Требования о порядке защиты персональных данных при их обработке сформулированы в федеральном законодательстве и рекомендациях ФСТЭК РФ. Организация, работающая с ними, в обязательном порядке должна разработать пакет внутренних нормативных актов, назначить лицо, ответственное за работу с данными, установить сертифицированное программное обеспечение, предназначенное для информационных систем обработки персональных данных.

Кто является оператором данных

Не все компании, работающие с информацией о гражданах, признаются законом операторами персональных данных, обязанными выполнять многочисленные рекомендации ФСТЭК и создавать систему защиты конфиденциальных данных. Если компания работает только с ПД собственных сотрудников, оператором она не считается.

Но вместе с компанией, получающей данные физических лиц – сотрудников, клиентов, граждан, обращающихся в государственные органы за получением услуг, есть две категории организаций, которые обязаны в своей деятельности соблюдать предусмотренные законодательством меры защиты ПД:

• юридические лица, которым передают данные для анализа или иных форм работы, например, для проведения маркетинговых исследований; 
• провайдеры облачных хранилищ, в которых размещены базы данных, содержащие ПД.

Соблюдение нормативных требований операторами выявляется в ходе проверок, ФСТЭК или Роскомнадзора. Невыполнение может привести к штрафу. Проверки могут быть назначены только в отношении оператора. О том, что компания стала оператором, ведомства узнают из уведомления. Его компания-оператор должна направить в Роскомнадзор сразу, как приступила к деятельности, связанной с работой с данными физических лиц.

Что относится к ПД

Закон не содержит полного и исчерпывающего списка данных. Подразумевается, что к ним могут относиться все сведения о физическом лице, позволяющие идентифицировать его или его имущество. 
Среди сведений, которые, безусловно, являются ПД:

• Ф. И. О.;
• адрес постоянной или временной регистрации;
• телефон или электронная почта;
• фотография, биометрические данные;
• информация о заболеваниях, религиозных или политических предпочтениях.

Данные двух последних групп в соответствии с требованиями регулятора должны защищаться более серьезно, их обнародование может принести вред личности. 

Право на работу с данными возникает у оператора при соблюдении одного из следующих условий:

• гражданин является сотрудником юридического лица;
• информация получена в рамках заключения гражданско-правового договора;
• юридическое лицо получило согласие на обработку персональных данных;
• закон не требует оформления согласия.

Нарушение этих норм и работа с ПД на нелегитимной основе приведут к административной ответственности и штрафам. Существует принцип – никогда не запрашивать больше информации, чем требуется для заявленных целей обработки. Гражданин должен знать, для чего она производится, и в любое время вправе отозвать согласие и потребовать заблокировать или удалить ПД.

Роскомнадзор проводит плановые проверки компаний, информация о них размещена на сайте ведомства. Но по жалобе субъекта ПД проводятся внеплановые, призванные выявить нарушения. Чтобы избежать риска привлечения к ответственности, компания-оператор должна проконтролировать выполнение следующих условий:

• на сайте компании в общем доступе размещена политика обработки персональных данных;
• форма сбора данных и согласие дают полное представление о том, с какой целью данные обрабатываются;
• данные размещены в корпоративной информационной системе таким образом, что все серверы находятся в пределах РФ и сведения не могут быть доступны иностранным организациям;
• все запросы граждан, касающиеся их ПД, своевременно выполняются.

Помимо этого, может быть проверено соблюдение специальных требований по защите информационной системы, призванных обезопасить данные от копирования и разглашения.

Риски и угрозы для ПД

Не все операторы знают о рисках информационной безопасности, из-за которых государство обязывает их применять иногда избыточные меры для защиты ПД. Данные граждан – ходовой товар на черном рынке информации, и на их хищение нацелены специально созданные преступные группировки. Наибольшим спросом пользуются пакеты скрин-копий основных документов гражданина – паспорта, водительского удостоверения, ИНН, СНИЛС. Такие данные чаще всего похищают из информационных систем банков и страховых компаний. Мобильные операторы сталкиваются с утечками сведений о переговорах и смс клиентов, в медицинских учреждениях похищают историю болезней. При этом действия злоумышленников редко бывают успешными без помощи сотрудников компании, использующих права доступа для копирования ПД. Система защиты должна строиться таким образом, чтобы исключить несанкционированный доступ к информационным ресурсам – внешний и внутренний.

Операторы ПД являются целью преступников, поэтому применение мер защиты, рекомендованных ФСТЭК, оправдано. При выявленной из-за невнимательности утечке есть риск не только заплатить штраф, но и возместить моральный и материальный ущерб гражданину, пострадавшему от разглашения данных.

