Проще говоря, организация должна обеспечить такую систему защиты данных, которая соответствует характеру обрабатываемых данных, объёму обработки и возможным рискам для людей, чьи данные обрабатываются.
Это означает, что меры защиты не должны быть формальными. Они должны реально обеспечивать безопасность персональных данных с учётом используемых информационных систем, количества данных и потенциальных угроз.
Что говорит законодательство
Требования к защите персональных данных установлены Федеральный закон №152-ФЗ «О персональных данных».
Согласно статье 19 закона оператор обязан принимать необходимые правовые, организационные и технические меры, направленные на защиту персональных данных от:
-
неправомерного или случайного доступа;
-
уничтожения;
-
изменения;
-
блокирования;
-
копирования;
-
распространения;
-
иных неправомерных действий.
При этом закон прямо указывает, что меры защиты должны быть достаточными и соразмерными возможным угрозам безопасности персональных данных.
Контроль за соблюдением требований законодательства в этой сфере осуществляет Роскомнадзор, а требования к мерам защиты и порядку их применения также устанавливаются нормативными актами уполномоченных органов.
Как это работает на практике
На практике адекватная защита персональных данных означает внедрение комплекса мер, которые охватывают организационные процессы, техническую инфраструктуру и работу сотрудников.
Анализ угроз безопасности персональных данных
Первым шагом обычно является анализ возможных угроз. Организация должна определить:
-
какие персональные данные обрабатываются;
-
где они хранятся;
-
какие системы используются для обработки;
-
какие риски существуют для безопасности данных.
Например, угрозами могут быть:
-
взлом информационных систем;
-
утечка данных через сотрудников;
-
вредоносное программное обеспечение;
-
потеря или кража оборудования.
Организационные меры защиты
К организационным мерам обычно относятся:
-
разработка комплекта организационно-распорядительной документации;
-
назначение ответственного за организацию обработки персональных данных;
-
разграничение доступа сотрудников к данным;
-
обучение сотрудников правилам работы с персональными данными;
-
внутренний контроль соблюдения требований законодательства.
Эти меры формируют внутренние правила обращения с персональными данными в организации.
Технические меры защиты
Техническая защита направлена на предотвращение несанкционированного доступа к персональным данным.
К таким мерам могут относиться:
-
антивирусная защита;
-
контроль доступа к информационным системам;
-
использование средств аутентификации пользователей;
-
журналирование действий пользователей;
-
резервное копирование данных;
-
защита сетевой инфраструктуры.
Конкретный набор мер зависит от того, какие информационные системы используются и какие персональные данные обрабатываются.
Соразмерность мер защиты
Важно понимать, что требования к защите персональных данных зависят от уровня риска и характера обработки данных.
Например:
-
небольшая компания с простой формой обратной связи на сайте применяет базовые меры защиты;
-
крупная организация, обрабатывающая большие объёмы персональных данных, обязана внедрять более сложные системы защиты информации.
Адекватная защита означает соответствие мер безопасности реальным рискам обработки персональных данных.
Выводы и рекомендации
Адекватная защита персональных данных — это система организационных и технических мер, которая обеспечивает безопасность персональных данных и предотвращает их утечку или неправомерное использование.
Такая защита должна:
-
учитывать характер обрабатываемых персональных данных;
-
соответствовать возможным угрозам безопасности;
-
включать организационные и технические меры;
-
регулярно контролироваться и обновляться.
Организациям рекомендуется регулярно проводить оценку рисков обработки персональных данных и проверять эффективность применяемых мер защиты. Это позволяет своевременно выявлять уязвимости и поддерживать необходимый уровень безопасности информации.
