Лицензия ФСТЭК на проведение работ по технической защите конфиденциальной информации

Компания Б-152 имеет лицензию Федеральной службы по техническому и экспортному контролю (ФСТЭК) России на проведение работ по технической защите конфиденциальной информации.

Наличие лицензии ФСТЭК подтверждает соответствие компании и ее специалистов требованиям государственного регулирования к уровню подготовки, экспертизы и оснащения, необходимых для качественного выполнения работ в области защиты персональных данных.

Мы подтвердили свои компетенции по GDPR. Наши сотрудники проходят обучение по программе CIPP/E в IAPP и успешно сдают экзамены.

Получение статуса CIPP/E говорит о том, что наши услуги по GDPR соответствуют высоким стандартам.

&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbsp&nbspЛаборатория информационной безопасности

Лицензия на ТЗКИ: нужна ли она оператору ПДн?

Доброго дня, уважаемые читатели!

Сегодня впервые за долго время я снова решил поднять тему работы с персональными данными, так как считаю, что далеко не все вопросы разъяснены ранее, да и нововведения в нашем динамичном законодательстве не заставляют себя долго ждать. Особенности действительно есть и их много. В частности, появился Приказ ФСТЭК «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн» №21 от 18.02.2013, появились очередные поправки в 152-ФЗ «О ПДн», ну и конечно, как следствие, снова встал вопрос о трактовке тех или иных требований нашей нормативной базы. Всё это, конечно, требует некоторого пересмотра имеющихся вглядов на защиту персональных данных и действия операторов перс. данных. В особенности в совокупности с также постоянно меняющимися взглядами на это дело регуляторов — ФСТЭК и Роскомнадзора. Многие из подобных вещей я писал в статье о новом порядке действий оператора вот здесь.

А сейчас мы поговорим о насущном в наше время и ещё мною не освещённом вопросе: нужна ли оператору ПДн лицензия на техническую защиту конфиденциальной информации? И если да, то в каких случаях и почему? Если нет или сильно не хочется, то как правильно объясниться с регуляторами. Вопросы, согласитесь, весьма актуальные и весьма важные. Ибо получение такой лицензии даже в самом её упрощённом формате стоит ой как не дёшево как с финансовой точки зрения, так и с точки зрения потраченных нервов и сил.

Итак. Нужна ли нам лицензия ФТЭК на деятельность по технической защите конфиденциальной информации, осуществлять которую нас фактически обязывает весь 152-ФЗ «О ПДн»? Ответить на этот вопрос однозначно для всех возможных ситуаций нельзя. Потому разберём конкретные варианты.

Для начала попробуем понять, откуда вообще взялось требование лицензирования деятельности по ТЗКИ? Дело всё в пункте 5 части 1 статьи 12 99-ФЗ «О лицензировании отдельных видов деятельности», который прямо говорит о том, что деятельность по дословно «технической защите конфиденциальной информации» подлежит лицензированию. Далее, а почему ПДн вообще являются таковой? Во-первых, есть статья 7 152-ФЗ, одно название которой («конфиденциальность персональных данных») уже говорит о многом. А есть ещё Указ Президента №188 «Об утверждении перечня сведениц конфиденциального характера» от 06.03.1997, первый пункт в котором гласит: «любые сведения о частной жизни гражданина, а также те, что позволяют идентифицировать его личность, — это ПДн», и они входят в рассматриваемый перечень. Ясно. И последнее: почему деятельность оператора подпадает под ТЗКИ? Потому что делать его это обязывает 152-ФЗ. Вот, собственно, и всё. Казалось бы, вопросов тут быть не может. Вся логика закона чётко прослежена, но не всё так печально как кажетеся на первый взгляд. Перейдём к тем самым вариантам.

Варинт первый и наиболее распространённый — мы защищаем ПДн для собственных нужд (т.е. своих сотрудников и / или своих клиентов), которые обрабатываются исключительно для собственных нужд (или в интересах субъекта ПДн). К нашему великому счастью, 30 мая 2012 года у ФСТЭК на сайте появилось Информационное сообщение № 240/22/2222 «По вопросу необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации». Его текст доступен, к примеру, в Консультанте. Приводить его здесь не буду (кому интересно, перейдёт по ссылке в предыдущем предложении), скажу лишь смысл: если юр. лицо осуществляет деятельность по ТЗКИ, которая не направлено на получение прибыли, оказание услуг и не содержится в учредительных документах, то получать соответствующую лицензию не обязательно. Соответственно, вариант «для собственных нужд» не требует обязательного получения таковой лицензии. Однако тут есть нюансы.

