Как работает система обеспечения защиты персональных данных?

Персональные данные: как хранить, обрабатывать и защищать по закону

Персональные данные (ПДн) — это любая информация, относящаяся прямо или косвенно к определенному физическому лицу. Рассказываем в материале Selectel, о типах ПДн, как правильно их хранить, обрабатывать и законно защищать.

Когда сайт или приложение собирает информацию о пользователях (физических лицах), то владелец ресурса считается оператором персональных данных (ПДн). Личный кабинет в приложении, форма сбора email на сайте или отслеживание геолокации — это всё сбор ПДн. Когда владелец ресурса становится оператором ПДн, то подпадает под 152-ФЗ — закон «О персональных данных», в котором много правил, как оператор обязан обращаться с ПДн, чтобы обеспечивать безопасность полученной информации.

Чтобы определить, что такое ПДн и как с ними работать, обратимся к Федеральному закону №152-ФЗ «О персональных данных». В законе есть следующее определение персональных данных:

«Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному физическому лицу»

Телефон, email, фотография, ФИО — всё это может считаться ПДн.

Также к ПДн можно отнести:

  • национальность;
  • политические, философские и религиозные взгляды;
  • место регистрации;
  • информацию о здоровье, отпечатки пальцев и образцы голоса;
  • информация о судимостях;
  • номер телефона и электронная почта;
  • СНИЛС, ИНН и паспортные данные;
  • ссылки на личные страницы и cookies.

Но есть нюансы. В совокупности друг с другом эти данные могут считаться ПДн, а по отдельности — не всегда. Например, сам по себе адрес электронной почты не ПДн — это абстрактные данные. Но адрес почты «petrov120999@mail.ru», который принадлежит Петрову Петру Петровичу — это ПДн.

Аналогично с телефоном — сам по себе номер это не ПДн. Но если в базе телефонного оператора указано, что владелец номера +7999-999-99-99 — Петров Петр Петрович, то это уже персональные данные. По ним оператор идентифицирует владельца.

Фотография человека всегда является ПДн, однако они не всегда являются биометрическими ПДн, на сбор которых требуется письменное согласие. К примеру, фотография на пропуске — это ПДн, потому что требуется для сверки с лицом человека при входе.

Фамилия, имя и отчество тоже не всегда ПДн. Например, когда мы не знаем человека и без дополнительной информации затруднительно его идентифицировать. Информация «Петров Петр Петрович» ничего нам не говорит — полных совпадений может быть сотни. Но если у нас есть сопоставление, что у Петрова Петра Петровича номер телефона +7-999-999-9999, то это уже ПДн.

Часто ФИО задает контекст и становится ключевой частью в персональной информации, без которой большая часть данных теряет смысл. Например, когда мы анонимно опрашиваем посетителей сайта о размере зарплаты, то не собираем ПДн. Но если через опрос мы выясняем фамилии и имена, то эта информация уже ПДн.

Полного списка ПДн нет. Данные из списка не всегда относятся к ПДн. Поэтому в 152-ФЗ нет эталонного перечня информации, или законченного списка, по которому было бы понятно, из чего состоят персональные данные. Причина в том, что они зависят от контекста.

Если по набору информации можно идентифицировать человека, как личность, то это ПДн. Если для идентификации нужна дополнительная информации — набор данных уже не ПДн.

Примечание. 152-ФЗ не уникален. В Европе действует его аналог — Регламент по защите ПДн (GDPR). GDPR похож на 152-ФЗ, но есть и различия. Например, в GDPR ПДн считаются не только адрес, ФИО или геолокация, но и религиозные, философские, политические взгляды.

Постановление правительства №1119 делит ПДН на 4 категории для информационных систем:

  • общедоступные;
  • специальные;
  • биометрические;
  • иные.

Кажется, что данные, которые известны родным, друзьям или работодателю, однако это в корне неверно. По закону ПДн из общедоступных источников — это только справочники и адресные книги, данные в которые заносятся только с согласия субъекта ПДн. Данные, которые можно найти в интернете общедоступными не являются.

Определенные ПДн входят в категорию специальных, а именно информация о:

  • расе, национальности и религии;
  • политических и философских взглядах;
  • здоровье;
  • подробностях личной жизни;
  • судимостях.

Это информация о физиологических и биологических особенностях человека:

  • отпечатки пальцев;
  • генетическая информация;
  • рисунок радужной оболочки глаз;
  • образцы голоса;
  • фотографии.

Но есть нюанс. В 2013 году Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций разъяснила, что здесь тоже важен контекст:

Если вы сдали кровь для анализов, то это не биометрические данные — информация с результатами не используется, чтобы выяснить личность. Но отпечатки пальцев, которые требуются для входа офис, уже биометрические данные — узоры на пальце используются для опознания личности.

Сюда входят ПДн, что не относятся ко всем предыдущим. Например:

  • электронная почта или геолокация;
  • информация о принадлежности к определенной социальной группе;
  • стаж работы;
  • и т.д.

В законе есть две сущности: субъект и оператор ПДн.

Субъектом персональных данных считается человек, чьи персональные данные использует оператор ПДн, например, собирает.

Субъект — это физическое лицо: владелец аккаунта в соцсети, посетитель сайта или покупатель в магазине. Например, клиент интернет-магазина заказал ноутбук, а чтобы его получить, выбрал курьерскую доставку, оставив фамилию, имя, адрес и телефон. По этим данным можно определить личность покупателя, поэтому теперь он субъект ПДн, а магазин — оператор.

Оператор — это физическое лицо или организация (государственная или частная), которая собирает, обрабатывает, хранит и распространяет ПДн, определяет цели и содержание их обработки.

Например, операторами становятся работодатели, когда соприкасаются с личными данными сотрудников. Даже если сотрудник всего один — работодатель уже оператор.

Рассмотрим, как оператору собирать, хранить, обрабатывать и защищать ПДн.

Условия. Если на сайте или в приложении есть возможность зарегистрироваться, заполнить анкету, заказать товар или подписаться на рассылку — это ресурс уже собирает ПДн. В 14 статье 152-ФЗ сказано, что собирать персональные данные можно только с разрешения пользователей. Для этого оператор обязан получить письменное согласие того, чьи данные собирает. Но в интернете письменную форму согласия заменяют на электронную.

В электронной форме сбора ПДн должна быть «Политика конфиденциальности», где описана причина сбора, что будет происходить с данными, кто будет хранить, обрабатывать и как долго. Также там должно быть указано, как субъекту отозвать разрешение на обработку.

Под каждой формой необходимо добавить чекбокс с текстом: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности». Без «галочки» пользование ресурсом должно быть невозможно.

Для сбора cookies тоже понадобится разрешение на сбор ПДн.

Обычно новым пользователям показывается всплывающее окно с предупреждением, что сайт собирает cookies, IP и геолокацию, а если пользователь не согласен, то может не пользоваться сайтом. Но эта информация также должна быть продублирована в документе «Последствия отказа предоставить персональные данные».

Исключения. Согласие на сбор ПДн нужно не всегда. Полный список исключений указан во втором пункте 22 статьи 152-ФЗ, но если кратко, то разрешение не обязательно для сбора общедоступных данных, обезличенной статистики, СМИ и работодателям, когда они собирают данные у сотрудников для соблюдения ТК. При этом все данные, естественно, не должны передаваться третьим лицам. Чаще всего, на сайты, приложения и, в целом, на коммерческие ресурсы в интернете, исключения не распространяются.

Примечание. Когда оператор передает ПДн в облако, у оператора должно быть согласие субъекта, а также обязательно нужно удостовериться, что ЦОД соответствует 152-ФЗ и имеет все необходимые лицензии (о них ниже). Это гарантия спокойной работы и отсутствия в дальнейшем проблем с Роскомнадзором. Например, облако на базе VMware в Selectel соответствует 152-ФЗ и требованиям Роскомнадзора, имеет лицензии ФСТЭК и ФСБ, и может хранить данные любых категорий.

