З наближенням НГ над більшістю підприємств цієї країни все нижче опускається домоклов меч правосуддя в особі закону номер 152-ФЗ. Цей закон покликаний контролювати дотримання конституційних прав громадян на таємницю особистого життя і збереження особистих даних. Якщо особисті дані використовуються ким то крім власника, то має місце бути факт обробки особистих даних. Той хто обробляє особисті дані вважається оператором обробки і підлягає сертифікації, на нього накладається ряд правил яким він повинен слідувати. В іншому випадку оператор може бути притягнутий як до адміністративної, так і до кримінальної відповідальності.
Під обробкою персональних даних мається на увазі будь-яка дія з цими даними, в тому числі і зберігання.
Відповідальність за невиконання вимог закону вельми серйозна і включає широкий спектр покарань. Згідно КоАП РФ і КК РФ, я знайшов кілька статей, відповідно до яких буде визначатися відповідальність за порушення вимог щодо захисту персональних даних. Може хтось знайде і інші, я не юрист.
Загалом список досить великий. При чому хитрість і неоднозначність тлумачення нашого законодавства дозволяє застосовувати схожі статті в однакових випадках. Всі тварини рівні, але деякі рівніші. Реальність ще суворіша, розглянемо простий приклад:
У компанію звертається громадянин, дані якого знаходяться в її базах. з проханням надати йому інформацію про те, як ведеться обробка його персональних даних. Тут варто зауважити, що такий запит може подати і зовсім стороння людина, перевірити то ви його ніяк не зможете. У будь-якому випадку він має право на таке звернення відповідно до статті 14, частиною 4 закону N152-ФЗ. Але компанія не готова до того, щоб дати повну відповідь у відведений час. Вона не надає затребувану інформацію або надає її в повному обсязі. Клієнт, не отримавши в зазначені в законі терміни відповідь, звертається зі скаргою в Роскомнадзор. Той надсилає до органів прокуратури запит про порушення кримінальної справи в зв'язку з порушенням прав суб'єкта персональних даних. Можлива відповідальність: по КоАП ст.5.39 або по КК ст.140. І ось у вас під дверима прокурорська перевірка. При документальному вивченні додаткових даних Роскомнадзор робить попередній висновок про недостатність заходів щодо захисту ПДН. Наприклад, співробітникам Роскомнадзора не пред'являються копії сертифікатів на засоби захисту інформації, які не демонструються ліцензії ФСТЕК, ФСБ чи документи, що описують модель загроз і поведінку потенційного порушника. Після чого Роскомнадзор направляє звернення до ФСТЕК і / або ФСБ з питання проведення позапланової перевірки організації з метою з'ясування ступеня виконання вимог щодо забезпечення захисту ПДН. В ході перевірки виявляється, що дана організація експлуатує інформаційну систему певного класу і в зв'язку з цим повинна була отримати ліцензію на діяльність з технічного захисту конфіденційної інформації ФСТЕК. Ліцензії дана організація не має, і робіт по її отриманню вона не починала. ФСТЕК направляє звіт про перевірку в Роскомнадзор, який, в свою чергу, надсилає до органів прокуратури або інші правоохоронні органи матеріали для вирішення питання про порушення справи. Можлива відповідальність: по КоАП ст.13.12 або по КК ст.171.
Що ж робити з усім цим і як боротися?
Для початку я б порекомендував поквапитися бо чим довше ви тягнете з рішенням, тим більшому ризику піддається компанія. Керівництво компанії має розуміти всю відповідальність і важливість проробляється роботи і повинна всіляко сприяти в її просуванні. Перед початком робіт потрібно визначитися, що ми вже маємо в плані захисту персональних даних. Для цього будуть потрібні нормативні документи ФСТЕК, що описують технічні вимоги до оператора. Ці документи несуть гриф «для службового користування», але їх не важко отримати, надіславши заяву в відділення ФСТЕК за місцем реєстрації оператора. Далі потрібно визначитися які з використовуваних інформаційних систем мають сертифікати ФСТЕК. Важливо мати ПО і обладнання, сертифіковане ФСТЕК, про самостійну сертифікацію я навіть мовчу - це дуже дорогий і тривалий процес. Використовуючи отримані дані потрібно провести аудит використання персональних даних, результатом повинен бути список - де, що і в якому розмірі обробляється і зберігається.
