Требования к защите персональных данных

Защита персональных данных
с помощью DLP-системы

30 дней для тестирования «КИБ СерчИнформ» с полным функционалом ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

С конца 40-х годов ХХ века в практику вошло понятие персональных данных. Это такие сведения о человеке и его личной жизни, которые могут быть однозначно идентифицированы с ним и распространение или нелегитимное использование которых может нести ущерб личности. Национальное законодательство разработало стройную систему защиты персональных данных, возложив эту обязанность на юридические лица, получающие эти сведения в ходе своей деятельности. Требования касаются принятия технических и организационных мер. 

Нормативно-правовое регулирование

Основным нормативным актом, в котором можно найти требования, установленные для обеспечения защиты персональных данных, является Федеральный закон «О персональных данных». Закон вводит основные определения, описывает, в каких случаях юридическое лицо будет являться оператором персональных данных, права, обязанности и ответственность операторов.

Закон не устанавливает полный перечень персональных данных. Ими могут быть любые сведения, относящиеся к личности человека и однозначно с ним идентифицирующиеся. Это:

  • имя;
  • возраст;
  • паспортные данные;
  • адрес, сведения о принадлежащих человеку объектах недвижимости и личной жизни;
  • семейный статус и отдельные аспекты личной жизни;
  • история болезни;
  • номера банковских счетов и кредитной карты.

Большую часть этих сведений гражданин добровольно предоставляет оператору, устраиваясь на работу, совершая покупку в интернет-магазине, в котором требуется регистрация в личном кабинете, обращаясь в медицинское учреждение или оформляя пропуск в библиотеку. Каждая из компаний, получающая эти сведения, обязана обеспечить их защиту, хранение и сделать все, чтобы избежать их утечки. Перед тем, как получить сведения у физического лица, требуется подписать у него согласие на обработку персональных данных, в котором должны быть указаны:

  • объем персональных данных;
  • цели их обработки;
  • способы их обработки;
  • лица, подробно перечисленные, которым персональные данные могут передаваться в каких-либо целях для дополнительной обработки. Так, банк может передавать информацию Центробанку.    

Согласие на обработку может быть отозвано гражданином, в этом случае данные в течение месяца уничтожаются. Без оформления согласия обрабатываются только сведения, связанные с выполнением гражданских обязанностей, например, уплатой налогов, или в случаях, предусмотренных отдельными законами, например, антитеррористическим законодательством или законом о предотвращении легализации доходов. 

Одной из таких обязанностей становится создание информационной системы защиты персональных данных. Требования к созданию такой системы и определение класса ее защиты устанавливаются постановлением Правительства № 1119. Технические параметры системы, используемое оборудование и программное обеспечение регулируются нормативными актами ФСТЭК России.

Организационные меры

Применяемые для защиты персональных данных организационные меры делятся на две группы. К первой относятся те, которые обязаны принять все операторы, вне зависимости от того, к какому классу относится применяемая ими система защиты. Ко второй группе относятся меры, ранжируемые в зависимости от степени угроз, категории обрабатываемой информации и количества лиц, чьи персональные данные находятся в распоряжении оператора. Следует учитывать, что обязанности оператора не возлагаются на компании, которые обрабатывают только персональные данные сотрудников, переданные им в связи с обычным кадровым документооборотом. 

Меры первой группы, направленные на защиту персональных данных, обязательные для всех операторов, представляют собой:

  • направление уведомления в Роскомнадзор о начале деятельности, связанной с обработкой персональных данных;
  • утверждение пакета внутренних документов, среди которых должно быть положение о защите персональных данных;
  • разработку формата согласия на обработку персональных данных;
  • организацию процесса подписания и хранения таких согласий, их учет, обеспечение контроля над отзывом согласий;
  • организацию ограничения доступа к компьютерам, содержащим охраняемую законом информацию, пропускного режима, систем ограниченного доступа к данным.

Если система безопасности персональных данных должна относиться к более высокому классу, чем четвертый, низший, к этим мерам добавляются следующие:

  • издание приказа о назначении лица, ответственного за разработку и поддержание системы защиты безопасности персональных данных;
  • создание отдельного департамента, занятого этой деятельностью (для максимального класса защиты у организаций, которые обеспечивают обработку персональных данных более чем 100 тысяч человек);
  • внесение в электронные журналы учета всех параметров, связанных с изменением функций и полномочий сотрудников, допущенных к обработке данных.

Все эти меры могут дополняться в зависимости от текущих потребностей оператора.

Технические меры

Технические меры могут носить различный характер, он обусловливается требованиями, предъявляемыми в зависимости от установленного класса опасности. Среди них:

  • использование для обработки персональных данных программного обеспечения, сертифицированного ФСТЭК РФ по различным классам защиты;
  • применение криптологических средств защиты персональных данных;
  • разграничение прав пользователей, установление межсетевых экранов;
  • построение конфигурации системы в зависимости от применяемой модели угроз;
  • использование программных средств, обеспечивающих полную защиту информационного периметра от утечек информации, в частности, DLP-системы и SIEM-системы

Контроль над выполнением организационных мер по защите персональных данных возложен на Роскомнадзор, который вправе проводить плановые и внеочередные проверки соблюдения законодательства о защите персональных данных. Соблюдение технических мер проверяется ФСТЭК Российской Федерации. Ведомство также проводит проверки, как документальные, так и выездные. По результатам каждого контрольного мероприятия может быть вынесено предписание об устранении нарушения законодательства, оператору может быть запрещено заниматься деятельностью, связанной с обработкой персональных данных, он может быть привлечен к административной или уголовной ответственности.

Система защиты персональных данных направлена на соблюдение баланса интересов личности и бизнес-процессов оператора, законодательство гибко реагирует на изменения и корректирует все недочеты, связанные с недостаточной защитой персональных данных. 

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними