В 2023 году в России зафиксировали 168 случаев утечек персональных данных. Это на 20% больше чем в 2022 году. Закон №152-ФЗ «О персональных данных» предусматривает ответственность за утечки. Однако не все понимают, как он работает и как организовать хранение персональных данных в облаке или на сервере в соответствии с требованиями закона. Рассказываем, как бизнес может защитить данные сотрудников, партнеров и клиентов, и что будет, если этого не сделать.
Что такое №152-ФЗ
Федеральный закон №152 «О персональных данных» регулирует порядок действий при хранении, обработке и использовании персональных данных граждан РФ. Персональными считаются данные, по которым можно идентифицировать человека. Например, номер мобильного телефона к ним не относится, но если он указан вместе с ФИО человека, то это уже персональная информация, которая охраняется законом.
Закон вступил в силу в 2006 году, его соблюдение контролируют Роскомнадзор, ФСТЭК и (в особых случаях) ФСБ. Соблюдать №152-ФЗ обязаны все организации на территории России, которые работают с личными данными. При этом не играет роли масштаб компании, ее обороты, сфера деятельности и организационно-правовая форма. По сути, закон относится к каждому: от небольшого онлайн-магазина до банка или государственной организации.
Операторы ПДн и типы персональных данных
Компанию, государственное учреждение или физическое лицо которые собирают, хранят, обрабатывают и распространяют персональные данные, называют операторами ПДн. Если данные размещены не в сети, а на бумажных или физических носителях, они тоже попадают под действие закона «О персональных данных». Правда, в этом случае защитить их будет несложно. Достаточно положить бумаги в сейф, организовать видеонаблюдение и т.д. Чаще всего сложности у операторов ПДн возникают именно с хранением персональных данных в облаке.
Есть четыре типа персональных данных:
- специальные данные включают расу, национальность, убеждения человека и состояние его здоровья;
- к биометрическим данным относят отпечатки пальцев, изображение лица или сетчатки глаз, запись голоса;
- разрешенные для распространения данные — это ФИО, дата рождения, адрес, номер телефона, информация об образовании или роде деятельности;
- прочие данные — это информация о кличке домашнего питомца или стаже работы, ссылка на страницу в соцсетях и др.
Согласие на обработку персональных данных
Закон «О персональных данных» требует обязательно получать согласие на их обработку у субъекта ПДн. Субъект — это тот, чьи данные собираются и обрабатываются. Например, субъектом персональных данных может быть пользователь соцсетей или покупатель в онлайн-магазине. Когда мы говорим про обработку данных, мы имеем в виду сбор, хранение, извлечение, изменение, передачу удаление и любые другие действия.
В согласии на обработку данных указывают категории и цели обработки персональных данных. Получить его можно письменно или онлайн.
- Письменное согласие требуется при сборе персональных данных сотрудников, при обработке биометрической информации или сведений о здоровье. Также такое согласие требуется при передаче данных в другие страны.
- Согласие в интернете получают при сборе персональных данных в сети. Например, если сайт собирает Cookies, нужно согласие пользователя. Как правило, для этого достаточно соответствующей таблички, которая информирует, что «дальнейшее использование сайта означает автоматическое разрешение на сбор данных». В некоторых случаях пользователю нужно поставить галочку в специальном поле на сайте, без которой пользоваться ресурсом невозможно.
Ответственность за нарушение требований ФЗ №152
Оператор персональных данных должен не только спрашивать согласие на их обработку, но и следить, чтобы данные не попали в чужие руки. В противном случае его ждет наказание. Закон предусматривает разную ответственность для физических и юридических лиц, но с каждым годом правительство ужесточает наказание за утечки персональных данных.
Согласно КоАП и Уголовному кодексу, организация, в которой произошла утечка персональных данных, может выплатить оборотный штраф или даже понести уголовную ответственность с лишением свободы на срок до 5 лет. Поэтому многие предпочитают хранить и обрабатывать информацию в защищенном облаке, которое сокращает риск возникновения утечек.
Как устроено хранение персональных данных в облаке
Облачные провайдеры предлагают услугу облако ФЗ-152, благодаря которой организация получает доступ к облачной инфраструктуре, соответствующей требованиям закона «О персональных данных». Важное условие — размещение дата-центра провайдера на территории России.
По закону облачный провайдер не является оператором ПДн. Он предоставляет надежные инструменты для защиты и облако для хранения персональных данных, ответственность за которые несет организация. Например, компания самостоятельно решает, кому предоставлять доступ к информации. Облачный провайдер не может на это повлиять.
Уровни защищенности персональных данных и типы угроз
Уровень защищенности персональных данных в облаке выбирают в зависимости от:
- их вида,
- отношений с субъектами этих данных,
- типов угроз.
Общедоступные данные не требуют конфиденциальности, поэтому здесь часто бывает достаточно базового уровня защиты. А специальные, биометрические и прочие данные нуждаются в первом, втором или третьем уровнях защиты.
