Как организации защитить персональные данные?

Smart-Soft Team

13.11.2019

12718

Что такое «персональные данные»?
Как законодательство регулирует хранение и обработку персональных данных?
Как защитить персональные данные от злоумышленников?

Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Из определения следует, что в перечень персональных данных входит не только основная информация о человеке (паспортные данные, телефон и т. п.), но также ссылки на собственный сайт, профиль в соцсетях и прочие элементы персонализации.

Ключевой официальный документ о ПД — Федеральный закон № 152-ФЗ «‎О персональных данных‎» от 27 июля 2006 года, из которого, в частности, следует, что оператором персональных данных де-юре становится любая организация, которая получает и обрабатывает сведения о гражданах (сотрудниках, клиентах, посетителях). По закону она обязана:

сообщить об этом в Роскомнадзор;
иметь согласие субъекта на обработку персональных данных;
уведомлять его о прекращении обработки и об уничтожении персональных данных.

С 1 июля 2017 года расширены основания для привлечения к административной ответственности и увеличены штрафы.

Штраф для юрлиц за невыполнение сохранности персональных данных — до 50 000 руб. (часть 6 ст. 13.11 КоАП РФ).

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них.

Кроме того, организация может быть оштрафована, если:

обрабатывает ПД незаконно;
собирает ПД для целей, не заявленных в Роскомнадзор;
не публикует свою политику по обработке и защите ПД;
не выполняет требования по обезличиванию, уточнению, блокировке, уничтожению ПД;
не обеспечивает сохранность персональных данных и меры по их неразглашению.

Для соблюдения Федерального закона № 152 до начала обработки персональных данных оператор обязан уведомить Роскомнадзор о своем намерении осуществлять их обработку (случаи, исключающие это требование, указаны в части 2 ст. 22 Федерального закона № 152-ФЗ). В числе прочего оператор персональных данных должен сообщить Роскомнадзору цель сбора и хранения персональных данных, выпустить документацию (приказ, положение, правила, способы и порядок обработки персональных данных), обеспечить согласие субъекта на обработку ПД. И главное, что необходимо, — принять меры для защиты персональных данных. Программно-аппаратные решения, используемые в государственных учреждениях, должны быть сертифицированы ФСТЭК (Постановление Правительства РФ от 01.11.2012 № 1119).

Средства защиты персональных данных в организации и на предприятии

Больше половины атак, совершаемых злоумышленниками на госкомпании, направлены на получение личных данных, в том числе персональных данных работника.

Обеспечение безопасности персональных данных — задача, решить которую можно благодаря использованию сертифицированного универсального шлюза безопасности (UTM) Traffic Inspector Next Generation FSTEC.

Traffic Inspector Next Generation сертифицирован ФСТЭК России
на соответствие требованиям к межсетевым экранам типа «А» и «Б» 4-го класса защиты.
Сертификат соответствия ФСТЭК России № 3834 от 04.12.2017 года, действителен до 04.12.2020 года.

Межсетевые экраны, соответствующие четвертому классу защиты, возможно использовать:

в государственных информационных системах первого класса защищенности;
в автоматизированных системах управления производственными и технологическими процессами первого класса защищенности;
в информационных системах персональных данных при необходимости обеспечения первого уровня защищенности персональных данных;
в информационных системах общего пользования второго класса.

Узнать подробнее про Traffic Inspector Next Generation
Инструкция по установке