Защита персональных данных в облаке ФЗ-152

В России обращение с персональными данными регулируется федеральным законом №152-ФЗ от 27.06.2006 и некоторыми другими нормативными актами. Любая организация, работающая с персональными данными, обязана следовать этим правилам, чтобы избежать штрафов от Роскомнадзора. Это касается данных клиентов, подрядчиков и сотрудников.

Нарушить закон №152-ФЗ легко, и это касается не только несанкционированной передачи данных. Для полного понимания вопроса необходимо разобраться в терминологии и законодательной базе, а уже потом изучить тонкости процесса организации защиты. Начнем с основ.

Основные понятия и терминология

Согласно пункту 1 статьи 3 Федерального закона №152-ФЗ:

Персональные данные — это любая информация, связанная с прямо или косвенно определяемым физическим лицом (субъектом персональных данных).

В этом же документе приводится определение субъекта персональных данных:

Субъект — это владелец персональных данных, а сами данные (ПДн) — это информация, относящаяся к конкретному человеку или позволяющая установить его личность.

При этом не вся информация, которая кажется персональными данными на первый взгляд, действительно является таковой. Как пример,распространенное имя — Иван Петрович Смирнов. По всей стране таких Иванов может быть множество, и конкретно установить его личность не получится. Это осознают и компании, собирающие персональные данные, поэтому для идентификации они запрашивают дополнительную информацию: номер телефона или электронную почту. В сочетании с ФИО этот набор данных позволяет компании точно идентифицировать Ивана Петровича Смирнова, и такой набор будет считаться персональными данными.

Виды персональных данных

Все персональные данные можно разделить на 4 больших категории: общедоступные, иные, специальные и биометрические.

Общедоступные 

Информация о субъекте, размещённая в открытых источниках с его согласия (не на обработку, а на классификацию данных как общедоступные).

Если наш Иван Петрович дал согласие на размещение своих ФИО и номера телефона в справочнике, то такие данные будут считаться общедоступными. Общедоступные персональные данные определяются именно фактом их размещения в открытых источниках, а не содержанием.

Важно не путать общедоступную информацию (статья 7, 149-ФЗ) с персональными данными, опубликованными в общедоступных источниках (статья 8, 152-ФЗ). Открытый доступ к персональным данным не делает их автоматически общедоступными.

Наглядным примером являются социальные сети. Судебная практика показывает, что социальные сети не относятся к категории общедоступных источников. Это связано с тем, что при регистрации пользователи не дают письменного согласия на размещение своих данных в общедоступных источниках, как того требует закон.

Иные

Информация, которая не подпадает под остальные категории. Она же является самой обширной и включает в себя такие сведения, как ФИО, номер телефона, электронная почта, дата рождения и подобная информация. До тех пор, пока эти данные не размещены в общедоступных источниках, они считаются иными персональными данными.

Специальные

Сведение о человеке, которые характеризует его как личность, включая отношение к религии, расовую принадлежность, подробности интимной жизни или состояние здоровья. Эти данные требуют особой защиты и строгого соблюдения правил обработки, поскольку их утечка может привести к серьезным последствиям для человека.

Биометрические

Комплекс сведений, описывающих биологические и физические особенности человека, используемые для его идентификации. К ним относятся ДНК, отпечатки пальцев, группа крови, характеристики голоса и радужка глаза. Фотографии или видео с человеком также могут быть отнесены к биометрическим данным, если они используются для его идентификации. Биометрические данные особенно чувствительны и требуют высоких мер безопасности при их обработке и хранении.

Виды обработки персональных данных

Любые действия осуществляемые с персональными данными, такие как их сбор и хранение, называются обработкой. Согласно пункту 3 статьи 3 Федерального закона №152-ФЗ:

Обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием автоматизированных средств или без их использования с персональными данными.

Под инструментами обработки подразумевается:

• сбор,
• запись,
• систематизация,
• накопление,
• хранение,
• уточнение (обновление, изменение),
• извлечение,
• использование,
• передача (распространение, предоставление, доступ),
• обезличивание,
• блокирование,
• удаление,
• уничтожение.

