Защита персональных данных в России

Персональные данные обрабатываются компанией «Доктор Веб» в соответствии с требованиями следующих нормативных правовых актов:

• Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» от 1981 г., ратифицированная Федеральным законом от 19.12.2005 № 160-ФЗ с заявлениями.
• Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

Федеральный закон Российской Федерации
от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – «Закон»)

1. Что Закон требует защищать?

   Персональные данные (ПД).

   ПД — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Таким образом, ПД по Закону являются в том числе фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и т.д.

2. Какие категории ПД подлежат защите?

   В соответствии с Законом защите подлежат все категории ПД. Требования к защите ПД сформулированы в Постановлении Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее - ПП №1119). Согласно ПП №1119, выделяется защита специальных категорий ПД (данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПД), биометрических ПД (сведения, которые характеризуют физиологические и биологические особенности человека), общедоступных ПД (ПД, включенные с письменного согласия субъекта ПД в общедоступные источники, например, справочники, адресные книги и т.д.) и иных ПД.

   В рамках системы защиты ПД по ПП № 1119 реализуются меры по обеспечению безопасности ПД. Согласно Приказу ФСТЭК РФ от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ № 21), «в состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий», применительно к информационным системам ПД, должны входить следующие меры:

   • идентификация и аутентификация субъектов доступа и объектов доступа;
   • управление доступом субъектов доступа к объектам доступа;
   • ограничение программной среды;
   • защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее – машинные носители персональных данных);
   • регистрация событий безопасности;
   • антивирусная защита;
   • обнаружение (предотвращение) вторжений;
   • контроль (анализ) защищенности персональных данных;
   • обеспечение целостности информационной системы и персональных данных;
   • обеспечение доступности персональных данных;
   • защита среды виртуализации;
   • защита технических средств;
   • защита информационной системы, ее средств, систем связи и передачи данных.

   Согласно вышеуказанным требованиям, все компании должны защищать ПД в своих информационных системах ПД, а также в обязательном порядке использовать антивирусную защиту.

   Dr.Web Enterprise Security Suite совмещает возможности антивируса, брандмауэра и системы ограничения доступа к защищаемым данным. Возможности Dr.Web Enterprise Security Suite позволяют регистрировать события безопасности, обеспечивать защиту сменных носителей информации и многое другое.

   Грамотное использование Dr.Web Enterprise Security Suite дает возможность существенно снизить затраты на выполнение требований по защите ПД!

3. Кто должен защищать ПД?

   В соответствии со ст. 19 Закона оператор при обработке ПД обязан принимать необходимые организационные и технические меры для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПД а также от иных неправомерных действий. Соответственно, защищать ПД должен Оператор ИСПД.

   «Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».

   Вывод

   Любая компания или организация, имеющая контакты с физическими лицами, должна защищать ПД таких лиц в том случае, если этих данных достаточно для персонализации. Как показывает практика, большинство компаний имеют и хранят такие данные, а также осуществляют их обработку иными способами.

4. Где требуется защищать ПД средствами антивирусной защиты?

   Согласно Приказу № 21 для обеспечения 1 и 2 уровней защищенности ПД средства антивирусной защиты применяются в обязательном порядке. Для обеспечения 3 уровня защищенности используются средства антивирусной защиты не ниже 4 класса защиты:

   • в случае актуальности угроз 2-го типа;
   • взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена.

   Средства антивирусной защиты должны применяться даже в случае актуальности угроз только 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена (сетью Интернет).

   Важно!

   Для любой компании или организации, хранящей или обрабатывающей персональные данные, имеющей подключения к открытым сетям или предусматривающей обмен данными, обязательно обеспечение защиты от атак из внешних сетей, включая антивирусную защиту, – и это необходимо даже при отсутствии выхода со станции или сервера в Интернет.

5. C какой целью антивирусное ПО сертифицируется согласно Закону?

   Ст. 19 Закона гласит, что «обеспечение безопасности персональных данных достигается, в частности:... применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации».

   Согласно Приказу № 21, «для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей».

6. Как классифицировать информационную систему ПД?

