Какие персональные данные не требуют обеспечения конфиденциальности?

В детстве нас учили не говорить незнакомым людям, как нас зовут и где мы живем. А сейчас мы не задумываясь регистрируемся на непонятных сайтах и пишем данные паспорта в странных бланках. Чтобы вашими персональными данными не завладели те самые незнакомые люди, нужно внимательно отнестись к оператору, которому вы их передаете.

Что такое персональные данные

  • В законе есть три ключевых понятия: персональные данные, оператор и обработка персональных данных.
  • Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
  • Оператор — тот, кто организует и обрабатывает персональные данные. 
  • Обработка персональных данных — любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, обновление, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
  • Важно еще понять, что относится к самим персональным данным. В законе нет прямой формулировки, но к ним относят:
  • ФИО (в любых комбинациях);
  • дату рождения;
  • адрес;
  • телефон;
  • e-mail;
  • фотографии;
  • ссылку на персональный сайт;
  • ссылку на профиль в социальных сетях.

Другими словами, персданные — это та информация, по которой можно идентифицировать человека.

Если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных.

Что должен сделать оператор персональных данных

Все просто — нужно зарегистрироваться в Роскомнадзоре. Для этого необходимо подать уведомление об обработке персональных данных. 

Оператор заполняет электронную форму на Портале персональных данных Роскомнадзора. После того, как уведомление отправлено в систему, нужно распечатать его бумажную копию. Она заверяется подписью и печатью организации, после чего отправляется в территориальный орган Роскомнадзора по месту регистрации компании-оператора.

К операторам относятся физлица, ИП, юрлица, муниципальные органы, государственные органы. Эти категории влияют на размер штрафов. 

Когда уведомление Роскомнадзора не требуется

Список ситуаций, когда не нужно отправлять уведомление, прописан в ст. 22 152-ФЗ. Оператор не должен регистрироваться, если персональные данные:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • используются оператором исключительно для исполнения договора;
  • являются общедоступными данными;
  • включают только ФИО субъектов;
  • нужны для однократного пропуска субъекта на территорию, на которой находится оператор;
  • включены в федеральные автоматизированные информационные системы и государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;  
  • обрабатываются без использования средств автоматизации.

Логично, что персональные данные должны быть надежно защищены. Для этого создаются регламенты и настраивается система безопасности. Но не все данные нужно охранять одинаково.

Когда не нужна конфиденциальность персональных данных

В той же статье закона прописаны правила, когда обеспечение конфиденциальности персональных данных не требуется:

  • если данные обезличены — по ним невозможно определить принадлежность информации к конкретному лицу;
  • если данные общедоступны;
  • если данные включают только фамилии, имена и отчества субъектов персональных данных;
  • если нужно оформить пропуск на территорию, на которой находится оператор;
  • если данные получены оператором в связи с заключением договора;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Для всех остальных случаев нужно составить политику конфиденциальности.

Что отразить в политике конфиденциальности

Утвержденной законом формы этого документа нет, но есть перечень сведений, которые обязательно должны в нем быть:

  • основание и цель сбора персональных данных;
  • наименование, контактные данные и адрес;
  • информация о том, кто обрабатывает данные. Если этим занимается другая компания, то вписывается информация о третьих лицах, у которых есть доступ к данным;.
  • виды данных для обработки и источники их получения;
  • сроки обработки и хранения персональных данных;
  • способ соблюдения прав субъекта, предусмотренных законом «О персональных данных»;
  • информация о передаче данных за пределы России.

Всю эту информацию можно изложить в свободной форме. Требование одно — субъект должен понимать, куда отправляются его персональные данные, как их используют и охраняют. 

Как составить согласие на обработку персональных данных

В больницах, школах, визовых центрах, при трудоустройстве приходится заполнять согласие на обработку персональных данных.Это письменное разрешение, которое дает разрешение на получение, сбор, хранение и использование персональных сведений о себе.

Согласие пишется в произвольной форме или по шаблону, который разработан и утвержден внутри организации. В бланке обязательно должны быть следующие данные:

  • наименование оператора персональных данных;
  • место и дата составления документа;
  • фамилия, имя, отчество субъекта, его паспортные данные и сведения о месте жительства.

Далее идет информационная часть согласия. В ней прописывается:

  • каких именно персональных данных касается документ;
  • в каких целях и что именно допустимо с ними делать;
  • срок действия согласия и возможность его отзыва.

