Требования по защите персональных данных в России существуют уже более 16 лет и с этого времени было выпущено большое количество различных документов и нормативных актов. Я думаю, мало кто будет спорить с тем, что в России требования нормативки традиционно являются драйвером рынка ИБ. Это верно как для защиты персональных данных, так и для защиты критической информационной инфраструктуры и других направлений ИБ. Поэтому прежде, чем говорить о тех технологиях и решениях, которые могут использоваться для обеспечения безопасности персональных данных, не лишним будет разобраться с тем, какие именно нормативные акты определяют необходимость выполнения тех или иных защитных мер.
ФЗ 152 и персданные
Основным документом, определяющим необходимость защиты персональных данных в России является Федеральный закон РФ № 152-ФЗ «О персональных данных» вступивший в силу 26.01.2007. Этот документ определяет требования по работе с персональными данными (ПДн) российских граждан, обеспечивает защиту их интересов и надлежащий уровень такой защиты. Конечно, последний пункт вызывает некоторые сомнения, так как на практике утечки персональных данных стали, к сожалению, нормой. Но сейчас мы говорим лишь о правовой стороне вопроса.
Итак, начнем с определений. Персональными данными будем называть любую информацию, которая относится к конкретному человеку, или субъекту персональных данных. ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные — всё это ПДн. По сути, персональные данные эта та информация, по которой можно идентифицировать конкретного человека. Так, к примеру по фамилии имени и отчеству однозначно идентифицировать человека будет достаточно проблематично. Попробуйте в поисковике ввести чье-либо ФИО. Если обладатель имени, отчества или фамилии не имеет какие-то уникальные данные, то скорее всего вы получите несколько десятков двойников. Добавление населенного пункта не сильно улучшит ситуацию, так как для крупных городов также возможны совпадения. Добавление даты рождения с большой долей вероятности позволит однозначно идентифицировать субъекта персданных. Хотя и здесь бывали случаи, когда ГИБДД выписывали штрафы полным тезкам реальных нарушителей, из-за того, что у них совпадали ФИО и даты рождения, а проверкой других данных никто не удосужился. Таким образом, однозначным идентификатором субъекта могут быть его ФИО совмещенные с номером телефона, паспортными данными, СНИЛС и т.д.
Действующее российское законодательство предусматривает 4 категории обрабатываемых ПДн:
общедоступные;
биометрические;
специальные;
иные.
Закон о персональных данных с момента своего создания подвергался изменениям, однако, четко в нем прописаны только три первые группы, а вот в отношении “иных” нет особой конкретики.
И перед тем, как приступать к построению системы защиты персональных данных, операторам персданных необходимо понять, с какими сведениями они работают, и только потом устанавливать степень защищенности ИС.
Биометрические ПДн
К биометрическим персональным данным относятся фотографии, отпечатки пальцев, в более экзотических случаях это могут быть рисунки сетчатки глаза и т.д. Подобные физиологические идентификаторы субъекта входят в категорию биометрических ПДн.
Обработка таких персональных данных в обязательном порядке требует получения письменного согласия владельцев. Возможно, вы сталкивались с подобной практикой, когда при посещении какого-либо предприятия с вас сначала брали согласие на обработку персональных данных, а потом фотографировали на пропуск. Это частный случай обработки биометрии.
Работая с биометрией, оператору нужно брать в расчет ограничение по условиям обработки — их разрешено собирать, дополнять, хранить и т.д. только до тех пор, пока не достигнута цель обработки или не прошел срок, прописанный в подписанном субъектом разрешении. Здесь снова вспоминаем согласие на обработку ПДн, в нем должна быть четко указана цель обработки и сроки.
Специальная категория
Еще одним важным видом персональных данных, требующим серьезной защиты являются данные специальной категории. Это сведения, касающиеся состояния здоровья, гендерная и расовая принадлежность, сведения интимного характера, включая сексуальную ориентацию и все, что касается половой жизни, философские воззрения, религиозные убеждения, политические взгляды и т.д. Персональные данные специальной категории также требуют получение письменного согласия установленного законом образца.
При отсутствии письменного согласия оператор может использовать сведения специальной категории, если они опубликованы в общедоступных источниках самим гражданином, выполняются действия в рамках судебного производства или по решению суда, возникновение риска для жизни и здоровья субъекта либо окружающих людей, обработка информации в рамках деятельности общественной либо религиозной организации.
Иные ПДн
Как уже упоминалось ранее, в законе нет четкого определения, какие сведения могут быть отнесены в группу Иных, в нормативно-правовой документации нет. Указано только, что речь идет о ПДн, не относящихся к биометрии, специальной и общедоступным категориям. То есть оператору, чтобы идентифицировать информацию как «иную», придется убедиться в том, что она не является биометрической, общедоступной или специальной.
В категорию иных ПДн относят данные, которые не подпадают под остальные категории. В целом, эта категория самая распространённая и в неё входят ФИО, номер телефона, электронная почта, дата рождения и тому подобная информация. Пока такие данные не разместили в общедоступных источниках, они иные
То, что доступно всем
И еще одной достаточно распространенной категорией являются общедоступные. Это та информация, которая содержится в профилях в социальных сетях, на сайтах объявлений и других общедоступных ресурсах Интернет. Это может быть имя, фамилия, город проживания, телефон, электронная почта или личные фотографии. В этом случае оператором данных выступает владелец площадки, который обрабатывает данные о своих пользователях.
Уровень защищенности
Следующим шагом, который нам необходимо выполнить является установление уровня защищенности персональных данных. Под уровнем защищенности персональных данных (УЗ) понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн).
Здесь в игру вступает постановление Правительства №1119, которое устанавливает две категории субъектов персональных данных:
лица, которые не являются штатными или внештатными сотрудниками организации;
лица, связанные с компанией трудовыми взаимоотношениями.
Также, важную роль играет количество граждан, чьи ПДн обрабатываются — меньше или больше 100 000 субъектов. И наконец, постановление №1119 определяет типы актуальных угроз для ИСПДн. Есть три типа угроз:
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Конечно, при такой классификации все стараются что называется “съехать” на угрозы третьего типа, так как они наименее серьезны. Обычно отсутствие угроз первого типа объясняют использованием лицензионного (сертифицированного) системного ПО, регулярной установкой обновлений, использованием средств защиты. Аналогично и со вторым типом. В случае, если в компании ведется самостоятельная разработка ПО, то обосновывают наличием сертифицированных специалистов, прошедших специальное обучение и т. д. Если разработка ПО ведется на заказ, тогда обосновывают тем, что компания разработчик давно существует на рынке, мы давно с ней сотрудничаем, их программисты оперативно выпускают обновления и т.д.
Так или иначе, но в большинстве случаев актуальные угрозы будут третьего типа.
В итоге, дабы не растягивать статью обильными текстовыми описаниями из постановления 1119, ниже приводится таблица, по которой с помощью представленных ранее данных можно получить Уровень защищенности, а также таблица с требованиями, которые постановление предъявляет к оператору ПДн для обеспечения безопасности.
Заключение
В этой статье мы рассмотрели основные нормативные акты, которые необходимы для начала работы с персональными данными. За рамками статьи остались “более технические” документы ФСТЭК и ФСБ о которых мы поговорим в следующей статье.
Также хочу пригласить вас на бесплатный вебинар про изменения 152-ФЗ в 2023 году. На вебинаре вы узнаете, что изменилось и как работать с персональными данными по новым правилам в 2023 году.
Зарегистрироваться на бесплатный вебинар