​Обработка и защита персональных данных в России: Уровни защищенности, угрозы и рекомендации

​Обработка и защита персональных данных в России: Уровни защищенности, угрозы и рекомендации

В России регулирование обращения с персональными данными осуществляется федеральным законом №152-ФЗ от 27 июня 2006 года и рядом других нормативных актов. Все организации, работающие с персональными данными, должны соблюдать эти правила, чтобы избежать штрафов со стороны Роскомнадзора. Это касается данных клиентов, подрядчиков и сотрудников.

Нарушить закон №152-ФЗ легко, и это касается не только несанкционированной передачи данных. Для полного понимания вопроса необходимо разобраться в терминологии и законодательной базе, а затем изучить тонкости организации защиты данных. Начнем с основ.

Основные понятия и терминология

Согласно пункту 1 статьи 3 Федерального закона №152-ФЗ:

• Персональные данные — это любая информация, относящаяся к прямо или косвенно определяемому физическому лицу (субъекту персональных данных).

Также в этом законе приводится определение субъекта персональных данных:

• Субъект — это владелец персональных данных, а сами данные (ПДн) — это информация, относящаяся к конкретному человеку или позволяющая установить его личность.

Однако не вся информация, которая на первый взгляд кажется персональными данными, действительно является таковой. Например, распространенное имя — Иван Петрович Смирнов. В стране могут быть многие Иваны Смирновы, и точно установить личность конкретного человека только по имени не получится. Поэтому компании, собирающие персональные данные, запрашивают дополнительную информацию: номер телефона или электронную почту. В сочетании с ФИО такой набор данных позволяет компании точно идентифицировать Ивана Петровича Смирнова, и этот набор будет считаться персональными данными.

Виды персональных данных

Все персональные данные можно разделить на четыре большие категории: общедоступные, иные, специальные и биометрические.

Общедоступные

Информация о субъекте, размещённая в открытых источниках с его согласия (не на обработку, а на классификацию данных как общедоступные).

Если наш Иван Петрович дал согласие на размещение своих ФИО и номера телефона в справочнике, то такие данные будут считаться общедоступными. Общедоступные персональные данные определяются именно фактом их размещения в открытых источниках, а не содержанием.

Важно не путать общедоступную информацию (статья 7, 149-ФЗ) с персональными данными, опубликованными в общедоступных источниках (статья 8, 152-ФЗ). Открытый доступ к персональным данным не делает их автоматически общедоступными.

Примером могут служить социальные сети. Судебная практика показывает, что социальные сети не относятся к категории общедоступных источников. Это связано с тем, что при регистрации пользователи не дают письменного согласия на размещение своих данных в общедоступных источниках, как того требует закон.

Иные

Информация, которая не подпадает под остальные категории. Это самая обширная категория, включающая такие сведения, как ФИО, номер телефона, электронная почта, дата рождения и аналогичная информация. Пока эти данные не размещены в общедоступных источниках, они считаются иными персональными данными.

Специальные

Сведения о человеке, характеризующие его как личность, включая религиозные убеждения, расовую принадлежность, подробности интимной жизни или состояние здоровья. Эти данные требуют особой защиты и строгого соблюдения правил обработки, поскольку их утечка может привести к серьезным последствиям для человека.

Биометрические

Сведения, описывающие биологические и физические особенности человека, используемые для его идентификации. К ним относятся ДНК, отпечатки пальцев, группа крови, характеристики голоса и радужка глаза. Фотографии или видео с человеком также могут быть отнесены к биометрическим данным, если они используются для его идентификации. Биометрические данные особенно чувствительны и требуют высоких мер безопасности при их обработке и хранении.

Виды обработки персональных данных

Любые действия с персональными данными, включая их сбор и хранение, относятся к обработке. В соответствии с пунктом 3 статьи 3 Федерального закона №152-ФЗ:

Обработка персональных данных — это любое действие (операция) или совокупность действий (операций), выполненных с использованием автоматизированных средств или без них в отношении персональных данных.

Под обработкой подразумеваются такие действия, как:

• сбор,
• запись,
• систематизация,
• накопление,
• хранение,
• уточнение (обновление, изменение),
• извлечение,
• использование,
• передача (распространение, предоставление, доступ),
• обезличивание,
• блокирование,
• удаление,
• уничтожение.