Что делать, если мы не хотим применять сертифицированные СКЗИ, если пункт 3 части 2 ст. 19 152-ФЗ этого требует? Также этого требует и п.13.г в ПП №1119 : «использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз». Эту самую «необходимость» может определить только тот, кто является экспертом в сфере защиты информации, т.е. имеет лицензию по ТЗКИ. 😉 Кроме того, в ПП-1119 содержится требование по составлению модели угроз, в котором есть понятие актуальных угроз 3 типов. Разница в типах — наличие угроз, связанных с недекларированными возможностями в разного рода ПО. Если посмотреть правде в глаза, то НДВ как в прикладном, так и в системном ПО актуальны всегда и для всех . А ведь 1 тип угроз делает нашу ИСПДн неимоверно высокого класса, что влечёт выполнение целой кучи требование по защите. Как же можно решить проблему ухода от 1 и 2 типов актуальных угроз? Варианта два: либо использовать всё системное / прикладное ПО сертифицированное на НДВ (что малореально), либо получить лицензию на ТЗКИ, которая даёт право на проведение таких экспертных оценок. Во всех иных случаях могут возникнуть длительные и малоприятные прерии с регулятором. Как же быть? Всё очень просто. Можно обратиться к лицензиату ФСТЭК по ТЗКИ и попросить их оказать услуги в данном конкретном вопросе (анализе актуальных угроз). Как говорится, дёшево и сердито. 🙂 Вопрос с сертифицированными криптосредствами решается аналогично.

Вариант второй — мы защищаем / обрабатываем ПДн другого юр. лица (его клиентов / сотрудников). Вот тут всё хуже. В соответстии с тем же информационным сообщением ФСТЭК, а также общими юридическими рассуждениями выше, лицензия будет нужна. И вариантов тут нет: либо получать, либо отдать обработку персданных на аутсорсинг лицензиату.

Вариант третий — мы оказываем услуги по защите ПДн (или по ТЗКИ), либо деятельность по защите ПДн прописано в учредительных докуметах. Дуамю, исходя из текста выше, всё понятно. Что касается учредительных документов, то проще, конечно, просто их переделать, чем мучиться со всем вышесказанным. 😉

Важный момент: деятельность по ТЗКИ — это именно проектирование системы защиты (ИС персональных даннных или чего-либо ещё — неважно), т.е. составление модели угроз, выбор элементов СЗИ и т.д.! Сама эксплуатация уже работающей готовой системы, для которой уже всё выбрано и составлены все модели, защитой не является и под лицензируемую деятельность не подпадает! Потому вариант с привлечением лицензиата для проектирования защищённой ИСПДн в «максимально дешёвом» варианте — это, как правило, наиболее выгодно и удобно (если, конечно, говорить об обработке ПДн для собственных нужд).

Вот, собственно, и всё. Думаю, что теперь вопросов по необходимости получения лицензии, дорогие читатели, у Вас больше не возникнет.

Для работы с персональными данными необходима лицензия

С 2007 г. действует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», и все организации при обработке персональных данных работников или иных физлиц (например, контрагентов) должны действовать в строгом соответствии с ним. До 1 июля 2011 г. компании должны привести свои информационные системы данных в соответствие с требованиями закона. Это, в частности, означает, что нужно получить лицензию на осуществление деятельности по технической защите данных либо возложить эти функции на специализированную организацию, имеющую такую лицензию. В противном случае могут привлечь к ответственности.

Чем объясняется необходимость лицензии

Персональные данные гражданина на основании Указа Президента РФ от 06.03.97 № 188 включены в перечень сведений конфиденциального характера. Обеспечение же защиты прав и свобод человека и гражданина при обработке его персональных данных декларировано как цель Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).

В Законе № 152-ФЗ не говорится, что для работы с персональными данными необходима лицензия. В отношении лицензии в нем лишь упоминается, что орган по защите прав субъектов персональных данных (физических лиц) имеет право инициировать приостановление действия или аннулирование лицензии (п. 6 ч. 3 ст. 23).

О том, что лицензия при работе с персональными данными действительно нужна, свидетельствуют положения Федерального закона от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности». Согласно подп. 11 п. 1 ст. 17 данного закона подлежит лицензированию деятельность по технической защите конфиденциальной информации.

С 1 июля начинает действовать новый Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности», который также содержит требование о необходимости лицензировать техническую защиту информации (п. 5 ч. 1 ст. 12 вступает в силу с 3 ноября 2011г.)

Техническая защита данных

Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе по техническим каналам, а также от специальных воздействий на такую информацию в целях уничтожения, искажения или блокирования доступа к ней. Об этом говорится в Положении о лицензировании деятельности по технической защите конфиденциальной информации, утвержденном постановлением Правительства РФ от 15.08.2006 № 504.

Требованиями и одновременно условиями осуществления деятельности по технической защите являются:

  • специалистов в области технической защиты информации;
  • помещений для данной линцензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации;
  • производственного, испытательного и контрольно-измерительного оборудования, прошедшего метрологическую поверку (калибровку), маркирование и сертификацию;
  • нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации (перечень установлен Федеральной службой по техническому и экспортному контролю);
  • автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, аттестованных и (или) сертифицированных по требованиям безопасности информации;
  • предназначенных для данной лицензируемой деятельности программ для ЭВМ и баз данных на основании договора с их правообладателем.

Лицензирование указанной деятельности осуществляет Федеральная служба по техническому и экспортному контролю (ФСТЭК России).

Использование персональных данных с учетом требований Закона № 152-ФЗ о конфиденциальности обязывает принимать названные меры по их технической защите.

Читайте так же:  Сумма пособия на приемного ребенка

Итак, лицензия нужна. Но есть альтернатива.

