Защита персональных данных граждан призвана исключить их утечку и распространение среди третьих лиц, что могло бы причинить существенный ущерб их владельцам. Как обеспечивается надлежащая охрана этого массива информации в соответствии с требованиями действующего законодательства?

Основные принципы защиты персональных данных

Персональные данные граждан находятся под угрозой, они интересуют многих: и отдельных преступников, и крупные хакерские группировки. Так, по отчету компании Positive Technologies, число хакерских атак за первый квартал 2018 года выросло на 36 %, если сравнивать с этим же периодом прошлого года, и практически в этом же соотношении выросло число атак с целью получения персональных данных . Информация в дальнейшем или перепродается, или используется для планирования преступных деяний против ее владельцев. Возрастающая опасность требует усиления мер защиты.

Обработка персональных данных должна происходить только с использованием сертифицированного программного обеспечения – это один из основных постулатов, который должен быть учтен при разработке мер безопасности в каждом конкретном юридическом лице. В настоящее время большинство юридических лиц, которые не внесены в реестр операторов персональных данных, обрабатывают эту информацию в бухгалтерских или производственных программах (различные версии 1С), в лучшем случае – в кадровых программах. Они не обладают достаточным уровнем защиты, который предотвратил бы их утечку при обработке.

Интересно, что даже те компании и учреждения (образовательные, медицинские), которые регулярно проходят проверки Роскомнадзора, бывают уверены в том, что использование утилитарных программных продуктов общего назначения поможет им получить положительную оценку регулятора и подтвердить соответствие правилам защиты персональных данных.

При работе по подготовке к проверке юридическому лицу придется выбирать один из двух методов реализации системы защиты:

• установку сертифицированного программного обеспечения;
• тонкую настройку имеющихся программ.

Оба способа защиты персональных данных имеют свои плюсы и минусы. Очевидно, что любая система должна:

• гарантировать соответствие требованиям регулятора по защите персональных данных;
• обеспечивать их обработку;
• исключать их утечку;
• позволять работать с ней даже неопытным пользователям вычислительной техники.

Выбор в итоге будет зависеть от мотивации руководителей юридического лица на создание системы, исключающей утечку персональных данных.

Процесс создания системы защиты персональных данных

Компании, чья деятельность связана со сферой обработки персональных данных, должны выстраивать свою работу по следующему алгоритму:

• проведение аудита систем информационной безопасности компании с целью выявления, насколько они соответствуют требованиям законодательства о защите персональных данных;
• разработка внутренних нормативных актов, регламентирующих процесс работы с защищенными законом массивами информации. Наличие таковой документации является одним из требований Роскомнадзора;
• выявление наиболее вероятных угроз и их источников, внешних и внутренних, угрожающих целостности сведений, обрабатываемых в информационной системе персональных данных;
• определение необходимого и достаточного уровня защиты. При разработке системы защиты персональных данных существуют различные уровни безопасности, и каждая компания может определить свой приемлемый вариант;
• разработка технического задания для внутренних служб или привлеченных консультантов на создание системы безопасности персональных данных;
• приобретение выбранного программного обеспечения, специально созданного или адаптированного для защиты персональных данных;
• установка и внедрение данного ПО;
• аттестация работающей системы.

Последний этап не является обязательным для большинства компаний, работающих с персональными данными и физическими лицами – их владельцами. Тем не менее реализация возможности получения аттестата поможет пройти проверки и повысит инвестиционную привлекательность компании. Он покажет ее ответственное отношение к соблюдению требований законодательства Российской Федерации.

Бухгалтерское или кадровое ПО

Многие компании останавливают свой выбор на доработке уже установленного у них бухгалтерского или кадрового ПО, даже не сертифицированного ФСТЭК, не считая необходимым нести финансовые и трудозатраты на приобретение и внедрение специализированной программы. Такое ПО вполне сыграет свою роль средства защиты информации, но не снимет риски несанкционированного копирования и распространения персональных данных внутренним пользователем. Стандартная система обработки персональных данных выглядит так:

• хранение осуществляется на компьютерах кадрового подразделения, через маршрутизатор подключенных к серверу;
• на рабочих местах установлено программное обеспечение типа «1С: Зарплата и управление персоналом» или «КонтурПерсонал»;
• в компании разработана документация по защите персональных данных;
• сотрудники ознакомлены с ней и с требованиями федеральных законов по защите персональных данных;
• реализованы меры, исключающие несанкционированный доступ к базам данных;
• специализированные программные решения, исключающие возможность несанкционированного доступа к базам данных, отсутствуют.

