X-com
Кронштадтский бульвар, 3А Москва
+7 (495) 223-63-39 order@xcom.ru
Кронштадтский бульвар, 3А Москва
X-com +7 (495) 223-63-39

Блог

blog image

Обработка и защита персональных данных: уровни защищенности, угрозы и рекомендации

Развитие технологий и усиление значения интернета в жизни людей привели к тому, что требуется регулярно повышать уровень защищенности персональных данных. В том, чтобы личная или корпоративная информация не стала достоянием третьих лиц, заинтересованы все, кто соблюдает нормы действующего законодательства. Нужно отметить, что правовая сторона составляющая постоянно ужесточается, так как ПДН – элемент защиты не только данных, касающихся физического лица, но и информации, связанной с деятельностью компаний. Следует понять, что представляет собой термин, какие меры требуется предпринимать для реализации и повышения качества защиты сведений. В России защитой в этом сегменте занимаются на правительственном уровне. Постановления и законы также могут привлекать организации к ответственности, например, в случае утечки личных сведений, разглашения или махинаций с их элементами. Для понимания особенностей рекомендуется изучить виды обработки персональных данных.

Основные понятия и терминология

Не является секретом тот факт, что нарушить федеральный закон №152-ФЗ легко. В понятие входит не только несанкционированной передачи данных. Для полного понимания вопроса необходимо разобраться в терминологии и законодательной базе. 

Затем потребуется обратить внимание на тонкости в организации процессов. 

Персональные данные представляют собой информацию, которая, так или иначе, относится к физическому лицу. В законодательстве и праве он является субъектом персональных данных. Человек – владелец информации. Данные (ПДН) относятся к конкретному лицу, что позволяет определить и установить его личность.

Необходимо понимать тонкости законодательства, которые указывают, что не вся информация, которая может быть воспринята в качестве персональных данных, относится к рассматриваемой группе сведений. Так распространенные ФИО не дают возможности установить личность только с их помощью. По этой причине организации, собирающие персональные данные сотрудников, запрашивают дополнительную информацию. Требуется указать контактный номер телефона или личную электронную почту. В сочетании с ФИО это позволяет идентифицировать человека.

Виды персональных данных

Теперь нужно подробнее рассмотреть, какие бывают виды личной информации. Полный объем принято разделять на 4 категории, с каждой из которых удобно работать в определенных правовых ситуациях.

Общедоступные

Информация в этом случае размещается в открытых источниках с согласия субъекта. Предназначается не для обработки, а для ознакомления. Например, согласие можно дать на публикацию телефонного номера в справочнике. В таком варианте – это общедоступные ПДН, которые могут содержать дополнительно еще и ФИО человека, которому этот номер принадлежит. Определяет категорию именно факт размещения в открытых источниках, а не содержание.

Особенность законодательства:

  1. Общедоступная информация - статья 7 149-ФЗ.
  2.  Персональные данные, опубликованные в общедоступных источниках - статья 8 152-ФЗ. 

Если доступ открытый, то это не означает, что имеющиеся там записи являются общедоступными. Пример – социальные сети. В момент регистрации пользователь не соглашается на то, чтобы указанные данные становились общедоступными. 

Иные

К этой категории относится пласт информации, который нельзя включить в другие разделы. Этот вид считается насыщенным, так как в него включены:

  1. ФИО.
  2. Адрес электронной почты.
  3. Дата рождения.
  4. Номер телефона.

До момента размещения в общедоступных источниках они являются персональными.

Специальные

К этой категории относятся данные, которые позволяют понять суть личности человека:

  1. Какой религии он придерживается.
  2. Расовая принадлежность.
  3. Состояние здоровья.
  4. Место учебы.
  5. Должность по месту работы.
  6. Предпочтения и подробности личной жизни.

Именно эти сведения требуют особого внимания. Причина в том, что их утечка может навредить человеку.

Биометрические

Здесь нужно указать на такие данные, как:

  1. Физические особенности.
  2. Биологические особенности.

В группу входят: результаты анализа ДНК, отпечатки пальцев, группа крови, характеристики голоса и радужной оболочки глаза. Важно учитывать, что фотографии или видео могут быть отнесены к биометрическим данным. Причина в том, что все они применяются для проведения процедуры идентификации человека и определения личности. Этот вид требует особых мер безопасности при их обработке и в процессе хранения.

Виды обработки персональных данных

Теперь плавно нужно перейти к рассмотрению того, какие бывают виды обработки персональных данных. Процесс включает в себя все, что можно сделать с информацией о личности – сбор, хранение, публикация. Законодательной основой здесь выступает пункт 3 статьи 3 Федерального закона №152-ФЗ. Под его действие подпадает как автоматизированный сбор, так и обработка в ручном режиме. В процесс включены действия:

  1. Обновление.
  2. Уточнение.
  3. Использование.
  4. Обезличивание.
  5. Хранение.
  6. Накопление.
  7. Систематизация.
  8. Запись.

Даже удаление или уничтожение являются действиями, которые направлены на обработку.