Привлечение сторонней организации

В данной ситуации есть выход: не получать лицензию, а заключить договор на обработку персональных данных с организацией, у которой лицензия уже имеется. Такую возможность предоставляет п. 1.3 Положения о методах и способах защиты информации в информационных системах персональных данных, утвержденного приказом ФСТЭК России от 05.02.2010 № 58. Для выбора и реализации методов и способов защиты данных в информационной системе можно привлечь организацию, имеющую оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Подобное положение содержится в ч. 4 ст. 6 Закона № 152-ФЗ, где предусмотрено, что лицо, занимающееся обработкой персональных данных, вправе на основании договора поручить это другому лицу. Существенным условием такого договора будет обязанность соответствующей организации обеспечить конфиденциальность персональных данных и их безопасность при обработке.

Ответственность за отсутствие лицензии

За осуществление деятельности без лицензии компанию и ее должностных лиц могут привлечь к ответственности, причем не только к административной, но и к уголовной.

Право привлекать к административной ответственности за нарушение Закона № 152‑ФЗ принадлежит Роскомнадзору (уполномоченный орган по защите прав субъектов персональных данных). Кроме того, он уполномочен направлять в правоохранительные органы, в том числе прокуратуру, другие материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью (п. 7, 9 ч. 3 ст. 23 Закона № 152-ФЗ).

Административная ответственность по ст. 13.11 КоАП РФ предусматривает штраф для должностных лиц от 500 до 1000 руб., юридических — от 5000 до 10 000 руб.

К уголовной ответственности за работу с персональными данными без лицензии могут привлечь должностных лиц организации, если в результате работы причинен существенный вред правам и законным интересам владельца этих данных. В этой ситуации применяется ст. 171 «Незаконное предпринимательство» УК РФ.

Данной нормой предусмотрена ответственность, в частности, за осуществление предпринимательской деятельности без лицензии в случаях, когда она обязательна, если деяние причинило крупный ущерб гражданам, организациям или государству либо сопряжено с извлечением дохода в крупном размере. В качестве наказания налагается штраф в размере до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательные работы на срок от 180 до 240 часов, либо арест на срок до шести месяцев.

Порядок проведения проверок

Проверки соответствия обработки персональных данных требованиям законодательства в области персональных данных проводятся согласно

Административному регламенту, утвержденному приказом Роскомнадзора от 01.12.2009 № 630. Назовем его основные положения.

Роскомнадзор и его территориальные органы проводят плановые и внеплановые проверки. Плановые проводятся согласно графику на текущий календарный год. Основанием для их проведения является госрегистрация в качестве юридического лица или индивидуального предпринимателя.

О плановой проверке организацию должны уведомить не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии приказа руководителя, заместителя руководителя Роскомнадзора или ее территориального органа почтовым отправлением с уведомлением о вручении или иным доступным способом.

Внеплановые проверки, например, проводятся:

  • по истечении срока исполнения ранее выданного по итогам плановой проверки предписания об устранении выявленного нарушения;
  • при поступлении в органы Роскомнадзора заявлений о фактах возникновения вреда или угрозы жизни, здоровью граждан, о каком-либо нарушении прав и законных интересов граждан при обработке их персональных данных.

О внеплановой выездной проверке организацию должны уведомить не менее чем за 24 часа до начала ее проведения любым доступным способом. Исключение составляет случай, когда причинен или причиняется вред жизни, здоровью граждан. Тогда компанию предварительно не уведомляют.

График плановых проверок вместе с информацией о порядке их проведения размещается на официальном сайте Роскомнадзора www.rsoc.ru.

Концепция концепцией, а лицензию никто не отменял

У представителей бизнеса появилась дополнительная проблема. Заметим, что это не вполне согласуется с проводимой в России уже не первый год административной реформой, в рамках которой правительство декларирует сокращение административных барьеров для развития предпринимательства. О стремлении к этой цели свидетельствует замена лицензирования для отдельных видов деятельности обязательным страхованием ответственности. Об этом, в частности, говорится в Концепции долгосрочного социально-экономического развития Российской Федерации на период до 2020 г. (утверждена распоряжением Правительства РФ от 17.11.2008 № 1662-р).

Не исключено, что проблему с помощью подобных механизмов решат на законодательном уровне. Но пока направленных на это законопроектов в Госдуму не поступало.

Ликбез по персональным данным для компаний, которые их обрабатывают

Термины, нюансы и частые заблуждения — в материале от экспертов службы безопасности компании «Онланта» (входит в группу компаний ЛАНИТ).

Разбираемся в юридической терминологии и тех самых нюансах, из-за которых можно оказаться в суде.

Объясняем термины человеческим языком

Главный закон, который регулирует отношения, связанные с обработкой персональных данных — это Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

Первый термин, который требуется понимать, — персональные данные.

Что такое персональные данные

Это любая информация, с помощью которой можно идентифицировать человека: например, ФИО, дата рождения, образование, доходы и даже семейное положение. Вы спросите: «А что, моя фамилия, напечатанная на визитке, — это тоже персональные данные?»

Ответ: «Да». По закону неважно, напечатана ли на визитке только ваша фамилия или в сочетании, например, с номером телефона и адресом. И первое, и второе, и третье — персональные данные. Правда, за хранение визитки или номера телефона девушки в телефонной книге отвечать по закону не придётся, но об этом ниже.

