Средства обеспечения безопасности персональных данных
Защита персональных данных
с помощью DLP-системы
В опрос защиты информационных прав человека и его персональных данных уже не первый год стоит на повестке дня. Меняются модели угроз, меняются используемые технические и информационные средства. Документы, издаваемые государственными ведомствами, не только стараются успеть за меняющейся реальностью, но и предоставляют операторам возможность самостоятельно выбирать средства для защиты персональных данных.
Нормативно-правовая документация
Система обеспечения конфиденциальности персональных данных регулируется Федеральным законом «О персональных данных», Постановлением Правительства № 1119, рекомендациями ФСТЭК России. В законе описаны основные термины и определения, устанавливаются права и обязанности оператора, в том числе в области выбора средств обеспечения персональных данных, ответственность операторов. Постановление Правительства определяет, по каким критериям информационные системы персональных данных относятся к различным уровням защищенности. Приказ ФСТЭК России № 21 называет конкретные 15 групп технических мер, применяемых для обеспечения безопасности. В каждой группе определяются и средства, которые вправе использовать оператор.
Классификация систем защиты персональных данных
Информационные системы персональных данных подразделяются по уровням защищенности – от низкого до максимального. Зависит это ранжирование от количества человек, чьи данные обрабатываются, и от характеристики данных. По рангам системы обеспечения безопасности данных разделяются операторами на две группы:
К первой группе относятся системы, чьей задачей становится только обеспечение режима конфиденциальности и безопасности данных. Понятие конфиденциальности подразумевает соблюдение двух параметров:
- обработка данных допустима только силами лиц, специально на это уполномоченных внутренней документацией организации-оператора;
- передача данных осуществляется только при условии их шифрования.
Для специальных систем обеспечения безопасности данных, кроме характеристики конфиденциальности, требуется обеспечить дополнительные меры защиты, хотя бы одну из перечня. К ним относятся:
- целостность. Этот термин подразумевает, что любые изменения данных производятся только в регламентированном порядке, например, изменения в амбулаторную карту больного вправе вносить только лечащий врач. Также целостность обеспечивается передачей данных по телекоммуникационным сетям только с использованием электронной подписи;
- доступность. Понятие предполагает, что система используется только определенными пользователями и в определенных временных рамках.
К специальным системам, требующим применения специальных средств обеспечения безопасности данных, относятся две группы:
- обрабатывающие данные, связанные со здоровьем человека;
- обрабатывающие персональные данные таким образом, что результат работ становится основанием для принятия юридически значимых решений.
Также системы защиты конфиденциальных данных можно разделить на автономные, без прямого подключения к телекоммуникационным сетям, и имеющие такие подключения, требующие повышенной заботы об обеспечении безопасности сведений.
Выбор технических средств защиты персональных данных
Выбор средств автоматизации, применяемых для обеспечения безопасности при обработке персональных данных, в конечном счете зависит от таких параметров:
- требуемого Постановлением Правительства уровня защищенности информационной системы персональных данных;
- финансовых и организационных возможностей операторов;
- применяемых для обеспечения безопасности технических решений;
- наличия или отсутствия лицензии ФСТЭК.
Опираясь на эти параметры, оператор может к базовым средствам защиты безопасности персональных данных добавлять инициативные, для достижения системой уровня безопасности, релевантного актуальным угрозам субъектам персональных данных и их информационным правам.
Таким образом, оператору необходимо обеспечить наличие технических средств, которые способны:
- идентифицировать и аутентифицировать пользователей, устанавливать индивидуальные уровни допуска к тем или иным категориям персональных данных;
- контролировать выход данных из системы, например, передачу по почте или в мессенджере, перенос на съемные носители. Эту задачу могут решить DLP-системы и SIEM-системы. Кроме того, необходимо обеспечить шифрование сведений, передаваемых по штатным каналам связи или находящихся непосредственно в информационных базах, при помощи средств криптографической защиты;
- обеспечивать максимально возможную защиту информационных баз персональных данных, подключенных к телекоммуникационным сетям, от внешних атак. Для этого требуется установка антивирусной защиты, других способов защиты от хакерских и иных атак, использование электронной подписи, шифрование исходящего трафика при помощи ключей и сертификатов, сгенерированных пользователем и зарегистрированных в удостоверяющих центрах;
- производить регистрацию всех действий пользователей в системе, что повышает уровень и безопасности персональных данных, и мотивации сотрудников на ее обеспечение.
