Защита корпоративных данных
Узнать большеОхрана персональных данных (ПДн) является критически важной задачей для любой организации, являющейся оператором ПДн. Ключевые меры обеспечения безопасности такой информации: использование различных программно-технических средств защиты, перемещение сведений в надежные хранилища, разграничение доступа. Если утечка информации все же произойдет, нарушителей ожидают серьезные штрафы и репутационные потери. Чтобы минимизировать риски и упорядочить работу с персональными данными, следует руководствоваться положениями ФЗ № 152. Рассказываем о сути этого нормативного акта, его ключевых принципах и мерах ответственности за несоблюдение регламентов.
Понятие ФЗ № 152, основные положения закона
ФЗ № 152 (Федеральный закон «О персональных данных» от 27 июля 2006 г. № 152-ФЗ) — главный нормативный документ, посвященный ПДн и работе с ними. Под персональными данными в этом законе подразумеваются любые сведения, которые могут косвенно или прямо охарактеризовать того или иного человека. Эталонного перечня, где бы оговаривался конкретный характер такой информации, в законе нет, поскольку все зависит от контекста. Если набор сведений позволяет идентифицировать то или иное лицо, то такие данные будут подпадать под категорию персональных.
Цель нормативного акта — обеспечить соблюдение и защиту прав субъектов ПДн при обработке информации (под ней понимают сбор, хранение, удаление, модификацию, анализ, перемещение сведений и т. д).
Перейдем к ключевым положениям и принципам документа:
- Обработка ПДн должна происходить в строгом соответствии с действующим законодательством.
- Обработка сведений обязана быть заранее обозначена конкретной целью, которой следует неукоснительно придерживаться. Запрещается сбор и применение информации для процессов, отступающих от этой цели.
- Базы данных, формируемые для разных целей, необходимо разграничивать. ФЗ строго запрещает объединять их.
- Обрабатываться должны только те сведения, которые важны для реализации назначенной цели. Запрещается собирать и использовать избыточную информацию.
- Собранные ПДн должны быть полными, актуальными и точными. Если какие-то сведения устарели или больше не нужны для реализации оговоренной цели, оператор должен принять меры по их удалению.
- Любые операции с ПДн должны осуществляться исключительно с письменного согласия их владельца. Также ФЗ № 152 требует, что субъектов данных нужно ставить в известность о целях эксплуатации сведений.
Статьи 14–17 посвящены правам субъектов информации при обработке ПДн в различных целях. В нормативных актах утверждается, что субъекты наделены правами на доступ к своим данным и обжалование нелегитимных действий оператора в случаях, когда нарушается хотя бы одно из основных положений ФЗ.
Статьи 18–22 регламентируют обязанности операторов при сборе и эксплуатации сведений. Также они содержат положения о необходимости обеспечения надлежащих мер охраны информации и устранения нарушений действующего законодательства.
Кто обязан соблюдать ФЗ № 152
Закон обязаны соблюдать все организации, которые собирают и обрабатывают ПДн с использованием средств автоматизации или вручную. Такие компании считаются операторами персональной информации, поэтому полностью отвечают за защиту сведений и обеспечение их конфиденциальности.
Примеры организаций, на которые распространяется действие нормативного акта:
- Органы государственной власти.
- Организации местного самоуправления.
- Муниципальные учреждения.
- Организации, относящиеся к категории юридических лиц.
Нормативный акт также регулирует обработку ПДн, которую осуществляют физические лица, оказывающие какие-либо услуги по договору.
Однако в некоторых случаях использование ПДн не подпадает под требования ФЗ № 152. Это ситуации, когда:
- Персональная информация используется физическими лицами для частных нужд. При этом важно, чтобы не нарушались права владельцев сведений.
- Обрабатываются ПДн, подпадающие под категорию государственной тайны. В подобных случаях будут действовать иные законы.
- Обрабатываются, комплектуются и применяются персональные данные, которые содержатся в архивах учреждений. В таких случаях организации обязаны руководствоваться нормативными актами, посвященными архивному делу.
- Обрабатывается информация, которая фигурирует в судебной деятельности и защищается Федеральным законом № 262.
Санкции за нарушение ФЗ № 152
Нарушением нормативного акта признается ненадлежащая обработка сведений, их несанкционированный сбор и распространение. В этом случае нарушители понесут административную ответственность согласно статье 13.11 КоАП РФ. Наказание для операторов ПДн — штрафы, размер которых зависит от того, кто и какое правонарушение совершил, в первый раз это произошло или повторно.