Идём дальше. В СМИ постоянно пишут «хранение персональных данных». Правильно говорить не хранение, а обработка персональных данных. В чём разница? Хранение — это лишь часть того, что называется обработкой персональных данных. Любые действия, которые вы совершаете с персональными данными (собираете, накапливаете, храните, передаёте, изменяете), в законе обозначены как «обработка персональных данных».

Важно понимать, что в законодательстве выделяется два субъекта персональных данных: оператор и обработчик. Оператор осуществляет обработку персональных данных, а также определяет цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработчик — это тот, кто совершает какие-либо действия с персональными данными: сбор, хранение, систематизацию, накопление, уточнение, обновление, изменение, удаление, обезличивание и так далее.

На самом деле, обработчик — это не только конечный пользователь, которому персональные данные нужны для работы, но и любой промежуточный пользователь, через руки которого прошли эти персональные данные. Показываем на практике.

У интернет-магазина есть база данных клиентов, которая размещена в «облаке» сторонней компании. С этой базой работает маркетинговое агентство. Вопрос: сколько операторов персональных данных мы имеем?

Правильный ответ — одного. Это интернет-магазин, который задаёт цели обработки персональных данных. Второй вопрос: сколько обработчиков персональных данных мы имеем? Правильный ответ — два.

  1. Компания, в облаке которой размещена база данных интернет-магазина.
  2. Маркетинговое агентство, которое извлекает данные и на основе этих данных может подготовить рекламное предложение клиентам.

Персональные данные обрабатываются во множестве различных учреждений: например, в банках, школах, поликлиниках, визовых центрах. Не говоря уже про интернет-страницы, где мы регистрируемся, оставляя свои адреса электронной почты и телефонные номера. Но как и где именно?

В законе есть такой малопонятный термин, как «информационная система персональных данных». Если попытаться объяснить простыми словами — это целый комплекс, состоящий из серверов баз данных, технических средств, обеспечивающих их обработку, и информационных технологий. В соответствии с законодательством любую информационную систему персональных данных необходимо защищать.

Методы защиты информации бывают разными.

  • Физическими: например, в комнате, где расположены компьютеры, могут быть установлены камеры, использоваться пропускной режим, сигнализация.
  • Техническими — c помощью специализированных средств защиты информации.
  • Административными: всевозможные регламенты и правила, регулирующие обработку персональных данных внутри компании.

Одно из средств защиты информации — это обезличивание персональных данных. Что это такое? В визовом центре каждому подающему на визу человеку присваивается отдельный идентификационный номер. Сам по себе номер не относится к персональным данным, так как обезличивает человека: по нему нельзя определить лицо, подавшего документы на визу.

Кажется, я обрабатываю персональные данные

Итак, с терминологией разобрались. Теперь всем представителям бизнеса, в особенности индивидуальным предпринимателям, у которых может быть всего несколько сотрудников в штате, стоит честно ответить на вопрос: «Обрабатываю ли я персональные данные?»

Да, если вы владелец сайта с посещаемостью пять человек в неделю, но на нём есть форма обратной связи с полями «ФИО, адрес электронной почты, телефон». Информация о том, для каких целей вы собираете персональные данные, как вы их используете, должна быть представлена на вашем сайте.

Да, если вы обрабатываете персональные данные своих сотрудников или сторонних специалистов, нанятых для выполнения каких-то работ.

Да, если вы работаете с частными клиентами и вам требуются их паспортные данные для заключения договоров — это касается турагентств, фитнес-центров, разного рода сервисных компаний, интернет-магазинов и прочего.

И снова да, если вы бюджетная организация, политическая партия или детский сад. Последние обладают не только информацией о ребёнке, но и о его родителях, включая место работы и должность. Не говоря уже о медицинских учреждениях — там море личной деликатной информации, которую необходимо надёжно хранить.

Однако если вы используете данные для личной коммуникации без коммерческой выгоды, то требования законодательства на вас не распространяются и ни о какой уголовной ответственности речи идти не может.

Например, использование вами контактов, напечатанных на визитке, которую вы получили от коллеги, или номеров телефонов в записной книжке на смартфоне, информации в социальных сетях не накладывает на вас ответственность перед законом.

Главное — не разглашать данные рекламодателям и не публиковать их без разрешения владельцев персональных данных в открытом доступе.

Определяем категорию персональных данных

Поздравляем, вы — гордый обладатель звания «оператор персональных данных». Самое важное теперь — понять, какие именно персональные данные вы обрабатываете. Потому что именно от категории персональных данных зависит, как данные защищать и каким требованиям нужно соответствовать. Категории подробно описаны в ФЗ-152 и постановлении правительства от 1 ноября 2012 г. N 1119.

Читайте так же:  Как помочь учителю в освоении фгос методическое пособие

Категории персональных данных простыми словами:

Общедоступные персональные данные: данные из открытых ресурсов, которые публикуются субъектом персональных данных или с его одобрения. Общедоступные данные — это данные из СМИ или интернета.

Пример: информация, выложенная в открытый доступ в социальных сетях или на сайте компаний. Номер телефона и семейный статус, опубликованный в открытом доступе в Facebook. Имя сотрудника и занимаемая им должность на сайте работодателя.

Биометрические персональные данные: к этой категории причисляются все данные по физиологическим и биологическим особенностям людей.

Пример: вес, рост, цвет глаз или волос, длина волос, группа крови, фотография.