Технические средства и программные продукты должны быть аттестованы и сертифицированы ФСТЭК России по классу не ниже АК2 по классификации ФСБ РФ. Для примера, операционной системой, соответствующей этому классу, является Windows XP с пакетом обновления Secure Pack Rus. Для специальных систем требуется соблюдение всех требований этого класса защищенности. Дополнительно потребуется аттестация ФСТЭК РФ помещения, в котором находятся компьютеры. Раз в три года необходимо проводить проверку соответствия применяемых средств текущим предъявляемым требованиям.
От опыта и технической подготовки оператора зависят и выбор средств обеспечения безопасности персональных данных, и сама их защищенность. При возникновении сомнений в своей компетенции лучше обратиться за профессиональными услугами.
Источник
Защита персональных данных: обзор последних нововведений
 |
| nadiabormotova / Depositphotos.com |
Повсеместная цифровизация обоснованно поднимает вопрос о защите персональных данных граждан. В связи с этим все чаще пользователи сталкиваются с несанкционированным распространением их персональных данных в различных сферах, напоминает председатель Комиссии Общественной палаты РФ по развитию информационного сообщества, СМИ и массовых коммуникаций Рифат Сабитов в ходе круглого стола «Россияне – хозяева своих персональных данных», организованным Общественной Палатой РФ. С целью предотвращения нелегальной обработки персональных данных принимаются законодательные и подзаконные акты, правомочные усилить их защиту, – с каждым годом частота их появления увеличивается, что говорит о заинтересованности государственных органов урегулировать данный вопрос. Разберемся, какие нововведения, регулирующие оборот персональных данных, появились за последнее время, а также выясним мнение экспертного сообщества по вопросам уровня защиты персональных данных на государственном уровне.
Доверие граждан по вопросу защиты персональных данных – что говорит статистика
На данный момент от обработки персональных данных и применения информационных ресурсов зависит глобальный процесс цифровизации в России – от развития цифровой экономики до создания комфортных государственных сервисов, заметил руководитель рабочей группы ОП РФ по законодательству в сфере интернет-технологий и цифровизации Вадим Виноградов. Эксперт заметил, что персональные данные должны быть защищены именно со стороны государства. Действительно, результаты статистических исследований демонстрируют низкий уровень уверенности граждан в том, что они самостоятельно способны защитить свои персональные данные – так, например, в исследовании Института статистических исследований и экономики знаний НИУ ВШЭ количество таких граждан составляет более 50% 1 . Как следует из результатов опроса, 81% респондентов согласились с тем, что они могут положиться на государство в вопросе защиты своих персональных данных. При этом более трети россиян (37%) не осведомлены о том, в каких целях могут быть использованы их персональные данные, как следует из совместного исследования ВЦИОМ и Ассоциации больших данныха 2 . По данным этого опроса, большинство респондентов чувствуют свою незащищенность от краж или утечек персональных данных – 48% уверены в том, что их данные скорее не защищены, в то время как 26% выразили мнение об абсолютном отсутствии соответствующей защиты. Как отметил директор Регионального общественного центра интернет-технологий (РОЦИТ) Рустам Сагдатулин, проведенные исследования отношения граждан к регулированию в сфере персональных данных показало, что пользователи одобряют меры по регулированию интернет-пространства, а также поддерживают меры по противодействию мошенничеству и обеспечению сохранности их личных данных.
Новое в регулировании защиты персональных данных
Как утверждает заместитель руководителя Роскомнадзора Вагнер Милош, появление новых законодательных инициатив в первую очередь связано со стремлением усилить защиту прав граждан – субъектов персональных данных. Одним из наиболее важных нововведений в этом году стало принятие поправок в закон о персональных данных в части общедоступных данных. Напомним, 1 марта вступили в силу изменения в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Ранее ГАРАНТ.РУ писал – появились нормы, регламентирующие новый порядок удаления персональных данных из общего доступа. Теперь субъект персональных данных может обратиться к любому оператору персональных данных с требованием удалить их из общего доступа без дополнительных условий доказывания факта неправомерной обработки его персональных данных.
