Как работает 152-ФЗ и кому нужно его соблюдать?
Когда сайт собирает информацию о пользователях, его владелец считается оператором персональных данных. Операторы должны соблюдать 152-ФЗ — закон «О персональных данных». Личный кабинет, форма сбора email на сайте или отслеживание геолокации — это все сбор персональных данных. Директор по клиентской безопасности компании Selectel Денис Полянский объясняет, что такое персональные данные и как обрабатывать их в соответствии с законом 152-ФЗ.
О чем 152-ФЗ
Федеральный закон №152 действует в России с 2007 г. В нем отражаются требования по защите персональных данных от использования третьими лицами. Закон регулярно дополняется, поэтому отвечает большинству тенденций.
152-ФЗ регламентирует отношения между оператором данных и пользователями. Операторами данных могут быть интернет-ресурсы, бумажные картотеки или периодические издания. Юридические или физические лица. Закон затрагивает сферу обработки, хранения и утилизации персональных данных операторами. То есть данных, по которым можно идентифицировать человека.
Персональные данные, согласно 152-ФЗ, — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Например, ФИО, паспортные данные, телефон, электронный адрес.
В совокупности данные могут считаться персональными, а по отдельности — не всегда. Например, адрес электронной почты — это абстрактные данные. Но адрес почты «petrov120999@mail.ru», который принадлежит Петрову Петру Петровичу — персональные данные.
25 мая 2022 г. в первом чтении было одобрено сразу несколько поправок, направленных на ускорение подачи данных об утечках в органы власти и постоянное взаимодействие с ГосСОПКА (государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак).
На заседании также обратили внимание на компании, занятые передачей трансграничных персональных данных. Скорее всего, этот сектор в ближайшее время ждут новые ограничения и санкции за несоблюдение мер безопасности.
Закон о персональных данных тесно связан с ФЗ-242, который предписывает операторам хранить данные на территории страны. С отказом выполнять это требование был связан, например, уход LinkedIn в 2016 году.
Типы персональных данных
Общедоступные. Данные, открытые неограниченному количеству лиц с согласия человека. Например, информация об авторе материала в СМИ. Следует помнить, что данные, которые можно найти в интернете, не обязательно являются общедоступными (необходимо, чтобы пользователь дал согласие сделать их общедоступными).
Биометрические. Информация о физиологических и биологических особенностях человека, которые используются для идентификации. Отпечатки пальцев, образцы голоса и рисунок сетчатки глаз. Кровь, сданная для анализов, — не биометрические данные, потому что информация с результатами не используется для идентификации личности. Но отпечатки пальцев для входа в офис — уже биометрические данные, потому что узоры на пальце используются для опознания человека.
Специальные. Информация о судимостях и прохождении воинской службы, расовой и национальной принадлежности, политических и религиозных взглядах.
Иные. Данные, которые не упоминаются в других группах. Это ФИО, адрес, паспортные данные, электронная почта, стаж работы — данные, полученные с согласия субъекта. Такие данные собирают все интернет-магазины и большинство сервисов во время регистрации или оформления заказов.
Не все связки персональных данных представляют одинаковую опасность для пользователей и ценность для злоумышленников. Например, слитые строки с электронными адресами и ФИО вряд ли можно радикально использовать против человека.
В мире социальных сетей и интернет-покупок персональные данные можно считать таковыми лишь частично. С ними постоянно взаимодействует множество сервисов, они обрабатываются и хранятся в самых разных условиях. Данные часто становятся товаром для бесплатных VPN и спам-сервисов.
Субъекты и операторы персональных данных
Субъект персональных данных — человек, чьи персональные данные обрабатывает оператор.
Субъект — это физическое лицо: владелец аккаунта в соцсети, посетитель сайта или покупатель в магазине. Например, клиент интернет-магазина заказал ноутбук и выбрал курьерскую доставку, оставив фамилию, имя, адрес и телефон. По этим данным можно определить личность покупателя (субъекта). Значит, магазин становится оператором.
Оператор — это физическое лицо или организация (государственная или частная), которая обрабатывает данные, а также определяет цели обработки, состав данных и совершаемые с ними действия.
Например, операторами становятся работодатели, когда соприкасаются с личными данными сотрудников. Даже если сотрудник всего один — работодатель уже оператор.
Кого касается 152-ФЗ
Исполнять требования 152-ФЗ должны не только банки и медицинские учреждения. Под действие закона попадают и другие информационные системы: интернет-магазины, библиотеки, государственные учреждения, биллинговые системы, call-центры.