Какие персональные данные не требуют обеспечения конфиденциальности?

Если вам нужен бланк, то скачайте его и измените под ваши нужды.

Когда не нужно согласие

Есть случаи, когда  согласие субъекта персональных данных не требуется. Такое возможно, когда обработка персональных данных:

  • необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
  • осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
  • осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  • необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных;
  • необходима для доставки почтовых отправлений и расчетов с организациями почтовой связи;
  • осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности;
  • осуществляется в отношении данных, подлежащих опубликованию — например, данные лиц занимающих государственные должности.

Что будет, если нарушать

Штраф. С 1 июля 2017 года действуют поправки в ст. 13.11 КоАП. 

Какие персональные данные не требуют обеспечения конфиденциальности?

Помимо штрафов, оператор будет внесен в «Реестр нарушителей прав субъектов персональных данных». А еще придется подготовиться к проверке. 

***

Отнеситесь к персональным данным с ответственностью, чтобы не стать жертвой мошенников.

Про защиту персональных данных

Всегда ли мы в курсе, кому и с какой целью передаем персональные данные, почему эти сведения становятся «лакомым кусочком» в современном обществе и как защитить свою конфиденциальность?

По информации BBC, в конце июля федеральный Конституционный суд Германии пересмотрел закон «О персональных данных». Если раньше полиция, расследуя преступления, имела доступ к ФИО, дате рождения и даже IP-адресам, то теперь правительство подтвердило, что личное пространство жителей Германии нуждается в защите.

Что такое персональные данные?

Персональными данными является любая информация, по которой можно определить личность человека:

  • ФИО, дата рождения, адрес;
  • контактный телефон, паспортные данные, идентификационный код;
  • место работы;
  • информация о родственниках;
  • девичья фамилия матери;
  • история болезни;
  • онлайн-идентификация – IP-адрес;
  • сведения об активности в социальных сетях и так далее.

С наступлением эры интернета для кибермошенников начали представлять интерес персональные данные. Например, большинство людей в качестве пароля от аккаунта используют год рождения либо девичью фамилию матери.

Следовательно, узнав эти сведения, хакеры легко получают доступ к электронным ящикам, дальше проникают в онлайн-банкинг и снимают деньги со счетов.

Поэтому защита персональных данных в интернете на данный момент является одной из важнейших тем кибербезопасности.

Ситуация в этой сфере действительно критическая. Чтобы в этом убедиться, взгляните на статистику.

— Исследование Pew Research Center показывает, что 79 % американских респондентов знают о том, что крупные компании собирают персональные данные в интернете, используют их для составления портрета потребителя и рассылки таргетированной рекламы. При этом опрошенные крайне обеспокоены тем, что они не способны контролировать, как происходит обработка персональных данных в интернете.

— В отчете Cisco Consumer Privacy Survey утверждается, что 45 % респондентов обвиняют государство в том, что оно оперирует персональными данными в своих целях.

— ООН выражает недовольство тем фактом, что 18 % развитых стран не имеет законодательства, которое могло бы регулировать защиту персональных данных.

Требования к защите персональных данных: почему они игнорируются?

  • Сбор персональных данных в интернете выгоден нескольким сторонам:
  • — государство фиксирует сведения, которые в дальнейшем помогут раскрыть преступления;
  • — компании выкупают персональные данные, к которым мы добровольно открываем доступ мобильным приложениям, и предлагают нам таргетированную рекламу;
  • — хакеры устраивают DDoS-атаки (доведение системы до отказа), чтобы вывести из строя компьютеры;
  • — кибермошенники «проворачивают» финансовые махинации, получив доступ к электронной почте или другим аккаунтам.
Читайте также:  Делится ли при разводе квартира, купленная до брака?

Чтобы продемонстрировать заинтересованность государства в вопросе сбора персональных данных, приведу пример, который случился не так давно в Австралии. В связи со вспышкой COVID-19 правительство обязало всех жителей загрузить на смартфон приложение COVIDSafe, которое мониторило состояние человека. При повышении температуры и других показателей приложение, работающее через Bluetooth, передавало IP-адрес в полицию и госпиталь. Потенциально заболевший должен был сдать тест и, в случае позитивного результата, явиться в больницу. Кроме того, приложение фиксировало IP-адреса всех людей, с которыми больной контактировал в течение 15 минут, и они тоже попадали в группу риска. Несмотря на то, что запуск такого приложения был вынужденной мерой, многие австралийцы возмущались против вторжения в их личное пространство, сообщает Guardian. Теперь на официальном сайте австралийского правительства сказано, что использование COVIDSafe осуществляется на добровольной основе.

