1
StaffCop 5.1: до 30 дней бесплатно на все ПК
для действующих и новых клиентов
StaffCop

Вводные об обработке персональных данных в РФ.

Для каждого человека существует набор данных, характеризующих его и его жизнь. Естественно, такие данные несут в себе опасность, в случае попадания к мошенникам — поэтому существует закон от 27 июля 2006 года 152-ФЗ «О персональных данных», который призван регулировать обработку таких данных для организаций и индивидуальных предпринимателей. Одной из основных проблем данного закона является то, что нет точного определения — что есть такое «персональные данные». В  152-ФЗ имеется определение, которое взято из Европейской конвенции по защите персональных данных, ратифицированной Россией в 2005 году, но нет точного перечня и состава персональных данных, а, кроме того, нет возможности такого уточнения. Что же тогда есть в законе? Есть категории персональных данных и действия, которые должен произвести оператор персональных данных в случае их утечки.

Категории персональных данных.

В законе описаны следующие категории персональных данных:

  1. Общие. К ним законодательство относит базовые личные данные: ФИО, место регистрации, информация об образовании, о месте работы, номер телефона, e-mail, логины на сайтах и форумах;
  2. Специальные. Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях;
  3. Биометрические. Физиологические или биологические особенности человека, которые используют для установления его личности: фотографии, отпечатки пальцев, анализ ДНК, группа крови, рост, цвет глаз, вес и другие (при этом ни ксерокопия паспорта, ни фотография в личном деле, ни рентгеновские снимки — биометрическими персональными данными не являются);
  4. Иные. К ним относят все данные, которые нельзя отнести к другим видам: принадлежность к определенной социальной группе, корпоративные данные и так далее.

В целях минимизации инцидентов, угроз безопасности персональных данных, вреда субъекту персональных данных, законодательством установлены:

⎯ уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных

⎯ жесткие требования к защите персональных данных при их обработке в информационных системах персональных данных, включая технические меры защиты персональных данных, которые могут быть реализованы в том числе программных (программно-аппаратных) средств в соответствии с Приказами Федеральной службы по техническому и экспортному контролю (далее — ФСТЭК) и уровнями доверия ФСБ.

В 152-ФЗ прописано, в каких случаях, каким образом и кто имеет право на доступ к персональным данным, а также каким образом можно отозвать своё разрешение на использование персональных данных — причем, в закон регулярно вносятся изменения, которые уточняют те или иные аспекты обработки персональных данных.

Что должен сделать оператор ПдН в случае инцидента с утечкой данных?

Список включает 3 основных и довольно понятных, и логичных пунктов:

  1. Уведомить о случившемся Роскомнадзор в течение 24 часов;
  2. Провести внутреннее расследование и уведомить службу о его результатах в течение 72 часов;
  3. Представить сведения о лицах, действия которых стали причиной инцидента (при наличии).

Если говорить простым языком — оператор должен уведомить регулятора о произошедшем; должен выяснить, почему произошла утечка и кто в этом виноват — причем с доказательствами и в короткий срок. А для этого нужен удобный инструмент, который позволит быстро провести расследование и выявить все детали.

Staffcop Enterprise

Staffcop Enterprise — это программный комплекс для обеспечения информационной безопасности инфраструктуры предприятия и проведения расследований. На рабочие компьютеры сотрудников устанавливается Агент, с помощью которого вы можете обеспечить следующие возможности:

  1. Управление доступом к машинным носителям персональных данных и их контроль:

    • Есть возможность настроить доверенные носители, на которые будет разрешено записывать информацию;
    • Есть возможность настроить запрет передачи данных между определенными типами носителей (например, с жесткого диска на «флэшки»).
    • Есть возможность группировать перехваченные файлы двумя способами:
      1. По направлению — откуда и куда был отправлен/скопирован/перемещен файл
      2. По каналу перехвата — отдельные группы для файлов отправленных по почте, скопированных на флэш-накопитель и т. д.

    Данные возможности позволяют контролировать потоки данных, а также тех, кто взаимодействует с этими данными.

  2. Контроль содержания информации, передаваемой из информационной системы:

    • Полностью контролируются различные возможные каналы утечки данных, а также действия сотрудников как на локальном АРМ, так и в сети Интернет.
    • Все файлы помечаются цифровыми метками, что позволяет отслеживать абсолютно все операции с ними — передача, копирование, перемещение и т. д.
    • Можно запретить пользователю конкретные операции с файлами и конкретные каналы отправки файлов, контролировать какими сайтами и приложениями пользуется сотрудник.
    • Осуществляется контроль переписки сотрудников, выявляя подозрительные сообщения с помощью словаря — как встроенного, так и создаваемого вами.
  3. Сбор, запись, хранение и просмотр событий ИБ: все события записываются в систему и являются взаимосвязанными — используя конструктор отчетов, вы можете просмотреть любые события, упорядочив их относительно выбранного параметра — времени, сотрудника, приложения и т. д. В совокупности с набором виджетов, данный конструктор позволяет в короткие сроки выявить все взаимосвязанные цепочки событий, выявить виновных, а также собрать доказательства их вины.

Если кратко резюмировать возможности Staffcop Enterprise по защите персональных данных и проведению расследований, то:

  1. Вы сможете изначально ограничить возможные каналы утечки информации для сотрудников — причем, исходя из их рода деятельности.
  2. Вы будете контролировать все операции с файлами, действия сотрудников на локальном АРМ и в сети Интернет, контролировать переписку сотрудников и их взаимодействие;
  3. Вы сможете проводить расследования, выстраивая отчеты так, как вам нужно и получая информацию в реальном времени, отслеживая все последовательность действий и легко выясняя причины и виновных. В том числе, учитывая возможности контроля, вы сможете действовать и на упреждение!

Таким образом, можно смело утверждать, что Staffcop Enterprise полностью подходит по реалии и требования закона о защите Персональных, позволяя вам предотвращать инциденты, а в случае утечки — быстро разбираться с последствиями, выявляя виновных.

Тестировать бесплатно