Обработка и защита персональных данных: часто задаваемые вопросы

вопрос защита ИТ-ГРАД Обработка ответ персональные данные
Обработка и защита персональных данных: часто задаваемые вопросы

В последнее время все чаще и чаще поднимается вопрос о защите персональных данных (ПДн). Ведь федеральные законы, постановления правительства РФ обязывают защищать информацию ограниченного доступа, а в случае несоблюдения этих требований — привлекать организации к ответственности со всеми вытекающими последствиями. Для тех, кому интересна тема защиты персональных данных, мы подготовили ответы на часто задаваемые вопросы.

# Как классифицируется информация в соответствии с российским законодательством?

Согласно российскому законодательству, а если точнее, ФЗ-149 «Об информации, информационных технологиях и о защите информации», классифицируется она по способу распространения и по видам доступа, подразделяясь на две категории: общедоступную информацию и информацию ограниченного доступа.



Основные категории классификации информации

# Какая информация относится к информации ограниченного доступа?

Чтобы информация рассматривалась как информация с ограниченным доступом, необходимо соблюдение следующих условий:
  • Информация должна быть документированной, то есть зафиксированной на материальном носителе.
  • Должен существовать нормативный акт или закон, в соответствии с которым происходит ограничение доступа
Классификация информации по категориям доступа

Как видно из таблицы, данные, относящиеся к информации ограниченного доступа, делятся на категории и регламентируются соответствующей буквой закона.

# Что такое государственная тайна и какая информация к ней относится?

Государственная тайна — это…
защищаемые государством сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-разыскной деятельности, распространение которых может нанести ущерб безопасности РФ.

ФЗ «О государственной тайне»
Настоящий закон регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности РФ.
# Что такое конфиденциальная информация и что к ней относится?

Конфиденциальная информация, как и государственная тайна, относится к информации ограниченного доступа. Согласно указу Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера», к видам информации конфиденциального характера относятся: персональные данные, коммерческая тайна, служебная тайна, профессиональная тайна, тайна следствия и судопроизводства. Для лучшего понимания наиболее распространенных терминов предлагаем воспользоваться списком определений.

Персональные данные — это
любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

ФЗ-152 «О персональных данных»
Настоящий закон регулирует деятельность по обработке (использованию) персональных данных.

Коммерческая тайна — это
режим конфиденциальности информации, позволяющий ее обладателю увеличить доходы, избежать неоправданных расходов, занять лидирующее положение на рынке или получить коммерческую выгоду.
Информация, составляющая коммерческую тайну, — сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны.

ФЗ-98 «О коммерческой тайне»
Настоящий закон регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам.

Служебная тайна — это
защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости. Служебная тайна является видом конфиденциальной информации, и право на служебную тайну выступает самостоятельным объектом права.

Проект ФЗ «О служебной тайне» (N 124871-4)
Настоящий закон регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам.
ФЗ «Об информации, информатизации и защите информации»

Профессиональная тайна — это
защищаемая по закону информация, доверенная или ставшая известной лицу (держателю) исключительно в силу исполнения им своих профессиональных обязанностей, не связанных с государственной или муниципальной службой, распространение которой может нанести ущерб правам и законным интересам другого лица (доверителя), доверившего эти сведения, и не являющаяся государственной или коммерческой тайной.
Объекты профессиональной тайны:
  • Врачебная тайна.
  • Тайна связи.
  • Нотариальная тайна.
  • Адвокатская тайна.
  • Тайна усыновления.
  • Тайна страхования.
  • Тайна исповеди
ФЗ «Об информации, информатизации и защите информации

# Что понимается под обработкой персональных данных?

Под обработкой ПДн понимается любая операция, действие, совокупность действий, совершаемых с использованием или без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, обновление, изменение, извлечение, использование, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение ПДн.

# Какие предприятия должны защищать персональные данные?


Определение
Согласно статье 3 ФЗ-152, вводится термин «оператора», под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цель обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ПДн.
Предприятия, попадающие под озвученное определение, согласно статье 18.1 всё того же ФЗ-152, обязаны принимать достаточные и необходимые меры по защите персональных данных, обеспечивая тем самым выполнение обязанностей, предусмотренных настоящим Федеральным законом и принятых в соответствии с ним нормативно-правовых актов.