Всё, что происходит с ПДн — это обработка:

  • передача по сети;
  • запись;
  • хранение;
  • извлечение;
  • изменение;
  • обезличивание;
  • анализ;
  • удаление.

Сбор — это тоже обработка.

Обработка бывает трех видов:

  • Автоматизированная — с помощью СВТ (средств вычислительной техники). Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.
  • Смешанная — обработка человеком при участии СВТ. Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
  • Неавтоматизированная — без автоматизации.

Условия. Как и сбор, обработка ПДн должна проходить с разрешения субъектов. Для обработки должны быть четкие цели, например, для рассылки. В соответствии с целями, можно обрабатывать только ограниченный набор данных и не больше. Например, для рассылки не нужны паспортные данные и ИНН.

Исключения. Разрешение не обязательно в тех же исключительных случаях, что и для сбора. Но есть и дополнительные, например:

  • разрешение не обязательно госорганам: для предоставления госуслуг, в судопроизводстве, и в других случаях, когда этого требует закон;
  • при неавтоматизированной обработке;
  • когда человек сам опубликовал свои данные публично;
  • когда все данные — это только ФИО.

Опять же, на большинство ресурсов в интернете исключения не распространяются.

Если информация о субъектах хранится на серверах, жестких дисках, флешках, в облаке или даже в распечатанном виде — это называется хранением персональных данных.

Условия. К хранению ПДн много требований со стороны 152-ФЗ.

  • Данных нужно хранить столько, сколько достаточно для обработки.
  • Информация должна храниться так, чтобы можно было определить субъекта.
  • Если данных не хватает или они неточные, то оператор обязан их уточнить или удалить.
  • Если есть базы данных с разными ПДн, собранные для разных целей, их нельзя объединять.
  • После обработки ПДн должны быть уничтожены или обезличены.
  • Если ПДн передаются в другую страну, нужно удостовериться, что там есть подходящая система защиты, а субъект дал на это отдельное согласие.

Основные нормы хранения персональных данных закреплены 149-ФЗ.

Субъект может в любой момент запросить у оператора (в письменном или электронном виде) какие данные на него есть, где и кем хранятся его ПДн. А если информация неточная или старая — может потребовать все удалить.

Согласно 152-ФЗ, оператор отвечает за все, что происходит с ПДн, даже если привлек сторонних лиц для обработки. Например, если банк собрал базу скан-копий паспортов клиентов, а она попала к мошенникам — отвечает банк. Поэтому системы хранения ПДн должны быть хорошо защищены. Критерий «хорошо» означает уровень защиты (УЗ). Уровни защиты описаны в 21 приказе ФСТЭК и связаны с категорией ПДн.

  • 1 УЗ — для спецданных, которые нуждаются в самой серьезной защите. Часто эти ПДн можно использовать, чтобы нанести ущерб. Например, технически УЗ требует безотказной работы серверов.
  • 2 УЗ — для биометрических данных (хотя для них подходит и 1 УЗ). Здесь, например, требуется резервное копирование и установки системы обнаружения вторжений.
  • 3 УЗ — для иных данных. Здесь, например, достаточно ограничения доступа к системам.
  • 4 УЗ — для общедоступных данных. Для них достаточно простой защиты, например, антивирусного приложения. Общедоступные ПДн не скрывают, их легко получить и сложной защиты не нужно.

Требования описаны в «Приложении» к приказу — всего их 109. Есть общие для всех.

  • Установить серверы в защищенном месте.
  • Обеспечить ограниченный доступ к серверами и установить запрет на подключение к ним напрямую.
  • Настроить доступ к данным только для тех, у кого есть на это права.
  • Поставить ПО, которое защищает от угроз: межсетевые экраны, антивирусные программы.
  • Использовать ПО, сертифицированное ФСТЭК.

Есть специфические для каждого УЗ. каждый оператор обязан самостоятельно определить уровень защиты ПДн и настроить защищенную IT-инфраструктуру, в соответствии с уровнем. Чтобы было проще ориентироваться, используйте таблицу определения УЗ.

Подтвердить уровень защищенности можно технической документацией, которую отправляют в ФСТЭК.

Примечание. Если храните данные в ЦОД, то он обязательно должен иметь аттестат на соответствие требований приказа ФСТЭК. Аттестат гарантирует, что инфраструктура провайдера соответствует приказу ФСТЭК и данные надежно защищены. Обычно в аттестованных ЦОД можно хранить ПДн данные 1 и 2 УЗ. ЦОД Selectel аттестованы по 152-ФЗ и имеют лицензии ФСТЭК и ФСБ, и могут хранить данные также 1 и 2 УЗ.

Операторы обязаны подать заявление в Роскомнадзор, чтобы организацию внесли в реестр операторов ПДн. В заявлении обязательно указать какие меры предприняты для защиты, какие ПДн и где будете хранить.

Подготовить оборудование, ПО и инженерные системы недостаточно. Для хранения ПДн нужно еще много документов. Не считая тех, о которых уже говорили, это:

  • Модель угроз безопасности. В документе описываются опасности, которые угрожают системе хранения и обработки ПДн.
  • Приказ о назначении ответственного за безопасность персональных данных — обычно назначают сотрудника службы информационной безопасности. Он будет отвечать за все, что происходит с ПДн.
  • Приказ о допуске к обработке. В приказе прописываются все, у кого есть доступ к ПДн.
  • Инструкция пользователя системы ПДн. Дополнение к приказу, в котором описано, как обращаться с ПДн.

Это неполный список из организационных документов. Список названий займет слишком много места, поэтому оставим ссылку на большой список.

Иногда Роскомнадзор проверяет ресурсы — собирают ли они ПДн и зарегистрировались ли как оператор. За нарушения штрафует, согласно статье 13.11 КоАП РФ.

Например, за незаконную обработку без согласия штраф от 1 до 30 тысяч рублей, в зависимости кто нарушил: физлицо, юрлицо или должностное лицо. Также штрафуют, если оператор не защищает информацию или хранит ПДн в базах данных в других странах.

Штрафы можно получить не только за халатное отношение к ПДн, но и если не разработать соответствующую документацию или приказы. Например, если нет «Положения об обработке данных» возможен штраф от 700 рублей до 30 тысяч. А если нет «Модели угроз безопасности» — штраф от 1 тысячи для физлиц до 50 тысяч рублей для юрлиц.

В особо тяжелых случаях есть также и уголовная ответственность.

Примечание. Хранение данных в облаке не снимает ответственности с оператора. ЦОД — промежуточное звено, третье лицо. Аттестованный ЦОД помогает оператору не беспокоиться о требованиях регулятора по вопросам оборудования, физической безопасности данных, контроля доступа и уничтожения ПДн. Но вся ответственность на операторе.

Персональные данные — информация, которая относится к конкретному человеку: ФИО, номер телефона, e-mail, группа крови или фотография.

Чтобы собирать, хранить и обрабатывать ПДн, нужно соблюдать 152-ФЗ:

  • Зарегистрироваться в Роскомнадзоре, как оператор.
  • Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать лишнее.
  • Отвечать на обращения субъектов и предоставляете всю информацию.
  • Собирать и хранить информацию только для достижения определенных целей в определенный срок.
  • Хранить и защищать ПДн по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.
  • Уточнять, блокировать или уничтожать ПДн по заявлению субъектов или когда достигли целей.

В законе, постановлениях и других документах, связанных со 152-ФЗ, нет четких указаний или чек-листов, что делать в разных случаях, чтобы работать по закону. Поэтому у нас есть только примерные списки действий при работе с ПДн, которые можете использовать.

Не пропускайте полезные материалы, подписывайтесь на блог Selectel.

