Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Кибербезопасность: как защитить персональные данные в интернете». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
При выборе защитных мер необходимо учитывать, будут ли персданные обрабатываться в информационных системах или нет. Кроме того, следует обеспечить физическую защиту носителей пнд, оборудовать специальное помещение для хранения персональных данных, чтобы уберечь от несанкционированного доступа. В подавляющем большинстве персданные в электронном и бумажном виде имеются в распоряжении отдела кадров и бухгалтерии.
Какие меры необходимо предпринять по защите персональных данных сотрудников?
Среди мер защиты выделяют:
-
ограниченное число работников, которые имеют доступ к персданным;
-
принятие нормативных документов;
-
утверждение перечня документов, которые содержат пнд;
-
внедрение программных для защиты информации на эл. носителях – например, антивирусную защиту;
-
проведение профилактических работ с сотрудниками – тесты на знание правил хранения пнд;
-
установление режима по пропускам;
Этот список можно продолжать до бесконечности, так как перечень защитных мер работодатели вправе определять самостоятельно.
# Нужны ли лицензии оператору, например, на деятельность по технической защите конфиденциальной информации?
Здесь, пожалуй, можно дать односложный ответ: нет. Дело в том, что лицензии могут понадобиться подрядчику Оператора в случае, если сам оператор приглашает подрядчика оказать услуги по разработке проектов организационно-распорядительных документов и необходимых организационно-технических мер. В этом случае подрядчику понадобится как минимум лицензия на деятельность по технической защите конфиденциальной информации, выдаваемая ФСТЭК России, а также может понадобиться лицензия ФСБ России на деятельность, связанную с применением в ИСПДн шифровальных/криптографических средств. Вывод Ни для клиента, ни для хостинг-провайдера озвученные лицензии не нужны, они необходимы исключительно подрядчику, реализующему внедрение мер по защите информации.
# Какова ответственность в случае нарушения требований по защите ПДн?
Вопрос ответственности за невыполнение требований законодательства по защите ПДн является часто задаваемым. Кто-то, отмахиваясь, полностью игнорирует законодательство о ПДн, считая его формальностью, кто-то, наоборот, приводит весомый список наказаний и боится наступления часа «Икс». Какова же реальность? Ответственность, за нарушение требований по защите ПДн Статья 24 закона № 152-ФЗ «О персональных данных» определяет вид ответственности за нарушение требований ФЗ, которая заключается в том, что лица, виновные в нарушении требований закона, несут
- гражданскую ответственность;
- уголовную ответственность;
- административную ответственность;
- дисциплинарную и иную ответственность, предусмотренную законодательством РФ.
Неисполнение требований закона «О персональных данных» приводит организации к следующим рискам:
- гражданские иски со стороны клиентов или работников;
- приостановление или прекращение обработки ПДн в организации;
- привлечение организации и/или ее руководства к административной, уголовной, гражданской, дисциплинарной и иным видам ответственности;
- приостановление действия или аннулирование лицензий на основной вид деятельности организации;
- репутационные риски;
- риски недобросовестной конкуренции.
Система защиты персональных данных (СЗПДн), строится на основании:
- Отчета по результатам обследования(внутренней проверки) информационных систем персональных данных;
- Перечня персональных данных, обрабатываемых в Поликлинике;
- Акта установления уровня защищенности персональных данных;
- Модели нарушителя и угроз безопасности персональных данных;
- Положения о разграничении прав доступа к обрабатываемым персональным данным;
- Действующего законодательства Российской Федерации в области защиты информации;
- Руководящих документов ФСТЭК,ФСБ России и РОСКОМНАДЗОР.
На основании этих документов определяется необходимый уровень защищенности ПДн ИСПДн Поликлиники. На основании анализа актуальных угроз безопасности ПДн описанного в Модели угроз и Отчета по результатам обследования (внутренней проверки) информационных систем персональных данных, делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПДн. Выбранные необходимые мероприятия отражаются в Плане мероприятий по обеспечению защиты ПДн.
Для ИСПДн должен быть определен состав используемых технических средств защиты, а так же программного обеспечения участвующего в обработке ПДн, на всех элементах ИСПДн: АРМ пользователей; сервера приложений; СУБД; граница ЛВС; каналов передачи в сети общего пользования и (или) международного обмена, если по ним передаются ПДн.
В зависимости от уровня защищенности ИСПДн и актуальных угроз, СЗПДн может включать следующие технические средства:
- программные, программно-аппаратные комплексы защиты от НСД к информации;
- антивирусные средства для рабочих станций пользователей и серверов;
- средства межсетевого экранирования;
- средства криптографической защиты информации, при передаче защищаемой информации по каналам связи.
