Одними cookie cыт не будешь: как бизнесу соответствовать 152-ФЗ сегодня и хранить данные пользователей без потерь?

Может показаться, что исполнять требования 152-ФЗ должны только большие компании: банки, массовые сервисы и медицинские учреждения. На самом деле под действие закона попадают почти все информационные системы. О том, как обезопасить свой бизнес от утечек и штрафов, рассказываем в тексте.

Закон о персональных данных глубже, чем кажется.
Закон о персональных данных глубже, чем кажется.

Обсудим:

В России с 2007 года действует Федеральный закон №152. В нем отражено большинство требований и предписаний, касающихся защиты персональных данных от использования третьими лицами.

152-ФЗ регламентирует отношения между оператором данных и пользователями.

Операторами могут быть не только интернет-ресурсы, но и бумажные картотеки или периодические издания. Юридические и физические лица.

Закон затрагивает сферу обработки, хранения и утилизации персональных данных операторами. То есть данных, по которым можно безошибочно идентифицировать человека.

Типы персональных данных

  • Общедоступные. Эти данные открыты неограниченному количеству лиц с согласия человека. Например, информация об авторе материала в СМИ или на основании ФЗ: выписки из ЕГРЮЛ или ЕГРИП.
  • Биометрические. В эту группу попадает информация о биологических и физиологических особенностях, которые используют для идентификации. Отпечатки пальцев, даже образцы голоса и сканы сетчатки глаз.
  • Специальные. Сюда относятся не только данные, которые хранят карточки в поликлиниках. Это также информация о судимостях и прохождении воинской службы, расовой и национальной принадлежности, политических и религиозных взглядах.
  • Иные. Название группы достаточно общее, но это самая популярная категория персональных данных. Это ФИО, адрес, паспортные данные, электронная почта и мессенджеры, стаж работы — данные, полученные с согласия субъекта. Их собирают все интернет-магазины и большинство сервисов во время регистрации или оформления заказов.

Кого касается 152-ФЗ?

Может показаться, что исполнять требования 152-ФЗ должны только банки и медицинские учреждения. То есть организации, работающие с целым набором документов и данных.

Под действие закона попадают почти все информационные системы: интернет-магазины, сервисы, библиотеки, государственные учреждения, биллинговые системы и call-центры.

Многие компании воспринимают требования 152-ФЗ как ростовую фигуру, за которой может не стоять содержания. Кажется, что достаточно спросить пользователя, готов ли он записать данные в cookie, и все. Система действительно может так работать до первой утечки или до проверки регулятором.

Максимальный предусмотренный штраф за нарушение закона о персональных данных сейчас – 18 млн рублей.

Если говорить о технической защите персональных данных, стоит обратиться к подзаконным актам 152-ФЗ - 1119 ПП, 21 Приказ ФСТЭК. Там прописаны меры обеспечения защиты персональных данных, в зависимости от их характера. Например, сервисам, которые обрабатывают специальные категории персональных данных более 100 тысяч пользователей, необходимо соблюдать защитные меры второго уровня защищенности.

Для каждой системы должна быть разработана модель угроз. Криптографические средства защиты необязательны при защите персональных данных, но они также могут потребоваться. Это актуально для случаев, связанных с перехватом персональных данных по каналам связи. Или когда из модели угроз требуется использовать криптографические средства для шифрования баз данных с персональными данными.

Что изменилось в законодательстве?

24 мая 2022 для дополнительной защиты персональных данных Государственная дума в первом чтении приняла закон, который вносит поправки в 152-ФЗ.

Теперь операторы ПД будут обязаны немедленно информировать о кибератаках и утечках данных.

Кроме этого, произошли следующие изменения:

  • Сроки выполнения запросов органов власти и граждан по проблемам, связанным с незаконной обработкой персональных данных, сократились с 30 до 10 дней.
  • Благодаря поправкам пользователь может отказаться от сбора ПД. Сервис не в праве отказать ему в получении услуг или продаже товара.
  • Уполномоченные органы власти получили возможность вмешиваться в вопросы обработки персональных данных граждан РФ на территориях других государств. Кроме того, ограничили обработку биометрических персональных данных несовершеннолетних.
  • Операторов ПД обязали информировать уполномоченные органы власти о намерении трансграничной передачи персданных. В некоторых случаях такая передача может быть ограничена.

Ответственность

В июне Минцифры представили законопроект, в рамках которого за нарушение порядка обработки и хранения биометрических данных предполагается административная и уголовная ответственность.

За противозаконные действия с ПД биометрического типа должностным лицам будет грозить штраф от 100 тыс. до 300 тыс. рублей, а юрлицам — от 300 тыс. до 500 тыс. рублей.