# Что требуется от оператора персональных данных?

В первую очередь, выполнить ряд организационных, правовых и технических мер, описанных в Федеральном законе и соответствующих подзаконных актах (в том числе статьи 8.1, 19):
  • Назначить ответственное лицо для организации обработки персональных данных.
  • Издать документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
  • Осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям Федерального закона и принятым в соответствии с ним нормативно-правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.
  • Производить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом.
  • Ознакомить работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучить указанных работников.
  • Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Обратите внимание, что обеспечение безопасности является важным моментом в вопросе требований, предъявляемых к оператору персональных данных.
Обеспечение безопасности достигается:
  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • применением прошедших в установленном порядке процедур по оценке соответствия средств защиты информации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • учетом машинных носителей персональных данных;
  • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • контролем принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
# Кто занимается проверками и какие ресурсы есть у этих организаций?

Основные регулирующие органы Российской Федерации

На основании статьи 23 ФЗ-152, проверками занимается Уполномоченный орган по защите прав субъектов ПДн.
Кроме того, согласно статье 19 озвученного закона, контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности ПДн при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России), и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

ФСБ и ФСТЭК, решением Правительства Российской Федерации, с учетом значимости и содержания обрабатываемых персональных данных, могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности ПДн в ходе их обработки в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

Помимо ФСБ и ФСТЭК на «тропу проверок» зачастую выходит и другой инспектирующий орган в лице Роскомнадзора. Вам наверняка приходилось слышать о том, что правительство РФ наделило РКН полномочиями, позволяющими контролировать операторов ПДн. Обеспечение контроля и надзора за соответствием обработки персональных данных требованиям ФЗ «О персональных данных» входит в задачи этой организации.

Помимо сказанного, уполномоченный орган по защите прав субъектов ПДн выполняет:
  • рассмотрение обращений субъектов ПДн, принятие в пределах своих полномочий решений по результатам их рассмотрения;
  • ведение реестра операторов, занимающихся обработкой ПДн;
  • подготовку предложений по совершенствованию нормативно-правового регулирования в области защиты прав субъектов ПДн.
В соответствии с ФЗ-294 «О защите прав юридических лиц и индивидуальных предпринимателей (ИП) при осуществлении государственного контроля (надзора) и муниципального контроля», Роскомнадзор вправе выполнять плановые, внеплановые, документарные и выездные виды проверок.
Основаниями для осуществления проверок выступают:
  • ежегодный план проверок операторов ПДн со сведениями, определяемыми в части 4 статьи 9 ФЗ-294, который публикуется на официальном сайте Роскомнадзора;
  • истечение срока исполнения оператором ранее выданного предписания об устранении нарушений;
  • поступление в Роскомнадзор обращений и заявлений о фактах нарушения законодательства.
# Какая деятельность подлежит обязательному лицензированию и какими могут быть сами лицензии?

Начнем с того, что лицензирование представляет собой способ регулирования деятельности организации, характеризующийся установлением правового режима осуществления отдельных видов деятельности.

Основные виды лицензий, выдаваемых регулирующими органами

Лицензия ФСБ (государственная тайна)

Если организация проводит работы с использованием сведений, представляющих государственную тайну, необходимо получить лицензию ФСБ. Такая лицензия необходима организациям, вне зависимости от их организационно-правовых форм. Лицензия представляет собой официальный документ и действует в течение установленного срока, разрешая осуществлять на определенных условиях конкретный вид деятельности.
Имея лицензию на Гостайну, организация, в том числе и поставщик облачных услуг, может выполнять следующее:
  • осуществлять работы с использованием сведений, составляющих государственную тайну;
  • осуществлять работы, связанные с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну;
  • осуществлять мероприятия и/или оказывать услуги в области защиты государственной тайны.
Лицензия ФСБ на деятельность в области разработки, распространения и технического обслуживания шифровальных (криптографических) средств и предоставления услуг в области шифрования данных

Помимо лицензии на Гостайну, ФСБ занимается выдачей лицензии на деятельность в области разработки, распространения и технического обслуживания шифровальных (криптографических) средств и предоставления услуг в области шифрования данных. Такая лицензия позволяет выполнять широкий перечень работ и оказывать услуги в отношении шифровальных (криптографических) средств. В таблице ниже представлен пример работ и услуг, которые можно выполнять при наличии такой лицензии.

