Защита персональных данных

В настоящее время защита персональных данных для большинства коммерческих компаний и государственных организаций является одной из наиболее актуальных проблем.

Федеральный закон «О персональных данных» требует от каждого предприятия, владеющего персональными данными о своих сотрудниках, клиентах, партнерах, обеспечить конфиденциальность персональной информации и принять все необходимые организационные и технические меры для их защиты от несанкционированного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация (Федеральный закон О персональных данных от 27 июля 2006 года № 152-ФЗ).

«Персональные данные» это:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес;
  • семейное, социальное и имущественное положение;
  • образование;
  • профессия;
  • информация о доходах и др.

А значит защита ПД нужна большинству коммерческих компаний и государственных организаций.

В случае нарушения положений закона компания может быть привлечена к судебному разбирательству (вплоть до приостановления действий, аннулирования соответствующих лицензий), а виновные лица – к дисциплинарной, административной, гражданской и уголовной, ответственности.

Существует ряд типичных заблуждений операторов ПД таких как:

Первое – это уверенность, что пока можно ничего не делать и подождать, пока кого-то накажут. Такая компания не несет пока никаких затрат, не обучает сотрудников и не задумывается об изменении сложившихся процессов обработки ПДн. И надеется, что первые же громкие случаи процессов или каких-то санкций заставят регулирующие органы внести существенные коррективы

Второе – убежденность в том, что действие закона не распространится именно на "нашу" компанию. Соответственно, тоже можно ничего не делать. Сторонники такого подхода приводят разные аргументы. Например, что в компании не ведется автоматизированная обработка персональных данных, и все делается на бумаге. Другие компании говорят: "У нас большая компания с иностранным капиталом, базы данных физически находятся на зарубежных площадках. Да и вообще – кто нас тронет?". Встречается и надежда на "блестящих юристов", которые докажут, что компания не является оператором ПДн. А некоторые считают, что если не подать заявку на оператора ПДн, то и с проверкой никто и не придет.

В соответствии с №152-ФЗ, в орбиту процессов, связанных с защитой ПДн, вовлечены три органа государственной власти: ФСБ, ФСТЭК и Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Область ответственности у каждого из них своя.

ФСБ - курирует вопросы защиты информации с использованием средств шифрования (криптографии)

ФСТЭК - осуществляет контроль защиты информации с применением технических средств.

Роскомнадзор - является основным исполнительным и надзорным органом по защите прав физических лиц, чьи персональные данные обрабатываются.

Законодательство вводит новое понятие – "категория персональных данных", всего таких категорий – четыре:

  • 4-я - обезличенные и (или) общедоступные персональные данные
  • 3-я - информация, позволяющая идентифицировать субъекта ПДн
  • 2-я - данные, позволяющие не только идентифицировать субъекта, но и получить о нем дополнительную информацию
  • 1-я - данные, в которых отражены расовая, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь.

Каждая система, обрабатывающая ПДн, должна быть отнесена к конкретному классу.
На класс системы влияет:

  • Объемы обрабатываемых данных
    • 1 - более 100 000 субъектов ПД
    • 2 - от 1000 до 100000 субъектов ПД
    • 3 - менее чем 1000 субъектов ПД
  • Характеристики безопасности ПД
    • Типовые (обеспечение только конфиденциальности ПД)
    • Специальные (вне зависимости от обеспечение конфиденциальности ПД требуется выполнение хотя бы одной характеристик безопасности ПД отличную от конфиденциальности (уничтожение, изменение, блокирование)
    • структура информационных систем
    • автономные комплексы
    • локальные информационные системы
    • распределенные информационные системы
    А так же:
    • по наличию подключения к сетям общего пользования
    • по режиму обработки ПД
    • в зависимости от местонахождения

К1 - Нарушение приводит к значительным негативным последствиям для субъектов ПД

К2 - Нарушение приводит к негативным последствиям для субъектов ПД

К3 - Нарушение приводит к незначительным негативным последствиям для субъектов ПД

К4 - Нарушение не приводит к негативным последствиям для субъектов ПД

Решение по защите персональных данных на базе технологии тонкого клиента, предлагаемое компанией «Свемел», могут использоваться для защиты информации в ИСПДн до 1 класса включительно, что отражено на официальном сайте ФСТЭК России.

Вместе с тем, ЗАО «МВП «Свемел» осуществляет полный спектр услуг по технической защите информационных систем, обрабатывающих персональные данные различного класса, начиная с аудита информационной безопасности и заканчивая выдачей аттестатов соответствия на систему.

Выписка из реестра