Соответствие 152-ФЗ «О персональных данных»

В России действует 152-ФЗ «О персональных данных». Он защищает граждан от незаконного сбора, обработки и передачи их личной информации в чужие руки. Персональными данными (ПДн) считаются любые сведения о физических лицах, по которым можно установить личность человека — например, имя и фамилия, данные паспорта с фотографией и даже номер телефона.

Закон обязаны соблюдать все компании, которые так или иначе взаимодействуют с персональными данными, имеют к ним доступ. Неважно, как они получают личную информацию — напрямую от своих клиентов и сотрудников или через третьих лиц. Закон касается в том числе аутсорсинговых компаний, которым заказчики передают данные на обработку и хранение — например, облачных провайдеров или SaaS-сервисов.

Если компания не соблюдает 152-ФЗ, она рискует столкнуться с утечкой данных и потерять клиентов. И клиентам, и компаниям, которые отдают ПДн на обработку подрядчикам, важно знать, что данные будут в безопасности и не попадут в чужие руки.

Чтобы выполнить требования закона, нужно правильно собирать, обрабатывать и защищать личную информацию пользователей. Для этого компании необходимо правильно организовать сбор и обработку данных, привести свои информационные системы в порядок. Со второй задачей помогает подготовленная IT-инфраструктура Selectel, которая соотвествует 152-ФЗ.

За выполнением требований 152-ФЗ следят Роскомнадзор, ФСТЭК и ФСБ. Они могут выписать штрафы компаниям-нарушителям и даже приостановить их работу.

Конфиденциальная информация — любая информация, охраняемая законом, к которой имеет доступ ограниченный круг лиц. К ней причисляют банковскую, коммерческую и служебную тайны, ноу-хау и персональные данные.

Существует четыре категории персональных данных:

• специальные касаются информации о состоянии здоровья, расовой принадлежности, национальности, политических и религиозных взглядах, вероисповедании;
• биометрические — физиологические и биологические отличительные черты, которые используются для идентификации: фото, отпечатки пальцев, цвет волос, образцы голоса и т. д.;
• общедоступные — данные, которые открыты неограниченному кругу лиц с согласия человека (например, информация об авторе материала в СМИ) либо на основании федерального закона (например, данные из выписки ЕГРЮЛ, ЕГРИП);
• иные — самая популярная категория, в которую входят все остальные данные: полное имя, адрес, дата и место рождения, номер телефона, e-mail, стаж работы, геолокация и т. д.

Оператором персональных данных может выступать компания (юридическое лицо), государственная или муниципальная организация (например, в области здравоохранения, налогообложения и т. д.), а также физическое лицо.

Ваша компания может называть себя оператором персональных данных, если соблюдает следующие критерии:

• вы получаете персональные данные от клиентов, сотрудников или другой категории пользователей;
• вы храните и обрабатываете полученную информацию;
• вы определяете цели, ради которых собираются данные: продажа товаров, рассылка маркетинговых предложений, покупка билетов, найм сотрудников и т. д.

До того, как оператор начнет собирать и обрабатывать персональные данные, он должен передать информацию об этом в Роскомнадзор. Сделать это можно, заполнив заявку на официальном сайте. Она отправляется в ведомство в бумажном варианте или онлайн. В заявке, помимо прочего, нужно указать:

• данные оператора (название компании, ее локацию, телефон, e-mail, филиалы, их расположение и т. д.);
• цели, для которых оператор ведет обработку данных (обычно они прописаны в учредительных документах организации);
• все категории персональных данных, которые обрабатывает оператор (о них говорили выше);
• данные сотрудника, который отвечает за обработку ПДн внутри компании-оператора.

После заполнения заявки информация о компании заносится в общий реестр. При этом существует несколько исключений, когда уведомлять Роскомнадзор не нужно. О них можно узнать подробнее из нашей статьи.

Оператор может запустить сбор и обработку ПДн только после того, как получил на это согласие людей, чьи данные собираются (субъектов персональных данных).

Чтобы собирать данные пользователей в онлайне, нужно опубликовать на сайте «Политику конфиденциальности». В ней следует описать порядок обработки ПДн. В формах с информацией о пользователях (например, имя или адрес электронной почты) нужно написать, что отправкой этих ПДн человек дает согласие на их обработку. Подробнее о сборе данных в онлайне можно почитать в нашей статье.

В некоторых случаях оператору нужно получить согласие именно в письменной форме. Например, это касается обработки специальной категории персональных данных. Шаблон документа можно скачать на сайте Роскомнадзора.