Организация, осуществляющая обработку персональных данных, называется оператором персональных данных. Согласно пункту 2 статьи 3 Федерального закона №152-ФЗ:

Оператор — это государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки, состав данных, подлежащих обработке, и действия (операции), совершаемые с ними. Оператор несет ответственность за соблюдение всех требований законодательства в процессе обработки данных, включая обеспечение их безопасности и конфиденциальности.

Информационная система персональных данных (ИСПДн)

Комплекс, включающий базы данных с персональными данными и технологические средства для их обработки. Этот термин также определяется Федеральным законом №152 (пункт 10, статья 3). В ИСПДн входит программное и аппаратное обеспечение, предназначенное для сбора, хранения, обработки и защиты информации. Комплекс используется частными и коммерческими организациями для управления персональными данными и обеспечения их безопасности в соответствии с требованиями законодательства.

Регулирующие акты

• Федеральный закон "О персональных данных" от 27.06.2006 года №152-ФЗ: Устанавливает основные термины, принципы и условия обработки персональных данных, обязанности оператора и права субъекта.
• Постановление Правительства №1119 от 01.11.2012 года: Определяет типы угроз и уровни защищенности информационных систем (ИСПДн) и их классификацию.
• Постановление Правительства №687 от 15.09.2008 года: Регулирует обработку без использования автоматизированных средств.
• Приказ ФСТЭК России №21 от 18.02.2013 года: Устанавливает технические и организационные методы защиты.
• Приказ ФСБ России №378 от 10.07.2014 года: Описывает методы криптографической защиты.

Принципы обработки

Статья 5 Федерального закона регламентирует следующие 7 принципов, которые операторы обязаны соблюдать при работе с персональными данными:

1. Законность и справедливость обработки: Процесс обработки должен соответствовать закону и быть справедливым. Для сотрудников предприятий учитывается трудовое законодательство.
2. Определённые цели обработки: Сбор данных должен осуществляться исключительно для конкретных целей, указанных в согласии на их обработку. Нельзя собирать информацию "на всякий случай".
3. Разделение баз данных с разными целями: Данные, собранные для различных целей, не должны храниться в одной базе. Например, информация о клиентах и сотрудниках должна храниться раздельно.
4. Соответствие объема данных целям обработки: Собирать следует только ту информацию, которая действительно необходима для достижения заявленных целей. Например, для рассылки почты не требуется запрашивать биометрию.
5. Минимизация: Объем собираемых и обрабатываемых данных должен быть адекватен и не превышать необходимый минимум для достижения целей обработки.
6. Точность и актуальность: Оператор обязан поддерживать данные в актуальном и точном состоянии, своевременно обновляя или удаляя устаревшие сведения.
7. Ограничение срока хранения: Информация должна быть удалена после достижения целей обработки, если отсутствуют законные основания для её дальнейшего хранения.

Соблюдение этих принципов обязательно для всех структур, осуществляющих обработку. При проверках контролирующие органы будут оценивать соответствие деятельности оператора требованиям статей 5 и 6 Федерального закона №152-ФЗ.

Уровни защищенности персональных данных

Выбор технологических мер защиты основывается на четырех ключевых критериях:

1. Кто является субъектом обработки: Это могут быть сотрудники компании или внешние лица.
2. Количество субъектов обработки: Объем обрабатываемых данных может варьироваться в зависимости от числа субъектов.
3. Категории обрабатываемых персональных данных: Различные категории данных требуют разных уровней защиты.
4. Тип угроз: Типы угроз требуют более детального рассмотрения.

Типы угроз

Актуальные угрозы безопасности представляют собой условия и факторы, которые могут привести к несанкционированному доступу к информации, её уничтожению, изменению, блокированию, копированию, распространению и другим неправомерным действиям.

Все типы угроз определены в Постановлении Правительства №1119:

• Угрозы 1-го типа: Возникают, если в системном программном обеспечении информационной системы присутствуют недокументированные возможности.
• Угрозы 2-го типа: Актуальны для систем, где недокументированные возможности имеются в прикладном программном обеспечении.
• Угрозы 3-го типа: Возникают при наличии угроз, не связанных с недокументированными возможностями в системном и прикладном программном обеспечении.