Что такое система защиты персональных данных? Мероприятия по обеспечению безопасности и инструкция по разработке СЗПД

Возросшие технические возможности по копированию и распространению конфиденциальной информации привели к необходимости использования средств по защите персональных данных.

Это комплекс мероприятий технического, организационного и организационно-технического характера; он предполагает возможность избежать злоупотреблений личными сведениями, предотвратить использование мошеннических схем в Интернете, которые представляют угрозу законным правам и интересам личности.

Что это такое?

Система защиты персональных данных (СЗПД) – это комплекс мер и мероприятий организационного и технического характера, направленных на противодействие несанкционированному доступу к закрытой информации с учетом актуального типа угроз безопасности(п. 2 Постановления Правительства РФ от 01.11.2012 N 1119).

Читайте также:  Продажа ООО: пошаговая инструкция в 2021 годуПростая бухгалтерия

Любое физическое или юридическое лицо, подпадающее под определение “оператор ПД”, обязано создать условия и предпринять меры по охране ПД от непредумышленных или преступных покушений.

СЗПД должна быть выстроена таким образом, чтобы действовать эффективно, но в то же время обеспечивать непрерывность внутренних процессов компании или организации.

Какие существуют уровни защищенности?

В соответствии со статьей 19 Федерального закона «О персональных данных» № 152 от 27.07.2006 года, Правительство РФ устанавливает 4 уровня защищенности:

  1. УЗ-1 – максимальный.
  2. УЗ-2 – высокий.
  3. УЗ-3 – средний.
  4. УЗ-4 – низкий.

Определение уровня защищенности информации осуществляется с учетом категории обрабатываемых данных, вида обработки, количества субъектов и типа угроз. Это позволяет предпринять соответствующие эффективные меры , гарантирующие информационную безопасность ПД.

Детально выбор средств в соответствии с уровнем защиты и типом угроз освещен в пунктах 4-16 Постановления Правительства РФ от 01.11.2012 N 1119.

Какие предпринимаются меры и мероприятия?

Мероприятия по защите ПД – это комплекс мер, направленных на надежную охрану конфиденциальной информации, которую субъект предоставляет оператору организации.

Организационные меры включают:

    Оповещение Роскомнадзора о начале обработки персональных данных путем отправки в орган соответствующего уведомления.

Разработка пакета документации для внутреннего пользования, которой регламентируются операции с ПД, их обработка и хранение, в частности это Положение о персональных данных, Приказ о назначении ответственного за обработку ПД лица, должностные инструкции и пр. Больше информации о пакете документов, необходимых для создания защиты персональных данных, найдете тут, а про документы, необходимые для защиты ПД работников в организациях, мы рассказываем здесь.

Внедрение пропускного режима для доступа на объект, где хранятся и обрабатываются данные.

Подписание соглашений с третьими лицами, которые участвуют в обработке информации.

Составление перечня ограниченного круга лиц, которые имеют право работать с ПД и несут ответственность за конфиденциальность информации.

Рациональное расположение рабочих мест в организации, исключающее несанкционированный доступ к личным сведениям.

  • Внутренний контроль за соблюдением требований к защите ПД в соответствии с законодательством.
  • Технические меры предполагают использование программных и аппаратных средств информационной защищенности.Они направлены на:

    • предупреждение неправомерного доступа – внедрение системы разграничения доступа, установка антивирусных программ, межсетевых экранов, криптографических и блокировочных средств;
    • предотвращение технической информационной утечки – применение экранированных кабелей, высокочастотных фильтров, систем зашумления и пр.

    Средства и способы защиты оператор выбирает самостоятельно с учетом актуальных угроз и особенностями операций, совершаемых с ПД.

    Пошаговая инструкция по разработке СЗПД

    Процессы обработки и защиты ПД должны строго соответствовать законодательным актам РФ, прежде всего положениям Федерального закона № 152-ФЗ «О персональных данных». Это можно реализовать только при помощи грамотно выстроенной системы. Создание системы – процесс сложный, который выполняется поэтапно:

    1. Издание внутреннего приказа, в соответствии с которым начинаются процессы подготовки и реализации мер по защите ПД и построение защитной системы. В приказе обязательно должен быть указан сотрудник, который несет ответственность за выполнением соответствующих мероприятий, перечисляются локальные документы, в том числе Положение по защите и обработке данных и состав специальной комиссии.
    2. Обследование внутренних систем, содержащих конфиденциальную информацию. На этом этапе нужно определить, является ли организация оператором ПД. Если да, то к какой категории относятся обрабатываемые данные. Составляется отчет о диагностических мероприятиях, создается акт о классификации системы информации, уровне ее защищенности и модели угроз, которым могут подвергаться личные сведения на объекте.
    3. Если в ходе обследования выяснилось, что организация является оператором ПД, направляется Уведомление в Роскомнадзор о намерении производить обработку ПД (ст. 22 Закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»).
    4. Разработка и утверждение документов согласия субъекта на обработку ПД и отзыва согласия (ст. 9 Закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»).
    5. Внедрение защитной системы. На этом этапе создается ряд документов, которые регламентируют внутренний порядок работы, хранения, передачи и уничтожения ПД. Составляется перечень лиц, которые допущены к обработке данных и перечень сведений, с которыми осуществляются операции.

    Подробную инструкцию по реализации защиты ПД в различных организациях найдете тут.

    Для учета и хранения данных заводится специальный журнал. При списании и уничтожении носителей информации бумажного и электронного типа составляется соответствующий акт. Информация об изменениях технического оснащения, структуры организации, расширении площадей или принятии новых защитных мер должна быть внесена в весь комплекс внутренней документации.

    Техсредства защиты информации должны быть сертифицированы и правильно настроены. Со списком сертифицированных средств можно ознакомиться на сайте ФСТЭК России.

    Средства и система защиты ПД – это целый комплекс мероприятий, которые важно не только грамотно разработать и внедрить, но и поддерживать систему в актуальном состоянии.

    Практика. Создание системы защиты персональных данных

    Достаточно ли использования сертифицированного по требованиям ФСТЭК программного обеспечения обработки ПДн для выполнения всех требований закона «О персональных данных»? Этот вопрос регулярно возникает у организаций, вынужденных обрабатывать персональные данные в бухгалтерских и кадровых программах.

    Некоторые вендоры вводят пользователей в заблуждение, позиционируя сертифицированное бухгалтерское и кадровое ПО как панацею от выездных проверок Роскомнадзора.

    Мы уже писали о плюсах и минусах сертифицированного программного обеспечения и его месте в комплексной защите персональных данных. В этом материале рассмотрим конкретные действия по выполнению требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при работе с кадровой или бухгалтерской программой.

    Напомним, что приведение процессов обработки и защиты ПДн в соответствие действующим требованиям законодательства РФ в общем случае выглядит следующим образом:

    1. Обследование организации на предмет соответствия процессов обработки и защиты персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ.
    2. Разработка комплекта внутренней организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
    3. Определение угроз безопасности и потенциальных нарушителей безопасности персональных данных, обрабатываемых в информационной системе персональных данных.
    4. Определение требуемого уровня защищенности персональных данных, обрабатываемых в информационной системе персональных данных.
    5. Разработка технического задания на создание системы защиты персональных данных.
    6. Приобретение средств защиты информации.
    7. Внедрение системы защиты персональных данных.
    8. Организация и проведение аттестации соответствия системы защиты персональных данных требованиям безопасности информации.

    Аттестация не является обязательной, однако получение аттестата соответствия даст уверенность в том, что меры, реализованные в рамках системы защиты персональных данных, достаточно эффективны и удовлетворяют всем требованиям безопасности информации.

    Обеспечьте защиту персональных данных в вашей компании

    Сертифицированное бухгалтерское или кадровое ПО в данном контексте может рассматриваться лишь как средство защиты информации.

