Zip File, мамкины хаЦкеры. Вы никогда не задумывались, почему обращаясь в какую-нибудь более-менее приличную государственное или частную организацию за услугой мы подписываем эти дурацкие соглашения на обработку персональных данных? Зачем они собирают всю эту инфу? Куда в дальнейшем передают эти данные? Быть может это заговор массонов и рептилоидов? Или самый первый этап ненавязчивого чипирования со стороны иноземных захватчиков, регулярно испражняющихся в наших подъездах?

 

Что такое персональные данные?

На самом деле, всё обстоит гораздо менее прозаично. Всему виной, 152-ФЗ регламентирующий так называемые персональные данные.

Законодательно под это понятие подпадает любая информация, относящаяся прямо или косвенно к определенному физическому лицу (субъекту персональных данных).

Но тут всё не так просто, как может показаться на первый взгляд. В нашем законе не даётся чёткого ответа на то, что такое персональные данные и, в связи с этим, на практике под ПДн подпадает только то, что таковым признал горячо любимый Роскомнадзор.

К примеру, одно время, данный регулятор утверждал, что серия и номер в паспорте — это не персональные данные, а данные документа. Также в некоторых ситуациях ФИО тоже не будет подпадать под категорию персоналки.

Вот такая вот катавасия. За бугром в этом плане, конечно, попроще. Там под ПДн подпадают все факторы, по которым можно опознать человека, а у нас, к сожалению, нужно постоянно отслеживать актуальную позицию РКН в этом насущном вопросе.

Закон о персональных данных (152-ФЗ)

Теперь что касается непосредственно 152-ФЗ. На бумаге, данный закон регулирует отношения, связанные с обработкой персональных данных, осуществляемой: органами власти, юр. лицами и физ. лицами с использованием средств автоматизации или без.

Помимо этого, важно запомнить ключевые понятия, встречающиеся в этом законе. Первое – это конечно же оператор. Некая сущность, которая как раз и будет обрабатывать персональные данные.

Просто так делать ему это само-собой не позволено. В законе сказано, что предварительно он должен чётко выделить цель обработки персональных данных. При этом под каждую обработку он должен сделать соответствующий набор.

Именно поэтому на медкомиссиях мы заполняем целую пачку этих злополучных согласий, тем самым подтверждая, что мы готовы продать душу каждому медицинскому специалисту персонально и по отдельности.

Также он должен обозначить какой конкретно срок данные будут использоваться. К примеру, до расторжения трудового договора с организацией. Либо до конца календарного года, как в стоматологии, куда я обращался на прошлой неделе.

Обработка персональных данных

Под обработкой ПДн подразумевают любые действия, совершаемые с персональными данными. Будь то сбор, запись, хранение или использование их в каких-либо целях.

Мы, как ITшники всегда должны стремиться к тому, чтобы любая обработка происходила в автоматическом режиме с использованием современных средств вычислительной техники (или попросту СВТ, как их обычно сокращают во всех нормативных доках). 

С этим думаю вопросов быть не должно. Теперь давайте поговорим о дополнительных уникальных полномочиях, которыми непосредственно наделяется оператор.

Например - блокировка персональных данных. Т.е. временное прекращение их обработки. Либо уничтожение – это действия, в результате которых становится невозможным восстановить содержимое, хранящееся в информационной системе или на материальном носителе.

Но самое прикольное, это обезличивание. Т.е. действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных к какому-либо субъекту.

Продвинутые ИБшники очень любят обезличивать ПДнки, к примеру ФИО сотрудников, посредством хэширования. Это действительно классная тема. Так что при случае непременно делайте также. Тооолько не шифром Цезаря. А то его достаточно легко сбрутить, если вы понимаете, о чём я.

Информационная система персональных данных

ИСПДн расшифровывается как информационная система персональных данных. Это совокупность содержащихся в БД персональных данных и обеспечивающих их технических средств.

Т.е. сервера, сетевое оборудование, специализированный софт, предназначенный для обработки ПД, всё это так или иначе подпадает под термин ИСПДн.

В идеале сегмент ИСПДн должен изолироваться от основной инфраструктуры организации. Это нужно, во-первых, для безопасности, а во-вторых, для разделения так называемых мух от общей котлеты.

Итак, напоминаю, что для того, чтобы начать обрабатывать персональные данные вам первым делом потребуется выпустить нормативно-правовой акт, в котором будут закреплены цели обработки ПДн. 