Когда оператор передает ПДн провайдеру, важно соблюдать ряд условий:

• оператор должен иметь согласие субъекта не только на получение и обработку, но и на передачу данных;
• оператор должен удостовериться, что инфраструктура выбранного им провайдера полностью соответствует 152-ФЗ по уровню защищенности;
• оператор обязан заключить с провайдером поручение на обработку.

Провайдер отвечает перед оператором за соблюдение закона в своей зоне ответственности. Подписать поручение необходимо, чтобы выполнить требования 152-ФЗ. В этом случае ответственность за защиту персональных данных человека все равно лежит на операторе. Но он должен следить за тем, как провайдер защищает инфраструктуру, соответствует ли это законодательству.

Selectel может подписать поручение на обработку ПДн, если клиенты размещаются в аттестованном сегменте ЦОД, в облачной платформе Selectel или облаке на базе VMware.

1. Оператор обязан выявить уровень защищенности, достаточный для безопасности персональных данных (зависит от того, какие данные собираются, кому они принадлежат, какой тип угроз актуален для систем). В работе следует опираться на постановление Правительства РФ от 1 ноября 2012 г. № 1 119. Рассчитать уровень можно с помощью калькулятора.
2. Оператору нужно сформировать модель угроз, опираясь на методику, разработанную ФСТЭК.
3. Оператору нужно определить технические меры, которые помогут обезопасить персональные данные. В этом поможет 21 Приказ ФСТЭК России от 18 февраля 2013 г. Затем всем операторам необходимо оценить эффективность этих мер в соответствии с п. 4 части 2 статьи 19 152-ФЗ. С этой задачей помогут разъяснения ФСТЭК о форме оценки эффективности принимаемых мер обеспечения безопасности персональных данных.

Когда оператор размещает свои системы в дата-центре или облачной инфраструктуре, он должен вместе с поставщиком оценить угрозы безопасности информации и степень эффективности ее защиты. В нашей документации описано, какая часть уже реализована, за что вы будете нести ответственность, размещая свою инфраструктуру в аттестованном сегменте ЦОД, в облачной платформе Selectel или облаке на базе VMware.

Selectel провел оценку угроз и эффективности используемых мер защиты в своей зоне ответственности — по запросу мы можем предоставить выписку из модели угроз, акт оценки эффективности или  аттестат соответствия.

Существует три типа угроз. Они отличаются друг от друга уровнем, на котором находится уязвимость.

1. К первому типу относят угрозы, при которых в используемом системном ПО информационной системы могут быть недокументированные возможности, так называемые закладки. К числу угроз первого типа относятся, например, закладки в операционной системе (ОС), с помощью которых мошенник может в любой момент получить к ней доступ.
2. Ко второму типу относятся закладки в прикладном программном обеспечении, например, в 1С, веб-приложении. Обычно они появляются, когда ПО разрабатывалось специально для заказчика.
3. К третьему типу принято относить все остальные угрозы, не связанные с системными или программными закладками.

Конкретный тип угроз безопасности ПДн, который будет актуален для информационной системы, определяется оператором с учетом оценки вреда, который они могут причинить. На практике наиболее популярен третий тип угроз.

Чаще всего реализовать требования по безопасности персональных данных можно встроенными возможностями операционных систем и прикладного программного обеспечения, которые применяет оператор.

Средства защиты с сертификатами ФСТЭК и ФСБ нужны в двух случаях:

1. когда система оператора является государственной (приказ № 17 ФСТЭК России от 11 февраля 2013 года);
2. если оператору нужно аттестовать собственные информационные системы. Это необходимо, например, когда коммерческие организации подключаются к государственным системам.

В каждом из этих случаев вы можете разместить свои информационные системы в аттестованном сегменте ЦОД от Selectel. В нем мы предоставляем аппаратные и программные средства, которые уже прошли необходимую сертификацию.

Существуют три распространенных случая, при которых оператору придется повысить уровень защищенности ПДн:

1. в ситуации, когда количество пользователей, которые передают ему информацию, достигло и превысило 100 000 человек;
2. в случае, если оператор впервые начинает собирать информацию, которую можно отнести к спецкатегории ПДн;
3. если в работе информационной системы произошли изменения — в ней появились угрозы первого или второго типа.

Selectel предоставляет разные сервисы безопасности с применением сертифицированных средств защиты информации по подписке в аттестованном сегменте ЦОД.

Например, такие как:

• дополнительные средства, которые помогут защитить данные на сервере от доступа посторонних лиц (например, Secret Net Studio, Secret Net LSP);
• средство доверенной загрузки СДЗ Dallas Lock;
• антивирусная защита (Kaspersky и аналогичное антивирусное ПО);
• анализ защищенности.