    Итак, дано: информационная система отдела кадров небольшой организации построена по классической клиент-серверной архитектуре.

    В качестве ПО обработки ПДн используется любое кадровое ПО (Контур.Персонал, «1С: зарплата и управление персоналом», сертифицированное ФСТЭК, прочее ПО).

    В компании реализованы организационные (разработаны организационно-распорядительные документы по защите ПДн, сотрудники ознакомлены с требованиями законодательства и т д.) и физические (доступ в помещения обработки ПДн ограничен, внедрена охранная сигнализация и т д.) меры защиты ПДн, однако отсутствуют технические средства защиты информации.

    Исходя из описанного выше порядка действий, оператор ПДн должен составить модель угроз и определить требуемый уровень защищенности ПДн, дабы в дальнейшем на основе полученных данных разработать систему защиты персональных данных.

    Модель угроз безопасности ПДн: пример

    Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

    * Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

    Основными источниками угроз в данном случае будут выступать:

    • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
    • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

    Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

    Определение уровня защищенности ПДн

    В соответствии с постановлением Правительства Российской Федерации № 1119 от 01.11.2012 в описанной информационной системе требуется обеспечить 4-й уровень защищенности ПДн при их обработке в информационной системе.

    Построение системы защиты персональных данных

    В соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяем состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе для 4-го уровня защищенности ПДн.

    Рассмотрим техническую реализацию отдельно выбранных мер по обеспечению безопасности персональных данных:

    Как видно из таблицы выше, для нейтрализации актуальных угроз безопасности персональных данных используются межсетевой экран и антивирусные средства защиты информации. Кроме того, согласно приказу ФСТЭК России № 21, для обеспечения 4-го уровня защищенности персональных данных межсетевой экран и антивирусное средство должны иметь сертификаты соответствия не ниже 5-го класса по требованиям безопасности информации средств защиты информации.

    ПО обработки ПДн также используется в качестве способа реализации требований приказа ФСТЭК России № 21, однако оно не используется для нейтрализации актуальных угроз безопасности ПДн, а следовательно, процедура оценки соответствия (сертификация) такого ПО не требуется.

    Текущая система защиты персональных данных позволит разграничить доступ к серверу обработки персональных данных и защитит рабочие станции от актуальных угроз безопасности.

    Выводы

    Наличие у программы сертификата соответствия ФСТЭК не решает проблемы защиты ПДн. Существует множество средств защиты информации и сценариев их использования. Для построения эффективной и адекватной системы защиты персональных данных важно понимать принципы и порядок реализации мер, направленных на обеспечение безопасности ПДн.

    Важно! Защита персональных данных — это комплекс мероприятий, направленных на обеспечение безопасности персональных данных, и внедрение системы защиты является лишь одним из этапов обеспечения безопасности.

    Рекомендации по защите персональных данных

    Не стоит забывать о поддержании созданной системы защиты ПДн в актуальном состоянии. Периодически необходимо проверять актуальность организационно-распорядительной документации, обновлять модель угроз и контролировать обеспечение установленного уровня защищенности ПДн.

    Не пропустите новые публикации

    Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

    Практика. Создание системы защиты персональных данных

    Вне зависимости от того, принадлежит ли компания к большому, малому или среднему бизнесу, состоявшаяся это организация или пока еще стартап — вопрос защиты персональных данных актуален для всех. Эта статья посвящена особенностям и средствам такой защиты, а также рекомендациям, которые помогут упростить эту работу и сделать ее более эффективной.

    Кто обеспечивает защиту данных?

    Сфера защиты данных юридически регулируется информационным правом (одной из подотраслей административного права), нормы которого прописаны в нескольких законодательных актах. Один из основных — Федеральный закон № от 27.07.2006 «О персональных данных», цель которого заявлена как «общее обеспечение защиты конституционных прав и свобод человека и гражданина при обработке персональных данных», таких как право на неприкосновенность частной жизни, личную и семейную тайну.

    Реализация мер по защите персональных данных — это зона ответственности оператора, т. е. субъекта, осуществляющего сбор и обработку данных в информационной системе. Как правило, таким субъектом выступает компания, владеющая базами данных своих сотрудников и клиентов либо сторонняя организация, уполномоченная компанией-владельцем.

    При невыполнении мер защиты оператор несет законодательно установленную ответственность. Наблюдением и проверками компаний в данном случае занимается Роскомнадзор. В случае если требования законодательства нарушены, оператор несет административную ответственность и обязан заплатить штраф. С 2019 года его размер повысился до сотен тысяч (для юридических лиц — миллионов) рублей — в соответствии с недавними поправками, внесенными в Кодекс РФ об административных правонарушениях.

    Общая сумма штрафов, выписанных по итогам проверок, составила более пяти миллионов за предыдущий год.

    Что защищать и от чего?

    Начнем с вопроса терминологии. Персональные данные представляют собой любую информацию, относящуюся прямо или косвенно к физическому лицу, который в законе прописан как субъект персональных данных. Наиболее распространенные разновидности такой информации:

    точное место жительства;

    адрес электронной почты.

    Фамилия, имя и отчество сами по себе тоже могут являться персональными данными. Попадание этой информации к любым третьим лицам должно быть исключено.

    Кроме того, необходимо понимать, что оператор имеет право на обработку данных лишь в некоторых случаях:

    если им получено согласие на обработку (необязательно письменное);

    планируется заключение договора с субъектом (даже в случае оферты на веб-сайте);

    обрабатываются персональные данные своих сотрудников;

    в особых случаях, когда обработка нужна для защиты жизни, здоровья и прочих важных интересов человека.

    Если компания-оператор не смогла доказать ни одно из перечисленных оснований обработки, на нее также налагается штраф и сбор данных считается незаконным.

    Самый важный пункт здесь — само согласие на обработку. Простейший способ, которым пользуются большинство компаний — реализованная тем или иным образом форма быстрого выражения согласия. Обычно это знакомая многим «галочка» под сопровождающим ее текстом о собственно согласии.

    Еще один параметр, который нужно учитывать — не стоит обрабатывать персональную информацию, не имеющую непосредственного отношения к предмету договора (скажем, для классического договора купли-продажи не имеют значения профессия, уровень образования или воинская обязанность покупателя). Излишний интерес может быть истолкован надзорными органами как нарушение.

    Поскольку время от времени Роскомнадзор проводит внеплановые проверки (чаще всего, если есть жалобы конкретного лица — бывшего сотрудника, конкурирующей компании или клиента, считающего, что его права нарушены), во избежание претензий компании-оператору нужно удостовериться, что:

    Политика в отношении персональных данных задокументирована и находится в публичном доступе.

    Форма сбора персональных содержит разъясняющую информацию о том для чего они собираются (когда ввод персональных данных необходим для заключения договора, его текст также обязательно должен быть опубликован).

    Уже собранные специальные данные человека, включая биометрические (те сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых может быть установлена его личность) не могут быть переданы заграничным компаниям.

    Запросы и требования субъектов персональных данных (в том числе об уточнении, удалении, блокировании) всегда удовлетворяются.

    Чаще всего проверки Роскомнадзора выявляет нарушения из этого списка. Другая распространенная претензия — недостаточный внутренний контроль за осуществлением обработки и слабая осведомленность сотрудников, которые за нее отвечают о правилах и требованиях ее проведения.

    Когда обработка происходит с использованием информационных систем (а значит, и электронных устройств), появляются новые потенциальные угрозы, которые нужно свести к минимуму, а лучше и вовсе исключить. Рассмотрим их.

    Угрозой информации считают возможное влияние или воздействие на автоматизированную систему обработки изнутри или извне, которое влечет за собой любые негативные последствия для субъектов этой информации. Обычно информационные системы становятся особо уязвимыми, когда:

    программное обеспечение компании несовершенно, давно не обновлялось и содержит уязвимости;

    некоторые процессы системы (в частности, защитные) функционируют не в полную силу;

    усложнены условия эксплуатации и хранения информации.