Еще один пример, как цифровые персональные данные способны «рассекретить» любую личность, связан с использованием дронов.

Intelligencer заявляет, что в январе нынешнего года в Китае официально запустили дроны, которые летали над городами и фиксировали IP-адреса тех людей, которые пренебрегали необходимостью носить маски.

Как утверждает Reuters, в июне этот опыт повторили в Калифорнии, причем в этом случае дополнительно отслеживали, соблюдают ли люди дистанцию.

Конечно, такое вмешательство в личное пространство оправдано, но в то же время не каждый хочет, чтобы любое действие отслеживалось. Чтобы никому не сообщать свой IP-адрес, можно его «сменить», воспользовавшись VPN, и тогда будет невозможно определить личность конкретного человека.

Что касается таргетированной рекламы, мы сами отчасти повинны в утечках персональных данных. Когда мы загружаем на смартфон приложения, нам предлагается поставить галочку в поле «Согласен на передачу персональных данных третьим лицам».

Дальше приложение просит доступ к контактам, фото, видео, геолокации. Допустим, в случае с такси Uber доступ к локации все-таки придется дать, но вряд ли стоит открывать этому приложению свои контакты.

А, например, фоторедактору придется открыть доступ к мультимедиа, но лучше проигнорировать просьбу мониторинга геолокации.

Защита персональных данных клиентов организации | Как защитить персональные данные клиента и что будет за их разглашение

Большинство российских компаний, работающих в секторе оказания услуг физическим лицам, тем или иным способом собирают и обрабатывают их персональные данные.

Такая функция становится основанием для признания их операторами персональных данных в установленном законом порядке и необходимости принять комплекс организационных и технических мер, призванных защитить доверенную организациям информацию клиентов.

Нормативно-правовая база

Федеральный закон «О персональных данных» признает операторами всех юридических лиц и предпринимателей, которые получают и обрабатывают персональные данные клиентов в ситуациях, не являющихся обычным кадровым документооборотом. К предприятиям, постоянно сталкивающимся в своей работе с требованиями получать и обрабатывать данные в установленном законом порядке, а также предпринимать меры, направленные на их защиту, относятся:

  • медицинские учреждения, требования к которым, определяющие степень защищенности информационной системы, повышены из-за важности доверяемых им данных;
  • образовательные организации;
  • банки и другие финансовые учреждения;
  • страховые компании;
  • гостиницы;
  • библиотеки;
  • магазины.

Каждый из этих субъектов бизнеса получает от граждан сведения, которые носят конфиденциальный характер, и это не только имя, данные паспорта и номер телефона, но и информация о семейном положении, здоровье, имуществе, счетах и вкладах.

Организации, в деятельности которых эти сведения необходимы по различным причинам, часто нормативно-правового порядка (например, форматы различных учетных карточек устанавливаются министерствами и ведомствами), вместе со сведениями получают комплекс обязанностей по их защите при обработке и передаче третьим лицам.

Закон требует от операторов предпринять комплекс организационных и технических мер, направленных на защиту доверенной им информации.

Конкретизируются эти требования Постановлением Правительства № 1119, определяющим параметры, по которым устанавливается уровень защищенности системы, и приказами ФСТЭК России, которые регулируют применение и сертификацию технических средств, защищающих целостность информационной системы персональных данных. Также в области сертификации средств криптографической защиты данных и некоторых программных продуктов действуют стандарты, разрабатываемые и утверждаемые ФСБ России.

Обязанности оператора

Оператором является практически каждая организация, в рамках своей деятельности получающая от клиентов сведения о данных их паспорта или о номере телефона. Закон устанавливает обязанности оператора персональных данных как на организационном, так и на техническом уровне. После того, как компания определила, что требования закона безусловно относят ее к операторам, она обязана:

  • направить уведомление в Роскомнадзор о начале деятельности, связанной с обработкой персональных данных. Его форма заполняется на сайте, затем распечатывается, подписывается и отправляется в ведомство по почте;
  • разработать локальные нормативные акты, определяющие принципы и порядок обработки персональных данных клиентов в процессе осуществления ими предпринимательской деятельности;
  • разработать формат согласия на обработку персональных данных, которое подписывают клиенты, и определить порядок его предоставления для подписания;
  • назначить приказом руководителя лицо, ответственное за обеспечение надлежащей защиты персональных данных;
  • определить требуемую степень защищенности своей информационной системы согласно нормам Постановления Правительства № 1119;
  • разработать план приведения информационной базы в соответствие с требованиями законодательства и реализовать его.

