Найти в Дзене
Астрал.Безопасность
13 подписчиков

Защита персональных данных для организаций в России

12
13 мин
В современную цифровую эпоху защита персональных данных (ПДн) стала одним из самых острых вопросов во всем мире. Объем и ущерб киберугроз, а также штрафные санкции за халатность при работе с информацией растут с каждым годом, что вынуждает организации ответственней защищать частную информацию клиентов и сотрудников. В России за последние пару лет соблюдение законодательства о защите информации стало особенно важным. На сегодняшний день действует строгое законодательство, регулирующее сбор и обработку персональных данных. Ключевые законы, такие как Федеральный закон "О персональных данных" (152-ФЗ), определяют обязанности организаций по информированию граждан о методах работы с данными, получению соответствующего согласия и обеспечению защиты от несанкционированного использования. Нарушения могут повлечь за собой серьезные последствия. Только в 2022 году российские суды выписали по искам Роскомнадзора штрафы на более чем 50 млн рублей за нарушения при работе с персональными данными. Для
Оглавление
Правила защиты ПДн для организаций РФ от котика в шапке-ушанке
Правила защиты ПДн для организаций РФ от котика в шапке-ушанке

В современную цифровую эпоху защита персональных данных (ПДн) стала одним из самых острых вопросов во всем мире. Объем и ущерб киберугроз, а также штрафные санкции за халатность при работе с информацией растут с каждым годом, что вынуждает организации ответственней защищать частную информацию клиентов и сотрудников. В России за последние пару лет соблюдение законодательства о защите информации стало особенно важным.

На сегодняшний день действует строгое законодательство, регулирующее сбор и обработку персональных данных. Ключевые законы, такие как Федеральный закон "О персональных данных" (152-ФЗ), определяют обязанности организаций по информированию граждан о методах работы с данными, получению соответствующего согласия и обеспечению защиты от несанкционированного использования. Нарушения могут повлечь за собой серьезные последствия. Только в 2022 году российские суды выписали по искам Роскомнадзора штрафы на более чем 50 млн рублей за нарушения при работе с персональными данными.

Для любого предприятия, работающего в России, соблюдение правил защиты ПДн является обязательным не только для избежания штрафов, но и для поддержания доверия клиентов и сотрудников. Понимание основ защиты данных в России крайне важно для любого предприятия, хранящего информацию о гражданах. В этой статье мы приводим обзор российской законодательной базы, шаги по обеспечению соответствия требованиям к обработке данных, современные киберриски и проактивные меры, которые могут предпринять организации для обеспечения конфиденциальности и безопасности персональных данных.

Законодательная база ПДн в России

Правительство России серьезно относится к защите данных, принимая надежные законы, расширяющие права и возможности граждан и требующие ответственности от организаций. Главным действующим документом в этом вопросе является Федеральный закон 152-ФЗ "О персональных данных". Его задача - регламентировать правила сбора, хранения, использования и распространения персональных данных.

На компании это накладывает большие обязательства: сбор и обработку данных в соответствии с законом, защиту данных, получение согласия субъектов данных, регистрацию крупных баз данных в Роскомнадзоре, соблюдение сроков хранения, предоставление доступа субъектам данных, соблюдение и уважение их прав.

152-ФЗ дает главное определение персональным данным — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн). Таким образом всякая организация, которая взаимодействует с такой информацией обязана четко соблюдать все правила закона и регуляторов.

Согласно закону 152-ФЗ и статье 86 Трудового кодекса РФ, независимо от того, чьи данные компания обрабатывает, ей необходимо гарантировать их сохранность и конфиденциальность.

Немаловажным аспектом в защите ПДн является работа регуляторов — в частности ФСТЭК, ФСБ и Роскомнадзора.