Дальше більше.
Як взагалі повинні виглядати інформаційні системи з точки зору закону.
- інформаційна система відокремлена від корпоративної мережі фаєрволом
- в системі використовуються сертифіковані засоби: Розмежування доступу (на рівні ОС, СУБД, прикладних систем), аудиту доступу до ПД (на рівні ОС, СУБД, прикладних систем), Антивірусної захисту.
- Розроблено пакет документів щодо захисту персональних даних - паспорт системи, модель загроз, інструкції для персоналу і користувачів.
- документовані організаційні заходи.
Слід визначитися - що ви вже маєте.
Технічні заходи невіддільні від заходів організаційних.
Організаційні заходи слід дуже точно продумати. Тут мало можна дати якісь точні рекомендації, по тому що багато в чому це залежить від специфіки роботи компанії. Скажу тільки, що не варто недооцінювати цей пункт. Багато речей можна вирішити наклавши простий організаційний заборона, по крайней мере позбавити себе від особистої відповідальності вже точно вийде. За основу можна взяти вже існуючі методичні рекомендації ФСТЕК, отримані вами на початку всієї суєти. Що повинно бути обов'язково - паспорт системи (опис того, що ви захищаєте), модель загроз (від чого ви захищаєтеся), регламенти надання доступу та реагування на інциденти (опис того, що ви можете робити і яким чином). Як додаток можна оформити пакет інструкцій як для користувачів, так і для адмінів.
Пакет необхідних документів залежить від класу Сашком системи.
Для систем класів 1, 2 і 3 (болле 1000 суб'єктів) потрібна наявність ліцензії на технічний захист конфіденційних даних і сертифікат про атестацію системи.
Для систем класів 1, 2 і 3 потрібне використання сертифікованих ФСТЕК засобів захисту.
Для систем класів 1 і 2 потрібно отримувати письмову згоду на обробку персональних даних від кожного суб'єкта. Ви повинні представити доказ отримання згоди суб'єкта на обробку його даних. Існують випадки коли подібна процедура не вимагається. Принагідно виконання оператором федерального закону в процесі своєї роботи (суть роботи оператора є виконання закону), в разі якщо персональні дані обробляються в рамках виконання договору, однією зі сторін якої є суб'єкт. На приклад не потрібна така згода під час прийому на роботу співробітника, реєстрації в пенсійних фондах, подання податкової декларації, оформленні страховки.
Для класів 1 і 2 обов'язково потрібно подавати повідомлення в Роскомнадзор про намір здійснювати обробку персональних даних. Багато компаній не зобов'язані реєструватися як оператори:
- в разі якщо оператора і суб'єкта пов'язують трудові відносини.
- у разі укладення договору за умови нерозповсюдження даних оператором.
- в разі якщо персональні дані отримані з відкритих джерел.
- при обробці знеособлених персональних даних.
- в разі одноразового використання даних.
На приклад: звичайна компанія в якій є відділ кадрів, організатори видачі одноразових перепусток на закриту територію, продаж квитків. У таких випадках повідомлення в Роскомнадзор подавати не потрібно.
Резюмуючи все вищесказане я приходжу до висновку, що не такий страшний чорт ...
Припустимо якщо ваша компанія не дуже великого розміру, зі звичайною бухгалтерією і відділом кадрів, штатом співробітників менше тисячі осіб. Така компанія потрапляє в третій клас операторів. У цьому випадку досить перевірити використовувані компоненти систем на сертифікацію ФСТЕК, оформити склад даних, оформити список користувачів і закріпити все це наказом.
Багато додаткової інформації можна знайти на офіційному сайті Уповноваженого органу із захисту прав суб'єктів персональних даних.
Приблизно так я бачу себе вирішення цієї вельми злободенної проблеми.