    Угрозы принято делить на несколько групп (в основе классификации лежит природа угрозы):

    Объективная. Она напрямую зависит от того, насколько грамотно подобрано оборудование для хранения и обработки, работает ли должным образом защитное ПО.

    неисправность технических средств,

    слабые антивирусы, отсутствие шлюзов безопасности,

    невозможность зрительного контроля за серверами и доступом к ним.

    Предусмотреть все возможные сбои и неполадки невозможно, но важно знать где и почему они могут потенциально произойти — и подстраховаться.

    Случайная. Эта группа включает в себя непредвиденные обстоятельства, различные ЧП и системные сбои. В данном случае важно быть готовыми оперативно их устранить (любые неисправности технических средств на всевозможных уровнях системы, в том числе тех, которые отвечают за контроль доступа, устаревание и износ отдельных микросхем, носителей данных, линейных соединений, неисправность в работе антивирусных, сервисных и прикладных программ).

    Субъективная. Как правило, под такими угрозами понимают неправильные действия сотрудников, осуществляющих техническую обработку, хранение и защиту информации. Они могут ошибаться в соблюдении правил безопасности и допускать утечки при загрузке программного обеспечения или в момент активного использования системы, при различных манипуляциях с базами данных, при включении и выключении аппаратуры. Также к этой группе относятся неправомерные действия бывших сотрудников, у которых остался несанкционированный доступ к данным.

    Специалисты компании-оператора должны учитывать все типы угроз. Во внимание следует принять критерии, которые помогут понять, какова реальная возможность угрозы того или иного типа (а также вероятность поломки или успешного обхода защитных алгоритмов):

    Доступность. Этот критерий демонстрирует, насколько просто злоумышленник может получить доступ к нужной ему информации или к инфраструктуре организации, где хранятся эти данные.

    Фатальность. Эта характеристика предполагает оценку степени глубины влияния угрозы на общее функционирование системы и способность специального персонала компании справиться с последствиями от влияния этого фактора.

    Количество. Это параметр, подразумевающий собой определение количества потенциально уязвимых деталей системы хранения и обработки данных.

    Точный расчет вероятности воздействия той или иной угрозы производится математически — это могут сделать аналитические эксперты компании. Такой самоанализ позволяет объективно оценить риски и предпринять дополнительные меры защиты: закупить более совершенное оборудование, провести дополнительное обучение работников, перераспределить права доступа и т. д.

    Существует несколько других, более подробных классификаций внутренних и внешних угроз, которые будут полезны для систематизации всех факторов. Рассмотрим и их.

    угроза, вызванная небрежностью сотрудников, работающих с информационной системой;

    угроза, инициируемая субъектами извне с целью получения личной выгоды.

    искусственная угроза, созданная при участии человека;

    природная, неподконтрольная человеку (чаще всего — стихийные бедствия).

    Непосредственная причина угрозы:

    человек, разглашающий строго конфиденциальные сведения;

    природный фактор (вне зависимости от масштаба);

    специализированное вредоносное программное обеспечение, нарушающее работу системы;

    удаление данных случайным путем из-за отказа техники.

    Момент воздействия угрозы на информационные ресурсы:

    в момент обработки информации (обычно это происходит из-за рассылок вирусных утилит);

    при получении системой новой информации;

    независимо от степени активности работы системы (например, при направленном взломе шифров или криптозащиты).

    Существуют и другие классификации, учитывающие среди параметров возможность доступа работников к самой системе или ее элементам, способ доступа к основным частям системы и конкретные способы размещения информации.

    Значительную часть всех угроз эксперты связывают с объективными внешними факторами и информационным вторжением со стороны конкурентов, злоумышленников и бывших сотрудников. Особую опасность представляют те из них, кто знаком с правилами функционирования конкретной системы, обладает знаниями на уровне разработчика программ и имеет сведения о том или ином уязвимом месте в системе.

    Построение системы защиты персональных данных

    Классификация уровней защиты

    Информационная безопасность подразумевает четыре уровня защиты от угроз:

    Первый уровень. Наиболее высокий, предполагает полную защиту специальных персональных данных (национальная и расовая принадлежность, отношение к религии, состояние здоровья и личная жизнь).

    Второй уровень. Предполагает защиту биометрических данных (в том числе фотографии, отпечатки пальцев).

    Третий уровень. Представляет собой защиту общедоступных данных, то есть тех, к которым полный и неограниченный доступ предоставлен самим человеком.

    Четвертый уровень. Это сборная группа, в которую включают все данные, не упомянутые в предыдущих трех пунктах.

    Таким образом, все данные, собранные в информационной базе компании, могут быть четко распределены по уровням защиты.

    Обеспечение защиты

    Защита информации по уровням в каждом случае состоит из цепочки мер.

    Четвертый уровень. Означает исключение из помещения, где находится информационное оборудование, посторонних лиц, обеспечение сохранности носителей данных, утверждение четкого списка работников, которые имеют допуск к обработке данных, а также использование специальных средств защиты информации.

    Третий уровень. Подразумевает выполнение всех требований, предусмотренных для предыдущего уровня, и назначение ответственного за информационную безопасность должностного лица.

    Второй уровень. Помимо выполнения требований предыдущего уровня, включает в себя ограничение доступа к электронному журналу безопасности.

    Первый уровень. Кроме всех требований, которым необходимо следовать на втором уровне, включает обеспечение автоматической регистрации в электронном журнале безопасности полномочий сотрудников, имеющих доступ к данным, в случае изменения этих полномочий, а также возложение ответственности за информационную безопасность на специально созданное подразделение.

    Должное выполнение прописанных в законодательстве мер защиты персональных данных в соответствии с уровнями обеспечивает максимальную эффективность общей стратегии защиты информации, принятой в компании-операторе.

    Средства защиты информации

    Подробный список технических и организационных мер по обеспечению безопасности также определен юридически. К ним относятся процедура идентификации и аутентификации субъектов и объектов доступа, цепочка управления доступом, ограничение программной среды, надежная защита машинных носителей информации, антивирусная защита, предотвращение и обнаружение вторжений, аналитика степени защищенности среды наряду с обеспечением доступности данных и выявлением событий, которые потенциально приведут к сбоям в работе системы. Кроме того, закон обязывает в случае технической невозможности реализации каких-либо мер разрабатывать другие, компенсирующие меры по нейтрализации угроз.

    Технические средства защиты также имеют отдельную классификацию и должны выбираться в зависимости от требуемого уровня защиты. Средства определены официальным документом, составленным Федеральной службой по техническому и экспортному контролю (орган исполнительной власти, занимающийся защитой информации). Документ доступен на официальном ресурсе службы. Каждый из классов имеет минимальный набор требований по защите.

    Криптографические средства защиты информации

    Одним из наиболее действенных способов защиты персональных данных является использование средств криптографии. Если упростить, то речь идет о шифровании текста с помощью цифрового кода.

    К криптографическим средствам относятся аппаратные, программные и комбинированные устройства и комплексы, способные реализовывать алгоритмы криптографического преобразования информации.

    Они предназначены одновременно для защиты информации при передаче по каналам связи и защиты ее от неразрешенного доступа при обработке и хранении. Логика проста: злоумышленник, который не знает кода, не сможет воспользоваться данными, даже если получит к ним доступ, поскольку не прочтет их. Для него они остануться бессмысленным набором как будто случайных цифр.

    Регламент использования криптографических средств определяется Федеральной службой безопасности и документирован в соответствующем приказе.