Выполнение этих обязанностей контролируется в ходе проверок Роскомнадзора. Следует учитывать, что по закону о защите прав юридических лиц в процессе проверок первая из плановых может пройти только спустя три года после направления уведомления.

Положение о защите персональных данных

Одной из задач оператора становится разработка внутреннего положения, определяющего принципы его работы при взаимодействии с персональными данными клиентов.

Обычно оно размещается на сайте оператора таким образом, чтобы было доступно любому клиенту при поиске информации или предоставлении сведений, содержащих персональные данные.

Подготовить такой нормативный акт можно самостоятельно, силами административного подразделения компании или службы безопасности, никаких специальных норм он не содержит, и требований к его формату и содержанию законодательство не предъявляет. В рекомендуемой версии структура положения будет выглядеть следующим образом:

  • общие положения. Здесь необходимо описать принципы работы с персональными данными, общие цели их использования, сведения о том, что после истечения определенного времени данные, потерявшие актуальность, должны быть уничтожены, порядок утверждения самого документа и внесения в него изменений;
  • определения. Здесь поясняется, что понимается под персональными данными клиентов применительно к уставным целям и задачам конкретной компании, поясняются другие термины, например, «клиент», «оператор». Требуемые от клиента персональные данные описываются максимально подробно, с пояснениями, от какой категории лиц какие именно сведения должны быть предоставлены. Здесь же описываются допустимые способы получения персональных данных;
  • требования к конфиденциальности. В положении указывается, что на персональные данные распространяется режим конфиденциальности, что оператор обязывает своих сотрудников соблюдать его требования. Кроме того, отмечается, что при передаче сведений третьим лицам для обработки на основании соглашения оператор включает в его обязательства соблюдение конфиденциальности и ответственность за нарушение этих требований;
  • права и обязанности клиента. В этом разделе необходимо быть осторожнее. Так, возложение на клиента обязанности уведомлять организацию об изменении персональных данных должно быть объяснено или нормами закона, или интересами самого клиента;
  • обязанности самого общества, возникающие при обработке персональных данных. Здесь можно не ограничиваться требованиями закона, инициативные решения повысят привлекательность предложения организации для клиента;
  • способы защиты персональных данных;
  • заключительные положения.

Согласие на обработку персональных данных

Существенным элементом системы защиты персональных данных становится разработка формата согласия на обработку персональных данных и установление порядка его подписания.

Читайте также:  Совет Федерации предложил не допускать непривитых детей в детсады и школы – 24.05.2022

Чаще всего сведения получают от клиента в процессе оформления договора, но следует учитывать, что они сохраняются не только в информационных базах, но и на материальных носителях, которыми, в зависимости от вида услуг, могут быть:

  • листки учета посетителей, заполненные в гостиницах;
  • формуляры, оформляемые в библиотеках;
  • медицинские карты;
  • анкеты различного рода.

Все эти документы часто хранятся в общем доступе, степень их защищенности нельзя отнести к повышенной.

Распространение на них режима конфиденциальности защищается включением соответствующих норм в трудовые договоры с персоналом, но, как показывает практика, взыскать ущерб с сотрудника, виновного в разглашении конфиденциальной информации, крайне сложно.

Единственной защитой персональных данных, хранящихся на бумажных носителях, становится трудность обработки большого объема рукописных данных, это значит, что их неправомерное распространение возможно только в случае заинтересованности злоумышленника в сведениях о конкретном клиенте. Но, подписывая согласие на обработку данных, клиент должен быть уверен в том, что они будут охраняться максимально возможным и соответствующим требованиям законодательства способом.

Также в согласии указываются цели обработки персональных данных, например, для гостиницы это будет соблюдение требований безопасности клиентов и сохранности имущества.

Подписывая согласие, клиент должен признать целесообразность этих целей. После того, как определены цели, указываются способы обработки персональных данных, ручные и автоматические.

