сертифицированного ФСБ / ФСТЭК оборудования с применением криптографии. Различные подходы к уровням защиты ведут к необходимости работы с разными IT-архитектурами, вплоть до вынесения персональной информации в специальные высокозащищённые базы данных.

Разделяются базы данных на малые, средние и распределенные. В крупных системах важна отладка системы корреляции событий, устанавливающих взаимосвязь сообщений о потенциальных угрозах, проводящих комплексную оценку опасности.

Защита персональных данных выполняется с целью:

  • охраны прав сотрудников, клиентов и руководства предприятия;
  • соответствия законодательству РФ;
  • защиты клиентской базы, утечка информации из которой может нанести серьезные убытки компании и ее репутации.

Законом о шифровании персональных данных 152-ФЗ Правительство РФ установило алгоритм, позволяющий безопасно работать с информацией, а также меры взыскания в случае несоблюдения требований вплоть до уголовной ответственности и аннулирования лицензий. К шифрованию персональных данных предъявляются требования следующего порядка:

  1. Использование криптографических средств, соответствующих уровням защиты при помощи модели угроз.
  2. Защита корпоративной информации путем шифрования данных на удаленных серверах, прозрачное или ассиметричное шифрование, в т.ч. сетевых папок, разграничение права доступа между различными сотрудниками, использование токенов (закрытых ключей внешних информационных носителей).
  3. Использование межсетевых экранов, систем предотвращения вторжений, файерволлов и антивирусов, разработка и обновление моделей угроз, использование сканеров уязвимостей, выработка защитных политик, контроль за электронным документооборотом, мониторинг сотрудников.
  4. Использование электронной подписи для безопасности документов и скорости их оформления.
  5. Защита электронной корпоративной почты (сертификаты открытого и закрытого ключей).

Информационная защита использует механизмы шифрования, сертификация которых проверяется ФСБ. Шифруется все: и базы данных, и их передача по сети, все копии резервных баз. Для безопасной работы необходима интеграция российских алгоритмов шифрования, вплоть до разработки собственных продуктов.

Необходимость регулярного обновления технологий защиты позволила выработать ГОСТы шифрования персональных данных (Р 34.11-2012 «Стрибог», блочные Р 34.12-2015 «Магма»/«Кузнечик», Р 34.13-2015). ГОСТовские алгоритмы устойчивы к взлому, отличаются высокой производительностью и хорошими данными распараллеливания), позволяя подбирать оптимальную защиту к различным (ограниченным или полноценным) ресурсам вычислительного оборудования.

Алгоритмы шифрования данных

Алгоритм защиты персональных данных в организации включает типовой перечень действий, которые необходимо выполнить для защиты:

  1. Создание методики обработки ПДн.
  2. Возможность согласия/отказа на обработку для сотрудников и клиентов.
  3. Уведомительные сообщения о работе с ПДн в общем потоке материалов.
  4. Создание структуры хранения информации.
  5. Создание базы данных.
  6. Определение порядка и способов обработки, наказаний за нарушения.
  7. Работа по дополнению инструкций для работников, ответственных за обработку и хранение ПДн.

Алгоритм построения системы защиты персональных данных состоит из пяти этапов:

  1. Предпроектная оценка остановки. Важно грамотно построить частную модель угроз для конкретной компании
  2. Разрабатывается документация, формируется техническое задание.
  3. Проектирование защиты. Работы ведутся в соответствии с выработанным ТЗ, приобретаются техсредства защиты, проводится их сертификация, определяется круг должностных лиц, ответственных за функционирование средств защиты.
  4. Введение в действие разработанного средства защиты ПДн.
  5. Осуществление техподдержки и сопровождения.

Для распространенной платформы 1С шифрование выполняется без внешних компонентов, com объектов, чтобы полностью изолировать ее от привязки к операционной системе.

Присоединяйтесь к нам,
чтобы получать чек-листы, реальные кейсы, а также
обзоры сервисов раз в 2 недели.
Нас читает уже 1256 руководителей!