Соответственно любая другая обработка несовместимая с изначальными целями сбора не допускается не под каким предлогом. Само хранение собранных ПДн должно осуществляться в форме, позволяющей определить субъекта персональных данных.

Но не дольше, чем этого требуют преследуемые цели по обработке. И по их достижению обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию посредством хэширования.

Условия обработки персональных данных 

Касательно условий, при которых ПДн могут обрабатываться беспрепятственно стоит выделить, что необходимо либо наличие всем опостылевшего согласия со сторону субъекта.

Либо, если информация доступна неограниченному кругу лиц по его инициативе, например, человек опубликовал что-то в соц. сетке, то такую инфу вы тоже можете обрабатывать совершенно спокойно.

Это что касается открытых источников. Теперь давайте более подробно поговорим про согласия. Согласно закону согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

И да, есть реальные прецеденты, когда при подписании договора субъект сначала давал согласие, а затем отзывал его. Оператор же со своей стороны обязан предоставить доказательство получения такого отзыва или согласия.

Помимо этого, есть особые, специальные категории ПДн требующие отдельного письменного согласия со стороны субъекта. К таким категориям относятся сведения о: национальной принадлежности, политических и религиозных взглядах, состоянии здоровья, а также интимной жизни.

Отдельно стоит отметить биометрические ПДн. Речь идёт о сканерах отпечатков пальцев, сетчатки глаза и прочих интересных технических разработках, на основании которых можно идентифицировать личность по физиологическому признаку.

Как вы уже наверняка догадались, биометрические ПДн тоже могут использоваться исключительно при наличии согласия, данного в письменной форме субъектом, чьи биометрические данных вы собираетесь обрабатывать.

Права и обязанности субъекта и оператора

Давайте обобщим, какие же права в конечном итоге имеет субъект и затем перейдём уже непосредственно к обязанностям оператора. Субъект, т.е. лицо, предоставляющее свои данные, имеет право на получение от оператора следующей информации.

Первое, это непосредственно подтверждение факта обработки его ПДн. Второе – правовое основание для этого дела и цель обработки. И третье – инфу о способах, посредством которых данные будут обрабатываться оператором. 

Оператор же в свою очередь, согласно закону, обязан рыть землю носом и выполнять кучу всего по части обеспечения безопасности. Определять перечень угроз в соответствии с методикой ФСЭКа. 

Применять организационные и технические меры, поддерживающие должный уровень защищённости. Тоже в соответствии с рекомендациями ФСТЭКа. Для коммерции – это 21 приказ. Для гос. структур – 17ый.

Использовать исключительно те средства защиты, которые получили оценку соответствия в должных органах. Опять же ФСТЭК. Оценивать эффективность применяемых мер. Лучше всего переложить эту задачу на внешний аутсурс и заказать аудит

Учитывать носители ПДн. Обнаруживать факты несанкционированного доступа. А в случае успешной атаки, незамедлительно оценивать масштабы ущерба и восстанавливать поврежденные ПДн в максимально короткие сроки. 

Короче, быть оператором это капец как невесело. Особенно если кто-то из неблагонадёжных сотрудников эту самую пресловутую базу с ПДнками сольёт конкурентам.

Засудить, конечно, вряд ли засудят. Но нервы потреплют по полной программе. Если хотите более подробно ознакомиться с обязанностями оператора и процедурами, которые он выполняет, то рекомендую почитать на досуге 152 ФЗ.

Там и про уведомление контролирующих органов, и про назначение ответственных лиц, и про размещение документов рассказывается в красках. Также в нём упоминаются сроки устранения нарушений.

В зависимости от конкретного случая они могут варьироваться от 3 рабочих дней до нескольких месяцев. Помимо этого, обязательно ознакомитесь с вышедшим сравнительно недавно 519-федеральным законом «О распространении ПД».

Контролирующие органы

Ну и напоследок давайте поговорим о том, какие ведомства занимаются персональными данными. В первую очередь это прерогатива конечно же Роскомнадзора. Он является главным уполномоченным органом по защите прав субъектов ПД.

Контроль и надзор за выполнением организационных мер по обеспечению безопасности ПДн, при обработке ПДн в государственных информационных системах (так называемых ГИСах) осуществляется ФСБ.

Что же касается технической части защиты информации, то тут в дело вступает ФСТЭК. Помним опять же про 17 и 21 приказы. И раз уж мы заговорили о техническом оснащении, то тут очень важно позаботиться о специализированном софте и железе для фильтрации и контроля трафика в вашей сети.