Клиент должен выразить свое согласие и с ними.

В согласии указываются лица, которым, по договору с оператором, данные могут передаваться для хранения и обработки. Как показывает последняя судебная практика, применительно к банкам, эти лица необходимо скрупулезно и подробно перечислить.

Как гласит закон, согласие на обработку персональных данных в любое время может быть отозвано, делается это по тем каналам связи, которые оператор установил для коммуникации с клиентом. После отзыва компания обязана в течение 30 дней уничтожить данные.

Этого можно избежать только в том случае, когда их нахождение у организации-оператора обусловливается требованиями федеральных законов, например, по борьбе с терроризмом или об отмывании денежных средств.

Ранее срок удаления составлял 7 дней, но он был настолько неудобен для операторов, что было принято решение о его продлении. Также клиент вправе требовать удаления или изменения данных, если они не соответствуют действительности, искажены.

При получении отказа или в случае неисполнения требований гражданин может обратиться с заявлением в Роскомнадзор.

Риски, с которыми связана обработка персональных данных клиентов

Операторы должны учитывать, что нарушение установленного порядка обработки и защиты персональных данных влечет за собой возникновение неблагоприятных последствий. Такие нарушения могут быть выявлены тремя способами:

  • при проведении проверочных мероприятий органами контроля за соблюдением законодательства о защите персональных данных – Роскомнадзором, ФСТЭК РФ, ФСБ России;
  • в результате взаимодействия оператора с некоторыми другими ведомствами, например, ФАС РФ;
  • физическим лицом, чьи права нарушены. Такое нарушение может стать основой для предъявления иска в суд о восстановлении нарушенного права и компенсации морального вреда.

Следствиями выявления нарушения государственным органом становятся:

  • вынесение предписания об устранении нарушений закона;
  • административные штрафы, налагаемые на руководителей компаний;
  • запрет на занятие деятельностью, связанной с обработкой персональных данных;
  • в наиболее вопиющих случаях неправомерного использования или распространения данных – привлечение к уголовной ответственности.

Лицо, информация о частной жизни которого была неправомерно получена или распространена, может обратиться в суд со следующими категориями исков:

  • иск о возмещении морального вреда, связанного с неправомерным использованием персональных данных;
  • иск о запрете собирать персональные данные, если организация не обладает необходимыми сертифицированными ресурсами для обеспечения их безопасности (этот способ защиты прав часто применяется во взаимоотношениях с магазинами);
  • иск об удалении или изменении некорректно учтенных данных.

Российские суды удовлетворяют требования о взыскании морального вреда чаще всего в пределах небольших сумм, в среднем 50 тысяч для столицы и крупных городов, 10 тысяч по России. Но риск заключается не в том, чтобы потерять небольшие средства, а в вынесении проблемы в публичное поле.

После вступления в силу решения суда или сообщения СМИ о процессе Роскомнадзор может назначить внеочередную проверку соблюдения законодательства о защите персональных данных, и по ее результатам организации может быть запрещено заниматься их обработкой.

Это станет причиной существенно больших убытков для оператора.

Организации, работающие с физическими лицами, должны учитывать все требования и риски и выстраивать свою работу таким образом, чтобы нарушения установленного порядка защиты персональных данных не происходило.

Практика. Создание системы защиты персональных данных

Вне зависимости от того, принадлежит ли компания к большому, малому или среднему бизнесу, состоявшаяся это организация или пока еще стартап — вопрос защиты персональных данных актуален для всех. Эта статья посвящена особенностям и средствам такой защиты, а также рекомендациям, которые помогут упростить эту работу и сделать ее более эффективной.

Кто обеспечивает защиту данных?

Сфера защиты данных юридически регулируется информационным правом (одной из подотраслей административного права), нормы которого прописаны в нескольких законодательных актах. Один из основных — Федеральный закон № 152-ФЗ от 27.07.

2006 «О персональных данных», цель которого заявлена как «общее обеспечение защиты конституционных прав и свобод человека и гражданина при обработке персональных данных», таких как право на неприкосновенность частной жизни, личную и семейную тайну.

Реализация мер по защите персональных данных — это зона ответственности оператора, т. е. субъекта, осуществляющего сбор и обработку данных в информационной системе. Как правило, таким субъектом выступает компания, владеющая базами данных своих сотрудников и клиентов либо сторонняя организация, уполномоченная компанией-владельцем.

