Защита персональных данных

Персональные данные (ПДн) — любая информация, по которой можно идентифицировать человека. Защищать персональные данные должны все: от малого бизнеса до госкорпораций. Однако требования к защите будут разные: одним достаточно базовых мер, другим нужна комплексная защита.

Защита персональных данных преследует три цели:

1. Защита от мошенничества

Злоумышленники используют ПДн для кражи финансовых данных. Например, чтобы оформить на чужое имя микрокредит или получить доступ к банковским счетам.

Только за последние два года общий ущерб от мошенничества составил около 350 миллиардов рублей. В банковском секторе за начало 2024 года потери достигли 4,7 миллиарда рублей.

2. Обеспечение конфиденциальности

ПДн включают в себя чувствительную информацию: о здоровье, финансах и личной жизни. Утечка таких данных может негативно повлиять на жизнь человека и его работу.

Для организаций последствия серьезнее. Разглашение данных клиентов приводит к финансовым убыткам, штрафам и потере репутации на рынке.

3. Соблюдение законодательства

Закон о защите ПДн (№152-ФЗ) делит участников процесса на две группы:

• Тех, кто обрабатывает данные (операторы) — это компании и специалисты, которые оказывают услуги: фотографы, юристы, ведущие и т. д.
• Тех, чьи данные обрабатывают (субъекты) — сотрудники и клиенты.

Нормативная база в сфере ПДн

1. ФЗ-152 «О персональных данных»

Закон раскрывает базовые определения, закрепляет права граждан как субъектов данных. Устанавливает зону ответственности операторов и регламентирует процессы обработки персональной информации.

2. Постановление Правительства России №1119

Нормативный документ с классификацией степеней защиты информационных систем персональных данных (ИСПДн).

3. Приказ ФСТЭК РФ №21

В документе расписаны технические и организационные способы защиты ИСПДн. В нем указано, как предотвратить взломы, утечки данных и неразрешенный доступ к информации.

4. Приказ ФСБ №378

Правила применения шифрования и криптографических методов. Эти инструменты защищают конфиденциальную информацию во время ее хранения и передачи.

5. Приказ Роскомнадзора №274

Порядок информирования надзорных органов об обработке ПДн. Правила формирования и ведения единого реестра операторов.

Категории персональных данных

Выделяют 4 категории персональных данных (согласно №152-ФЗ):

1. Основные (общедоступные) — персональные данные, которые субъект самостоятельно сделал общедоступными либо разрешил их публичное размещение. К ним могут относиться:
• личные идентификаторы: фамилия, имя и отчество
• информация об образовании и месте работы
• контактные данные для связи
• другие сведения, публично размещенные по желанию субъекта.
2. Специальные — охватывают чувствительную информацию о личности:
• этническое и расовое происхождение
• политические взгляды
• отношение к религии и философские воззрения
• состояние здоровья
• наличие или отсутствие судимости.
3. Биометрические — включают уникальные физические характеристики человека:
• внешний вид: фото, записи с видеокамер
• голосовые записи
• отпечатки пальцев, рисунок вен на ладони
• генетическую информацию (ДНК).
4. Дополнительные (иные) — содержат информацию о:
• финансовом положении: доходы, банковские счета
• потребительском поведении: покупки, платежи (биллинг)
• цифровом следе: местоположение, активность в соцсетях
• технических параметрах: IP-адреса, используемые устройства.

Виды угроз для ИСПДн

Согласно ПП РФ №1119 существует 3 типа угроз:

Угрозы 1-го типа — самые серьезные

Риск представляют неучтенные функции в системном программном обеспечении (ПО), о которых не сообщается в документации.

Угрозы 2-го типа — средний уровень опасности

Связаны с ошибками и слабыми местами в прикладных программах: бухгалтерских ПО, HR и CRM-системах.

Угрозы 3-го типа — низкий уровень опасности

В отличие от предыдущих типов, эти уязвимости не связаны с тайными функциями программ. Опасность может исходить от человеческого фактора (слабые пароли, нарушение правил безопасности), технических ошибок (неправильные настройки, отсутствие обновлений) или отсутствие организационных мер (нет резервного копирования, регламентов).