Если к обработке биометрических данных физлиц в финансовом секторе или государственных структурах будет допущена организация без аккредитации, то наказание будет более суровым. Для должностных лиц оно составит от 300 тыс. до 600 тыс. рублей, для юрлиц — от 500 тыс. до 1 млн рублей.

Ранее были внесены поправки в статью 14.8 КоАП, по которым для компаний и предпринимателей установили новый штраф (Федеральный закон от 28.05.2022 № 145-ФЗ).

Штрафовать будут за незаконный сбор персональных данных при продаже товаров и услуг. Сумма для компаний – от 30 тыс. до 50 тыс. рублей, а для должностных лиц и ИП – от 5 до 10 тыс. рублей.

Как бизнесу правильно хранить данные, чтобы соответствовать законодательству?

Утечки персональных данных можно разделить на три группы.

Уровень персонала. Это:

  • Передача конфиденциальных данных с целью продажи.
  • Неосторожность во время разговора с конкурентами или сотрудниками с иным уровнем доступа.
  • Халатное отношение к рабочей технике.

По статистике, утечка персональных данных чаще всего происходит именно на этом уровне. Сложность в том, что культуру охраны ПД нужно гибко регламентировать и постоянно поддерживать. Регулярно проводить обучение и доносить изменения в законодательстве.

Уровень приложения

Само приложение может содержать массу уязвимостей. Если утечка произошла на уровне приложения, то даже провайдер, который полностью выполняет обязательства 152-ФЗ на уровне инфраструктуры, не может на это повлиять. Это не находится в его зоне ответственности.

Уровень инфраструктуры

Если клиент размещает свои информационные системы или приложения с персональными данными у провайдера, необходимо убедиться, что провайдер выполняет требования 152-ФЗ на уровне инфраструктуры.

Для этого еще на этапе выбора провайдера стоит проверить наличие акта оценки эффективности или аттестата соответствия. Хорошо, если компания публично разместила его прямо на сайте.

Как еще можно улучшить безопасность данных?

Аттестованный сегмент ЦОД — это не только соответствие Tier III. По факту, это отдельные стойки, которые дополнительно оборудованы электронным замком со стороны холодного и горячего коридоров и дополнительными камерами.

В стойках аттестованного сегмента ЦОД клиенты могут разместить серверы произвольной конфигурации за индивидуальным аппаратным межсетевым экраном. Так достигается изоляция систем клиента от других пользователей и сетей Selectel. Доступ в это пространство имеют, как правило, только сотрудники. Каждый из них прошел обучение и получил согласование департамента клиентской безопасности.

Разместите инфраструктуру в аттестованном сегменте ЦОД и будьте уверены, что безопасность ваших систем и данных под контролем. А еще подписывайтесь на наш блог, чтобы не пропустить важные апдейты из мира IT.

Читайте также:

1919
2 комментария

В тексте допущены пара неточностей.
1. Такой категории ПДн как "общедоступные ПДн" более не существует, согласно изменениям в том самом 152 фз от 2021 года, остались только сами источники
2. "Под действие закона попадают почти все информационные системы" - не почти все, а все, которые работают с ПДн, разумеется кроме сведений содержащих гостайну, а также Архивный Фонд РФ
3. В случае если рассматривается утечка на уровне приложения, СКЗИ не быть не может, поскольку так или иначе информация передается по незащищенным каналам связи
4. В случае размещения систем вовне, уместнее разумеется уже говорить не о 152 фз а в целом о технической защите конфиденциальной информации
5. Если вы размещаете системы у некоего провайдера, нельзя сказать что это "не его зона ответственности". Разумеется если вы не проверили провайдера, к вам тоже будут вопросы, однако основной гвалт и тяжесть выполнения требований безопасности информации находится там, где размещены ваши системы, поскольку провайдер берет на себя обязательства по охране и безопасности этих данных, в том числе от утечек и других угроз из модели угроз безопасности, он должен обезопасить то, что взял на хранение
6. Честно говоря к аттестату размещенному в ссылке имеются вопросы, поскольку вообще говоря аттестат соответствия требования безопасности информации это ДСП документ, хотя если в документе по ссылке вам забыли написать слово "выписка", это меняет дело. Однако тем не менее размещение в общедоступных источниках документа грифа ДСП несколько странно
7. Требований к дополнительному оборудованию аттестованного сегмента ЦОД таких как камера и электронный замок по факту нет, видеонаблюдение не обязательный модуль, а замок не обязательно электронный
и тд.

В целом не то чтобы сильно значительные пункты, в любом случае благодарю за выбор темы и просвещение масс.

Спасибо за интерес к теме!

Сам аттестат соответствия требованиям по защите информации не является ДСП. Вот приложения к нему или техпаспорт – да. Данные документы мы не размещаем на сайте и не советуем другим:)

Касательно последней части про аЦОД – мы рассказываем про набор практик, которые используем в Selectel для дополнительной защиты пользовательских данных.