Это приводит к необходимости создания модели угроз, которые могут быть реализованы именно в этой конфигурации системы защиты персональных данных. Среди них в первую очередь следует назвать следующие:

• угрозы, связанные с несанкционированным доступом пользователей. При реализованной системе паролей, разных уровней допуска и персональной ответственности возникновение таких угроз маловероятно;
• угрозы, связанные с невысоким качеством программного обеспечения, их реализация теоретически возможна при «коробочных версиях» программ или самостоятельной доработке их программистами компании, тем не менее они возможны;
• угрозы, связанные с внешним проникновением в систему. Именно эта категория угроз для систем защиты персональных данных, реализуемых при помощи бухгалтерского или кадрового ПО, наиболее легко реализуема.

Специалисты рекомендуют при доработке системы до 4-го рекомендуемого уровня безопасности опираться на Приказ ФСТЭК от 18.02.2013 г. № 21 и реализовать:

• идентификацию и аутентификацию пользователей, имеющих доступ к системам защиты персональных данных;
• управление идентификацией;
• управление учетными записями пользователей;
• разграничение прав доступа;
• управление информационными потоками;
• регистрацию инцидентов безопасности;
• антивирусную защиту.

Реализация совокупности этих мер защиты персональных данных сделает возможным прохождение проверок Роскомнадзора при условии, что межсетевой экран и антивирусы имеют сертификаты соответствия 5-го класса и выше. Таким образом, даже наличие у бухгалтерской или кадровой программы сертификата ФСТЭК не отменяет необходимости применения дополнительных мер защиты персональных данных.

Преимущества сертифицированного ПО

Компаниям – участникам реестра лучше остановить свой выбор на сертифицированном ФСТЭК программном обеспечении. Оно получило сертификат соответствия ФСТЭК или ФСБ и полностью осуществляет задачи по защите персональных данных. При этом для обеспечения 1-го уровня защищенности программные продукты должны иметь сертификаты соответствия не ниже 4-го класса, для третьего уровня сертификация программных продуктов не требуется. Тем не менее при приобретении сертифицированной программы надо иметь в виду следующее нюансы:

• сертификаты выдаются не на все экземпляры программы, а на ограниченное их количество;
• сертификат выдается только на конкретную версию, при обновлении он устаревает;
• обновления должны быть также сертифицированы, что влияет на их стоимость;
• срок действия сертификата не более трех лет.

Все это создает дисбаланс в ситуациях, когда базовую программу требуется немедленно обновить, например, при появлении новых форм отчетности. При этом сертификация новой версии займет время и потребует дополнительных финансовых ресурсов.

Судебная практика по защите персональных данных

Многих интересует, доходили ли до суда случаи, связанные с утечкой персональных данных граждан. Грозит ли компании что-то, кроме санкций со стороны регулятора? В практике районных судов находится множество дел, связанных с хищением денег с карт граждан путем предварительного хищения их персональных данных. Частые дела с передачей конкурентам клиентской базы какой-либо компании также относят к правонарушениям, связанным с хищением персональных данных.

Так, в Чебоксарах сотрудница одной из компаний была осуждена по статье 183 УК РФ (разглашение банковской или коммерческой тайны) за копирование на внешний носитель персональных данных клиентов. Существует и практика, при которой клиенты обвиняют банки в ненадлежащем хранении их персональных данных , из-за чего происходит хищение денег со счетов. Например, одно из таких дел было рассмотрено в Таганроге, где истец сослался на нормы законодательства о правах потребителя о ненадлежащем качестве оказанной услуги с точки зрения несоблюдения специальных правил безопасности. Фигурируют в судебной практике и фиктивные (подделанные) согласия на обработку персональных данных. Часто факт их разглашения становится основанием для применения ответственности в рамках трудовых взаимоотношений.

Очевидно, что пока дела о хищении персональных данных или их недостаточной защите не выделены в отдельную категорию, но усиление активности интересующихся ими лиц должно привести к этому результату. Это станет одним из оснований для увеличения ответственности операторов за ненадлежащую защиту персональных данных и усиления внимания к качеству программного обеспечения, его сертификации и своевременному обновлению.