Как соблюдать 250 указ президента России и 152-ФЗ
В законе описаны следующие категории персональных данных:
- Общие. К ним законодательство относит базовые личные данные: ФИО, место регистрации, информация об образовании, о месте работы, номер телефона, e-mail, логины на сайтах и форумах;
- Специальные. Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях;
- Биометрические. Физиологические или биологические особенности человека, которые используют для установления его личности: фотографии, отпечатки пальцев, анализ ДНК, группа крови, рост, цвет глаз, вес и другие (при этом ни ксерокопия паспорта, ни фотография в личном деле, ни рентгеновские снимки - биометрическими персональными данными не являются);
- Иные. К ним относят все данные, которые нельзя отнести к другим видам: принадлежность к определенной социальной группе, корпоративные данные и так далее.
В целях минимизации инцидентов, угроз безопасности персональных данных, вреда субъекту персональных данных, законодательством установлены:
— уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных
— жесткие требования к защите персональных данных при их обработке в информационных системах персональных данных, включая технические меры защиты персональных данных, которые могут быть реализованы в том числе программных (программно-аппаратных) средств в соответствии с Приказами Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК) и уровнями доверия ФСБ.
В 152-ФЗ прописано, в каких случаях, каким образом и кто имеет право на доступ к персональным данным, а также каким образом можно отозвать своё разрешение на использование персональных данных - причем, в закон регулярно вносятся изменения, которые уточняют те или иные аспекты обработки персональных данных.
Что должен сделать оператор ПдН в случае инцидента с утечкой данных?
Список включает 3 основных и довольно понятных, и логичных пунктов:
- Уведомить о случившемся Роскомнадзор в течение 24 часов;
- Провести внутреннее расследование и уведомить службу о его результатах в течение 72 часов;
- Представить сведения о лицах, действия которых стали причиной инцидента (при наличии).
Если говорить простым языком - оператор должен уведомить регулятора о произошедшем; должен выяснить, почему произошла утечка и кто в этом виноват - причем с доказательствами и в короткий срок. А для этого нужен удобный инструмент, который позволит быстро провести расследование и выявить все детали.
Staffcop Enterprise
- Staffcop Enterprise - это программный комплекс для обеспечения информационной безопасности инфраструктуры предприятия и проведения расследований. На рабочие компьютеры сотрудников устанавливается Агент, с помощью которого вы можете обеспечить следующие возможности:Управление доступом к машинным носителям персональных данных и их контроль:
— Есть возможность настроить доверенные носители, на которые будет разрешено записывать информацию;
— Есть возможность настроить запрет передачи данных между определенными типами носителей (например, с жесткого диска на "флэшки").
— Есть возможность группировать перехваченные файлы двумя способами:
По направлению – откуда и куда был отправлен/скопирован/перемещен файл
По каналу перехвата – отдельные группы для файлов отправленных по почте, скопированных на флэш-накопитель и т.д.
- Данные возможности позволяют контролировать потоки данных, а также тех, кто взаимодействует с этими данными.Контроль содержания информации, передаваемой из информационной системы:
— Полностью контролируются различные возможные каналы утечки данных, а также действия сотрудников как на локальном АРМ, так и в сети Интернет.
— Все файлы помечаются цифровыми метками, что позволяет отслеживать абсолютно все операции с ними - передача, копирование, перемещение и т.д.
— Можно запретить пользователю конкретные операции с файлами и конкретные каналы отправки файлов, контролировать какими сайтами и приложениями пользуется сотрудник.
— Осуществляется контроль переписки сотрудников, выявляя подозрительные сообщения с помощью словаря - как встроенного, так и создаваемого вами.
- Сбор, запись, хранение и просмотр событий ИБ: все события записываются в систему и являются взаимосвязанными - используя конструктор отчетов, вы можете просмотреть любые события, упорядочив их относительно выбранного параметра - времени, сотрудника, приложения и т.д. В совокупности с набором виджетов, данный конструктор позволяет в короткие сроки выявить все взаимосвязанные цепочки событий, выявить виновных, а также собрать доказательства их вины.
- Вы сможете изначально ограничить возможные каналы утечки информации для сотрудников - причем, исходя из их рода деятельности.
- Вы будете контролировать все операции с файлами, действия сотрудников на локальном АРМ и в сети Интернет, контролировать переписку сотрудников и их взаимодействие;
- Вы сможете проводить расследования, выстраивая отчеты так, как вам нужно и получая информацию в реальном времени, отслеживая все последовательность действий и легко выясняя причины и виновных. В том числе, учитывая возможности контроля, вы сможете действовать и на упреждение!
Если кратко резюмировать возможности Staffcop Enterprise по защите персональных данных и проведению расследований, то:
Таким образом, можно смело утверждать, что Staffcop Enterprise полностью подходит по реалии и требования закона о защите Персональных, позволяя вам предотвращать инциденты, а в случае утечки – быстро разбираться с последствиями, выявляя виновных.