Информация, позволяющая идентифицировать личность и содержащая такие важные моменты, как сведения о личной жизни, здоровье, профессиональном и имущественном статусе, относится к категории персональных данных. Ее нелегитимное распространение или иное использование может принести ущерб человеку. Законодательство устанавливает определенные требования, которые должны соблюдать операторы для обеспечения безопасности этих данных.

Типичные угрозы

Гражданин передает сведения о себе в различных случаях – при устройстве на работу, посещении медицинских учреждений, получении образовательных услуг, приобретении номера мобильного телефона, заключении договора с банком. В каждом из этих случаев он доверяет персональные данные компании или индивидуальному предпринимателю, которые, исходя из требований закона, обязаны обеспечить их безопасность. Среди типичных угроз, которые могут причинить вред гражданину при утечке этих данных:

• неправомерная публикация в СМИ данных о нем и сведений, составляющих тайну личной жизни;
• получение злоумышленниками его адреса, информации об автомобиле или номера банковской карты;
• попадание в сеть Интернет сведений о его медицинской истории, например, фотографий до и после пластической операции.

В каждом из этих случаев человек несет моральный ущерб, но может понести и имущественный. Все это вынуждает операторов принимать меры к обеспечению безопасности персональных данных. Эта обязанность подкрепляется нормативно-правовым регулированием, контролем со стороны государственных органов, риском стать ответчиком по искам о возмещении вреда.

Нормативно-правовая база

Основной пласт отношений, связанных с безопасностью персональных данных, регулируется Федеральным законом «О персональных данных». Нормативный акт вводит определения и понятия, определяет права и обязанности операторов, их ответственность, рассматривает все разрешенные способы обработки данных. Применение его на практике обеспечивается определенным объемом подзаконных актов. Основным из них является Постановление Правительства РФ № 1119, которым определяются требования к обеспечению безопасности персональных данных. Постановление устанавливает нормы в отношении:

• определения систем безопасности персональных данных;
• трех типов угроз безопасности данных;
• четырех видов защиты систем.

Требования вполне конкретны и позволяют с легкостью определить, какой именно класс защиты необходим. Отдельные технические и программные требования регулируются приказами ФСТЭК России, которая лицензирует деятельность отдельных операторов и сертифицирует применяемые программные продукты. Применительно к конкретному юридическому лицу этот государственный орган вправе издавать предписания об устранении недочетов в организации систем безопасности персональных данных, обязательные для выполнения. Отказ от соблюдения требований может привести к запрету заниматься предпринимательской деятельностью, основой которой является работа с персональными данными. Требования носят как технический, так и организационный характер, связанный с необходимостью направления уведомления о начале деятельности, связанной с обработкой персональных данных и разработкой комплекса внутренней документации.

Уровни защищенности

Постановление Правительства № 1119 вводит четыре уровня защиты персональных данных, ранжируемых по уровню угроз – от максимального до низкого. Правила их определения указаны в Постановлении № 1119, они зависят от общего количества лиц, предоставивших свои данные для обработки, и категории этих сведений. Предполагается, что определение базируется на следующих принципах:

• 1-й и максимальный уровень необходимо установить для тех операторов, которые работают с данными, отнесенными законом к специальным категориям, с данными биометрического характера, а также для компаний, в распоряжении которых имеются персональные данные более чем 100 тысяч человек, не являющихся при этом работниками предприятия (например, мобильных операторов или Пенсионного фонда);
• 2-й, или высокий, уровень присваивается тем компаниям, которые работают с биометрическими данными менее чем 100 тысяч человек или обрабатывают сведения более чем 100 тысяч сотрудников или персональные данные такого же числа лиц, если эти сведения являются общедоступными;
• 3-й, или средний, уровень защиты получают компании, если в их распоряжении находятся данные более чем 100 тысяч человек, и они не являются работниками организации;
• 4-й, или низкий, ранг уровня защищенности получают системы, которые обрабатывают информацию, являющуюся общедоступной, и ее нельзя достоверно отнести к конкретной личности.

Если компания обрабатывает только персональные данные работников, полученные в ходе кадрового делопроизводства, то она не считается оператором и ей не придется оборудовать информационную систему в соответствии с одним из классов безопасности, обеспечивая защиту сведений. Физические лица, доверяющие данные операторам, обязательно подписывают согласие на их обработку.

Основные требования к защищенности

Закон с момента своего принятия претерпел множество изменений. Некоторые из них упрощали позицию операторов, например, удлинение срока уничтожения персональных данных после отзыва согласия субъекта на их обработку, некоторые усложняли. На сегодня выделяются следующие основные принципы обеспечения безопасности персональных данных:

• обязательное размещение серверов, на которых хранятся массивы охраняемых данных, на территории страны;
• право оператора на самостоятельное определение уровня угроз и их актуальности, исходя из модели, предложенной в статье 1 Постановления № 1119. Определенный им уровень должен быть отражен в модели угроз, на базе которой строится конфигурация системы безопасности персональных данных.

Даже 4-й уровень защиты системы требует внедрения определенного комплекса мер. Это:

• обязательный затрудненный, режимный доступ к тем офисам и помещениям, в которых расположены серверы, хранящие массивы персональных данных. Проход должен осуществляться по пропускам, какие-либо посторонние лица на объект проникать не должны;
• серверы должны быть размещены особым образом, гарантирующим их физическую безопасность в случае аварии или иной нештатной ситуации;
• требуется утвердить пакет внутренней документации, посвященной регулированию вопросов защиты персональных данных. Одним из таких документов должен стать приказ об установлении перечня лиц, имеющих доступ к базам данных.

Для третьего уровня к перечню организационных мер по защите персональных данных добавляется необходимость назначить должностное лицо, на которое будет возложена ответственность за безопасность. Второй уровень обязывает предприятие обеспечить возможность доступа к данным только сотрудников, связанных обязательством обеспечивать коммерческую тайну. Для максимального, первого, уровня добавляются два дополнительных обязательства:

• создать отдельное структурное подразделение, ответственное за безопасность персональных данных;
• вносить в журналы электронного учета все моменты, связанные с корректировкой полномочий сотрудников, имеющих доступ к массивам персональных данных.

Требуемые от операторов меры, направленные на обеспечение безопасности персональных данных, призваны обеспечить соблюдение информационных прав человека. Выполнение обязанностей контролируется государством и судебными органами. Иногда эти меры могут показаться избыточными, но законодательство гибко реагирует на изменение правоприменительной практики и корректирует законы и подзаконные нормативные акты.