Технические средства защиты персональных данных применяемые для нейтрализации актуальных угроз должны реализовывать меры защиты, включающие:
- идентификацию и аутентификацию субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защиту машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее — машинные носители персональных данных);
- регистрацию событий безопасности;
- антивирусную защиту;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности персональных данных;
- обеспечение целостности информационной системы и персональных данных;
- обеспечение доступности персональных данных;
- защиту среды виртуализации;
- защиту технических средств;
- защиту информационной системы, ее средств, систем связи и передачи данных;
- выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее — инциденты), и реагирование на них;
- управление конфигурацией информационной системы и системы защиты персональных данных.
Обработка персональных данных
В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)
Ответственность за нарушения в сфере защиты информации
Нарушение требований по защите информации влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.
Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.
В случае, если распространение определённой информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несёт лицо, оказывающее услуги:
- либо по передаче информации, предоставленной другим лицом, при условии её передачи без изменений и исправлений;
- либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.
Данные мероприятия за правонарушения в области защиты информации устанавливают нормативные правовые акты и предусматривают следующие виды ответственности:
- дисциплинарную (замечание; выговор; увольнение) Трудовой кодекс РФ, ст. 192 (ФЗ 2001 г.№ 197-ФЗ)
- гражданскую (возмещение причинённого ущерба) Гражданский кодекс РФ (ст. 15, 16) ФЗ «О защите прав потребителя» (ФЗ 1999 г. № 2-ФЗ)
- административную (предупреждение, административный штраф) КоАП (от 30.12.2001 г. №195-ФЗ) (ст.13.11-13.14) Трудовой кодекс РФ (от 30.12.2001 г. № 197-ФЗ) (ст. 57, 86, гл. 39 и др.) ФЗ «О защите прав потребителя»
- уголовную (штраф, лишение свободы) Уголовный кодекс РФ (от 13.06.1996 г. №63-ФЗ) (ст.138, 140, 183, 238, гл. 28 (ст. 272-274) и др.)
Наказание по Кодексу об Административных Правонарушениях | ||
№ | Название статьи | Максимальное наказание |
13.11 | Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) |
10.000 руб. |
13.14 | Разглашение информации с ограниченным доступом | 5.000 руб. |
13.12 | Нарушение правил защиты информации | 20.000 руб.+ конфискация + приостановление деятельности на срок до 90 суток |
13.13 | Незаконная деятельность в области защиты информации | 20.000 руб.+ конфискация |
5.27 | Нарушение законодательства о труде и об охране труда | 50.000 руб.+ приостановление деятельности на срок до 90 суток + дисквалификация должностного лица до 3-х лет |
5.39 | Отказ в предоставлении гражданину информации | 1.000 руб. |
19.4 | Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор (контроль) |
10.000 руб. |
19.6 | Непринятие мер по устранению причин и условий, способствовавших совершению административного правонарушения |
500 руб. |
19.5 | Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль) | 500.000 руб. +дисквалификация должностного лица до 3-х лет |
19.7 | Непредставление сведений (информации) | 5.000 руб. |
19.20 | Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии) | 20.000 руб. + приостановление деятельности на срок до 90 суток |
20.25 | Неуплата административного штрафа либо самовольное оставление места отбывания административного ареста | Двукратное увеличение штрафа |
Наказание по Уголовному Кодексу | ||
№ | Название статьи | Максимальное наказание |
137 | Нарушение неприкосновенности частной жизни | 300.000 руб. + исправительные работы на срок до 240 часов + арест до 6-ти месяцев |
140 | Отказ в предоставлении гражданину информации | 200.000 руб.+ лишение права занимать должность на срок до 5-ти лет |
171 | Незаконное предпринимательство | 300.000 руб. + обязательные работы на срок до 1-го года + арест до 6-ти месяцев + лишение права занимать должность на срок до 5-ти лет |
Наказание по трудовому Кодеску | ||
№ | Название статьи | Максимальное наказание |
237 | Моральный вред, причиненный работнику неправомерными действиями или бездействием работодателя |
Денежное вознаграждение по согласованию |
195 | Привлечение к дисциплинарной ответственности руководителя организации, руководителя структурного подразделения организации, их заместителей по требованию представительного органа работников | Увольнение |
90 | Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника | Увольнение + УК |
81 | Расторжение трудового договора по инициативе работодателя за разглашение охраняемой законом тайны | Увольнение |
Методика определения актуальных угроз безопасности
Для каждой информационной системы существуют угрозы безопасности. Угрозы можно классифицировать следующим образом:
- по видам возможных источников угроз;
- по структуре ИСПДн на которые направлена реализация угроз безопасности ПДн;
- по виду несанкционированных действий, осуществляемых с ПДн;
- по способам реализации угроз;
- по виду каналов, с использованием которых реализуются те или иные угрозы.
Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Для оценки возможности реализации угрозы применяются два показателя — уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.
Исходная степень защищенности определяется следующим образом:
- ИСПДн имеет высокий уровень исходной защищенности, еcли не менее 70% характеристик ИСПДн соответствуют уровню «высокий»;
- ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний»;
- ИСПДн имеет низкую степень исходной защищенности, если не выполняется условия по пунктам 1 и 2.
При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициент Y1. 0 — для высокой степени исходной защищенности, 5 — для средней степени исходной защищенности и 10 — для низкой степени исходной защищенности.
Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.
Вводятся четыре вербальных градации частоты реализации угрозы:
- маловероятно — отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);
- низкая вероятность — объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);
- средняя вероятность — объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны;
- высокая вероятность — объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.
При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2. 0 — для маловероятной угрозы, 2 — для низкой вероятности угрозы, 5 — для средней вероятности угрозы и 10 — для высокой вероятности угрозы.
По значению коэффициента реализуемости угрозы Y формируется вербальная (словесная) интерпретация реализуемости угрозы:
- 0
- 0,3
- 0,6
- Y > 0,8 — возможность реализации угрозы очень высокая.
При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения:
- низкая опасность — если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
- средняя опасность — если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
- высокая опасность — если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
Возможность реализации угрозы (вербальная) | Показатель опасности угрозы (вербальный) | ||
Низкая | Средняя | Высокая | |
Низкая | неактуальная | неактуальная | актуальная |
Средняя | неактуальная | актуальная | актуальная |
Высокая | актуальная | актуальная | актуальная |
Очень высокая | актуальная | актуальная | актуальная |
Перечень мер по защите персональных данных
Составить список мероприятий, направленных на поддержание защищенности ИСПДн, не так просто, как может показаться на первый взгляд, так как необходимо брать в расчет категории ПДн и способы их хранения. Если сведения находятся в бумажном виде (заявления, договоры, свидетельства и т.д.), то основной акцент делается на ограничение и контроль физического доступа. Фактически достаточно выделить средства на покупку надежного сейфа и определить круг лиц, у которых будет ключ. В отношении данных, которые находятся в электронном формате, требований больше. Для начала придется разобраться с имеющимся типом угрозы, затем выбрать соответствующий уровень защищенности (всего их 4) и только потом прорабатывать конкретный перечень мер безопасности.
В зависимости от особенностей реализации различают две группы защитных мероприятий: внешние и внутренние. К первым относится разработка процедуры приема и учета посетителей организации, введение пропускной системы и технических средств, а также специализированного софта, позволяющего уберечь цифровые данные от несанкционированной обработки. Вторые связаны с регулированием деятельности в сфере ПДн внутри организации и включают:
- установление ограничений по доступу персонала к личным сведениям;
- выбор ответственного за безопасность ПДн лица;
- составление и утверждение локальных документов;
- информирование персонала о требованиях по работе с цифровыми или бумажными персональными данными;
- планирование правильного расположения рабочих мест;
- создание списков работников, которые могут находиться в помещениях с носителями ПДн;
- установление порядка уничтожения конфиденциальных сведений;
- интеграция механизмов контроля, профилактики и противодействия компьютерным атакам.
Что означает термин «персональные данные»?
Определение персональных данных (ПДн) встречалось и до принятия закона, например, в «Перечне сведений конфиденциального характера», утвержденном указом Президента РФ № 188 от 6 марта 1997 г.:
К конфиденциальной информации относятся: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
Однако закон дополнил его. Теперь, согласно ФЗ-152, персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Таким образом, персональные данные — это, прежде всего, паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такие данные есть практически в каждой организации.
При поступлении на работу — это данные отдела кадров работодателя, которые работник указывает в личной карточке, автобиографии, других документах, заполняемых при заключении трудового договора.
При поступлении ребенка в детский сад, школу, институт, другие образовательные учреждения также заполняется множество анкет и форм, в которых указываются данные как ребенка (например, данные свидетельства о рождении), так и его родителей (вплоть до места работы, занимаемой должности).