Угрозы — это условия для несанкционированного доступа к ПДн. При определении вида угрозы руководствуются «Методикой определения актуальных угроз безопасности ПДн при их обработке». Их можно разделить на возникающие в системном ПО, прикладном ПО и не связанные с ПО. Самый опасный вид угроз — это угрозы в системном ПО, например, на уровне ОС. Угрозы второго типа могут возникать в установленных программах, а угрозы третьего типа могут быть связаны с оборудованием. При использовании программного обеспечения, сертифицированного ФСТЭК, компания может избежать угроз первого и второго типа.
Классификация опасных факторов ПДн по ФЗ и четыре уровня защищенности информации в облаке
Выделяют четыре основных уровня защищенности защищенного облака:
- Четвертый уровень, самый простой. Его используют для защиты общедоступных и прочих данных с третьим, наименее опасным типом угроз. К нему относится обновление ПО и установка антивирусных программ.
- Третий уровень подходит для большинства организаций. Нужен для защиты общедоступных, прочих, биометрических и специальных данных от угроз второго и третьего типа. Предусматривает поиск и устранение уязвимостей в программном и аппаратном обеспечении.
- Второй уровень. Применяется для хранения данных любого типа с любыми типами угроз, включая первый. На этом уровне требуется установить систему обнаружения незаконных проникновений и резервного копирования.
- Первый уровень защищенности. Можно хранить специальные и биометрические данные при опасном первом типе угроз. Для его обеспечения нужна бесперебойная работа серверов и серьезные ограничения по установке ПО.
Ответственность облачного провайдера
Облачный провайдер не несет ответственность за защиту персональных данных в облаке персональных данных. Однако он обязан обеспечить соответствие сервисов требованиям законодательства. При организации инфраструктуры облака важно учитывать приказы ФСТЭК и выполнить целый ряд требований.
В сферу ответственности облачного провайдера входят:
- получение лицензии ФСТЭК и, при необходимости, ФСБ и Минкомсвязи;
- выявление потенциальных угроз и выбор правильного уровня защиты облака;
- принятие мер для защиты персональных данных в облаке;
- обеспечение оператора необходимыми инструментами безопасности;
- предоставление хостинга по требованиям 152-ФЗ;
- помощь заказчикам с защитой ПДн с их стороны.
Требования к оператору персональных данных
В отличие от провайдера, оператор персональных данных несет полную ответственность за их безопасность. Прежде всего, он должен выбрать защищенное облако 152-ФЗ, которое позволит безопасно хранить и обрабатывать конфиденциальную информацию.
Также ФЗ 152 требует от провайдера:
- выявить актуальный тип угроз;
- выбирать подходящий уровень защищенности;
- подбирать актуальные меры безопасности из набора стандартных и ситуативных мер;
- защищать собственную ИТ-инфраструктуру от угроз.
Как устроена защита персональных данных в облаке ITGLOBAL.COM
Международный облачный провайдер ITGLOBAL.COM предоставляет защищенное облако ФЗ-152для работы с персональными данными. Облачный сервис полностью отвечает требованиям федерального закона «О персональных данных» и оснащен дополнительными средствами безопасности.
Клиенты провайдера могут хранить персональные данные в публичном или частном облаке:
- публичное подходит для ПДн третьего и четвертого уровней защищенности;
- частное помогает обеспечить второй уровень защищенности данных.
Специалисты компании много лет работают в сфере применения ФЗ-152. Облака ITGLOBAL.COM имеют аттестаты соответствия ФЗ-152, которые позволяют поддерживать наиболее распространенные третий и четвертый уровни защищенности. Клиенту остается только использовать антивирус и сертифицированное программное обеспечение, регулярно обновлять ПО и использовать надежные пароли. Также у компании есть сертификат ISO 27001, лицензии ФСТЭК и ФСБ, подтверждающие обеспечение защиты конфиденциальных данных.
Дополнительно обеспечить безопасность персональных данных в облаке ITGLOBAL.COM помогают:
- антивирус Kaspersky Endpoint Security для бизнеса;
- криптошлюз Континент 4 IPC-50;
- сканер уязвимостей СВ;
- СЗИ VI vGate R2 Standard.
- защита конечных точек Secret Net Studio 8;
- шлюз ViPNet Coordinator HW1000 D 4.x;
- средства криптографической защиты информации.
Вывод
Закон № 152-ФЗ «О персональных данных» обеспечивает защиту персональных данных пользователей. Компании, которые работают с информацией такого типа, должны позаботиться о ее безопасности. При размещении данных на площадках, предоставляемых облачным провайдером, ответственность за сохранность данных по-прежнему несет компания, а не провайдер. Поэтому важно выбирать облако с максимальным уровнем защиты персональных данных. Например, публичные и приватные облака ФЗ-152 от ITGLOBAL.COM.
Предыдущая статья
