Защита персональных данных

Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» (с изменениями и дополнениями от: 25 ноября, 27 декабря 2009 г., 28 июня, 27 июля, 29 ноября, 23 декабря 2010 г., 4 июня, 25 июля 2011 г., 5 апреля, 23 июля 2013 г.) определена правовая основа обращения с персональными данными физических лиц в целях реализации конституционных прав человека, в том числе права на неприкосновенность частной жизни, личную и семейную тайну. Данным законом определены принципы и условия обработки персональных данных. Устанавливая общий запрет на обработку персональных данных без согласия субъекта персональных данных, также закон предусматривает и случаи, когда такое согласие не требуется.

Обеспечение безопасности персональных данных является не правом организа¬ции, а ее прямой обязанностью. Несоблюдение организацией требований по обес¬печению безопасности персональных данных может повлечь не только ущерб для самой организации, но, в первую очередь, привести к нарушению конституцион¬ных прав граждан, повлечь за собой череду гражданско-правовых исков со сто¬роны физических лиц, чьи права могут оказаться нарушенными, и, даже привле¬чение к административной или уголовной ответственности.

В соответствии с п. 1 ст. 3 этого Закона персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. В соответствии с п. 2 ст. 3 №152-ФЗ «О персональных данных» Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

После вступления в силу Закона перед большинством Российских компаний встала сложная и требующая незамедлительного решения задача. Компании (операторы), обрабатывающие персональные данные в информационных системах, обязаны обеспечить:

  • Проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации.
  • Своевременное обнаружение фактов несанкционированного доступа к персональным данным.
  • Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование.
  • Возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
  • Постоянный контроль за обеспечением уровня защищенности персональных данных.
  • Уполномоченными федеральными органами, регулирующими деятельность в сфере обработки персональных данных, являются:

  • Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) – ведет реестр операторов персональных данных, контролирует обработку персональных данных операторами и рассматривает обращения субъектов персональных данных.
  • ФСТЭК России (Федеральная служба по техническому и экспортному контролю) – регулирует сферу обработки и передачи персональных данных между операторами.
  • ФСБ РФ (Федеральная служба безопасности РФ) - регулирует сферу использования криптографических средств защиты информации при обработке персональных данных.
  • Важнейшей гарантией прав субъекта персональных данных является обязанность операторов и третьих лиц, получивших доступ к персональным данным, обеспечивать их конфиденциальность (кроме случаев их обезличивания и общедоступных персональных данных), а также право субъекта персональных данных на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

    В связи с ужесточением мер и наказаний за нарушение закона «О персональных» данных организации целесообразнее и экономически выгоднее провести комплекс мероприятий по защите информации, чем понести административное и материальное наказание.

    Организационные меры защиты персональных данных включают в себя ком¬плекс мероприятий по разработке организационно-распорядительных документов, регламентирующих весь процесс получения, обработки, хранения, передачи и за¬щиты персональных данных и проведение соответствующих мероприятий по защите.

    В каждой организации перечень мероприятий и документов может варьироваться в зависимости от специфики обработки ПД, организационной структуры и других особенностей конкретного предприятия. Реализация организационных мер защиты информации осуществляется с учетом категорий персональных данных – чем выше категория, тем выше требования защиты.

    Технические меры защиты информации предполагают использование программно - аппаратных средств защиты информации.

    При обработке ПД с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется исходя из класса системы.

    В отличие от организационных мер, техническая защита информации является сложным и трудоемким делом, при выполнении которого требуется соблюдать определенные условия, например, наличие соответствующих лицензий, обследование информационных систем в соответствии с методическими рекомендациями ФСТЭК и т.д.

    Требования Закона «О персональных данных» распространяются на все государственные и коммерческие организации, обрабатывающие персональные данные физических лиц (сотрудников, клиентов, партнеров и т.п.), независимо от размера и формы собственности.






    Среди мер, направленных на защиту информации основными являются технические, организационные и правовые.

    К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и др.

    К организационным мерам относятся: охрана вычислительного центра (кабинетов информатики); заключение договора на обслуживание компьютерной техники с солидной, имеющей хорошую репутацию организацией; исключение возможности работы на компьютерной технике посторонних, случайных лиц и т.п.

    К правовым мерам относятся разработка норм, устанавливающих ответственность за вывод из строя компьютерной техники и уничтожение (изменение) программного обеспечения, общественный контроль за разработчиками и пользователями компьютерных систем и программ.

    Следует подчеркнуть, что никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в компьютерных системах. В то же время свести риск потерь к минимуму возможно, но лишь при комплексном подходе к защите информации.