1 сентября вступил в силу Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 февраля 2021 г. № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Документ регламентирует содержание согласия, а именно – перечень сведений о субъекте персональных данных (Ф.И.О. и контактную информацию) и об операторе (включая сведения об информационных ресурсах, с помощью которых будет осуществляться действия с персональными данными). Также согласие должно содержать цели обработки персональных данных, категории и перечень персональных данных, на обработку которых дается согласие или устанавливаются запреты со стороны субъекта персональных данных. При этом согласие должно содержать условия, при которых данные могут передаваться оператором. Новое согласие также должно включать срок действия.
Автор мартовских поправок в отношении общедоступных персональных данных, депутат Госдумы Антон Горелкин, объяснил, что основной смысл нововведений состоял в том, чтобы дать гражданам возможность принимать решение о том, какую информацию о себе и на каких условиях следует предоставить интернет-платформам. По мнению депутата, до принятия поправок возникали сложности с удалением персональных данных с сайтов и агрегаторов. По его словам, платформы использовали персональные данные интернет-пользователей для дальнейшей монетизации, что представляло собой выгодный бизнес.
Антон Горелкин, депутат Госдумы :
«С 1 марта у пользователей интернет-ресурсов должны спрашивать отдельное согласие на распространение личной информации. При регистрации теперь недостаточно проставление галочки под пользовательским соглашением, должен быть отдельный вопрос с возможностью прямого ответа на него. Недопустимо применение шаблона «подразумевается по умолчанию» и прочего «юридического камуфляжа» – только прямое согласие по форме, утвержденным новым приказом Роскомнадзора. Это переход к новому ответственному стилю отношений между интернет-бизнесом и пользователями».
Принятие новых законов позволяет расширить возможности граждан предпринимать самостоятельные действия по регулированию оборота их персональных данных, считает Вагнер Милош. Теперь граждане могут требовать от операторов персональных данных восстановления своих прав только по причине того, что данные относятся к субъектам, без соблюдения дополнительных условий. При этом такие требования могут удовлетворяться быстрее, чем раньше. Выражая позицию Роскомнадзора эксперт заметил, что новые законодательные инициативы перекладывают бремя доказывания о правомерности или неправомерности обработки персональных данных с субъекта на оператора. При этом оператор обязан прекратить их передачу (то есть распространение, предоставление и доступ) в течение трех рабочих дней с момента получения требования субъекта персональных данных.
По мнению первого заместителя председателя Комитета Совета Федерации по конституционному законодательству и государственному строительству Ирины Рукавшиниковой на данный момент рано подводить итоги об эффективности нововведений, должно пройти время для оценки их применения. Однако уже можно сделать промежуточные выводы о том, что на практике граждане все-таки сталкиваются с проблемными ситуациями. Эксперт приводит в пример ситуацию, при которой пользователь обращается к интернет-платформе с требованием удалить персональные данные. При этом в лучшем случае между ними происходит спор по переписке, в результате которого выясняется, что платформа не считает персональными данными определенную личную информацию о гражданине. А чаще всего платформы не отвечают на запросы пользователей. Фактически, на такое обращение пользователь получает отказ, с которым обращается в Роскомнадзор, у которого, по мнению эксперта, недостаточно полномочий пресечь нарушение и прекратить распространение персональных данных. В связи с этим субъект персональных данных должен обращаться в суд за защитой своих прав. Иными словами, регламентированная законом о персональных данных процедура на практике не оказывается такой эффективной, резюмировала Ирина Рукавшиникова.
С коллегой согласен другой эксперт, Александр Журавлев, председатель Комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России. Он отмечает, что регламентируемые в законе способы защиты прав граждан – обращение к Роскомнадзору или в суд (взыскание морального ущерба или убытков) – не являются эффективными. Так, взыскание морального вреда является достаточно сложным по доказыванию процессом, так как для этого нужно делать медицинские справки и освидетельствования, объясняет эксперт. Размер компенсаций составляет от 5 тыс. до 15 тыс. руб. Взыскание убытков за счет необходимости доказывать причинно-следственную связь между действиями или бездействием оператора, нарушением прав субъектов персональных данных – на сегодняшний день эта процедура представляется практически невозможной, уверен Александр Журавлев. Таким образом из-за сложности доказывания и отсутствие дополнительных возможностей, которые помогали бы субъекту персональных данных защищать свои права, случаев обращения в суд за взысканием убытков нет.
