​Обработка и защита персональных данных в России: Уровни защищенности, угрозы и рекомендации

​Обработка и защита персональных данных в России: Уровни защищенности, угрозы и рекомендации
19.06.2024

​Обработка и защита персональных данных в России: Уровни защищенности, угрозы и рекомендации

Обработка и защита персональных данных.jpg

В России регулирование обращения с персональными данными осуществляется федеральным законом №152-ФЗ от 27 июня 2006 года и рядом других нормативных актов. Все организации, работающие с персональными данными, должны соблюдать эти правила, чтобы избежать штрафов со стороны Роскомнадзора. Это касается данных клиентов, подрядчиков и сотрудников.

Нарушить закон №152-ФЗ легко, и это касается не только несанкционированной передачи данных. Для полного понимания вопроса необходимо разобраться в терминологии и законодательной базе, а затем изучить тонкости организации защиты данных. Начнем с основ.

Основные понятия и терминология

Согласно пункту 1 статьи 3 Федерального закона №152-ФЗ:

Также в этом законе приводится определение субъекта персональных данных:

Однако не вся информация, которая на первый взгляд кажется персональными данными, действительно является таковой. Например, распространенное имя — Иван Петрович Смирнов. В стране могут быть многие Иваны Смирновы, и точно установить личность конкретного человека только по имени не получится. Поэтому компании, собирающие персональные данные, запрашивают дополнительную информацию: номер телефона или электронную почту. В сочетании с ФИО такой набор данных позволяет компании точно идентифицировать Ивана Петровича Смирнова, и этот набор будет считаться персональными данными.

Виды персональных данных

Все персональные данные можно разделить на четыре большие категории: общедоступные, иные, специальные и биометрические.

Общедоступные

Информация о субъекте, размещённая в открытых источниках с его согласия (не на обработку, а на классификацию данных как общедоступные).

Если наш Иван Петрович дал согласие на размещение своих ФИО и номера телефона в справочнике, то такие данные будут считаться общедоступными. Общедоступные персональные данные определяются именно фактом их размещения в открытых источниках, а не содержанием.

Важно не путать общедоступную информацию (статья 7, 149-ФЗ) с персональными данными, опубликованными в общедоступных источниках (статья 8, 152-ФЗ). Открытый доступ к персональным данным не делает их автоматически общедоступными.

Примером могут служить социальные сети. Судебная практика показывает, что социальные сети не относятся к категории общедоступных источников. Это связано с тем, что при регистрации пользователи не дают письменного согласия на размещение своих данных в общедоступных источниках, как того требует закон.

Иные

Информация, которая не подпадает под остальные категории. Это самая обширная категория, включающая такие сведения, как ФИО, номер телефона, электронная почта, дата рождения и аналогичная информация. Пока эти данные не размещены в общедоступных источниках, они считаются иными персональными данными.

Специальные

Сведения о человеке, характеризующие его как личность, включая религиозные убеждения, расовую принадлежность, подробности интимной жизни или состояние здоровья. Эти данные требуют особой защиты и строгого соблюдения правил обработки, поскольку их утечка может привести к серьезным последствиям для человека.

Биометрические.jpg

Биометрические

Сведения, описывающие биологические и физические особенности человека, используемые для его идентификации. К ним относятся ДНК, отпечатки пальцев, группа крови, характеристики голоса и радужка глаза. Фотографии или видео с человеком также могут быть отнесены к биометрическим данным, если они используются для его идентификации. Биометрические данные особенно чувствительны и требуют высоких мер безопасности при их обработке и хранении.

Виды обработки персональных данных

Любые действия с персональными данными, включая их сбор и хранение, относятся к обработке. В соответствии с пунктом 3 статьи 3 Федерального закона №152-ФЗ:

Обработка персональных данных — это любое действие (операция) или совокупность действий (операций), выполненных с использованием автоматизированных средств или без них в отношении персональных данных.

Под обработкой подразумеваются такие действия, как:

Организация, осуществляющая обработку персональных данных, называется оператором персональных данных. Согласно пункту 2 статьи 3 Федерального закона №152-ФЗ:

Оператор — это государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки, состав данных, подлежащих обработке, и действия (операции), совершаемые с ними. Оператор несет ответственность за соблюдение всех требований законодательства в процессе обработки данных, включая обеспечение их безопасности и конфиденциальности.

Информационная система персональных данных (ИСПДн)

Комплекс, включающий базы данных с персональными данными и технологические средства для их обработки. Этот термин также определяется Федеральным законом №152 (пункт 10, статья 3). В ИСПДн входит программное и аппаратное обеспечение, предназначенное для сбора, хранения, обработки и защиты информации. Комплекс используется частными и коммерческими организациями для управления персональными данными и обеспечения их безопасности в соответствии с требованиями законодательства.