Иногда компании не воспринимают требования 152-ФЗ всерьез и считают, что достаточно спросить пользователя про запись данных в cookie. Но этого может быть достаточно до первой утечки данных или до проверки регулятором.
Меры для обеспечения технической защиты персональных данных прописаны в подзаконных актах 152-ФЗ — 1119 ПП, 21 Приказ ФСТЭК.
Например, сервисам, которые обрабатывают специальные категории персональных данных более 100 000 пользователей необходимо соблюдать защитные меры для систем второго уровня защищенности.
Для каждой системы должна быть разработана модель угроз. Например, криптографические средства защиты — необязательный пункт при защите персональных данных. Но они могут потребоваться, если есть угрозы, связанные с перехватом персональных данных по каналам связи. Или когда из модели угроз следует использование криптографических средства для шифрования электронных баз с персональными данными.
Почему персональные данные попадают в сеть
Причины, по которым персональные данные оказываются в открытом доступе, можно разделить на три уровня: персонала, приложения и инфраструктуры. Отметим, что 152-ФЗ в основном направлен не на действия персонала, а на то, как компании должны организовать работу с конкретным типом данных.
Уровень персонала
Чаще всего причиной утечки данных становятся не вредоносные программы или уязвимости в инфраструктуре, а персонал. Иногда сотрудники раскрывают персональные данные случайно — во время общения с конкурентами или коллегами.
Бывают и случаи обычной халатности — например, незаблокированный экран или ноутбук. Также данные могут скопировать и унести на флешке, чтобы продать конкурентам.
Бороться с такими утечками следует с помощью кадровой политики, постоянного обучения сотрудников и дифференцированной политике доступов к ПДн.
Уровень приложения
Приложение может содержать массу уязвимостей. Обнаружение таких уязвимостей — ответственность оператора ПНд, владельца приложения. Поэтому провайдер, который полностью выполняет обязательства 152-ФЗ на уровне инфраструктуры, не может предотвратить утечку данных.
Например, вот как выглядит схема ответственности для услуги выделенные серверы Selectel.
Ответственность клиента | Ответственность Selectel |
---|---|
Клиентские данные | Сетевое оборудование Selectel |
Прикладное, связующее и системное программное обеспечение | Аппаратная инфраструктура |
Сетевое оборудование заказчика | Средства обеспечения функционирования (электропитание, кондиционирование и т.д.) |
Уровень инфраструктуры
Когда клиент размещает у провайдера информационные системы или приложения с персональными данными, ему необходимо убедиться, что провайдер выполняет требования 152-ФЗ на уровне инфраструктуры.
Выделенные серверы и облака проходят «раздельную» оценку эффективности мер защиты персональных данных по 152-ФЗ.
Например, в Selectel и облако, и выделенные серверы во всех дата-центрах на уровне инфраструктуры соответствуют 152-ФЗ и предоставляют защиту персональных данных до 3 уровня включительно (УЗ-3). При таком уровне можно хранить персональные, в том числе медицинские данные до 100 000 субъектов.
Для клиентов это не несет дополнительных затрат, поскольку является особенностью инфраструктуры компании.
В России мероприятия по оценке эффективности проводят специализированные организации, имеющие лицензии. Они проверяют инфраструктуру провайдера на соответствие уровню защиты. Проводится оценка организационных (документация, приказы и т.п.) и технических мер (настройка средств защиты и пр.).
Провайдер при этом не является оператором персональных данных для клиентов сервиса, который размещается в его инфраструктуре — только для самого сервиса.
Во время выбора провайдера оператору персональных данных стоит проверить наличие Акта оценки эффективности или Аттестата соответствия. Хорошо, если компания публично разместила его прямо на сайте.
Для клиентов, которые хотят построить систему с повышенными требованиями безопасности существует решение аттестованный сегмент ЦОД.
152-ФЗ как верхушка айсберга. Что еще можно сделать для безопасности данных
В аттестованном сегменте ЦОД клиент получает отдельные стойки с дополнительными камерами и электронными замками со стороны холодного и горячего коридоров.
В стойках аттестованного сегмента ЦОД клиенты могут разместить серверы произвольной конфигурации за индивидуальным аппаратным межсетевым экраном.
Клиент изолирует системы от других клиентов и сетей Selectel. Доступ в это пространство имеют только сотрудники, которые прошли обучение и получили согласование отдела клиентской безопасности.
Размещение в аттестованном сегменте ЦОД закрывает потребность клиента в полном контроле за безопасностью и упрощает аттестацию своей системы для операторов данных.