Персональные данные: правильно обрабатываем и храним

Виртуальная машина
бесплатно навсегда

Забрать
Avatar icon

Марина Суворова

Редактор блога

Статья

Время чтения

5 минут

Проблема утечки персональных данных актуальна как для государственных органов, так и для частных компаний. Одной из основных причин того, что конфиденциальная информация попадает к третьим лицам, является недобросовестное отношение операторов и субъектов к ее защите.

К понятию «Персональные данные» можно отнести не только личные данные конкретного человека (ФИО, адрес, телефон), но и любую другую информацию, которая прямо или косвенно его касается. Правильная обработка и хранение персональных данных нивелируют вероятность попадания этой информации к третьим лицам. Что необходимо знать об этом, чтобы избежать утечки ПДн?

Что относят к персональным данным?

К ПДн относится любая информация, касающаяся физического лица, которое идентифицировано или его можно идентифицировать. В ФЗ РФ №152 четко прописано, кто и на каких условиях имеет право получать данные и оперировать ими.

При регистрации на различных сайтах, интернет-магазинах и социальных сетях пользователь указывает свои персональные данные и дает согласие на их обработку.

Однако оператор не может использовать полученную информацию в каких-либо других целях, кроме тех, ради которых и зарегистрировался непосредственно сам пользователь. Это означает, что если покупатель зарегистрировался на сайте интернет-магазина и совершил покупку, то его персональные данные не могут далее использоваться этим интернет-магазином для каких-либо других целей и тем более передаваться третьим лицам.

Закон четко регулирует вопрос обработки и хранения персональных данных, обязывая операторов по сбору ПДн выполнять целый перечень требований. Если требования игнорируются, на оператора будет наложен штраф. Меры по защите персональных данных должны неукоснительно выполнять все, кто работает с такой информацией – как юридические, так и физические лица.

Виды персональных данных

Все сведения персонального характера делятся на виды в зависимости от степени их конфиденциальности, сложности их получения и прав на использование третьей стороной.

Иные персональные данные – это ФИО, адрес проживания, регион проживания, место работы, паспортные данные, номер телефона и прочее. В категорию персональных данных попадают комбинации - то есть, например, фамилия и имя без адреса не позволяют идентифицировать человека в полном объеме. А вот наличие кроме ФИО информации о его месте проживания уже указывает на конкретное физическое лицо, то есть является его ПДн.

Биометрические ПДн– при помощи этих данных также можно установить личность человека. К биометрическим данным относятся физиологические и биологические отличительные черты того или иного человека. Это могут быть отпечатки пальцев, какие-либо анатомические особенности (родимое пятно, родинка, хромота), ДНК, радужная оболочка глаз. В государственных органах чаще всего в виде биометрического идентификатора выступают отпечатки пальцев, которые используют при изготовлении паспортов.

Персональные данные, разрешенные для распространения (до 1 марта 2021 года - общедоступные данные) – данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Это могут быть, например, ФИО, телефон, электронный адрес.

Пользователь может запретить или разрешить распространение своих ПДн всем или определенному перечню операторов ПДн. SberCloud не распространяет ПДн пользователя, которые тот оставляет на сайте, и обеспечивает их надежную защиту

Синкина Надеждаэксперт по методологии кибербезопасности Центра киберзащиты SberCloud, Lead Auditor ISO/IEC 27001:2013

Персональные данные обезличенного типа представляют собой информацию, по которой невозможно определить конкретное физическое лицо без дополнительных данных.

Специальные ПДн – это сведения из медицинской документации, данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, доступ к которым у третьих лиц ограничен. Чтобы получить доступ к специальным ПДн третьему лицу для целей, не связанных с государственным регулированием, необходимо оформить соответствующее разрешение.