  • Федеральная служба по техническому и экспортному контролю (ФСТЭК): ФСТЭК играет ключевую роль в оценке и аккредитации средств защиты информации, используемых в организациях для обработки персональных данных. Эта служба осуществляет процесс сертификации и аттестации таких средств, чтобы убедиться в их соответствии требованиям по безопасности и защите информации. Это важно для надежной защиты ПДн от угроз и несанкционированного доступа.
  • Федеральная служба безопасности (ФСБ): ФСБ играет роль в обеспечении национальной безопасности, включая защиту ПДн. Она может проводить проверки и расследования в случае нарушений правил обработки персональных данных и утечек конфиденциальной информации. ФСБ также может сотрудничать с организациями и госорганами для предотвращения кибератак и других угроз безопасности, которые могут затронуть персональные данные.
  • Роскомнадзор: РКН играет важную роль в разработке и уточнении законодательства о персональных данных. Он участвует в формировании нормативных актов и рекомендаций, которые регулируют обработку ПДн в России. Помимо этого, РКН осуществляет контроль и надзор за соблюдением требований законодательства о персональных данных со стороны организаций и госучреждений. Это включает в себя проверки, мониторинг и расследования в случае нарушений.

Соблюдение закона позволяет не только избежать штрафов, но и укрепляет доверие. Для российского бизнеса строгая защита данных создает основу для этики и прозрачности. Особенно в современных реалиях, когда от утечек ПДн страдают и крупные компании (такие как CDEK и Сбербанк), эффективная защита данных — это еще и защита репутации.

Поэтому, хотя положения закона могут показаться сложными, его философия проста: персональные данные = главная ценность современного человека. Именно с таким отношением к личным данными своих клиентов или сотрудников организации смогут принимать эффективные меры по их обработке и защите.

Процесс обработки персональных данных в организации

Обработка ПДн — комплекс мер по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных.

После того, как компания определила наличие персональных данных (а в этом помогают именно закон № 152-ФЗ и ТК РФ), важно определить с какой категорией субъектов ПДн компания взаимодействует. Некоторые компании обрабатывают персональные данные не только работников, но и клиентов. Помимо этого, необходимо четко знать с какой целью эти данные будут использоваться компанией. В некоторых случаях компаниям нужно лишь знать имя и номер телефона для проведения промо-акций, а каких-то намного больше, но в любом случае закон диктует обрабатывать только те данные, которые требуются для достижения цели их обработки, и только с согласия субъектов ПДн.

Вот несколько примеров целей обработки данных для разных категорий субъектов:

  • Сотрудники компании:
  • Управление персоналом, включая учет рабочего времени, выплату заработной платы и социальных льгот.
  • Обеспечение безопасности на рабочем месте и контроль доступа к помещениям.
  • Администрирование корпоративных бенефитов и программ.
  • Клиенты:
  • Предоставление услуг или продуктов.
  • Обработка платежей и выставление счетов.
  • Поддержка клиентов и связь с ними.
  • Маркетинг и рекламные кампании.
  • Пациенты в медицинских учреждениях:
  • Ведение медицинской документации и истории болезни.
  • Диагностика и лечение.
  • Организация медицинских анализов и исследований.
  • Субъекты, подписанные на новостные рассылки:
  • Рассылка новостей, обновлений и информации о продуктах или услугах.
  • Сегментация аудитории для более целевой рассылки.
  • Участники программ лояльности:
  • Программы лояльности и наградные бонусы.
  • Анализ поведения участников программы.

После достижения цели обработки ПДн, компания должна прекратить обработку этих данных.

В соответствии со статьей 19 закона №152-ФЗ требования к обеспечению безопасности персональных данных при их обработке можно разделить на три типа:

  1. Правовые — включают в себя установление внутренних документов, таких как “Политика в отношении обработки персональных данных”, а также назначение ответственных лиц (например, через приказы) для обеспечения соблюдения законодательства о ПДн в организации.
  2. Организационные — могут включать в себя назначение ответственных лиц, обучение работников, формирование культуры приватности в компании.
  3. Технические — включают в себя использование средств и технологий для обеспечения защиты информации. Они могут варьироваться от простых средств, таких как сургучовые печати и решетки на окнах, до более высокотехнологичных методов, включая антивирусы, межсетевые экраны, средства защиты от несанкционированного доступа и криптографические СЗИ.