Организация, занимающаяся обработкой называется оператором персональных данных. Согласно пункту 2 статьи 3 Федерального закона №152-ФЗ:

Оператор — это государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки, состав, подлежащих обработке, и действия (операции), совершаемые с ними. Оператор несет ответственность за соблюдение всех требований законодательства в процессе обработки данных, включая обеспечение их безопасности и конфиденциальности.

Информационная система персональных данных (ИСПДн)

Комплекс, включающий базы с персональными данными и технологические средства для их обработки. Как и большинство предыдущих, термин определяется Федеральным законом №152 (пункт 10, статья 3). В ИСПДн входит как программное, так и аппаратное обеспечение предназначенное для сбора хранения, обработки и защиты информации. Комплекс используется частными и коммерческими организациями для управления персональными данными и обеспечения их безопасности в соответствии с требованиями законодательства.

Какие акты регулируют обращение с персональными данными

1. Федеральный закон «О персональных данных» от 27.06.2006 года №152-ФЗ: Этот закон устанавливает основные термины, принципы и условия обработки персональных данных, а также обязанности оператора и права субъекта.
2. Постановление Правительства №1119 от 01.11.2012 года: Определяет типы угроз и уровни защищенности информационных систем (ИСПДн), их классификацию.
3. Постановление Правительства №687 от 15.09.2008 года: Регулирует обработку без использования автоматизированных средств.
4. Приказ ФСТЭК России №21 от 18.02.2013 года: Устанавливает технические и организационные методы защиты.
5. Приказ ФСБ России №378 от 10.07.2014 года: Описывает методы криптографической защиты.

Принципы обработки 

5 статьей Федерального закона регламентированы следующие 7 принципов, которые обязаны соблюдать операторы при работе с персональными данными:

1. Законность и справедливость обработки. Процесс обработки должен проходить в соответствии с законом и на справедливой основе. Для сотрудников предприятий учитывается трудовое законодательство.
2. Определённые цели обработки. Сбор данных должен осуществляться исключительно для конкретных целей, указанных в согласии на их обработку. Нельзя собирать информацию из расчета «на всякий случай».
3. Разделение баз данных с разными целями. Данные, собранные для различных целей, не должны храниться в одной базе. Например, информация о клиентах и сотрудниках должна храниться раздельно.
4. Соответствие объема данных целям обработки. Собирать следует только ту информацию, которая действительно необходима для достижения заявленных целей. Например, для рассылки почты не требуется запрашивать биометрию.
5. Минимизация. Объём собираемых и обрабатываемых данных должен быть адекватен и не превышать необходимый минимум для достижения целей обработки.
6. Точность и актуальность. Оператор обязан поддерживать данные в актуальном и точном состоянии, своевременно обновляя или удаляя устаревшие сведения.
7. Ограничение срока хранения. Информация должна быть удалена после достижения целей обработки, если отсутствуют законные основания для ее дальнейшего хранения.

Соблюдение этих принципов обязательно для всех структур, осуществляемых обработку. При проверках контролирующие органы будут оценивать соответствие деятельности оператора требованиям статей 5 и 6 Федерального закона №152-ФЗ.

Уровни защищенности ПДн

Выбор технологических мер для защиты основывается на четырех ключевых критериях:

1. Кто является субъектом обработки. Это могут быть сотрудники компании или внешние лица.
2. Количество субъектов обработки: Объем обрабатываемых данных может варьироваться в зависимости от числа субъектов.
3. Категории обрабатываемых ПДн: Различные категории данных требуют разных уровней защиты.
4. Тип угроз.

Если с первыми тремя критериями все просто, то типы угроз требуют более детального рассмотрения.

Типы угроз

Актуальные угрозы безопасности представляют собой условия и факторы, которые могут привести к несанкционированному доступу к информации, ее уничтожению, изменению, блокированию, копированию, распространению и другим неправомерным действиям.

Все типы угроз определены в Постановлении Правительства №1119:

1. Угрозы 1-го типа. Возникают, если в системном программном обеспечении информационной системы присутствуют недокументированные возможности.
2. Угрозы 2-го типа: Актуальны для систем, где недокументированные возможности имеются в прикладном программном обеспечении.
3. Угрозы 3-го типа: Возникают при наличии угроз, не связанных с недокументированными возможностями в системном и прикладном программном обеспечении.