Если обратиться к пункту 2 этой же статьи, то станет понятно, что оператором является не только государственный или муниципальный орган, но и юридические или физические лица. Они самостоятельно или в группе организуют и осуществляют обработку персональных данных, определяют цели обработки, состав данных, подлежащих операции. Важно - оператор несет ответственность за соблюдение требований законодательства, обязуется в процессе обработки обеспечивать безопасность и конфиденциальность.

Информационная система персональных данных (ИСПДн)

Для более углубленного понимания необходимо разобраться с тем, что такое уровни защищенности испдн, какие они бывают, в чем состоят их особенности. Понятие представляет собой комплекс, в который включены базы данных с персональными данными и технологические средства, предназначенные и используемые для обработки. Законодательная основа — федеральный закон №152 пункт 10, статья 3. В систему входят:

  1. Программное обеспечение.
  2. Аппаратное обеспечение.

Вместе элементы осуществляют сбор, хранение, защиту и обработку. Комплекс используется организациями (в том числе, в статусе ООО или ИП) для управления персональными данными сотрудников.

Регулирующие акты

Основным является все тот же №152-ФЗ. Здесь прописаны термины, принципы и условия обработки, перечислены обязанности оператора и права субъекта. В процессе работы нужно обращать внимание и на Постановление Правительства №1119. Здесь указаны типы угроз и уровни защищенности информационных систем, приведена классификация. Другом Постановлении (№687) указывается регулировка без использования автоматизированных средств. Приказ ФСТЭК России №21 устанавливает технические и организационные методы защиты. Также нельзя игнорировать и приказ ФСБ №378. В нем перечисляются и поясняются методы криптографической защиты.

Принципы обработки

Основываясь на действующих правовых мерах и законодательной составляющей, можно выделить следующие принципы:

  1. Законность обработки.
  2. Справедливость действий.
  3. Обозначенные цели.
  4. Разделение баз данных с разными целями.
  5. Соответствие объема данных и обозначенных целей.
  6. Точность обработки.
  7. Аккуратность производимых действий.
  8. Ограничение срока хранения.

Также нужно стремиться к тому, чтобы уменьшить количество сведений, которые должны быть обработаны, чтобы можно было использовать их в конкретной ситуации. Проверка определяет законность действий оператора, руководствуясь именно этими принципами.

Уровни защищенности персональных данных

Теперь нужно рассмотреть, как строится защита информации и персональных данных. Техническая составляющая процесс выстраивается на основе критериев:

  1. Кто субъект.
  2. Их количество.
  3. Категории информации, которую нужно защитить.

Также изучаются типы угроз, которые могут использоваться для того чтобы завладеть сведениями.

Типы угроз

Нужно понимать, что угрозы безопасности персональных данных различаются по степени опасности. Они могут совершенствоваться и приобретать новые возможности для проникновения в центр хранения или в базу данных. Существующие типы угроз определены в Постановлении Правительства №1119. Они распределены по уровням опасности с 1 по 3. Определение типа угроз проводится оператором. Нужно понимать, что 1-2 тип актуален для тех, кто использует нелицензионное ПО. Если же применяются сертифицированные средства защиты, работа осуществляется в защищенной среде, то потери информации не произойдет.

Средства защиты информации

Выбор средств защиты для оператора важен. Причина в том, что он должен учитывать, планирует ли проходить аттестацию ФСТЭК. Если он хочет проходить проверку, то должен использовать сертифицированные средства защиты информации, подходящие по показателю уровня защиты.

Проверка защищенности персональных данных

Регулятором выступает Роскомнадзор. Структура проверяет операторов и учитывает их. Дополнительно в процессе могут участвовать ФСТЭК и ФСБ. Проверка может быть:

  1. Плановая.
  2. По запросу.
  3. Мониторинговая.

К плановой проверке рекомендуется подготовиться заранее. Актуально для компаний среднего и крупного бизнеса. Мониторинговая проверка осуществляется с привлечением автоматизированных средств. Действия по запросу могут относиться как к плановой проверке, так и стать следствием работы после поступившего сигнала о проблемах с безопасностью в компании.

Защита персональных данных в облаке

Также меры защиты персональных данных могут быть подкреплены договором. Составляется и заключается он между сторонами (провайдер и оператор). Оператор ответственен за сохранность и безопасности информации, поэтому в его обязанности входит проверка безопасности облачного сервиса. Провайдер же должен предоставить действительный сертификат соответствия требованиям защиты.

5 рекомендаций компаниям по законной защите персональных данных

Нужно соблюдать следующие рекомендации:

  1. Учитывать принципы обработки данных.
  2. Обеспечить требуемый уровень защиты.
  3. Подобрать подходящий вариант защиты, исходя из акта оценки опасности угрозы. 
  4. Осуществлять процесс соблюдения законов, который должен сопровождаться внедрением системного контроля.
  5. Выбирать провайдера по степени надежности и безопасности сотрудничества с ним.

Только при условии соблюдения рекомендаций можно дать гарантию, что информационная составляющая не будет утрачена.