Субъекты и операторы персональных данных

К субъектам персональных данных относится физическое лицо, чьи данные обрабатываются. Оператор – соответственно, сторона, обрабатывающая эти данные. Субъектом считается, например, покупатель, который приобретает в интернет-магазине холодильник. Чтобы заказать курьерскую доставку этой бытовой техники, человеку придется указать свои личные данные, адрес, телефон. Информация позволяет идентифицировать покупателя, поэтому относится к персональным данным.

В роли оператора может выступать как компания, так и физическое лицо. Оператор собирает данные покупателя, обрабатывает их и хранит. Также он определяет цели такой обработки.

Уровни защищенности ПДн и типы угроз

Тип угроз Уровень защищенности Примечания Техническая реализация
I тип – самые опасные угрозы. Они возникают в системном ПО - например, операционной системе. 4 уровень – обеспечивает защиту общедоступных и иных сведений с 3 типом угроз. Технически самый простой в реализации: например, установка антивируса и регулярное обновление ПО. Защита общедоступных и иных сведений. Установка антивируса и регулярное обновление ПО. Обеспечение сохранности носителей данных. Составление списка работников оператора, которые получают доступ к персональным данным.
II тип – угрозы, которые возникают в прикладном ПО, например, в установленном софте. 3 уровень – защищает не только общедоступную информацию, но и специальные и биометрические данные, работает при 2 и 3 уровне угроз. Реализован через регулярный поиск и устранение уязвимостей в оборудовании и ПО, ограничении доступа к настройкам информационной систем Выполнение всех требований, предусмотренных для четвертого уровня защищенности. Назначение должностного лица, которое будет нести ответственность за обеспечение безопасности данных в информационной системе.
III тип – угрозы, не связанные с ни с прикладным, ни с системным ПО: уязвимости в оборудовании. 2 уровень – защищает данные любого типа. Для некоторой информации допускает 1 тип угроз. Реализован через установку системы обнаружения вторжений, защиты системы от спама, организации резервного копирования информации. Выполнение всех требований, предусмотренных для третьего уровня защиты. Ограничение доступа к данным (только уполномоченные лица).
1 уровень – защищает данные специального и биометрического типа. Используется при 1 типе угроз. Реализуется через стабильную работу серверов и инсталляции на ПК софта, ранее разрешенного службой безопасности. Выполнение всех требований, предусмотренных для второго уровня защищенности. Обеспечение автоматической регистрации в электронном журнале безопасности.

Хранение и обработка ПДн: что требует законодательство

Чтобы ориентироваться в основных правилах, касающихся требований по защите ПДн, мы подготовили список соответствующих постановлений, приказов и методических рекомендаций от уполномоченных государственных органов.

Правительство

  1. Постановление от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
  2. Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
  3. Постановление Правительства РФ от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных".
  4. Постановление Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

Роскомнадзор

  1. Приказ Роскомнадзора от 15.03.2013 N 274 (ред. от 14.01.2019) Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных.
  2. Приказ Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (вместе с "Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ") (Зарегистрировано в Минюсте России 10.09.2013 N 29935).

ФСТЭК

  1. Приказ ФСТЭК России от 11.02.2013 N 17 (ред. от 28.05.2019) "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (Зарегистрировано в Минюсте России 31.05.2013 N 28608) (с изм. и доп., вступ. в силу с 01.01.2021).
  2. МЕТОДИКА ОЦЕНКИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ, утв. 5 февраля 2021 г..
  3. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России 2008 год.
  4. Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 14.05.2020) "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (Зарегистрировано в Минюсте России 14.05.2013 N 28375).

ФСБ

  1. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утв. ФСБ РФ 21.02.2008 № 149/54-144).
  2. Типовые требования по организации и обеспечению функционирования цифровых (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСБ РФ 21. 02.2008 № 149/6/6-622).
  3. Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности.
  4. Приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

Хранение и обработка ПДн в облаке

В 2020 году объем глобального рынка облачных вычислений был оценен в $371,4 млрд. Через пять лет, по прогнозам экспертов, эта цифра будет равна уже $832,2 при условии, что среднегодовой темп роста сохранится на уровне 17,5%. В чем секрет такой популярности инструмента? Одним из важных факторов роста использования облачных серверов стало то, что облако сегодня воспринимается государством и бизнесом как надежная и безопасная технология, которая, наряду с другими преимуществами, способна защитить ПДн.