Таблица 1. Пример перечня работ/услуг, которые можно выполнять согласно лицензии

  • Разработка шифровальных (криптографических) средств.
  • Разработка защищенных с использованием шифровальных (криптографических) средств информационных систем.
  • Разработка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
  • Разработка средств изготовления ключевых документов.
  • Модернизация шифровальных (криптографических) средств.
  • Модернизация средств изготовления ключевых документов.
  • Производство (тиражирование) шифровальных (криптографических) средств.
  • Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.
  • Производство защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
  • Производство средств изготовления ключевых документов.
  • Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.
  • Производство (тиражирование) шифровальных (криптографических) средств.
  • Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.
  • Производство защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
  • Производство средств изготовления ключевых документов.
  • Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.
  • Изготовление с использованием шифровальных (криптографических) средств изделий, предназначенных для подтверждения прав (полномочий) доступа к информации и (или) оборудованию в информационных и телекоммуникационных системах.
  • Работы по обслуживанию шифровальных средств, предусмотренные технической и эксплуатационной документацией на эти средства.
  • Ремонт шифровальных (криптографических) средств.
  • Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных систем.
  • Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
  • Передача шифровальных (криптографических) средств.
  • Передача защищенных с использованием шифровальных (криптографических) средств информационных систем.
  • Передача средств изготовления ключевых документов.

Лицензия ТЗКИ, выдаваемая ФСТЭК

Обратите внимание, что деятельность по технической защите конфиденциальной информации подлежит лицензированию. Наиболее востребованной для типовой организации, осуществляющей деятельность по защите конфиденциальной информации, является наличие лицензии ТЗКИ, выдаваемой ФСТЭК РФ.

Согласно Постановлению Правительства Российской Федерации от 15 августа 2006 г. № 504:
ТЗКИ (Техническая защита конфиденциальной информации) — это комплекс мероприятий и/или услуг по защите информации от несанкционированного доступа, включая технические каналы, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа.
# Нужны ли лицензии оператору, например, на деятельность по технической защите конфиденциальной информации?

Здесь, пожалуй, можно дать односложный ответ: нет. Дело в том, что лицензии могут понадобиться подрядчику Оператора в случае, если сам оператор приглашает подрядчика оказать услуги по разработке проектов организационно-распорядительных документов и необходимых организационно-технических мер.
В этом случае подрядчику понадобится как минимум лицензия на деятельность по технической защите конфиденциальной информации, выдаваемая ФСТЭК России, а также может понадобиться лицензия ФСБ России на деятельность, связанную с применением в ИСПДн шифровальных/криптографических средств.

Вывод
Ни для клиента, ни для хостинг-провайдера озвученные лицензии не нужны, они необходимы исключительно подрядчику, реализующему внедрение мер по защите информации.

# Что представляет собой аттестат и какой уполномоченный орган его выдает?

Под аттестатом понимается документ, подтверждающий эффективность принятых Оператором организационно-технических мер защиты. Этот термин вводится в пункте 4 части 2 статьи 19 ФЗ-152.
Аттестат может выдаваться только:
  • органом по аттестации (при обработке информации, содержащей сведения, составляющие государственную тайну);
  • организацией, имеющей право на деятельность в области технической защиты конфиденциальной информации (при обработке информации конфиденциального характера, в том числе персональных данных).
# Что представляют собой уровни угроз и уровни защищенности ПДн?

При обработке ПДн в информационных системах существуют установленные требования по их защите. Требуемый уровень защищенности зависит от трех уровней актуальных угроз.


Уровень защищенности ПДн – это комплексный показатель, который характеризует выполнение требований, способных нейтрализовать угрозы безопасности информационных систем персональных данных (ИСПДн).