Определение типа угроз проводится оператором с учетом оценки возможного вреда, в соответствии с пунктом 5 части 1 статьи 18.1 и частью 5 статьи 19 Федерального закона №152-ФЗ. Оценка осуществляется на основании "Методики определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн". Четкого разграничения типов угроз для различных операторов нет. Однако угрозы 1-го и 2-го типа не актуальны для операторов, использующих лицензионное системное программное обеспечение и сертифицированные средства защиты информации в защищенной информационной среде.

Средства защиты информации

При выборе средств защиты оператор должен учитывать, планирует ли он проходить аттестацию. Аттестацию проводит лицензиат ФСТЭК, и она обычно необходима для государственных и муниципальных учреждений. Коммерческим компаниям аттестация может потребоваться для сотрудничества с такими организациями, но чаще всего она не требуется. Для большинства негосударственных организаций достаточно акта оценки эффективности, который обязателен для всех операторов согласно части 2 пункта 4 статьи 19 Федерального закона №152-ФЗ.

Если оператор выбирает аттестацию, он должен использовать сертифицированные средства защиты информации (СЗИ), соответствующие уровню защищённости его системы. При выборе акта оценки эффективности оператор может использовать несертифицированные СЗИ, но обязан продемонстрировать их соответствие необходимым нормам.

Особое внимание криптозащите: при её использовании необходимо применять сертифицированные ФСБ средства криптографической защиты информации (СКЗИ), которые соответствуют уровню защищённости системы.

Проверка защищенности персональных данных

Основной регулятор в области персональных данных — Роскомнадзор. Он проверяет операторов и ведёт их учёт. В некоторых случаях также могут участвовать ФСТЭК и ФСБ. У Роскомнадзора есть несколько способов проверки соблюдения закона:

• Плановая проверка: Проводится региональным отделением Роскомнадзора раз в 3 года. Проверка включает запрос документов, связанных с обработкой персональных данных, и общение с сотрудниками оператора.
• Внеплановая проверка: Проводится при подозрении на нарушение законодательства. Оператор уведомляется за сутки до проверки.
• Запрос: Роскомнадзор может направить запрос для объяснения жалоб и предоставления документов.
• Мониторинг: Проверка сайта оператора на нарушения вручную или в автоматическом режиме.

К плановой проверке рекомендуется готовиться заранее, так как собрать нужное количество документов и привести их в порядок удаётся далеко не за один день. Это особенно актуально для компаний среднего и крупного звена.

Защита персональных данных в облаке

Защита персональных данных в облаке также регулируется Федеральным законом №152-ФЗ. Оператор может использовать инфраструктуру провайдера для обработки данных, но остаётся ответственным за их защиту.

Наиболее важные аспекты при этом:

• Договор между провайдером и оператором включает услуги хостинга, но не обработку персональных данных: Договор об оказании услуг должен быть предоставлен проверяющему органу.
• Оператор несёт ответственность за персональные данные и должен принять меры в соответствии со ст. 18, 19 ФЗ-152: Выбирая провайдера, оператор должен убедиться, что облачный сервис соответствует требованиям Федерального Закона (защищенное облако 152-ФЗ). Также его серверы должны находиться на территории РФ.
• У провайдера должен быть актуальный сертификат соответствия требованиям защиты персональных данных.

Таким образом, оператор продолжает нести ответственность перед субъектом данных, а провайдер — перед оператором по условиям договора.

5 рекомендаций компаниям по законной защите персональных данных

1. Соблюдайте 7 принципов обработки данных, которые регламентированы статьей 5 Федерального закона №152-ФЗ.
2. Обеспечьте необходимый уровень защиты посредством принятия организационных и технологических мер. Оптимален 4-й уровень, но выбор должен основываться на характере данных и типах угроз.
3. Определитесь с вариантом защиты — акт оценки эффективности или аттестация, и подберите соответствующие средства защиты информации (СЗИ).
4. Создайте процесс соблюдения законодательства за счет внедрения системного контроля, чтобы успешно проходить проверки Роскомнадзора.
5. Выбирайте надёжных провайдеров хостинга с серверами в России и аттестацией по защите информации.