Персональные данные специальной категории: сюда относится информация о принадлежности к какой-либо расе и нации, политические взгляды, религиозные и философские убеждения, состояние здоровья или интимной жизни.

Пример: врачебный диагноз (информация о том, чем вы болели, когда, какой врач вас лечил).

Персональные данные иных видов — сюда входят персональные данные, не вошедшие в указанные выше категории.

Пример: корпоративная информация. Карточки учёта сотрудников, в которых содержатся сведения, с которыми работает HR и бухгалтерия: зарплата, периоды отпуска, даты приёма на работу.

Категория, количество, тип угроз — уровень защиты

После того, как вы определились с категорией персональных данных, вам надо понять точное количество данных, которое вы обрабатываете: до 100 тысяч или свыше 100 тысяч.

Узнали категорию и количество, определите тип угрозы:

Угрозы №1. «Дыры» и уязвимости в операционной системе. Пример: уязвимости, которые используют хакеры для проникновения в операционную систему с целью хищения информации.

Угрозы №2. «Дыры» и уязвимости в прикладном ПО, то есть в софте, который используется в вашей повседневной работе. Пример: Word, Excel.

Угрозы №3. Все другие угрозы, не указанные в первых двух типах. В первую очередь, человеческий фактор. Сотрудник может оставить открытым документ на незаблокированном компьютере, отправить документ на печать на чужой принтер или по электронной почте.

Количество персональных данных, категория, тип угроз — все вместе позволяют определить, какой уровень защиты требуется вашей информационной системе. Всего сейчас существует четыре уровня защиты.

Первый и самый высокий уровень защиты чаще всего применяется для обработки персональных данных в государственных органах и медицинских учреждениях. Четвёртый уровень защиты — самый простой, чтобы его обеспечить, иногда достаточно выполнить организационно распорядительные меры, в основном он касается защиты общедоступных данных.

Определить уровень защиты можно по этой таблице.

Больница обрабатывает персональные данные своих пациентов — это персональные данные специальной категории. Также она обрабатывает персональные данные сотрудников — это персональные данные иной категории. Скорее всего, у больницы две базы данных. Если сложить обе базы, получится общее количество персональных данных, которые крутятся в информационной системе этой больницы.

Например, всего их — до 100 тысяч. Далее смотрим, как обрабатываются данные: автоматизировано (в компьютере) или не автоматизировано (в ручной картотеке). Если всё автоматизировано, смотрим, какое ПО использует больница, какие у него есть уязвимости.

Исходя из этого выявляются угрозы и их уровень. Складываем все факторы и получаем класс защиты второго уровня. Смотрим, какие требования в законе прописаны ко второму уровню защищённости. На базе этих требований необходимо будет построить защиту информационной системы для соответствия требованиям ФЗ.

Немного про опасность утечек персональных данных

Зачем вообще так беспокоиться о защите персональных данных? Персональные данные — это дорогой товар на чёрном рынке. За профиль, содержащий полные данные медицинской карты человека, мошенникам готовы платить внушительные суммы. Отдельный рынок — продажа деталей банковских карт; аккаунты в социальных сетях.

Последствия утечки персональных данных бывают разными. Данные могут оказаться в открытом доступе в интернете: например, в сети легко можно найти украденные базы данных с адресами и телефонами клиентов компаний. Зная имя и фамилию, любой может узнать домашний адрес человека, залезть в соцсети, посмотреть профиль или просто написать SMS на мобильный телефон.

Персональные данные могут попасть в базу назойливой рассылки какой-нибудь коммерческой организации, тогда их владельца начнут одолевать непрошенными предложениями услуг. Также ими могут воспользоваться интернет-мошенники для онлайн-казино или чтобы открыть электронный кошелёк.

В худших случаях злоумышленник может выдать себя за другого человека и взять кредит на чужое имя. К числу наиболее тяжёлых последствий утечек персональных данных относятся: противоправные действия с недвижимостью, кража денег с банковских карт, шантаж родственников и регистрация фирмы.

Бремя ответственности

Вы поняли важность вопроса и готовы нести ответственность? Правильно. Потому что ответственность за сохранность персональных данных полностью лежит на операторе.

Это значит, что оператор должен позаботиться о том, чтобы информация не утекла в публичный доступ или не попала в руки третьих лиц, которые не имеют на неё никаких прав. Для этого требуется постоянный мониторинг и предотвращение угроз безопасности данных, контроль за уровнем сохранности информации и её восстановление в случае утраты.

В нашей стране Роскомнадзор контролирует соблюдение законодательства в области обработки персональных данных. Этот орган реагирует на жалобы, регулирует отношения между субъектами и операторами.

За технические требования по защите информации отвечает ФСТЭК и ФСБ: они вырабатывают требования и контролируют их исполнение.

Требования по обработке персональных данных

А теперь пришло время изучить таблицы с требованиями по технической защите персональных данных. Подробности можно найти в приказе Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21.