При прохождении лечения в медицинских учреждениях необходимо указать не только паспортные данные, но и сведения о льготах, медицинских страховках, сведения о предыдущих лечениях, результаты анализов. Во многих медицинских учреждениях амбулаторные/стационарные карты дублируются в электронном виде.
И все эти данные, согласно нынешнему законодательству, подлежат защите.
Категории персональных данных
Персональные данные делятся на категории:
- общая;
- специальная;
- биометрические данные;
- обезличенные.
Общая категория. Информация, на основе которой можно опознать определённую личность: фамилия, дата и место рождения, пол, образование, материальное положение и др.
Этот перечень открытый.
Специальная категория. Некоторые данные обрабатывать запрещено: о расе, национальности, религии, состоянии здоровья.
Обработка специальных сведений возможна в исключительных ситуациях (для защиты жизненно важных интересов субъекта персональных данных и других лиц) с письменного согласия.
Биометрия. Позволяет идентифицировать человека по физическим особенностям организма, когда оператор использует их для аутентификации:
- отпечатки пальцев;
- ДНК;
- сканирование сетчатки;
- распознавание радужки.
Организация защиты персональных данных
Для защиты персональных данных применяют различные возможности:
-
Технические. Заключаются в программе мероприятий по защите ПО от несанкционированного доступа.
Чтобы защитить ПО, требуется привлечь IT-специалистов, смоделировать угрозы, определить степень защищённости ПДн и обеспечить безопасность.
- Физические. Это ограничение доступа к ПДн посторонних лиц в виде допуска к работе с информацией только определённых сотрудников; внедрения пропускного режима; организации мест хранения данных и иные.
- Организационные и юридические. Предполагают разработку и внедрение компанией политики обработки персональных данных, положения о защите данных, издание приказов о назначении ответственного, осуществление контрольных мероприятий.
Инвентаризация/обследование информационных систем ПДн в организации
Основной задачей инвентаризации/обследования инфор-мационных систем является выявление ИС, в которых осущест- иляется обработка персональных данных (например, система бухгалтерского учета, кадровый учет, система взаимоотношений с клиентами, биллинговая система и т. п.).
ИНФОРМАЦИОННАЯ СИСТЕМА ПЕРСОНАЛЬНЫХ ДАННЫХ (ИСПДн) — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Если в небольшой организации, скорее всего, создана одна информационная система ПДн, в крупных — таких систем будет несколько, причем обрабатываемые в них данные могут относится к различным категориям.
Как показывает практика внедрение мер по защите ПДн без предварительного анализа и оптимизации процессов обработки ПДн может привести к неоправданному удорожанию системы защиты ПДн. Оптимизация процессов обработки позволяет не только снизить стоимость работ по организации защиты персональных данных, но и повысить эффективность бизнес- процессов Заказчика.
Обследование ИСПДн включает:
■ обследование персональных данных обрабатываемых в ИСПДн;
■ обследование и анализ ИТ-инфраструктуры ИСПДн;
■ изучение и анализ процедур обработки ПДн;
■ обследование и анализ применяемых средств защиты информации;
■ использование антивирусных программ и т. п.
При проведении обследования может быть рекомендовано составление опросных листов, учитывающих специфику дея-тельности оператора, проведение анализа полученной информации с целью возможного понижения класса ИСПДн, выявление бизнес-процессов, анализ организационной структуры и т. п
Что защищать и от чего?
Начнем с вопроса терминологии. Персональные данные представляют собой любую информацию, относящуюся прямо или косвенно к физическому лицу, который в законе прописан как субъект персональных данных. Наиболее распространенные разновидности такой информации:
точное место жительства;
адрес электронной почты.
Фамилия, имя и отчество сами по себе тоже могут являться персональными данными. Попадание этой информации к любым третьим лицам должно быть исключено.
Кроме того, необходимо понимать, что оператор имеет право на обработку данных лишь в некоторых случаях:
если им получено согласие на обработку (необязательно письменное);
планируется заключение договора с субъектом (даже в случае оферты на веб-сайте);
обрабатываются персональные данные своих сотрудников;
в особых случаях, когда обработка нужна для защиты жизни, здоровья и прочих важных интересов человека.
Если компания-оператор не смогла доказать ни одно из перечисленных оснований обработки, на нее также налагается штраф и сбор данных считается незаконным.
Самый важный пункт здесь — само согласие на обработку. Простейший способ, которым пользуются большинство компаний — реализованная тем или иным образом форма быстрого выражения согласия. Обычно это знакомая многим «галочка» под сопровождающим ее текстом о собственно согласии.