Таблица 2. Три уровня актуальных угроз

Угроза I уровняУгроза II уровняУгроза III уровня
Угрозы, связанные с наличием недокументированных возможностей в используемом системном программном обеспеченииУгрозы, связанные с наличием недокументированных возможностей в используемом прикладном программном обеспеченииУгрозы, не связанные с наличием недокументированных возможностей в используемом системном и прикладном программном обеспечении
Согласно Постановлению Правительства РФ № 1119 от 1 ноября 2012 года, вместо классов информационных систем персональных данных устанавливаются 4 уровня защищенности персональных данных при их обработке в информационных системах, а также требования для каждого из них.
Информационная система может быть отнесена к тому или иному уровню защищенности в зависимости от:

  • типа персональных данных, обрабатываемых информационной системой;
  • типа актуальных угроз;
  • количества обрабатываемых субъектов персональных данных и от того, персональные данные какого контингента обрабатываются.
Таблица 3. Категории обрабатываемых персональных данных

1-й уровень защищенности
  • Для информационной системы актуальны угрозы 1-го типа, и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных.
  • Для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
2-й уровень защищенности
  • Для информационной системы актуальны угрозы 1-го типа, и информационная система обрабатывает общедоступные персональные данные.
  • Для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
  • Для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает биометрические персональные данные.
  • Для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает общедоступные персональные данные более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
  • Для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает иные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
  • Для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
3-й уровень защищенности
  • Для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
  • Для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
  • Для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
  • Для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает биометрические персональные данные.
  • Для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает иные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
4-й уровень защищенности
  • Для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает общедоступные персональные данные.
  • Для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

# В чем особенность методики определения актуальных угроз безопасности?

Средства и решения по защите ПДн играют важную роль в вопросе безопасности, поскольку обеспечивают возможность устранения угроз. Здесь особенно важно понимать, что именно подлежит защите, какие могут быть угрозы и каким образом реализуется сама защита. Для ответа на поставленный вопрос предлагаем воспользоваться приведенной ниже схемой:
Субъекты и объекты защиты информации конфиденциального характера

# Кем осуществляется оценка актуальных угроз?

При выработке технических мер защиты, оценка угроз безопасности является необходимым мероприятием. Эту процедуру, согласно методике оценки актуальных угроз безопасности ПДн при их обработке в ИСПДн, должны выполнять эксперты и специалисты в области защиты информации.

# Какова ответственность в случае нарушения требований по защите ПДн?

Вопрос ответственности за невыполнение требований законодательства по защите ПДн является часто задаваемым. Кто-то, отмахиваясь, полностью игнорирует законодательство о ПДн, считая его формальностью, кто-то, наоборот, приводит весомый список наказаний и боится наступления часа «Икс». Какова же реальность?

Ответственность, за нарушение требований по защите ПДн
Статья 24 закона № 152-ФЗ «О персональных данных» определяет вид ответственности за нарушение требований ФЗ, которая заключается в том, что лица, виновные в нарушении требований закона, несут
  • гражданскую ответственность;
  • уголовную ответственность;
  • административную ответственность;
  • дисциплинарную и иную ответственность, предусмотренную законодательством РФ.
Неисполнение требований закона «О персональных данных» приводит организации к следующим рискам:
  • гражданские иски со стороны клиентов или работников;
  • приостановление или прекращение обработки ПДн в организации;
  • привлечение организации и/или ее руководства к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности;
  • приостановление действия или аннулирование лицензий на основной вид деятельности организации;
  • репутационные риски;
  • риски недобросовестной конкуренции.
Согласно изменениям в Кодекс РФ об административных правонарушениях, внесённых Законопроектом № 683952-6, принятым в настоящее время в первом чтении, в статью 13.11 вводятся нормы, которые позволят привлечь оператора ПДн в ходе проверки сразу по нескольким составам административного правонарушения с размером штрафа до 30–50 тысяч рублей по каждому факту нарушения.
Обработка специальных категорий ПДн (в том числе данных о состоянии здоровья) в случаях, не предусмотренных законодательством Российской Федерации о персональных данных, влечёт административную ответственность в размере до 300 тысяч рублей.

# Можно ли размещать персональные данные в облаке на территории Российской Федерации?

Да, можно. Об этом мы расскажем в нашем следующем материале.

Посетите наш Блог.
вопрос защита ИТ-ГРАД Обработка ответ персональные данные
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Эксплойт без патча? Узнай первым

В реальном времени: уязвимые версии, индикаторы компрометации и быстрые меры. Не читай — действуй.

 Включить уведомления

article-title

IT-GRAD

Блог компании IT-GRAD.