При невыполнении мер защиты оператор несет законодательно установленную ответственность. Наблюдением и проверками компаний в данном случае занимается Роскомнадзор.

В случае если требования законодательства нарушены, оператор несет административную ответственность и обязан заплатить штраф.

С 2019 года его размер повысился до сотен тысяч (для юридических лиц — миллионов) рублей — в соответствии с недавними поправками, внесенными в Кодекс РФ об административных правонарушениях.

Общая сумма штрафов, выписанных по итогам проверок, составила более пяти миллионов за предыдущий год.

Что защищать и от чего?

Начнем с вопроса терминологии. Персональные данные представляют собой любую информацию, относящуюся прямо или косвенно к физическому лицу, который в законе прописан как субъект персональных данных. Наиболее распространенные разновидности такой информации:

  • паспортные данные;
  • точное место жительства;
  • мобильный телефон;
  • адрес электронной почты.

Фамилия, имя и отчество сами по себе тоже могут являться персональными данными. Попадание этой информации к любым третьим лицам должно быть исключено.

Кроме того, необходимо понимать, что оператор имеет право на обработку данных лишь в некоторых случаях:

  • если им получено согласие на обработку (необязательно письменное);
  • планируется заключение договора с субъектом (даже в случае оферты на веб-сайте);
  • обрабатываются персональные данные своих сотрудников;
  • в особых случаях, когда обработка нужна для защиты жизни, здоровья и прочих важных интересов человека.

Если компания-оператор не смогла доказать ни одно из перечисленных оснований обработки, на нее также налагается штраф и сбор данных считается незаконным.

Самый важный пункт здесь — само согласие на обработку. Простейший способ, которым пользуются большинство компаний — реализованная тем или иным образом форма быстрого выражения согласия. Обычно это знакомая многим «галочка» под сопровождающим ее текстом о собственно согласии.

Еще один параметр, который нужно учитывать — не стоит обрабатывать персональную информацию, не имеющую непосредственного отношения к предмету договора (скажем, для классического договора купли-продажи не имеют значения профессия, уровень образования или воинская обязанность покупателя). Излишний интерес может быть истолкован надзорными органами как нарушение.

Поскольку время от времени Роскомнадзор проводит внеплановые проверки (чаще всего, если есть жалобы конкретного лица — бывшего сотрудника, конкурирующей компании или клиента, считающего, что его права нарушены), во избежание претензий компании-оператору нужно удостовериться, что:

  • Политика в отношении персональных данных задокументирована и находится в публичном доступе.
  • Форма сбора персональных содержит разъясняющую информацию о том для чего они собираются (когда ввод персональных данных необходим для заключения договора, его текст также обязательно должен быть опубликован).
  • Уже собранные специальные данные человека, включая биометрические (те сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых может быть установлена его личность) не могут быть переданы заграничным компаниям.
  • Запросы и требования субъектов персональных данных (в том числе об уточнении, удалении, блокировании) всегда удовлетворяются.
Читайте также:  Гарантия на строительные работы по закону и договору

Чаще всего проверки Роскомнадзора выявляет нарушения из этого списка. Другая распространенная претензия — недостаточный внутренний контроль за осуществлением обработки и слабая осведомленность сотрудников, которые за нее отвечают о правилах и требованиях ее проведения.

Перечисленные нами условия — это некая база, фундамент, поскольку защита персональных данных основывается не только на соблюдении юридической стороны дела — что, в целом, не так уж и сложно и требует лишь внутренней дисциплины в компании, — но и куда более сложной технической организации. 

Когда обработка происходит с использованием информационных систем (а значит, и электронных устройств), появляются новые потенциальные угрозы, которые нужно свести к минимуму, а лучше и вовсе исключить. Рассмотрим их.

Угрозой информации считают возможное влияние или воздействие на автоматизированную систему обработки изнутри или извне, которое влечет за собой любые негативные последствия для субъектов этой информации. Обычно информационные системы становятся особо уязвимыми, когда:

  • программное обеспечение компании несовершенно, давно не обновлялось и содержит уязвимости;
  • некоторые процессы системы (в частности, защитные) функционируют не в полную силу;
  • усложнены условия эксплуатации и хранения информации.