Компания, идущая в ногу со временем и желающая обеспечить максимальную защиту ПДн клиента, старается использовать для этих целей облако. При этом сам облачный провайдер не считается оператором персональных данных – им является только компания-заказчик. И за все возможные последствия хранения персональных данных в облаке будет отвечать она. Поэтому так важно с особой тщательностью подходить к выбору поставщика облачных услуг.

Надежный провайдер должен обеспечить:

  • Абсолютную безопасность доступа;

  • Возможность резервного копирования;

  • Надежность технических инструментов, которые применяются для обработки данных;

  • План эффективных действий в случае возникновения опасности для сохранности ПДн.

Поставщик отвечает за состояние ресурса, его безопасность и надежность. Специальные приложения получают доступ к облаку напрямую через API или через традиционные протоколы хранения данных. Преимущества такого решения в том, что оператору не нужно покупать дорогостоящее оборудование. К тому же упрощаются процессы управления системами хранения данных.

Чек-лист по работе с ПДн

Владелец коммерческого сайта, планирующий осуществлять сбор и хранение персональных данных, обязан соблюсти следующие моменты:

  1. Назначить ответственного за организацию обработки персональных данных.

  2. Опубликовать на сайте политику конфиденциальности.

  3. Получить согласие пользователей на обработку персональных данных.

  4. Хранить ПДн на территории России.

  5. Подготовить и утвердить локальные акты, обеспечить безопасность персональных данных.

  6. Подать соответствующее уведомление в Роскомнадзор.

Стоит помнить, что за неподачу уведомления об обработке персональных данных предусмотрен штраф. Процедура подачи осуществляется на бесплатной основе.

Резюме

Приравнять важность легитимной обработки персональных данных сегодня можно к выполнению таких обязанностей, как своевременная выплата зарплат сотрудникам и уплата необходимых налогов. Поэтому не стоит игнорировать требования законодательства, иначе суммарные штрафы могут достигать семизначных цифр. Также стоит очень внимательно подходить к выбору провайдера облачного хранилища, поскольку это напрямую может отразиться на коммерческой деятельности компании.

К примеру, SberCloud предлагает аттестованное в соответствии с требованиями безопасности информации, предъявляемыми к информационным системам персональных данных при обеспечении определенного уровня защищенности персональных данных, облако. Аттестаты соответствия размещены на сайте Sbercloud. Здесь же размещены лицензии от ФСТЭК и ФСБ на оказание услуг в области информационных систем и защиты информации. Компания строго соблюдает требования Федерального закона №152-ФЗ «О персональных данных» и обеспечивает безопасность персональных данных при их обработке в информационных системах в соответствии с Приказом ФСТЭК России N 21.

«В феврале 2021 года SberCloud получил сертификат соответствия системы менеджмента информационной безопасности требованиям стандарта ISO/IEC 27001:2013 с учетом правил ISO/IEC 27017:2015 и ISO/IEC 27018:2019. Это означает соответствие услуг облачного провайдера, в том числе связанных с ПДн, не только российскому законодательству, но и международным требованиям безопасности информации.».

Источники

Содержание

  • Что относят к персональным данным?
  • Виды персональных данных
  • Субъекты и операторы персональных данных
  • Уровни защищенности ПДн и типы угроз
  • Хранение и обработка ПДн: что требует законодательство
  • Правительство
  • Роскомнадзор
  • Хранение и обработка ПДн в облаке
  • Чек-лист по работе с ПДн
  • Резюме
  • Источники

Вам может понравиться