По итогу мы можем руководствоваться следующим списком шагов при обработке персональных данных:

  1. Определите, с какими категориями субъектов данных ваш бизнес имеет дело, на каком законном основании и с какой целью вы обрабатываете их информацию.
  2. Изучите действующее законодательство и примите решение о том, как ваша компания будет соблюдать требования по обработке персональных данных. Отразите это во внутренних документах.
  3. Примите необходимые организационные меры, такие как назначение ответственных лиц.
  4. Обеспечьте выполнение технических мер для защиты информации. Важно отметить, что закон предоставляет компаниям свободу выбора технических средств. Однако для госучреждений существуют четкие требования по использованию средств защиты информации, которые необходимо строго соблюдать.

Строгие меры безопасности и ответственное отношение к работе с данными позволяют организациям заслужить доверие клиентов и соответствовать строгим российским стандартам. Правильная обработка ПДн — гарант информационной безопасности как для потребителей, так и для компаний. Более подробно узнать о всех свежих изменениях в работе с ПДн вы можете на нашем вебинаре.

Угрозы для ПДн и методы их защиты

По данным РКН за последние два года в России количество утечек персональных данных пользователей выросло почти в 40 раз. В 2023 году Средняя потеря от одной утечки составила 5,5 млн рублей. Эти цифры еще раз подтверждают неоспоримый факт — защита ПДн необходима для любой современной организации.

Список эффективных средств защиты действительно широк, однако лучше всего они работают в правильно организованном комплексе. Необходимо внедрять надежные средства кибербезопасности, включая межсетевые экраны (в особенности класс решений NGFW - подробней о нем мы рассказывали здесь), системы предотвращения вторжений и средства для защиты конечных точек. Средства аутентификации, такие как многофакторная идентификация и контроль доступа, предотвращают несанкционированный доступ к системе.

Использование решений DLP (Data Leak Prevention) способствует предотвращению утечек информации и связанных с ними финансовых и репутационных убытков. В первую очередь важно обеспечить безопасность организации от внутренних угроз, так как внутренние инсайдеры (агенты, шпионы, разведчики внутри компании) могут причинить значительно больший ущерб, чем внешние атаки. DLP не только обеспечивает защиту компании от утечек, но также профилирует сотрудников, выявляет аномалии в их поведении и позволяет оперативно проводить расследования инцидентов.

Также рекомендуется использовать решения класса PAM (Privileged Access Management), которые позволяют создавать и хранить безопасные пароли, автоматически изменять их в соответствии с расписанием или после каждой сессии, а также скрывать пароли от пользователей и автоматически применять их в соответствии с заранее установленными правилами.

Значительно повышает безопасность шифрование данных, как передаваемых, так и находящихся в состоянии покоя. Регулярно обновляемые антивирусные программы и сканирование уязвимостей позволяют выявить недостатки. Постоянное обучение персонала позволяет снизить рискованное поведение.

Однако простого внедрения различных мер по защите ПДн недостаточно. Важно также убедиться, что эти меры эффективны. Для этого существуют процедуры аттестации информационной системы ПДн и оценки эффективности мер защиты данных.

Аттестация информационной системы, на которой обрабатываются персональные данные, проводится совместно с компанией-лицензиатом ФСТЭК России, которая обладает необходимым опытом и компетенциями в сфере ИБ. Процесс включает оценку достаточности принятых мер по защите данных. По результатам организации выдается аттестат соответствия — доказательство соблюдения закона в области ПДн. Важно отметить, что аттестат соответствия бессрочен, но оператору необходимо периодически проходить оценку эффективности мер защиты каждые 3 года.