Но начните хотя бы с этого:

  1. Зарегистрируйтесь в Роскомнадзоре как оператор персональных данных. Требуется подать заявление в Роскомнадзор в бумажном или электронном виде. Информация по ссылке.
  2. Получите согласие в письменном виде от всех субъектов, чьи персональные данные обрабатываются. Согласие на обработку персональных данных — это главный юридический документ, который подтверждает законность обработки персональных данных.
  3. Разработайте внутреннюю документацию. Ввод в действие приказом руководителя организации «Положения об обработке персональных данных». В этом документе оператор поясняет, как он планирует использовать персональные данные, для чего и куда они будут переданы. Это основополагающий документ, который требуется любому оператору персональных данных. На его основании разрабатываются все остальные распорядительные документы.

Многие владельцы сайтов думают, что если посетитель нажал кнопку «Я согласен на обработку персональных данных», юридических проблем не будет, а обработка данных автоматически попадает в легальное поле. Это не так.

С юридической точки зрения есть только два способа подтвердить своё согласие на обработку персональных данных: поставить подпись на бумаге или при помощи электронной цифровой подписи.

Во всех остальных случаях, если дело дойдёт до суда, владелец сайта никак не сможет подтвердить, кто именно нажимал кнопку «Я согласен». Остаётся только надеяться, что субъект, пришедший к вам на сайт, добровольно передаёт свои данные и жалобу не подаст.

Неужели действительно могут быть проверки

Да, проверки могут быть от Роскомнадзора.

Ежегодно Роскомнадзор публикует перечень проверок выборочно из списка зарегистрированных операторов, если компания попала в перечень проверок, то следующая плановая проверка возможна не ранее чем через три года. Посмотреть, не попала ли ваша компания в список этого года, можно здесь.

Проверки вне плана обычно вызваны жалобами. Если проверка внеплановая, вас о ней должны предупредить за сутки в письменном виде.

Также могут быть документарные проверки. При документарной проверке вам пришлют список документов, копии которых надо будет отправить в Роскомнадзор.

Иногда Роскомнадзор делает выездные проверки: инспекторы лично наносят визиты, чтобы проверить компанию на месте.

Подготовка к любой из этих проверок — трудоёмкое занятие. Будете ли вы решать задачу подготовки к проверке самостоятельно, или привлечёте внешних специалистов, для начала надо определить, кто в компании будет отвечать за соблюдение ФЗ-152.

Штрафы, суды и другие ужасы

За нарушение 152-ФЗ предусмотрена гражданская, уголовная, административная, и дисциплинарная ответственность.

Итак, Роскомнадзор провёл проверку, если он обнаружил несоответствия законодательству, он выдаст предписание следственному комитету провести разбирательство по факту нарушения закона «О персональных данных».

После этого прокуратура начнёт проверку, в ходе которой она может приостановить деятельность компании: изъять базу данных компании, в частности, компьютеры, на которых производилась обработка персональных данных.

Нарушителей закона прежде всего ждут штрафы. Размеры штрафов варьируются в зависимости от правонарушений. Так, за обработку персональных данных без письменного разрешения субъектов юридическим лицам придётся понести административную ответственность.

Даже если оператор готов заплатить штраф, а по меркам крупного бизнеса он не кажется огромным, правонарушителю всё равно придётся устранить несоответствие перед законом (например, удалить хранящиеся данные) и уведомить об этом Роскомнадзор.

Худший сценарий — это если Роскомнадзор решит отозвать лицензию компании, запретить бизнесу обработку персональных данных, а сайты, незаконно публикующие персональные данные граждан, подвергнуть блокировке.

За прошедшие несколько лет в России самый громкий скандал был связан с блокировкой сайта LinkedIn, владельцев которого обвинили в обработке персональных данных граждан без их согласия на серверах, находящихся за пределами РФ. Также «нашумела» блокировка сервиса autonum.info.

Сколько мне это будет стоит денег и сил

Организовать обработку персональных данных можно самостоятельно или с помощью компании, которая предоставляет подобную услугу.

Если решили обрабатывать персональные данные самостоятельно, потребуется:

  1. Разобраться, какую категорию персональных данных вы обрабатываете и какие есть технические требования к их защите.
  2. Своими силами или с помощью ИТ-компании разработать технические решения, подготовить закупки необходимого оборудования и программного обеспечения, установить его и внедрить.
  3. Оформить все юридические документы. Разработать комплект внутренних документов: инструкций и регламентов.

На это уйдёт в лучшем случае три-четыре месяца, стоимость такого внедрения может составить 200-300 тысяч рублей — это стоимость покупки оборудования, лицензий. Трудозатраты и дальнейшая поддержка информационной системы — отдельная статья расходов. Также потребуется администратор, который будет контролировать работу системы.

Если говорить объективно, совсем маленькие компании просто не выполняют все требования закона в надежде, что проверки не будет. Возможно, её действительно не будет. Другие компании создают «потёмкинские деревни», лишь делая вид, что обрабатывают персональные данные в соответствии с требованиями законодательства, иными словами, «покупают» необходимые документы.

В следующем материале мы покажем, как посчитать стоимость обработки персональных данных внутри компании и расскажем, когда выгоднее заниматься обработкой персональных данных самим, а когда лучше отдать на хранение в «облаке».

Читайте так же:  Рассчитать налог с продажи автомобиля в 2018 году

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Когда нужна лицензия на обработку персональных данных

По мотивам предыдущей статьи и комментариев к ней мы пишем продолжение, которое, как мы считаем, раскроет максимально тему организации защиты персональных данных и лицензирования при предоставлении Вами различного рода услуг.