Угрозы принято делить на несколько групп (в основе классификации лежит природа угрозы):

  • Объективная. Она напрямую зависит от того, насколько грамотно подобрано оборудование для хранения и обработки, работает ли должным образом защитное ПО.

Типичные проблемы:

    • неисправность технических средств,
    • слабые антивирусы, отсутствие шлюзов безопасности,
    • невозможность зрительного контроля за серверами и доступом к ним.

Предусмотреть все возможные сбои и неполадки невозможно, но важно знать где и почему они могут потенциально произойти — и подстраховаться.

  • Случайная. Эта группа включает в себя непредвиденные обстоятельства, различные ЧП и системные сбои. В данном случае важно быть готовыми оперативно их устранить (любые неисправности технических средств на всевозможных уровнях системы, в том числе тех, которые отвечают за контроль доступа, устаревание и износ отдельных микросхем, носителей данных, линейных соединений, неисправность в работе антивирусных, сервисных и прикладных программ).
  • Субъективная. Как правило, под такими угрозами понимают неправильные действия сотрудников, осуществляющих техническую обработку, хранение и защиту информации. Они могут ошибаться в соблюдении правил безопасности и допускать утечки при загрузке программного обеспечения или в момент активного использования системы, при различных манипуляциях с базами данных, при включении и выключении аппаратуры. Также к этой группе относятся неправомерные действия бывших сотрудников, у которых остался несанкционированный доступ к данным.

Специалисты компании-оператора должны учитывать все типы угроз. Во внимание следует принять критерии, которые помогут понять, какова реальная возможность угрозы того или иного типа (а также вероятность поломки или успешного обхода защитных алгоритмов):

  • Доступность. Этот критерий демонстрирует, насколько просто злоумышленник может получить доступ к нужной ему информации или к инфраструктуре организации, где хранятся эти данные.
  • Фатальность. Эта характеристика предполагает оценку степени глубины влияния угрозы на общее функционирование системы и способность специального персонала компании справиться с последствиями от влияния этого фактора.
  • Количество. Это параметр, подразумевающий собой определение количества потенциально уязвимых деталей системы хранения и обработки данных.

Точный расчет вероятности воздействия той или иной угрозы производится математически — это могут сделать аналитические эксперты компании. Такой самоанализ позволяет объективно оценить риски и предпринять дополнительные меры защиты: закупить более совершенное оборудование, провести дополнительное обучение работников, перераспределить права доступа и т. д.

Существует несколько других, более подробных классификаций внутренних и внешних угроз, которые будут полезны для систематизации всех факторов. Рассмотрим и их.

Преднамеренность вмешательства:

  • угроза, вызванная небрежностью сотрудников, работающих с информационной системой;
  • угроза, инициируемая субъектами извне с целью получения личной выгоды.

Характеристики появления:

  • искусственная угроза, созданная при участии человека;
  • природная, неподконтрольная человеку (чаще всего — стихийные бедствия).

Непосредственная причина угрозы:

  • человек, разглашающий строго конфиденциальные сведения;
  • природный фактор (вне зависимости от масштаба);
  • специализированное вредоносное программное обеспечение, нарушающее работу системы;
  • удаление данных случайным путем из-за отказа техники.

Момент воздействия угрозы на информационные ресурсы:

  • в момент обработки информации (обычно это происходит из-за рассылок вирусных утилит);
  • при получении системой новой информации;
  • независимо от степени активности работы системы (например, при направленном взломе шифров или криптозащиты).

Существуют и другие классификации, учитывающие среди параметров возможность доступа работников к самой системе или ее элементам, способ доступа к основным частям системы и конкретные способы размещения информации.

Значительную часть всех угроз эксперты связывают с объективными внешними факторами и информационным вторжением со стороны конкурентов, злоумышленников и бывших сотрудников. Особую опасность представляют те из них, кто знаком с правилами функционирования конкретной системы, обладает знаниями на уровне разработчика программ и имеет сведения о том или ином уязвимом месте в системе.

Построение системы защиты персональных данных

Классификация уровней защиты

Информационная безопасность подразумевает четыре уровня защиты от угроз:

  • Первый уровень. Наиболее высокий, предполагает полную защиту специальных персональных данных (национальная и расовая принадлежность, отношение к религии, состояние здоровья и личная жизнь).
  • Второй уровень. Предполагает защиту биометрических данных (в том числе фотографии, отпечатки пальцев).
  • Третий уровень. Представляет собой защиту общедоступных данных, то есть тех, к которым полный и неограниченный доступ предоставлен самим человеком.
  • Четвертый уровень. Это сборная группа, в которую включают все данные, не упомянутые в предыдущих трех пунктах.