Уровни защищенности (УЗ) для ИСПДн

Уровни защищенности (УЗ) для информационных систем ПДн (ИСПДн) зависят от:

• характера данных (общедоступные, специальные, биометрические, иные)
• вида субъектов (сотрудники и клиенты)
• количества обрабатываемых данных (более или менее 100 000 субъектов)
• угроз безопасности (3 типа).

Уровни защищенности делят на 4 вида. Это позволяет компаниям определить необходимые меры защиты. Чем выше уровень и чувствительность данных, тем строже будут требования к защите ПДн.

Уровень защищенности 1 (УЗ1)

Требуется для ИСПДн, где есть риск скрытых угроз (тип 1) при работе с особой информацией — биометрией, иными и специальными категориями. Также УЗ1 необходим при угрозах типа 2 в обработке специальных ПДн большого числа клиентов (свыше 100 тысяч человек).

Уровень защищенности 2 (УЗ2)

Применяется при угрозах 1-го типа в работе с общедоступными ПДн. Или при выявлении уязвимости 2-го типа во время обработки:

• Любой биометрии
• Общедоступной и иной информации о более 100 000 клиентах
• Специальных данных о сотрудниках оператора или о клиентах, если их количество менее 100 000 человек.

Также УЗ2 необходим при стандартных рисках (тип 3) для специальных данных более 100 000 клиентов.

Уровень защищенности 3 (УЗ3)

Устанавливается при наличии хотя бы одного из условий:

• Наличие угроз 2-го типа в ИСПДн, которые обрабатывают общедоступные и иные данные персонала или менее 100 000 клиентов.
• Возможны стандартные риски (3-й тип) для биометрии и специальных данных сотрудников или менее 100 000 клиентов.

Уровень защищенности 4 (УЗ4)

УЗ4 достаточен для защиты от угроз 3-го типа при обработке общедоступных данных. Также для иных ПДн сотрудников или клиентов при количестве менее 100 000 человек.

Процесс защиты персональных данных в организации

1. Оценка рисков и определение угроз

• Анализ рабочих процессов: выявление всех этапов обработки персональных данных и определение приоритетных объектов защиты.
• Классификация данных: классификация ПДн по уровням чувствительности и угрозам безопасности.
• Анализ угроз: создание перечня возможных рисков для каждой информационной системы.

2. Формирование политики и организационных мер

• Определение ответственного лица: назначение специалиста для контроля исполнения требований по защите данных.
• Разработка документации: создание инструкций и регламентов по работе с персональными данными.
• Организация обучения: проведение инструктажа для персонала по вопросам безопасной работы с информацией.

3. Внедрение технических средств защиты

• Установка средств защиты: внедрение антивирусных программ, межсетевых экранов и систем контроля доступа для защиты информации от несанкционированного доступа.
• Организация шифрования: применение криптографических методов при передаче и хранении информации.
• Резервное копирование: регулярное создание резервных копий данных для восстановления в случае утечки или повреждения информации.

4. Организация хранения и обработки информации

• Оформление согласий: получение явного согласия субъектов на обработку их ПДн, а также на их распространение при необходимости.
• Регламентация доступа: установление четких правил доступа к информации для сотрудников организации.

5. Аудит и аттестация

• Организация аудита безопасности: проведение регулярных проверок на соответствие требованиям законодательства в сфере информационной безопасности.
• Аттестация систем защиты: получение лицензий и сертификатов на используемые средства защиты информации, а также аттестата соответствия.

6. Уничтожение данных

• Порядок уничтожения ПДн: установление порядка безопасного уничтожения персональных данных по истечении срока хранения или по запросу субъекта.
• Документирование процесса уничтожения: ведение учета мероприятий по уничтожению информации для обеспечения прозрачности процесса.

Даже после выполнения всех этапов нужно регулярно проверять эффективность принятых мер, следить за изменениями в законодательстве и быть готовым к появлению новых угроз безопасности.