Сразу к конкретике.
Пусть Вы – владелец какого-либо бизнеса, масштаб не важен — от маленькой бухгалтерской конторы до крупной корпорации. Содержание своей инфраструктуры для Вас дорого или неприемлемо по какой-либо причине и Вы хотите передать функционал по хранению и обработке данных третьей стороне.
При решении данной задачи вы должны задаться рядом вопросов:

  • Имеете ли Вы право передавать обработку третьей стороне, и какие условия при этом накладываются на Вас и на Ваших партнеров по обработке данных? Кто несет ответственность за персональные данные при передаче обработке партнеру-третьей стороне?
  • Нужны ли Вам какие-либо лицензии? Какие отчеты по ним Вам будет необходимо сдавать? Кто такой оператор персональных данных?
  • Будете ли Вы работать с конфиденциальной информацией, какие условия Вы и Ваш партнер при этом должны выполнять? Какие лицензии нужны?

Ответ на вопрос об ответственности за данные является одновременно самым простым и при этом фундаментальным.

Да, Вы можете передавать обработку персональных данных третьей стороне, однако должны учитывать, что, если обработка и хранение данных передается третьему лицу, оно должно обладать знаниями, опытом, соответствующими мощностями и, в зависимости от типа передаваемой информации, обладать теми или иными лицензиями. Однако ответственность за хранение и обработку данных в любом случае остается на изначальной компании, то есть на Вас. Поэтому подходить к выбору партнера в этом деле нужно довольно тщательно. В зависимости от типа деятельности и собираемой информации Ваша компания и Ваш партнер должны иметь те или иные лицензии.
Как итог, руководствуемся принципом – если Вашей компании для работы с информацией нужна конкретная лицензия, то она обязательно должна быть и у Вашего партнера при передаче обработки данных.

Какие лицензии Вам нужны?

Это зависит от типа Вашей деятельности и собираемой информации. Если Ваш бизнес предполагает только сбор информации о клиентах, а услуги при этом не включают в себя предоставление связи (к примеру, Вы – салон красоты, собираете данные о клиентах на сайте, чтобы организовать работу по записи), Вам не нужна никакая лицензия (кроме лицензий на, возможно, медицинские услуги в салоне). Тут все довольно просто.
А если Вы, так или иначе, предоставляете услуги связи на своем оборудовании (Вы – провайдер интернета, хостер сайтов и тому подобное), то, согласно закону «О связи» предоставление услуг связи с использованием своего оборудования требует наличие лицензии Роскомнадзора на предоставление телематических услуг связи, а так же услуг связи без передачи голосовой информации. Данная лицензия подразумевает, что компания-оператор имеет свой собственный сертифицированный узел связи, через который осуществляется вся деятельность по предоставлению услуг.
Алгоритм получения данной лицензии состоит в подаче заявлений установленного образца, оплаты госпошлины. В течение месяца после подачи заявления Вы либо получите лицензии, либо мотивированный отказ.
Лицензия обязывает оператора подавать годовую и ежеквартальную отчетность по оказанным услугам.
Отмечу, что это касается Вашей компании, если Вы оказываете услуги связи от своего имени. Если Вы перепродаете услуги связи от своего партнера (скажем, Вы укажите в договоре с клиентом, что связь предоставлена другим оператором связи), формально Вы можете работать без лицензии.

Вероятнее всего Вы зададитесь вопросом: «А кто регулируют известный всем пункт: «Согласен на обработку персональных данных»?

Этот пункт регулирует 152-ой Федеральный Закон «О персональных данных». С точки зрения закона, сбор данных может осуществлять как государственные органы, так и юридические и даже физические лица. То есть, он относится ко всем – и к салону красоту из примера выше, и к мобильному оператору из большой тройки. Общее для них то, что при сборе и обработке данных они должны руководствоваться следующими принципами:

  • Безусловное согласие клиента на обработку данных (галочка при предупреждении о сборе данных или подпись в дополнительном соглашении, договоре),
  • Прозрачная и понятная цель сбора данных (к примеру, Вы собираете данные клиентов для возможности связи с ними при необходимости). Передача данных в рекламные агентства без явного согласия клиента уже является нарушением данных принципов,
  • Наличие принятых мер к защите данных от несанкционированного доступа (защита базы данных, ограниченный доступ сотрудников, внутренние регламенты и меры воздействия и ответственности),
  • Исключение из сбора данных о религиозной, расовой принадлежности, состоянии здоровья, интимной жизни, информации, являющейся конфиденциальной или относящейся к государственной тайне,
  • Наличие физической возможности по требованию клиента прекратить обработку и удалить собранные о нем данные.

Как видно, закон в этом отношении достаточно лоялен к бизнесу и понимает, что фактически сбором данных занимаются все, даже парикмахерская, где Вы оставляете свой контактный номер. Закон в данном случае не создает препятствий, а лишь регламентирует принципы целевой обработки данных, чтобы исключить попадание телефона клиента в руки рекламщиков.

Если Вы работаете с паспортами (к примеру, со сканами), собираете прочие документы, которые не являются с одной стороны конфиденциальной информацией, но, с другой стороны явно избыточны при регистрации, к примеру, в интернет-магазине, Вам стоит подумать о том, чтобы зарегистрироваться в качестве оператора персональных данных. Стать оператором связи при этом можно в уведомительном порядке. Это будет ответом на вопрос: «Кто такой оператор персональных данных?»