Таким образом, все данные, собранные в информационной базе компании, могут быть четко распределены по уровням защиты.

Обеспечение защиты

Защита информации по уровням в каждом случае состоит из цепочки мер.

  • Четвертый уровень. Означает исключение из помещения, где находится информационное оборудование, посторонних лиц, обеспечение сохранности носителей данных, утверждение четкого списка работников, которые имеют допуск к обработке данных, а также использование специальных средств защиты информации.
  • Третий уровень. Подразумевает выполнение всех требований, предусмотренных для предыдущего уровня, и назначение ответственного за информационную безопасность должностного лица.
  • Второй уровень. Помимо выполнения требований предыдущего уровня, включает в себя ограничение доступа к электронному журналу безопасности.
  • Первый уровень. Кроме всех требований, которым необходимо следовать на втором уровне, включает обеспечение автоматической регистрации в электронном журнале безопасности полномочий сотрудников, имеющих доступ к данным, в случае изменения этих полномочий, а также возложение ответственности за информационную безопасность на специально созданное подразделение.

Должное выполнение прописанных в законодательстве мер защиты персональных данных в соответствии с уровнями обеспечивает максимальную эффективность общей стратегии защиты информации, принятой в компании-операторе.

Средства защиты информации

Подробный список технических и организационных мер по обеспечению безопасности также определен юридически. К ним относятся процедура идентификации и аутентификации субъектов и объектов доступа, цепочка управления доступом, ограничение программной среды, надежная защита машинных носителей информации, антивирусная защита, предотвращение и обнаружение вторжений, аналитика степени защищенности среды наряду с обеспечением доступности данных и выявлением событий, которые потенциально приведут к сбоям в работе системы. Кроме того, закон обязывает в случае технической невозможности реализации каких-либо мер разрабатывать другие, компенсирующие меры по нейтрализации угроз.

Технические средства защиты также имеют отдельную классификацию и должны выбираться в зависимости от требуемого уровня защиты.

Средства определены официальным документом, составленным Федеральной службой по техническому и экспортному контролю (орган исполнительной власти, занимающийся защитой информации).

Документ доступен на официальном ресурсе службы. Каждый из классов имеет минимальный набор требований по защите.

Криптографические средства защиты информации

Одним из наиболее действенных способов защиты персональных данных является использование средств криптографии. Если упростить, то речь идет о шифровании текста с помощью цифрового кода.

К криптографическим средствам относятся аппаратные, программные и комбинированные устройства и комплексы, способные реализовывать алгоритмы криптографического преобразования информации.

Они предназначены одновременно для защиты информации при передаче по каналам связи и защиты ее от неразрешенного доступа при обработке и хранении. Логика проста: злоумышленник, который не знает кода, не сможет воспользоваться данными, даже если получит к ним доступ, поскольку не прочтет их. Для него они остануться бессмысленным набором как будто случайных цифр.

Регламент использования криптографических средств определяется Федеральной службой безопасности и документирован в соответствующем приказе.

Рекомендации по защите персональных данных

Как видим, поддержание системы информационной безопасности силами отдельной компании представляется довольно трудоемкой задачей. Далеко не каждый бизнес или государственная компания могут позволить себе штат профильных специалистов. Во многих случаях проще отдать эту задачу на аутсорс, нанять сторонних специалистов, которые помогут подобрать и установить подходящее оборудование, проконсультирую персонал, окажут поддержку с написанием политики конфиденциальности и внутренних регламентов по обращению с засекреченной информацией.

Такое сотрудничество всегда требует большой вовлеченности со стороны руководящего звена компании и всех ее сотрудников. Невнимательность и недостаточно серьезное отношение к соблюдению мер защиты могут закончиться кражей данных, крупными штрафами, судебными разбирательствами и репутационными потерями.

Регулярно проводите оценку эффективности выбранных мер защиты, оперативно вносите коррективы, следите за изменениями в законодательстве. Предупредить угрозу в разы проще (и дешевле), чем бороться с ее последствиями.

Протестировать Traffic Inspector Next Generation в своей сети. 

Бесплатно в течение 30 дней.

Ссылка на основную публикацию
Adblock
detector