Защита персональных данных

Персональные данные – это личные сведения о человеке, с помощью которых можно понять, что это конкретный человек, то есть идентифицировать его (например, паспортные данные). Как правило, человека, который предоставляет свои данные, называют субъектом персональных данных (далее – ПДн).

Во время обработки личных сведений могут возникнуть угрозы, которые могут привести к нарушению конфиденциальности, целостности и доступности обрабатываемых ПДн. Поэтому возникает 2 вопроса:

• Кто должен защищать информацию?
• Каким образом и с помощью чего можно обеспечить защиту информации?

Именно эти вопросы мы постараемся рассмотреть как можно более подробно.

Мероприятия по защите персональных данных

Обеспечить защиту персональных сведений субъекта должен оператор – лицо или орган, которое осуществляет обработку ПДн.

Для того, чтобы реализовать защиту персональной информации, оператору необходимо выполнять организационные и технические меры, которые установлены нормативными документами. То есть у организации, которая осуществляет обработку ПДн, должны быть внутренние документы, в которых описаны все процессы защиты персональных данных, а также технические средства защиты информации. Оператор должен создать некую систему защиты ПДн.

Для того, чтобы создать систему защиты личных данных в организации необходимо разработать техническое задание, которое является требованием 21 приказа ФСТЭК, и технический проект. Все эти документы должны быть написаны в соответствии с правилами, которые определены комплектом ГОСТ 34.

Система защиты персональной информации прежде всего направлена на обезвреживание актуальных угроз безопасности, которые приведены в ФЗ-152 «О персональных данных». Выбор средств защиты, применяемых для защиты системы безопасности, функционирующей в организации, ложится на плечи оператора.

Оператор же в свою очередь отталкивается от:

• набора мер, которые организация должна реализовывать. Данные меры определяются в соответствии с 4 уровнями защищенности, которые приведены в Постановлении 1119;
• финансовой возможности организации.

Система защиты персональных данных.
Организационные и технические меры по защите персональных данных

Как уже было сказано ранее, систему защиты персональных данных условно можно разделить на две большие группы мер.

Первая — это организационные меры защиты информации. Данные меры требуют от организации наличие внутренней документации, начиная от «Политики защиты персональных данных», заканчивая Приказами на доступ в помещения, в которых производится обработка личных данных субъекта и так далее.

Вторая группа содержит в себе технические меры защиты информации. Они выполняются с помощью средств защиты информации.

Для обеспечения конфиденциальности персональных данных необходимо применять средства шифрования, а также средства обеспечивающие защиту от утечек информации по различным каналам связи. Важно, что все средства, применяемые организацией, должны пройти процедуру оценки соответствия средств защиты информации.

Реализация мер, направленных на обеспечение целостности, а также доступность персональных данных, то есть гарантия того, что делегированные на это пользователи имеют право получить доступ к информации в нужный момент времени, может осуществляться с помощью применения:

• разграничения доступа в систему, в которой обрабатываются данные субъекта;
• отказоустойчивых устройств;
• устройств для резервирования данных;
• антивирусных средств и средств для контроля целостности.

И это далеко не полный список того, что должно выполняться при построении системы защиты персональных данных, которые обрабатываются в организации. Таким образом, можно сделать вывод, что система защиты ПДн является комплексной, многослойной и многоуровневой структурой, которая окутывает всю организацию и касается каждого сотрудника.

Перед началом построения системы защиты ПДн, задачу такого масштаба, необходимо разделить на подзадачи с учетом бизнес-процессов организации. Внедрение организационных и технических мер, обеспечивающих защиту личных сведений, необходимо вести параллельно.

152-ФЗ

В документе содержится 25 глав. Особый интерес вызывает 4 глава, в которой описаны обязанности оператора по обработке ПДн. В ст.19 Главы 4 ФЗ №152 «О персональных данных» содержатся меры по обеспечению безопасности персональных данных при их обработке. Важно то, что Правительство РФ определяет уровни защищенности в соответствии с Постановлением №1119, согласно которому, существует четыре уровня защищенности.

Эти уровни зависят от следующих факторов:

• тип информационной системы, в которой обрабатываются ПДн;
• чьи персональные данные обрабатываются (работников или не работников);
• тип угроз;
• количество субъектов ПДн.
• Тип информационной системы, в которой обрабатываются ПДн, зависит от того какая категория персональной информации в обработке.

Виды категорий:

• специальные;
• биометрические;
• общедоступные;
• иные;
• персональные данные сотрудников.

Типы угроз:

• первого типа (наличие не задокументированных возможностей в системном ПО);
• второго типа (наличие не задокументированных возможностей в прикладном ПО);
• третьего типа (наличие угроз в системном и программном ПО, не относящихся к вышеперечисленным).

Нововведения

Также стоит обратить внимание, что в этом году в ФЗ-152 были введены поправки. Появилось новое определение для персональной информации, которая разрешена для распространения оператором. Также появилась новая статья (10.1), посвященная стороне обработки персональной информации, которая разрешена для распространения. Понятия общедоступных персональных сведений больше нет.

Теперь, помимо стандартного документа, содержащего согласие на обработку персональных сведений, субъекту необходимо санкционировать в письменном виде разрешение на обработку его персональной информации с целью распространения. Без наличия данного документа оператор не имеет права распространять и передавать третьим лицам данные физического лица. Конечно, если субъекту персональных сведений нет угрозы жизни и здоровью, а также, если эти данные не потребовались государственным органам.

Согласно нововведениям, если персональная информация физического лица стала доступна недопряденному кругу лиц, а разрешение на распространение данных не было предоставлено, то ответственность и обязанность предоставления доказательных материалов о законности действий целиком и полностью ложится на организацию, которая осуществляла обработку этой самой информации, и на лица, которые также распространяли данную информацию.

Также организация обязана размещать на своем интернет-ресурсе следующие документы:

• политика конфиденциальности персональной информации;
• политика обработки персональной информации;
• согласие на обработку персональной информации.

Нововведения уже вступили в силу в полном объеме. Конечно, внесенные коррективы усложнят жизнь организациям, которые обрабатывают персональные сведения своих клиентов и работников, но это позволит лучше контролировать процесс обработки и распространения личных сведений граждан.

Контроль за соблюдением требований возложен на Федеральную службу по надзору в сфере связи информационных технологий и массовых коммуникаций (Роскомнадзор). Невыполнение требований ведет к применению санкций со стороны государственного регулятора в направлении защиты информации.