Таким образом, для старта Вашего бизнеса, в большинстве случаев, хватит внутренней политики по обработке персональных данных, а если Вы предоставляете услуги связи, то лицензий Роскомнаадзора будет вполне достаточно. Однако при этом следует помнить, что выполнять указанные выше принципы и иметь лицензии должны и Ваш партнер по обработке данных, и Вы, несмотря на то, что обработку данных на своей стороне Вы не производите.

Теперь представим, что Вы планируете работать с конфиденциальной информацией (КИ).

К примеру, Вы будете сотрудничать с юридическими лицами, которые собирают и хранят конфиденциальную информацию, может быть с государственными учреждениями, или сами таковым являетесь.

В такой ситуации Вы должны обладать соответствующей квалификацией, ресурсами, опытом и лицензией для работы с КИ.

Регулирует работу с конфиденциальной информацией Федеральная служба по экспортному и техническому контролю (ФСТЭК) и Федеральная служба безопасности (ФСБ).

Как правило, достаточно лицензии на техническую защиту конфиденциальной информации (ТЗКИ) (если Вы сами не разрабатываете средства защиты). Ее выдает ФСТЭК.

Что подразумевает под собой лицензия и как ее получить?
Чтобы иметь возможность подать заявку на данную лицензию, Вы должны отвечать следующим требованиям:

  • Технические средства, информационные системы, помещения, где обрабатывается информация (в том числе переговорные комнаты) должны быть оборудованы средствами защиты от утечек информации по техническим каналам,
  • Доступ к информации должен быть под постоянным контролем, исключающим любое несанкционированное проникновение к ней,
  • В штате оператора должно быть минимум двое сотрудников, имеющих диплом, подтверждающих их право работать с конфиденциальной информацией,
  • Все объекты (сотрудники, компьютеры, ПО, помещения), которые участвуют в обработке конфиденциальной информации, должны быть аттестованы.

Помимо указанных требований, организация обязана иметь у себя набор нормативно-правовой документации (для служебного пользования). Так же требуется удостоверить право собственности (аренды) помещения, которое будет аттестовано для работы с конфиденциальной информацией.
Срок получения лицензии от момента подачи всех документов на уже сертифицированное помещение может быть до полугода.

Все эти пункты отнимают массу времени, средств, однако без этого нельзя получить право работать с конфиденциальной информацией.

Если говорить о помещении и о сотрудниках, то здесь более-менее вопросов не возникает.
Интерес и потенциальные сложности вызывает защита информационных систем и в целом всего ПО, которое находится в защищенном помещении под контролем сертифицированных сотрудников.

Как известно из прошлой статьи , большинство операционных систем, которые востребованы на рынке из семейства Windows являются сертифицированными. К примеру, то, что предлагаем своим клиентам мы на виртуальных серверах – Windows Server 2012 R2 Datacenter обладает сертификатом 3367. Так же многие ОС семейства Linux сертифицированы ФСТЭКом. С офисными приложениями так же вопроса не возникает. Полный список ПО здесь fstec.ru/component/attachments/download/489

Казалось бы, вопрос с ПО решен. Но не все так просто.

Представьте, что у вас серьезный сервер, не важно, арендуется ли он или в Вашей собственности. Вы на нем создаете выделенные виртуальные сервера для своих работников. То есть используете какое-либо средство виртуализации, что часто бывает и в бухгалтериях, и в аналитических департаментах крупных компаний.

Здесь нужно знать, что наличие сертифицированной ОС на физическом сервере не тянет за собой автоматической сертификации всех виртуальных серверов, так как они создаются с помощью гипервизора и это — слабое звено в защите данных.

Изучив список ФСТЭКа, вы увидите, что гипервизоры не входят в перечень сертфицированного ПО, а значит необходимо озаботится его защитой. В данном случае Вам поможет установка средства защиты VGate для Hyper-V. Однако это не дешевое удовольствие — Vgate будет стоить от 100 000 рублей на один физический сервер.

Это не считая затрат на специальное ПО для защиты серверов, которое компания обязана установить при прохождении аттестации технических средств.
Таким образом, если Вам необходима лицензия ФСТЭКа, Вы должны быть готовы к значительным временным и материальным затратам.

При этом в процессе развития Вашего предприятия, Вы поймете, что можно и нужно разделить внутренние векторы развития компании, клиентов по принципу – достаточно внутренних политик и лицензии Роскомнадзора или обязательна лицензия ФСТЭК. Естественно, у вас разные классы клиентов и ценовая политика для них.

Подробнее именно об алгоритме получения лицензии ФСТЭКа можно ознакомиться в очень детальном руководстве bis-expert.ru/sites/default/files/miscellaneous/practic_licenc_fstec.pdf.

В конце статьи хочу напомнить, что разделение клиентов по принципу «ФСТЭК – не ФСТЭК» не должно «расслабить» Вас в отношении клиентов «без ФСТЭКа». С того момента, как только Вы предоставили услугу связи, начали сбор данных – Вы под регуляцией Роскомнадзора и 152-ого ФЗ. Потому стандарт ответственности при работе с данными должен быть одинаково высок для всех клиентов.