Согласие на обработку и распространение ПДн

Получение согласия на обработку персональных данных — обязательное требование ФЗ №152. Согласие должно быть:

• Конкретным: указывать, какие именно данные обрабатываются.
• Предметным: описывать цель обработки.
• Информированным: субъект должен получить всю информацию о том, как будут защищены данные.
• Сознательным: согласие должно быть дано добровольно, без принуждения.

Нововведения в 2025 году

С 1 января 2025 года организации, которые размещают сведения о гражданах в Единой системе идентификации и аутентификации (ЕСИА) и Единой биометрической системе (ЕБС), обязаны использовать новую форму согласия на обработку персональных данных. (Распоряжение № 856-р от 09.04.2024 г).

В новых бланках появилась важная деталь — отметка о законном представителе ребенка. Роскомнадзор больше не допускает ситуаций, когда согласие дают другие родственники вместо родителей или опекунов. За такое нарушение организации грозит штраф от 30 000 рублей (п. 2 ст. 13.11 КоАП РФ).

О распространении персональных данных

Компании часто по незнанию или намеренно берут согласие на обработку и распространение данных одним документом. Однако с 2021 года для распространения ПДн нужно получать отдельное согласие. Организация обязана объяснить, какую информацию она планирует использовать и для чего (Постановление Роскомнадзора № 18).

Штрафы за нарушение законодательства в сфере защиты ПДн

Российское законодательство устанавливает жесткие рамки для работы с персональными данными. В 2024-2025 годах выросли штрафы и ужесточились наказания за их неправомерное использование.

Административные штрафы

• Организацию оштрафуют на 500 тысяч рублей, если она обрабатывает данные без согласия владельца (статья 13.11 КоАП РФ)
• За отсутствие технической защиты данных штраф составляет до 300 тысяч рублей (УК РФ 272.1).
• Крупная утечка данных (более 100 тысяч записей) приведет к штрафу до 15 миллионов рублей согласно изменениям, которые вступят в силу в мае 2025 года (ФЗ от 30.11.2024).
• Систематическое игнорирование требований закона наказывается штрафом в миллион рублей.

Уголовная ответственность должностных лиц

Персональная ответственность руководителей:

• Денежный штраф в размере до 200 000 рублей
• Обязательные работы сроком до 360 часов как альтернатива штрафу
• В серьезных случаях — лишение свободы на срок до 2 лет.

Основания для привлечения:

• Преднамеренный незаконный сбор конфиденциальной информации
• Умышленное распространение персональных данных
• Использование служебного положения для получения доступа к данным.

За повторные нарушения:

• Штрафы для организаций возрастают до 1,5 миллиона рублей
• Руководители заплатят до 500 тысяч рублей
• Возможна дисквалификация руководящего состава.

Дополнительные санкции

Регуляторы вправе заблокировать информационные системы компании и запретить обработку данных до устранения всех нарушений.

Основания для санкций: массовые утечки информации, регулярное несоблюдение требования законов, грубые нарушения правил обработки ПДн, которые могут привести к существенному ущербу.

С развитием цифровых технологий растет ценность персональных данных, поэтому государство усиливает контроль за их защитой.

Избежать штрафов и санкций поможет грамотно выстроенная защита. В этом вопросе помогут профессиональные интеграторы в сфере информационной безопасности.

Услуги по защите персональных данных в УИБ

1. Аудит соответствия 152-ФЗ

Исследуем, как в компании обрабатываются ПДн. На основе анализа выявляем несоответствия законодательству и планируем корректирующие действия.

2. Определение угроз безопасности

Создаем модель угроз с учетом особенностей организации. Изучаем возможные пути утечки данных и формируем комплекс защитных мер.

3. Оценка защищенности и аттестация ИСПДн

Реализуем полный спектр мероприятий по оценке систем персональных данных: определяем уровень защищенности, проводим технические испытания и оформляем документы, подтверждающие соответствие требованиям регуляторов.

4. Подготовка к проверке Роскомнадзора

Готовим к инспекционной проверке: актуализируем документы, настраиваем рабочие процессы и сопровождаем на каждом этапе.

Ответим на все вопросы и проведем консультацию:
Телефон: 8 800-707-94-97
Email: info@uibcom.ru