Согласно приказу ФСТЭК России №21, организация имеет право проводить оценку эффективности самостоятельно или с привлечением лицензированных юридических лиц и ИП. Решение по форме оценки эффективности и документам, разрабатываемым в процессе оценки, принимается организацией по ее усмотрению. Главные шаги в этом процессе:

  1. Разработка методики оценки
  2. Испытания информационной системы персональных данных на соответствие требованиям по безопасности персональных данных от угроз.

Оценка эффективности мер проводится согласно национальному стандарту ГОСТ. Успешное прохождение проверки подтверждает аттестат соответствия, который также является бессрочным.

Строгие протоколы должны регламентировать доступ к данным третьих лиц, включая проверку безопасности поставщиков. Планирование непрерывности бизнеса позволяет подготовиться к реагированию на инциденты в случае нарушения.

Многоуровневая защита, постоянный мониторинг и проактивная культура безопасности позволяют организациям защитить персональные данные как от внешних, так и от внутренних угроз.

Санкции и ответственность

Небрежность в защите персональных данных влечет за собой серьезные последствия, включая крупные штрафы и репутационный ущерб. Однако организации могут минимизировать эти риски с помощью проактивных мер.

Нарушения законодательства в этой области могут привести к административной и уголовной ответственности. За нарушения при обработке ПДн могут быть назначены административные штрафы, как компаниям-операторам, так и их сотрудникам, ответственным за процессы обработки. Эти штрафы могут достигать 18 миллионов рублей, особенно в случае повторного нарушения требований о локализации баз данных на территории России, как предусмотрено частью 9 статьи 13.11 Кодекса об административных правонарушениях РФ.

Кроме того, гражданско-правовая ответственность может возникнуть в случае распространения ложной или клеветнической информации, нарушения прав граждан на изображение и нарушения их частной жизни. Это регулируется статьями 152, 152.1 и 152.2 Гражданского кодекса РФ.

Кроме того, с 1 сентября 2022 года внесены изменения в законодательство, требующие от компаний и ИП уведомлять РКН о сборе персональной информации, касающейся их работников и клиентов. Эта информация включает в себя данные, полученные и обработанные в рамках ТК РФ и других федеральных законов, регулирующих трудовые отношения. Отдельная санкция предусмотрена за хранение данных граждан РФ за пределами России: до 12 млн рублей.

За несоблюдение требований о представлении уведомления о намерении собирать или уже собирающей личные данные, предусмотрены штрафы:

  • от 300 до 500 рублей для должностных лиц и ИП.
  • от 3000 до 5000 рублей для организаций.

Обеспечение полного соответствия требованиям требует постоянного контроля, проведения внутренних аудитов и анализа рисков. Сотрудники должны регулярно проходить обучение по вопросам протоколов и этики. Сбор и хранение данных должны быть сведены к минимуму.

Контроль со стороны третьих лиц, включая аудит безопасности и юридические консультации, позволяет выявить потенциальные проблемы на ранней стадии. Планы реагирования готовят команды к оперативному реагированию на инциденты или действия правоохранительных органов.

Для организаций, работающих с персональными данными в России, соблюдение нормативных требований должно быть главным приоритетом.

Заключение

Российское законодательство в области защиты ПДн требует от организаций соблюдения строгих требований безопасности. Основные требования включают получение информированного согласия, ограничение сбора данных, внедрение киберзащиты, обеспечение доступа пользователей и соблюдение строгих протоколов обработки.

С уделением должного внимания к защите ПДн предприятия смогут избежать крупных штрафов за небрежность и укрепить доверие клиентов. Постоянное обучение, проверки и современные средства защиты являются обязательными условиями безопасности. Сотрудничество с регулирующими органами и экспертами в сферах права и ИБ обеспечивает надзор за соблюдением требований.

Соблюдение нормативно-правовой базы позволяет обеспечить этичную и ответственную работу с данными, защищая репутацию и прибыль. Для любого предприятия, взаимодействующего с данными российских граждан, строгие меры защиты — не просто юридическое обязательство, это инвестиции в будущее.

Пишите нам: Вконтакте | Телеграм | Сайт