Также ответственность за утечку данных подразумевает возмещение морального ущерба и убытков пострадавшим лицам. Меры наказания регламентируются статьей 24 ФЗ № 152 и статьей 15 ГК РФ.
Уголовная ответственность может наступить за разглашение данных, подпадающих под категорию личной и семейной тайны. Нарушителям грозят штрафы, удержание доходов, исправительные работы, арест или лишение свободы за особо серьезные нарушения.
Для сотрудников компании, обрабатывающей персональные данные, предусмотрена дисциплинарная ответственность согласно статьям 81, 90, 192 ТК РФ. Меры, применяемые к нарушителям: штрафы, выговоры, замечания, увольнение.
Технологии и методы соблюдения нормативных требований ФЗ № 152
Все организации и частные лица, которые являются операторами персональной информации, в обязательном порядке должны принять следующие меры:
- Составить модель безопасности данных, где будут отражены реальные угрозы информации. Это необходимо для понимания, какие инструменты защиты целесообразно использовать. При формировании документа можно ориентироваться на базовую модель угроз от ФСТЭК России.
- Обеспечить надежную процедуру аутентификации (чаще двухфакторную) с целью ограничения доступа для лиц, у которых нет полномочий использовать сведения, подпадающие под категорию персональных.
- Применять для защиты данных антивирусы, межсетевые экраны, инструменты обнаружения вторжений и предотвращения утечек, другие надежные средства обеспечения информационной безопасности.
- Использовать для защиты персональных данных программное обеспечение, сертифицированное ФСТЭК России.
Также каждая организация, подпадающая под действие ФЗ № 152, должна назначить лиц, которые будут отвечать за безопасность персональных данных. Полномочия и задачи таких сотрудников обязательно должны быть отражены в соответствующем приказе о назначении.
Решение Solar DAG от ГК «Солар» для работы с неструктурированными персональными данными
Большинство компаний располагает информацией, которую называют неструктурированной. Это данные в различных форматах, которые хранятся в разных системах и папках, то есть конечные хранилища для них не определены. К чему это приводит? Такие сведения сложно поддаются обработке и анализу, никак не отслеживаются и, соответственно, могут утечь, использоваться не по назначению, бесконтрольно распространяться.
Чтобы выстроить стратегию защиты персональных данных, необходимо разобраться в информационных массивах и классифицировать сведения согласно категориям. В этом поможет платформа Solar DAG — продукт класса Data Access Governance, который помогает соблюдать нормативные требования ФЗ № 152. Какие задачи закрывает решение:
- Обнаруживает в информационных массивах персональные данные, которые хранятся в разных системах, осуществляет их классификацию в соответствии с настройками. При первом запуске DAG-платформа сканирует все имеющиеся сведения и фиксирует связанные с ними события.
- Формирует отчеты для проведения аудита данных и прав доступа. Система фиксирует, какие учетные записи могут воздействовать на ту или иную информацию, какой у них уровень доступа. Также платформа позволяет находить ресурсы, которыми оперируют конкретные учетки.
- Контролирует изменение прав доступа и позволяет проводить аудит событий, регистрируя все действия, связанные с той или иной учетной записью.
DAG-система позволяет получить представление, какие данные есть в распоряжении организации, кто может ими оперировать и на каких основаниях. Имея ответы на эти вопросы, можно организовать надлежащее хранение сведений, разграничить к ним доступ и взять под полный контроль.
Какие требования ФЗ № 152 помогает соблюдать Solar DAG
Какую роль Solar DAG играет в обеспечении конфиденциальности персональной информации и реализации единого подхода к использованию и обработке таких сведений:
- Позволяет обнаруживать в общих массивах неактуальные и неполные сведения, тем самым помогая реализовывать принципы полноты и точности информации, своевременно удалять устаревшие данные.
- Осуществляет контроль использования персональных данных, отправляет ответственным лицам уведомления обо всех операциях с информацией. В случае расхождений с внутренними политиками у сотрудников службы безопасности будет возможность предотвратить несанкционированный доступ и утечку конфиденциальных сведений.
- Контролирует политики хранения информации и позволяет разграничивать базы данных, как этого требует ФЗ № 152.
- Помогает соблюсти положение о минимизации данных путем обнаружения сведений, которые присутствуют в базах, но не используются в рамках назначенных целей обработки.
- Позволяет сфокусировать внимание службы безопасности на охране персональной информации.