    Рекомендации по защите персональных данных

    Как видим, поддержание системы информационной безопасности силами отдельной компании представляется довольно трудоемкой задачей. Далеко не каждый бизнес или государственная компания могут позволить себе штат профильных специалистов. Во многих случаях проще отдать эту задачу на аутсорс, нанять сторонних специалистов, которые помогут подобрать и установить подходящее оборудование, проконсультирую персонал, окажут поддержку с написанием политики конфиденциальности и внутренних регламентов по обращению с засекреченной информацией.

    Такое сотрудничество всегда требует большой вовлеченности со стороны руководящего звена компании и всех ее сотрудников. Невнимательность и недостаточно серьезное отношение к соблюдению мер защиты могут закончиться кражей данных, крупными штрафами, судебными разбирательствами и репутационными потерями.

    Регулярно проводите оценку эффективности выбранных мер защиты, оперативно вносите коррективы, следите за изменениями в законодательстве. Предупредить угрозу в разы проще (и дешевле), чем бороться с ее последствиями.

    Системы защиты персональных данных

    Защита персональных данных
    с помощью DLP-системы

    С уществующая в современном мире концепция защиты информационных прав человека нашла свое отражение в национальном законодательстве об охране персональных данных. Разработаны многочисленные стандарты и нормы, обеспечивающие их надлежащую защиту, но каждая компания, системно работающая с большими массивами информации, обязана создать собственную информационную систему защиты. Это позволит избежать утечек информации, репутационных потерь, исков клиентов и штрафов от контролирующих органов.

    Существующие угрозы

    Система защиты персональных данных призвана обеспечить охрану находящейся в распоряжении организации информации, относящейся к конкретным физическим лицам. Это не только анкетные данные, но и сведения о здоровье, финансовом состоянии. Эти данные представляют собой информационный актив, на который могут осуществляться покушения со стороны разнообразных субъектов. Среди основных угроз безопасности:

    • конкуренты конкретной компании, желающие нанести ей ущерб;
    • международные кибертеррористические организации, заинтересованные в утечках персональных данных в целях обеспечения собственного пиара;
    • инсайдеры, сотрудники компании, руководствующиеся своими целями или действующие по чужим поручениям.

    В большинстве случаев утечки носят внутренний характер, наиболее частым риском становится предоставление сотрудником персональных данных других лиц своему знакомому по его запросу вне профессиональных отношений. Как показывает судебная практика, иногда утечка персональных данных одного человека может причинить больший репутационный и финансовый вред, чем случайная, вызванная несовершенством программного обеспечения и каналов коммуникаций утрата большого массива данных. Все это приводит к необходимости разработки собственной информационной системы защиты персональных данных.

    Что такое система защиты персональных данных

    Базовые требования к таким системам устанавливаются Постановлением Правительства РФ № 1119. Оно устанавливает параметры самих систем и определяет необходимые средства и методы обеспечения безопасности персональных сведений, размещенных в информационных базах данных. После изучения этого постановления становится понятно, что системы защиты персональных данных (СЗПД) характеризуются следующими параметрами:

    • представляют собой комплекс мер и мероприятий, носящих как организационный, так и технический характер;
    • эта совокупность призвана предотвратить нелегитимный доступ к персональным данным;
    • система должна быть разработана с учетом актуальности текущих угроз;
    • она разрабатывается операторами персональных данных с учетом уровня их задач и степени ответственности.

    В законе под оператором персональных данных понимается юридическое лицо или предприниматель, которые в ходе решения своих уставных задач получают в свое распоряжение сведения, относящиеся к тому или иному человеку. Не считаются операторами и не несут соответствующие обязанности только работодатели, которые не имеют в своем распоряжении никаких иных данных, кроме сведений кадрового учета. Если же лицо обязано принять меры к защите этой информации, ему придется создать собственную информационную систему безопасности с учетом уровня своей ответственности, зависящей от характеристик доверенных ему сведений. Система безопасности должна одновременно:

    • быть эффективной;
    • не мешать протеканию обычных рабочих процессов.

    Уровни защиты

    Согласно требованиям нормативно-правовых актов, для СЗПД компаний выделяется несколько уровней безопасности, обусловливающих применение тех или иных средств защиты. Всего их четыре:

    • максимальный;
    • высокий;
    • средний;
    • низкий.

    В целях упрощения указания уровней в технической документации они маркируются литерами «У» с цифрой, означающей класс защиты: 1 – наиболее высокий, 4 – низкий. Для каждого оператора требованиями устанавливается свой уровень защиты. Его выбор определяется, исходя из следующих характеристик:

    • количества субъектов, чьи данные подлежат обработке;
    • класса и степени ценности обрабатываемой информации;
    • используемых видов обработки, выбранных из перечня, установленного законом;
    • актуальности и типа угроз.

    Учет этих параметров помогает разработать эффективную систему мер, способную справиться с угрозами сохранности данных всех предполагаемых уровней. В выборе класса средств можно сориентироваться, изучив п. 4-16 Постановления Правительства № 1119. Оператор разрабатывает систему безопасности персональных данных и выбирает меры и средства или самостоятельно, или привлекая специализированную организацию. Такая компания должна иметь лицензию, позволяющую ей заниматься разработкой и внедрением СЗПД. При выстраивании отношений с такой организацией особое внимание необходимо уделить документированию поставки всех элементов системы по защите персональных данных, наличию как эксплуатационной, так и финансовой документации. Оба эти момента могут стать объектом проверки, проводимой Роскомнадзором или ФСТЭК.

    Основные мероприятия

    Помимо технических средств, система защиты предполагает реализацию определенных мер и мероприятий, направленных на обеспечение надлежащей безопасности персональных данных, обусловленных требованиями нормативных актов. Меры носят как технический, так и организационный характер. Мероприятие представляет собой комплекс мер, которые держатель данных обязан предпринять, чтобы гарантировать их сохранность от:

    • утечки;
    • утери;
    • искажения;
    • уничтожения.

    Организационные меры

    Эта группа действий обычно не представляет трудности для оператора, к ней не предъявляются строгие требования регуляторов. Она не влечет необходимости привлечения лицензированных специалистов. Среди обязательных мероприятий по обеспечению безопасности данных присутствуют:

    • направление сообщения в Роскомнадзор о начале занятий соответствующим видом предпринимательской деятельности, предполагающим обработку персональных данных. Сообщение заполняется в форме на сайте ведомства и направляется по почте;
    • разработка локальных нормативных актов, опосредующих передачу данных. К этим документам относятся Положение о защите персональных данных, приказ о назначении ответственного за эту деятельность. Подготовить их можно самостоятельно. Утверждает документы руководитель организации, требований по регистрации их в государственных ведомствах не существует;
    • разработка и внедрение режима прохода на объект, на котором расположены массивы информации, содержащей персональные данные. При оформлении пропусков не надо забывать, что даже предоставление фотографии требует подписания согласия на обработку данных, как говорит судебная практика;
    • разработка соглашений с третьими лицами, согласно которым им поручается обработка данных с внедрением в них мер ответственности и норм о возмещении возможного ущерба;
    • определение актуальной модели угроз с учетом анализа внешних и внутренних факторов;
    • ранжирование лиц, имеющих разные степени допуска к конфиденциальным данным, подписание с ними соглашений о соблюдении коммерческой тайны;
    • разработка системы внутреннего контроля, позволяющей увидеть все моменты нарушения режима конфиденциальности и в кооперации со службой безопасности оперативно пресечь их.

    Технические меры

    Эту систему компания не всегда может разработать самостоятельно, силами ИТ-отдела. Соответствие требованиям по защите персональных данных предполагает разработку, установку и обслуживание сложных программных комплексов, которые решают следующие задачи:

    • избежать неправомерного доступа к данным как со стороны внешних посягателей, так и со стороны инсайдеров. Для этого применяются межсетевые экраны, различные системы разграничения доступа, используются криптографические и блокировочные средства;
    • предотвратить утечку данных по техническим каналам, например, в виде электромагнитного излучения или звуковой информации. Для этого применяют генераторы шума, экранированные кабели, высокочастотные фильтры.