Регулирующие акты

Принципы обработки

Статья 5 Федерального закона регламентирует следующие 7 принципов, которые операторы обязаны соблюдать при работе с персональными данными:

  1. Законность и справедливость обработки: Процесс обработки должен соответствовать закону и быть справедливым. Для сотрудников предприятий учитывается трудовое законодательство.
  2. Определённые цели обработки: Сбор данных должен осуществляться исключительно для конкретных целей, указанных в согласии на их обработку. Нельзя собирать информацию "на всякий случай".
  3. Разделение баз данных с разными целями: Данные, собранные для различных целей, не должны храниться в одной базе. Например, информация о клиентах и сотрудниках должна храниться раздельно.
  4. Соответствие объема данных целям обработки: Собирать следует только ту информацию, которая действительно необходима для достижения заявленных целей. Например, для рассылки почты не требуется запрашивать биометрию.
  5. Минимизация: Объем собираемых и обрабатываемых данных должен быть адекватен и не превышать необходимый минимум для достижения целей обработки.
  6. Точность и актуальность: Оператор обязан поддерживать данные в актуальном и точном состоянии, своевременно обновляя или удаляя устаревшие сведения.
  7. Ограничение срока хранения: Информация должна быть удалена после достижения целей обработки, если отсутствуют законные основания для её дальнейшего хранения.

Соблюдение этих принципов обязательно для всех структур, осуществляющих обработку. При проверках контролирующие органы будут оценивать соответствие деятельности оператора требованиям статей 5 и 6 Федерального закона №152-ФЗ.

Уровни защищенности персональных данных

Выбор технологических мер защиты основывается на четырех ключевых критериях:

Типы угроз.jpg

  1. Кто является субъектом обработки: Это могут быть сотрудники компании или внешние лица.
  2. Количество субъектов обработки: Объем обрабатываемых данных может варьироваться в зависимости от числа субъектов.
  3. Категории обрабатываемых персональных данных: Различные категории данных требуют разных уровней защиты.
  4. Тип угроз: Типы угроз требуют более детального рассмотрения.

Типы угроз

Актуальные угрозы безопасности представляют собой условия и факторы, которые могут привести к несанкционированному доступу к информации, её уничтожению, изменению, блокированию, копированию, распространению и другим неправомерным действиям.

Все типы угроз определены в Постановлении Правительства №1119:

Определение типа угроз проводится оператором с учетом оценки возможного вреда, в соответствии с пунктом 5 части 1 статьи 18.1 и частью 5 статьи 19 Федерального закона №152-ФЗ. Оценка осуществляется на основании "Методики определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн". Четкого разграничения типов угроз для различных операторов нет. Однако угрозы 1-го и 2-го типа не актуальны для операторов, использующих лицензионное системное программное обеспечение и сертифицированные средства защиты информации в защищенной информационной среде.

Средства защиты информации

При выборе средств защиты оператор должен учитывать, планирует ли он проходить аттестацию. Аттестацию проводит лицензиат ФСТЭК, и она обычно необходима для государственных и муниципальных учреждений. Коммерческим компаниям аттестация может потребоваться для сотрудничества с такими организациями, но чаще всего она не требуется. Для большинства негосударственных организаций достаточно акта оценки эффективности, который обязателен для всех операторов согласно части 2 пункта 4 статьи 19 Федерального закона №152-ФЗ.

Если оператор выбирает аттестацию, он должен использовать сертифицированные средства защиты информации (СЗИ), соответствующие уровню защищённости его системы. При выборе акта оценки эффективности оператор может использовать несертифицированные СЗИ, но обязан продемонстрировать их соответствие необходимым нормам.

Особое внимание криптозащите: при её использовании необходимо применять сертифицированные ФСБ средства криптографической защиты информации (СКЗИ), которые соответствуют уровню защищённости системы.

Проверка защищенности персональных данных

Основной регулятор в области персональных данных — Роскомнадзор. Он проверяет операторов и ведёт их учёт. В некоторых случаях также могут участвовать ФСТЭК и ФСБ. У Роскомнадзора есть несколько способов проверки соблюдения закона:

К плановой проверке рекомендуется готовиться заранее, так как собрать нужное количество документов и привести их в порядок удаётся далеко не за один день. Это особенно актуально для компаний среднего и крупного звена.

Защита персональных данных в облаке

Защита персональных данных в облаке также регулируется Федеральным законом №152-ФЗ. Оператор может использовать инфраструктуру провайдера для обработки данных, но остаётся ответственным за их защиту.

Защита персональных данных в облаке.jpg

Наиболее важные аспекты при этом:

Таким образом, оператор продолжает нести ответственность перед субъектом данных, а провайдер — перед оператором по условиям договора.

5 рекомендаций компаниям по законной защите персональных данных

  1. Соблюдайте 7 принципов обработки данных, которые регламентированы статьей 5 Федерального закона №152-ФЗ.
  2. Обеспечьте необходимый уровень защиты посредством принятия организационных и технологических мер. Оптимален 4-й уровень, но выбор должен основываться на характере данных и типах угроз.
  3. Определитесь с вариантом защиты — акт оценки эффективности или аттестация, и подберите соответствующие средства защиты информации (СЗИ).
  4. Создайте процесс соблюдения законодательства за счет внедрения системного контроля, чтобы успешно проходить проверки Роскомнадзора.
  5. Выбирайте надёжных провайдеров хостинга с серверами в России и аттестацией по защите информации.

Возврат к списку

×