1. Разместите вашу информационную систему в Selectel

Подберем соответствующую ей IT-инфраструктуру, руководствуясь требованиями безопасности. В качестве вариантов предлагаем выделенные серверы в аттестованном сегменте ЦОД, виртуальную машину (или несколько) в облачной платформе Selectel или облаке на базе VMware.

Дата-центры Selectel находятся в России. Это базовое условие, которое нужно соблюдать, чтобы выполнять требование по локализации персональных данных. Для инфраструктуры, которую мы предлагаем клиентам, уже проведена нужная оценка эффективности безопасности ПДн.

2. Проведите аудит вашей информационной системы ПДн. В итоге у вас на руках будут:

• Результаты аудита, в которых описано, как вы собираете и обрабатываете информацию, и соответствуют ли эти процессы требованиям законодательства.
• Все необходимые документы, связанные с обработкой ПДн. Они могут разрабатываться как для отдельной информационной системы, размещаемой в Selectel, так и для всех ваших информационных систем. Это зависит от поставленных задач и уже внедренных мер.

3. Опишите систему защиты персональных данных. В результате вы получите:

• Технический проект, который будет включать в себя план реализации системы защиты.
• Список средств защиты, которые будут применяться.
• Перечень услуг, которые помогают обезопасить персональные данные.
• Стоимость внедрения и оценку эффективности системы защиты.

4. Установите необходимые средства защиты самостоятельно или используйте сервисы информационной безопасности, предоставляемые Selectel

Поможем настраивать, а затем обслуживать и администрировать средства защиты информации. Если в вашей компании нет сотрудников, которые следят за информационной безопасностью, используйте сервисы от Selectel — наши специалисты работают круглосуточно.

5. Оцените эффективность мер обеспечения безопасности ПДн или проведите аттестацию системы, если она нужна

Проводить оценку эффективности стоит до того, как вы ввели в работу информационную систему. Повторять оценку предстоит каждый раз, когда вы будете вносить изменения в систему, но не реже, чем раз в три года.

Аттестация — необязательная процедура. Она требуется компаниям, которые работают с государственными информационными системами или подключаются к ним, а также компаниям, информационные системы которых обрабатывают государственную тайну или управляют экологически опасными объектами. Аттестация накладывает ограничения: с ней вы сможете использовать только сертифицированные средства защиты, вам придется проходить переаттестацию всякий раз, когда в информационной системе что-то меняется. Аттестацию может проводить только организация, у которой есть соответствующая лицензия.

В итоге вы получите акт оценки эффективности или аттестат, который подтвердит, что ваша информационная система соответствует всем актуальным требованиям безопасности информации.

Нет, Selectel не делает документы для систем клиентов. Мы предоставляем:

• услуги по размещению систем оператора в нашей инфраструктуре с учетом разграничения зон ответственности;
• подтверждение того, что все требующиеся меры безопасности с нашей стороны реализованы;
• договор-поручение на обработку персональных данных.

Если оператору нужны документы, которые учитывают индивидуальные особенности его систем, он может разработать их сам или привлечь к разработке компанию с лицензией ФСТЭК и ФСБ.

Перечень документов, который нужно собрать для каждой информационной системы, четко не регламентирован. Но обычно требуются:

• протокол с описанием уровня ущерба;
• акт, в рамках которого определен уровень защищенности ПДн;
• документ с прописанной моделью угроз;
• техническое задание;
• инструкция для сотрудника, который отвечает за безопасность персональных данных;
• инструкция для администратора информационной системы;
• акт оценки эффективности мер, которые реализованы оператором для обеспечения безопасности ПДн;
• документы, регламентирующие выполнение мер 21 приказа ФСТЭК России.

Все эти документы должны дополнять общекорпоративные документы, в которых прописаны процессы работы с персональными данными, не связанные с конкретными информационными системами.

Чтобы выполнить требования 152-ФЗ, вам нужно обратиться напрямую к сервису, который является клиентом Selectel.

Вам необходимо:

• уточнить, можете ли вы проводить обработку персональных данных, используя этот сервис;
• оформить поручение на обработку ПДн. В согласии на обработку персональных данных для субъектов следует указать, что вы передаете их ПДн этому сервису. Ваш подрядчик, в свою очередь, обратится в Selectel, чтобы оформить поручение на обработку персональных данных с нашей компанией;
• контролировать выполнение сервисом мер, которые регламентируются 152-ФЗ.