    Все необходимые средства защиты персональных данных от утечки компания выбирает самостоятельно, предъявляются требования по их возможностям и сертификации, а не по конкретным наименованиям или типам программных продуктов. Расходы на приобретение средств защиты данных компания также несет самостоятельно.

    Как разработать собственную систему защиты

    Задача разработки собственной системы обеспечения безопасности данных должна решаться пошагово. Любые методы управления проектами предлагают несколько последовательных этапов внедрения нового типа работы. Это:

    • разработка;
    • тестирование;
    • внедрение;
    • анализ результатов;
    • доработка с учетом выявленных недостатков.

    По тому же принципу должна разрабатываться и устанавливаться и система защиты данных. Таким образом, выделяются следующие шаги:

    • издание внутреннего распорядительного документа, которым до персонала доводится решение о начале работы по построению СЗПД. В документе указываются комплекс мер и лицо, ответственное за выполнение приказа;
    • обследование информационных систем, которые содержат персональные данные. В ходе диагностики необходимо установить категорию защищаемых данных. Результатом обследования становится отчет, в котором должны содержаться модель угроз, описание системы, характеристика уровня ее защищенности;
    • организационные меры – направление уведомления в Роскомнадзор и разработка пакета внутренних локальных нормативных актов, посвященных вопросу защиты данных;
    • создание документов, посвященных информационной безопасности и освещающих вопросы допуска, степеней конфиденциальности, коммерческой тайны, пользования ключами и паролями, физического допуска к рабочим местам, связанным с обработкой персональных данных;
    • определение перечня технических мер. После определения основных угроз безопасности выяснение необходимости применения криптографических способов защиты данных;
    • приобретение сертифицированных средств защиты данных, их настройка;
    • издание документации по работе с данными – новой структуры организации, журнала учета данных, формата актов уничтожения носителей информации.

    Весь этот комплекс действий должен происходить под контролем руководителя организации. В этом случае создание системы обеспечения безопасности персональных данных окажется успешным и не потребует доработок и переделок.

    Персональные данные: средства защиты

    Общий порядок обработки персональных данных установлен федеральным законом № 152-ФЗ от 27.07.2006 «О персональных данных». О нём мы рассказали в нашей предыдущей статье «В чём суть закона».

    Этот порядок конкретизирован и детализирован в постановлении Правительства Российской Федерации № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

    Кто обеспечивает защиту данных?

    Согласно указанному постановлению Правительства № 1119, безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает эти данные, или лицо, осуществляющее обработку этих данных по поручению оператора на основании заключённого с этим лицом договора.

    Что защищать и от чего?

    В постановлении Правительства определены три типа угроз и четыре уровня защищённости персональных данных.

    Тип угрозыОбъяснение
    1.Связаны со случайными или намеренными уязвимостями в системном программном обеспечении
    2.Связаны со случайными или намеренными уязвимостями в прикладном программном обеспечении
    3.Иные угрозы, не связанные с уязвимостями ни в системном, ни в прикладном программном обеспечении

    Под угрозами Правительство понимает совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение этих данных, а также иные неправомерные действия.

    Как защищать?

    Классификация уровней защиты

    В следующей таблице, составленной по содержанию постановления, указаны условия, по которым должен быть обеспечен тот или иной уровень защищённости персональное информации.

    Уровень защищённостиУсловие
    Тип угрозКатегория данных*Данные работников?**
    123СБОИДаНет
    1.ДаДаДаДа
    ДаДа> 100 000
    2.ДаДа
    ДаДаДа100 000
    ДаДа> 100 000
    ДаДа> 100 000
    3.ДаДаДа> 100 000
    ДаДаДа> 100 000
    ДаДаДа> 100 000
    ДаДа
    ДаДа> 100 000
    4.ДаДа
    ДаДаДа> 100 000

    * «С» — специальные; «Б» — биометрические; «О» — общедоступные; «И» — иные.
    ** Относятся ли данные к работникам оператора или нет? Если — нет, имеет значение общее число частных лиц, данные о которых содержатся в информационной системе.

    Специальные персональные данные: сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

    Биометрические персональные данные: сведения о физиологических и биологических особенностях человека, на основании которых можно установить его личность.

    Общедоступные персональные данные: сведения, которые может получить неограниченный круг лиц. В качестве примеров источников общедоступных персональных данных можно назвать справочники или адресные книги. В такие источники могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, но только с письменного согласия их субъекта.

    Иные персональные данные: сведения о конкретном человеке, которые не относятся к категориям специальные, биометрические, общедоступные.

    Первый уровень защищённости считается наиболее высоким.

    Обеспечение уровня защиты

    В следующей таблице перечислены требования по обеспечения защищённости данных на должном уровне.

    Уровень защищённостиТребование
    4.Исключить доступ в помещения, в которых находится оборудование информационной системы, посторонних лиц
    Обеспечить сохранность носителей данных
    Утвердить список работников оператора, которым разрешён доступ к обрабатываемым персональным данным
    Использовать средства защиты информации, если применение таких средств необходимо для нейтрализации актуальных угроз
    3.Выполнить все требования, предусмотренные для четвёртого уровня защищённости данных
    Назначить должностное лицо, ответственное за обеспечение безопасности данных в информационной системе
    2.Выполнить все требования, предусмотренные для третьего уровня защищённости данных
    Ограничить доступ к электронному журналу безопасности исключительно уполномоченными лицами
    1.Выполнить все требования, предусмотренные для второго уровня защищённости данных
    Обеспечить автоматическую регистрацию в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к данным, содержащимся в информационной системе
    Возложить ответственность за обеспечение безопасности данных в информационной системе на новое или уже существующее структурное подразделение

    Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которое производит обработку этих данных по поручению оператора.

    Более подробный список организационных и технических мер по обеспечению безопасности данных при их обработке в информационных системах содержится в приказе № 21 от 18.02.2013 Федеральной службы по техническому и экспортному контролю (ФСТЭК).

    В перечень мер по обеспечению безопасности входят:

    • идентификация и аутентификация субъектов доступа и объектов доступа;
    • управление доступом субъектов доступа к объектам доступа;
    • ограничение программной среды;
    • защита машинных носителей информации, на которых хранятся или обрабатываются данные;
    • регистрация событий безопасности;
    • антивирусная защита;
    • обнаружение и предотвращение вторжений;
    • анализ защищённости;
    • обеспечение целостности информационной системы и данных;
    • обеспечение доступности данных;
    • защита среды виртуализации;
    • защита технических средств;
    • защита информационной системы, её средств, систем связи и передачи данных;
    • выявление событий, которые могут привести к сбоям или нарушению в работе информационной системы, или угрожающих безопасности данных, и реагирование на них;
    • управление конфигурацией информационной системы и системы защиты.

    В приложении к указанному приказу ФСТЭК содержится более детальный перечень мер по обеспечению безопасности данных для каждого уровня защищённости.

    При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учётом экономической целесообразности могут разрабатываться и применяться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз.

    Средства защиты информации

    Технические средства защиты имеют классификацию. Класс применяемого средства защиты должен соответствовать требующемуся уровню защищённости.

    В руководящем документе «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» установлено девять классов защищённости автоматизированной системы от несанкционированного доступа к информации.

    Каждый класс характеризуется определенным минимальным набором требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации.

    С государственным реестром средств защиты информации, сертифицированных ФСТЭК, можно ознакомиться на сайте этого ведомства. Идентификатор этого реестра: РОСС RU.0001.01БИ00. На момент подготовки этой статьи в реестре имеется 1 774 записи.

    Этот реестр также доступен на сайте «Открытые данные России».