Среди новых инициатив также можно выделить подготовленный 2 сентября Министерством цифрового развития, связи и массовых коммуникаций РФ проект приказа, который размещен на портале проектов нормативных правовых актов для общественного обсуждения, которое окончится 16 сентября 3 . Он регламентирует порядок уничтожения персональных данных, полученных в результате обезличивания, субъектом экспериментального правового режима (ЭПР) в сфере цифровых инноваций в случае прекращения статуса субъекта ЭПР. Согласно документу, такие персональные данные должны быть заблокированы в срок не позднее окончания рабочего дня, следующего за днем прекращения статуса субъекта ЭПР, а затем уничтожены в срок до 7 рабочих дней. При этом факт уничтожения должен быть зафиксирован и передан Роскомнадзору, ФСБ и уполномоченному лицу (разъяснений в отношении данного субъекта в документе не предоставляется).
Проблема соблюдения требования о локализации
Одной из наиболее актуальных проблем в области соблюдения закона о персональных данных является невыполнение требований о локализации. Напомним, что в соответствии с законом при обработке персональных данных оператор обязан использовать базы данных, находящиеся на территории России (в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных»). В особенности это касается крупных интернет-компаний, в отношении которых за последнее полугодие число административных протоколов, составленных Роскомнадзором, увеличилось – такие заявления периодически появляются в СМИ. Так, например, 26 августа Таганский районный суд Москвы оштрафовал WhatsApp (принадлежит Facebook Inc) за нарушение требования о локализации (в соответствии с ч. 8 ст. 13.11 КоАП РФ), а также Facebook (Facebook Inc) и Twitter (Twitter Inc) за повторные нарушения (в соответствии с ч. 9 ст. 13.11 КоАП РФ) 4
Необходимость наличия требования о локализации персональных данных Вагнер Милош объясняет тем, что интернет-площадки являются одними из крупнейших операторов персональных данных. Эксперт напомнил, что крупные операторы персональных данных, ведущие свою деятельность в Интернете, зачастую не исполняют такое требование и не платят штрафы. Он считает, что основная проблема заключается в том, что размеры штрафов, предусмотренные КоАП РФ, не представляются значительными для транснациональных компаний. Напомним, что невыполнение юридическими лицами требования о локализации влечет наложение штрафа в размере от 1 млн до 6 млн руб. (ч. 8 ст. 13.11 КоАП РФ), при повторном нарушении – от 16 млн до 18 млн руб. (ч. 9 ст. 13.11 КоАП РФ). Милош Вагнер считает, что сложившая ситуация может выступить направлением для дальнейшего изменения законодательства, например, для корректировки размера штрафа в соответствии с размером компаний. С экспертом согласен Александр Журавлев: он напомнил, что в сравнении с другими правопорядками, в России такие штрафы за подобные правонарушения значительно ниже штрафов, применяемых во многих странах мира.
Какие проблемы не охватывает текущее законодательное регулирование?
Представители государственных органов обратили внимание, что значительную часть актуальных проблемных моментов нововведения все еще не охватывают. По мнению Ирины Рукавшиниковой, одним из наиболее важных для обсуждения вопросов является требование чрезмерного количества персональных данных, которые не нужны для оказания определенной услуги. Так, например, для того, чтобы взять велосипед на прокат в Москве требуется предъявить не только номер банковской карты, но и скан паспорта. Эксперт считает такие требования избыточными. Действительно, такие требования могут нарушать один из принципов обработки персональных данных, согласно которому содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки (ч. 5 ст. 3 закона о персональных данных). Законом определено, что обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. При этом при отказе предоставлять требуемые оператором персональные данные субъекту отказывают в предоставлении услуги. Ирина Рукавшиникова считает, что избежать данную проблему поможет законодательное ограничение для запрета неправомерного и необоснованного сбора персональных данных, когда это не обусловлено характером деятельности или услуг оператора.
1 С текстом исследования и материалами к нему можно ознакомиться на официальном сайте Института статистических исследований и экономики знаний НИУ ВШЭ.
2 С текстом исследования и материалами к нему можно ознакомиться на официальном сайте ВЦИОМ.
3 С текстом проекта постановления Минцифры РФ «Об утверждении порядка уничтожения персональных данных, полученных в результате обезличивания, субъектом экспериментального правового режима в сфере цифровых инноваций в случае прекращения статуса субъекта экспериментального правового режима» и материалами к нему можно ознакомиться на федеральном портале проектов нормативных правовых актов (ID: 01/02/09-21/00119927).
4 С новостью можно ознакомиться на официальном сайте Роскомнадзора.
Источник