Так, мои друзья-разработчики ИКС предлагают многофункциональное решение, обеспечивающее защиту сети и персональных данных. В одном интерфейсе вы сможете настроить антивирусную защиту, антиспам, защиту от сетевых атак, IPS, контроль приложений, контент фильтр и комплекс сетевых сервисов. 

А самое главное, что межсетевой экран ИКС зарегистрирован в реестре отечественного программного обеспечения и в настоящий момент проходит сертификацию по профилю безопасности Б5.

Для реагирования на угрозы в межсетевом экране интегрировано 2 антивируса. Т.е. анализ внешнего трафика производится еще до того, как он оказывается в локальной сети.

Вредоносная программа обнаруживается на этапе пограничной маршрутизации на уровне прикладных протоколов (при передаче файлов или открытии интернет-страниц).

Помимо этого, анализируется и весь внутренний трафик, проходящий через шлюз, предупреждая распространение опасных угроз. Также в ИКС есть наикрутейшая система обнаружения и предотвращения вторжений Suricata.

Suricata фиксирует и хранит информацию о всей подозрительной активности. Она автоматически анализирует трафик на внешних интерфейсах, а администратор может редактировать параметры работы: указать внутренние и внешние сети, диапазоны адресов различных серверов, используемые порты. 

Кроме того, благодаря возможностям Л7 фильтрации, ИКС блокирует ботнеты, DDOS-атаки, TOR, анонимайзеры, P2P и торрент-клиенты.

Так что, если вам необходимо защитить сеть компании от внешних угроз и обеспечить безопасность персональных данных, крайне рекомендую присмотреться к данному решению от отечественных разработчиков.

На официальном сайте доступны обучающие материалы, видеоуроки и онлайн чат техподдержки. Переходите по ссылке в описании, скачивайте триальную версию и протестируйте все возможности программного межсетевого экрана от ИКС прямо сейчас.

Ответственность за нарушения

Ну и традиционно, под самый занавес, давайте затронем тему ответственности за нарушения правил обработки персональных данных. Статья 13.11 - незаконная обработка, либо несовместимая с целями предусматривает штраф для должностного лица - 10 000 руб, и для юр. лиц до 50 000 руб.

Обработка без согласия в письменной форме: 20 000 и 75 000руб. соответственно. Ну и по мелочи можно схлопотать за неопубликование политики и не предоставление субъекту запрашиваемой информации.

Причём речь идёт о каждом обращении по отдельности. Так что на рынке есть отдельная категория индивидов, как правило это юристы, которые занимаются тем, что тупо ДУДОсят различного рода организации таким вот нехитрым образом в надежде на то, что сотрудники отдела ИБ прошляпят со сроками.

А если действовать не в одиночку, а целой командой, то можно действительно зарабатывать этим на жизнь. Причём не плохую, а с особняками в Дубаях, блекджеком по выходным и падшими женщинами по будням.

Ладненько. Теперь о невесёлых моментах. Самый большой штраф можно получить за невыполнение требования хранения баз данных с ПДн россиян на территории России. Сумма может доходить до 18 млн.

Так что техническая составляющая, в сотый раз повторюсь не менее важна, чем документальная. В целом ПДн сегодня обрабатываются практически везде. Как при заполнении согласий в очереди на медкомиссию, так и не посадочных сайтах, которые можно найти на последний страничках гугла.

Многие организации ошибочно полагают, что из-за малых размеров штрафов несоизмеримых с затратами на организацию обработки можно на этот вопрос мягко скажем забить.

Однако, всё ещё свеж в памяти случай, когда в 2019 году Faceиook и Twitter получили штраф на 4 мульта в связи с невыполнением требований по локализации баз данных в РФ. 

Так что, как видите, всё не так однозначно, как может показаться на первый взгляд. В любом случае, очень надеюсь, что я дал вам пищу для размышлений на ближайшие дни.

В заключении, по традиции, хотелось бы пожелать всем удачи, успеха и самое главное, соблюдения всех требований по обработке ПДн в вашей организации.

Берегите себя и свои данные. Не забывайте выполнять домашнее задание по теме. Оно уже доступно на странице нашего курса Информационная безопасность с нуля до джуна.

Ну а с вами, как обычно, был Денчик. Увидимся в следующем выпуске про банковскую тайну и пакет Яровой. Всем пока.