   Согласно п. 9 Приказа № 21, «Выбор мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных, включает:

   • определение базового набора мер по обеспечению безопасности персональных данных для установленного уровня защищенности персональных данных в соответствии с базовыми наборами мер по обеспечению безопасности персональных данных, приведенными в приложении к настоящему документу;
   • адаптацию базового набора мер по обеспечению безопасности персональных данных с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);
   • уточнение адаптированного базового набора мер по обеспечению безопасности персональных данных с учетом не выбранных ранее мер, приведенных в приложении к настоящему документу, в результате чего определяются меры по обеспечению безопасности персональных данных, направленные на нейтрализацию всех актуальных угроз безопасности персональных данных для конкретной информационной системы;
   • дополнение уточненного адаптированного базового набора мер по обеспечению безопасности персональных данных мерами, обеспечивающими выполнение требований к защите персональных данных, установленными иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации.»

   В соответствии с п. 10 Приказа № 21 «При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.

   В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных».

7. Другие требования в области обеспечения защиты ПД

   Выдержки из Приказа № 21, Методического документа, утв. ФСТЭК России 11.02.2014 г. «Меры защиты информации в государственных информационных системах»:

   Использование антивирусной защиты	Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
   Использование антивирусной защиты везде, где только могут быть внедрены вредоносные программы	Реализация антивирусной защиты должна предусматривать... применение средств антивирусной защиты на: автоматизированных рабочих местах, серверах, периметральных средствах защиты информации (средствах межсетевого экранирования, прокси-серверах, почтовых шлюзах и других средствах защиты информации), мобильных технических средствах, иных точках доступа в информационную систему, подверженных внедрению (заражению) вредоносными компьютерными программами (вирусами) через съемные машинные носители информации или сетевые подключения, в том числе к сетям общего пользования (вложения электронной почты, веб- и другие сетевые сервисы).
   Использование централизованного управления	Реализация антивирусной защиты должна предусматривать... установку, конфигурирование и управление средствами антивирусной защиты; централизованное управление (установка, удаление, обновление, конфигурирование и контроль актуальности версий программного обеспечения средств антивирусной защиты) средствами антивирусной защиты, установленными на компонентах информационной системы (серверах, автоматизированных рабочих местах); оповещение администраторов безопасности в масштабе времени, близком к реальному, об обнаружении вредоносных компьютерных программ (вирусов).
   Использование функций Офисного контроля	Реализация антивирусной защиты должна предусматривать... запрет использования съемных машинных носителей информации, которые могут являться источниками вредоносных компьютерных программ (вирусов).
   Защита всех виртуальных рабочих станций и серверов	Должны обеспечиваться реализация и управление антивирусной защитой в виртуальной инфраструктуре... Должны обеспечиваться..: проверка наличия вредоносных программ (вирусов) в хостовой операционной системе, включая контроль файловой системы, памяти, запущенных приложений и процессов; проверка наличия вредоносных программ в гостевой операционной системе, в процессе ее функционирования, включая контроль файловой системы, памяти, запущенных приложений и процессов.
   Централизованное управление	Должна обеспечиваться реализация технологии обновления программного обеспечения и баз данных признаков компьютерных вирусов средств антивирусной защиты, предусматривающая однократную передачу обновлений на сервер виртуальной инфраструктуры для их последующего применения в виртуальных машинах.
   Защита сменных носителей и смартфонов	Оператором должна осуществляться защита применяемых в информационной системе мобильных технических средств. К мобильным техническим средствам относятся съемные машинные носители информации (флэш-накопители, внешние накопители на жестких дисках и иные носители), а также портативные вычислительные устройства и устройства связи с возможностью обработки информации (например, ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные средства). Защита мобильных технических средств включает: Реализацию в зависимости от мобильного технического средства (типа мобильного технического средства) мер по... ограничению программной среды.., регистрации событий безопасности.. , антивирусной защите..; запрет возможности автоматического запуска (без команды пользователя) в информационной системе программного обеспечения на мобильных технических средствах.
   Использование антивирусной защиты на уровне шлюза	Оператором должно обеспечиваться применение технических средств защиты периметра уровня узла, устанавливаемых на портативные вычислительные устройства.

8. Ответственность за нарушение требований законодательства в сфере ПД

   В соответствии со ст. 24 Закона, помимо возмещения потерпевшим морального вреда, «Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность».

   Здесь имеются в виду, как минимум:

   1. следующие статьи КоАП РФ:

      • 13.11. Нарушение законодательства Российской Федерации в области персональных данных;
      • 13.12. Нарушение правил защиты информации;
      • 13.13. Незаконная деятельность в области защиты информации;
      • 13.14. Разглашение информации с ограниченным доступом;

   2. следующие статьи Уголовного кодекса РФ:

      • 137. Нарушение неприкосновенности частной жизни;
      • 140. Отказ в предоставлении гражданину информации;
      • 272. Неправомерный доступ к компьютерной информации.