Определение типа угроз проводится оператором с учетом оценки возможного вреда, в соответствии с пунктом 5 части 1 статьи 18.1 и частью 5 статьи 19 Федерального закона №152-ФЗ. Оценка осуществляется на основании «Методики определения актуальных угроз безопасности ПДн при их обработке в ИСПДн». Четкого разграничения типов угроз для различных операторов нет. Однако, угрозы 1-го и 2-го типа не актуальны для операторов, использующих лицензионное системное программное обеспечение и сертифицированные средства защиты информации в защищенной информационной среде.

Средства защиты информации

При выборе средств защиты оператор должен учитывать, планирует ли он проходить аттестацию. Аттестацию проводит лицензиат ФСТЭК, и она обычно необходима для государственных и муниципальных учреждений. Коммерческим компаниям аттестация может потребоваться для сотрудничества с такими организациями, но чаще всего она не требуется. Для большинства негосударственных организаций достаточно акта оценки эффективности, который обязателен для всех операторов согласно части 2 пункта 4 статьи 19 Федерального закона №152-ФЗ.

Если оператор выбирает аттестацию, он должен использовать сертифицированные средства защиты информации (СЗИ), соответствующие уровню защищённости его системы. При выборе акта оценки эффективности оператор может использовать несертифицированные СЗИ, но обязан продемонстрировать их соответствие необходимым нормам.

Особое внимание криптозащите: при её использовании необходимо применять сертифицированные ФСБ средства криптографической защиты информации (СКЗИ), которые соответствуют уровню защищённости системы.

Проверка защищенность ПДн

Основной регулятор в области персональных данных — Роскомнадзор. Он проверяет операторов и ведёт их учёт. В некоторых случаях также могут участвовать ФСТЭК и ФСБ. У Роскомнадзора есть несколько способов проверки соблюдения закона:

• Плановая проверка. Проводится региональным отделением Роскомнадзора раз в 3 года. Проверка включает запрос документов, связанных с обработкой ПДн, и общение с сотрудниками оператора.
• Внеплановая проверка. Проводится при подозрении на нарушение законодательства. Оператор уведомляется за сутки до проверки.
• Запрос. Роскомнадзор может направить запрос для объяснения жалоб и предоставления документов.
• Мониторинг. Проверка сайта оператора на нарушения вручную или в автоматическом режиме.

К плановой проверке рекомендуется готовиться заранее, так как собрать нужное количество документов и привести их в порядок удается далеко не за один день. Это особенно актуально для компаний среднего и крупного звена. 

Защита ПДн в облаке

Защита персональных данных в облаке также регулируется Федеральным законом №152-ФЗ. Оператор может использовать инфраструктуру провайдера для обработки данных, но остаётся ответственным за их защиту.

Наиболее важные аспекты при этом:

• Договор между провайдером и оператором включает услуги хостинга, но не обработку ПДн. Договор об оказании услуг должен быть предоставлен проверяющему органу.
• Оператор несёт ответственность за персональные данные и должен принять меры в соответствии с ст. 18, 19 ФЗ-152.
• Выбирая провайдера, оператор должен убедиться, что облачный сервис соответствует требованиям Федерального Закона (защищенное облако 152 ФЗ). Также его серверы должны находиться на территории РФ. 
• У провайдера должен быть актуальный сертификат соответствия требованиям защиты ПДн. 

Резюмируя этот пункт: оператор продолжает нести ответственность перед субъектом данных, а провайдер — перед оператором по условиям договора.

5 рекомендаций компаниям по законной защите ПДн

1. Соблюдайте 7 принципов обработки данных, которые регламентированы Статьей 5 Федерального закона №152-ФЗ.
2. Обеспечьте необходимый уровень защиты посредством принятия организационных и технологических мер. Оптимален 4-й уровень, но выбор должен основываться на характере данных и типах угроз.
3. Определитесь с вариантом защиты — акт оценки эффективности или аттестация, и подберите соответствующие средства защиты информации (СЗИ).
4. Создайте процесс соблюдения законодательства за счет внедрения системного контроля, чтобы успешно проходить проверки Роскомнадзора.
5. Выбирайте надежных провайдеров хостинга с серверами в России и аттестацией по защите информации.