Помимо целенаправленных действий со стороны преступников, данным могут угрожать риски:

• природного характера. Техника, на которой хранится информация, может пострадать от катастроф – наводнений, ураганов;
• техногенного характера. Оборудование для передачи, обработки и хранения сведений может выйти из строя;
• проблемы с программным обеспечением. ПО может содержать закладки, незадекларированные возможности, просто сбоить из-за использования нелицензионных или устаревших версий;
• заражение вирусами и действия других вредоносных программ.

Полный перечень угроз с указанием возможности их реализации – низкая, средняя, высокая – можно найти на сайте ФСТЭК. Разрабатывая свою систему защиты персональных данных при их обработке, организация должна составить индивидуальную модель угроз, взяв за базу предложенный ведомством перечень рисков. Такая модель является одним из документов, создания которого требуют закон и регулятор.

«СёрчИнформ КИБ» контролирует максимальное количество каналов передачи информации, защищая компанию от утечек данных. 

Построение системы защиты

Создание системы защиты данных начинается с разработки руководящих документов. Модель угроз– первый из них. 

При анализе рисков, которые могут угрожать персональным данным, следует учитывать:

• доступность. Требуется понять, насколько легко инсайдер или внешний злоумышленник могут получить доступ к информационным массивам, как реализованы механизмы идентификации и аутентификации, внедрен ли дифференцированный доступ, защищена ли граница между ИС и каналами связи;
• фатальность. По этому критерию оценивают угрозы, влияющие на общую работоспособность системы, время ее восстановления, действия персонала и степень глубины необратимых последствий;
• количество. Оценивается количество потенциально уязвимых элементов системы.

Часто вероятность реализации угроз рассчитывается специальным ПО на основе математических моделей. Это позволяет более точно предсказать вероятность их реализации и выбрать правильные средства обеспечения безопасности, не расходуя бюджет на защиту от угроз с низкой степенью релевантности. 

При разработке модели угроз перед переходом к определению стратегии защиты необходимо определить уровень, на котором выполняется защита ПД:

• первый. Это наиболее квалифицированный уровень защиты. По этим правилам обеспечивается безопасность данных, связанных со здоровьем, личной жизнью, отношением к религии и политике;
• второй. Уровень защиты снижается. По этому принципу выстраивается безопасность ПД, содержащих биометрические данные;
• третий. Сюда включены общедоступные данные;
• четвертый. К нему относятся данные, не упомянутые в предыдущих пунктах.

Определение категории данных позволит выбрать подходящий тип защиты ИС и требуемые для этого аппаратные и программные средства.

Вторым важнейшим документом, разработка которого требуется по закону, является политика обработки персональных данных. Она определяет действия оператора и его сотрудников по отношению к ПД, цели обработки, лиц, которым данные могут быть переданы по договору, порядок выполнения требований граждан по модификации, блокировке или удалению их ПД. Политика размещается на сайте организации в общем доступе.

После подготовки методологической базы можно переходить к внедрению аппаратных и программных мер защиты. Сертифицированное программное обеспечение содержит указание на класс системы, для защиты которой применяется. 

Для каждой из систем применяется своя группа организационных, технических и программных мер защиты:

• четвертый класс ИС включает полное ограничение допуска в помещение, где обрабатываются ПД, лиц, не уполномоченных на это, издание приказа о назначении сотрудника или подразделения, ответственного за обработку ПД, разработку правил использования, учета и хранения съемных носителей информации, использование специальных программных средств защиты; 
• третий – включает все правила, используемые для четвертого. Дополнительно назначают ответственного за обработку и защиту ПД (заместитель руководителя, начальник департамента);
• второй – обязывает ограничить доступ администраторов к журналу учета действий пользователей, чтобы записи о фактах несанкционированного доступа не были стерты или изменены;
• первый. Дополнительно к приказу о назначении лица или лиц, отвечающих за работу с данными, требуется создание подразделения, отвечающего за информационную безопасность, и фиксация в электронном журнале всех привилегий администраторов и случаев изменения их объема.

***

При выборе программных средств защиты – антивирусов, межсетевых экранов, средств доверенной загрузки, сканеров уязвимостей, средств предотвращения внешнего доступа, средств криптографической защиты – следует выбирать продукты, сертифицированные ФСТЭК. Дополнительно для предотвращения утечек данных используются DLP-системы, позволяющие не выпустить за пределы информационного периметра организации данные высокого уровня конфиденциальности. 

Выбор системы защиты в рамках предложенных ограничений остается за компанией, с учетом специфики деятельности, бюджета и количества обрабатываемых персональных данных.

17.11.2020