    На сайте ФСТЭК также находятся реестры компаний, имеющих лицензии на деятельность по технической защите конфиденциальной информации и лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации.

    Криптографические средства защиты информации

    Если для защиты персональных данных применяются какие-либо криптографические средства, их применение регламентировано приказом ФСБ России № 378 от 10.07.2014.

    Перечень средств защиты информации, сертифицированных ФСБ России, можно получить на сайте Центра по лицензированию, сертификации и защите государственной тайны ФСБ России.

    В версии перечня на 01.08.2018 упомянуты 525 средств защиты.

    Заключение

    Несмотря на изрядную запутанность руководящих документов по защите информационных систем, в том числе, хранящих в них данных, соблюсти основные нормы, установленные в этих документах, можно.

    В целом, последовательность действий лица, планирующего обработку данных должна быть примерно следующей:

    • определить, относится ли он к категории «оператор персональных данных»; если относится, известить о своих планах Роскомнадзор;
    • определить угрозы безопасности данных при их обработке в информационной системе оператора;
    • определить требующийся уровень защиты;
    • определить и применить организационные и технические меры защиты данных от неправомерного доступа к ним, а также от возможной их утраты или искажения;
    • применить выбранные меры защиты;
    • после ввода информационной системы в эксплуатацию регистрировать и учитывать все действия, совершаемых с персональными данными в информационной системе;
    • обеспечить обнаружение фактов несанкционированного доступа к данным и принимать меры, исключающие такой доступ в дальнейшем;
    • регулярно оценивать эффективность применения выбранных средств защиты.

    Напомним о пункте 10 приказа ФСТЭК № 21 от 18.02.2013, в котором говорится о том, что при невозможности реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учётом экономической целесообразности могут разрабатываться компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности данных.

    В любом случае полезно руководствоваться здравым смыслом.

    Список нормативных актов

    • федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006;
    • постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012;
    • рекомендации Роскомнадзор по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
    • приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК)№ 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 11.02.2013;
    • приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013;
    • приказ Федеральной службы безопасности России (ФСБ) № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости» от 10.07.2014;
    • федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006;
    • федеральный закон № 99-ФЗ «О лицензировании отдельных видов деятельности» от 04.05.2011;
    • федеральный закон № 184-ФЗ «О техническом регулировании» от 27.12.2002;
    • указ Президента РФ № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю» от 16.08.2004;
    • ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»;
    • ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения»;
    • ГОСТ Р 56938-2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения»;
    • ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»;
    • ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие положения»;
    • ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения»;
    • ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»;
    • ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;
    • ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы»;
    • ГОСТ 34.603-92 «Информационная технология. Виды испытаний автоматизированных систем»;
    • ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;
    • ГОСТ Р ИСО/МЭК 27000-2012 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология».

    К сожалению, крайне трудно, практически невозможно, сделать этот список исчерпывающим, так как в документах, присутствующих в нём, имеются недостаточно чёткие формулировки и многочисленные ссылки на иные правовые акты.

    Что нужно знать об электронной регистрации ДДУ

    Регистрация ДДУ в электронном виде – отличная возможность сэкономить время и усилия не только в условиях эпидемии COVID, но и в обычной жизни. Хотя такой метод подачи документов все еще остается инновацией, его популярность растет.

    1. Основания для электронного ДДУ
    2. Выгодно ли
    3. Как оформить
    4. Как выглядит
    5. Как проверить регистрацию

    Основания для электронного ДДУ

    Для вступления в силу договор долевого участия должен быть зарегистрирован в Едином государственном реестре прав на недвижимость (ЕГРН), который ведет Росреестр. Регистрация договора позволяет обеспечить его юридическую силу и защищает дольщика от потери денег, двойных продаж и иных подобных ситуаций.

    Традиционно ДДУ регистрируются при личном обращении в Росреестр или путем подачи документов через многофункциональные центры государственных услуг (МФЦ). Возможность зарегистрировать ДДУ в электронном виде предусмотрена Федеральным законом № 214-ФЗ от 30 декабря 2004 года «О долевом участии в строительстве многоквартирных домов».

    Выгодно ли

    Электронная регистрация выгодна, прежде всего, застройщикам. Она позволяет тратить меньше времени и усилий сотрудников на оформление документов и практически исключает возможность ошибок. Не нужно лично посещать офисы Росреестра или МФЦ, ожидать время приема, собирать и распечатывать комплекты документов. Ее используют также банки, выдающие ипотеку на строящиеся объекты.

    При электронной регистрации ДДУ государственная пошлина уплачивается в меньшем размере, чем установлено для обычной регистрации. Скидка 30% предоставляется при получении ряда государственных услуг в электронном виде.

    Размер госпошлины за электронную регистрацию ДДУ для физических лиц составляет 245 рублей (обычный размер – 350 рублей) в соответствии со ст. 333.35 НК РФ.

    Однако у электронной регистрации ДДУ есть и недостатки. Основной из них – высокая стоимость процесса. Подача в электронном виде требует оформления специальной электронной подписи. Стоимость ее получения составляет несколько тысяч рублей. И, хотя по сравнению с общей ценой квартиры эти затраты невелики, необходимость дополнительной оплаты и не до конца ясный процесс, отсутствие бумажных подтверждений регистрации делают ее непривлекательной для многих дольщиков.

    Как оформить

    Как и в случае с обычной регистрацией, перечень необходимых документов отличаются для застройщика и дольщика. При регистрации первого ДДУ по объекту застройщик подает расширенный пакет, включающий в себя документы по строительству объекта в целом. От дольщика же требуется:

    • Паспорт;
    • Согласие супруга или супруги, если договор заключен в период брака;
    • Квалифицированная электронная подпись, которая позволяет удаленно подтвердить, что подача ДДУ на регистрацию действительно выполнена им.

    Электронную подпись можно получить в специальных удостоверяющих центрах, или через некоторые банки.

    Подать документы можно:

    • В специальном разделе сайта Росреестра;
    • Через банк, который выдает ипотеку на приобретаемое жилье.

    Собственное направление по электронной регистрации ДДУ есть у большинства крупных банков. Сбербанк России развивает программу поддержки электронной регистрации ДДУ, направленную на максимальное упрощение этого процесса, чтобы сделать его удобным для дольщиков. Единственным недостатком подобной услуги может считаться ее цена. Она может отличаться в разных регионах, однако обычно составляет около 10 тысяч рублей.

    Как выглядит

    При подаче документов на регистрацию можно выбрать форму получения документов – в бумажном или электронном виде. Если выбран последний вариант, после регистрации на указанную в заявлении электронную почту придет письмо от Росреестра с выпиской из ЕГРН и файлом договора с отметкой о регистрации.

    Архив поступит в формате .xml. Для того, чтобы увидеть документы, необходимо скачать его и нажать на ссылку «Показать в человекочитаемом формате».

    Как проверить регистрацию

    Регистрация ДДУ (как в бумажном, так и в электронном виде) отражается в сведениях Единого государственного реестра прав на недвижимость в виде обременения земельного участка, на котором ведется строительство.

    Срок регистрации документов не должен превышать 7 рабочих дней. До его истечения проверять регистрацию не имеет смысла. Зачастую документы оформляются с задержкой, поэтому итоговый срок может быть еще больше.

    Заключение и регистрация договора долевого участия имеет много нюансов, которые невозможно изложить в одной статье. Проконсультируйтесь с юристом и получите точный ответ на Ваш вопрос.

    Проконсультируйтесь с юристом и узнайте, как правильно действовать в Вашей ситуации

    Москва, Московская область: 8 (499) 350-55-06 доб. 226

    Санкт-Петербург, Ленинградская область: 8 (812) 309-06-71 доб. 780

    Федеральный номер: 8 (800) 555-67-55 доб. 764

    Ссылка на основную публикацию