На территории нашей страны действует федеральный закон о защите персональных данных, вы наверняка не раз сталкивались с его официальным обозначением – 152-ФЗ.
Суть 152-ФЗ заключается в том, что каждый, кто собирает и обрабатывает персональные данные (ПДн), обязан обеспечить безопасность этой конфиденциальной информации.
Об этом законе написано множество статей, большая часть которых направлена на то, чтобы вызвать у вас, как минимум, беспокойство – соблюдаете ли вы требования 152-ФЗ, могут ли вас оштрафовать на немыслимые суммы, что делать, к кому обратиться? Как правило, авторы этих публикаций гордо предъявляют свои лицензии ФСБ и ФСТЭК, предлагают услуги специализированного или «аттестованного» хостинга под этот закон. Их посыл заключается в том, что без их помощи и услуг вы легко попадете под санкции за нарушение действующего законодательства и можете даже лишиться своих проектов. Поэтому надо всего лишь платить в 3 раза больше, чем за стандартную ИТ инфраструктуру, все остальное покроют «лицензии ФСБ и ФСТЭК».
Мы подготовили этот материал с иной целью – мы пошагово объясним вам принципы действия ФЗ-152, чтобы вы могли самостоятельно определить зону своей ответственности и ответственности провайдера, что будет достаточно предпринять, чтобы соблюсти требования закона и нужно ли вам переплачивать в разы за арендованные облачные серверы.
Для начала стоит разобраться – что такое персональные данные, работает ли с ними ваш сайт, попадает он под действие 152-ФЗ в принципе?
Персональные данные – это любая информация, которая относится к конкретному человеку (субъекту персональных данных): ФИО, паспортные данные, e-mail, номер телефона и другие.
Важно: если на своем сайте вы запрашиваете у посетителя только e-mail, он не будет являться ПДн, поскольку это просто набор символов, не относящийся к конкретной персоне, но, если вы просите представиться и оставить электронный адрес, вы уже работаете с ПДн.
В принципе, это означает, что любой веб-проект, где с пользователем осуществляется прямое взаимодействие – ему нужно представиться и оставить любую информацию о себе – попадает под действие 152-ФЗ.
Если ваш сайт носит исключительно информативный и ознакомительный характер, не имеет форм обратной связи и не подразумевает никакой коммуникации с аудиторией, 152-ФЗ никак вас не коснется, вы можете закрыть эту статью.
Но если вы определили, что работаете с персональными данными, это значит, что вы имеете статус Оператора ПДн.
Оператор ПДн – это компания, которая собирает, хранит, обрабатывает и распространяет персональные данные.
Если вы храните на своих серверах данные пользователей сайта – вы оператор ПДн.
Даже если вы удаляете полученные персональные данные – вы уже осуществляете их обработку, то есть являетесь оператором ПДн.
Вы – оператор ПДн, а это значит, что требования и санкции, прописанные в законе «О персональных данных» имеют к вам непосредственное отношение. Значит, в этих требованиях стоит разобраться подробнее.
Как классификация ПДн влияет на ответственность оператора
Главный принцип 152-ФЗ гласит, что оператор ПДн обязан обеспечить надежную защиту и конфиденциальность персональным данным, с которыми он работает. А вот степень этой защиты и, соответственно, объем ответственности за ее ненадлежащее обеспечение напрямую зависит от типа ПДн, с которыми работает оператор.
Общие ПДн
Базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, e-mail и другие. Как правило, эти данные известны широкому кругу лиц и именно их чаще всего запрашивают веб-ресурсы.
Специальные ПДн
Более конкретные данные о личности: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, информация о судимостях и другие. Эту категорию отличает то, что такие данные можно получить только по запросу у самого человека, либо в соответствующих инстанциях.
Биометрические ПДн
Это физиологические или биологические особенности человека, которые используются для идентификации личности: фотографии, отпечатки пальцев, группа крови, генетическая информация и другие.
Важно: если вы не используете фото и другие данные этой категории, чтобы идентифицировать человека, они не являются биометрическими ПДн.
Иные ПДн
К этой категории относятся персональные данные, которые нельзя отнести к категориям, перечисленным выше: принадлежность к определенной социальной группе, корпоративные данные и тому подобные.
Определив категории ПДн, с которыми вы работаете, можно определить и требуемую ФЗ-152 степень их защиты.
Иерархия в данном случае выглядит следующим образом – от меньшей степени защиты к большей:
· Общедоступные – известны широкому кругу лиц, слабая защита.
· Иные – известны меньшему количеству людей, требуют чуть большей защиты.
· Биометрические данные – используются для идентификации личности, требуют серьезной защиты.
· Специальные данные – при утечке могут нанести вред человеку, требуют самой высокой степени защиты.
Для обеспечения защиты ПДн, согласно закону «О персональных данных», оператору необходимо выстроить безопасную ИТ-инфраструктуру и в случаях, требующих, высокой степени защиты – действительно получить соответствующую документацию от государственных органов, регулирующих действие 152-ФЗ: ФСБ, Роскомнадзор, ФСТЭК – лицензии, свидетельства об аттестации и другие.
Требуемые уровни защиты ПДн
Обеспечение соответствия ваших проектов 152-ФЗ и меры, которые в этой связи необходимо предпринять, напрямую зависят от категории данных ПДн, с которыми Вы работаете и ряда параметров, наглядно представленных в таблице
Рассмотрим все параметры этой таблицы:
- Количество субъектов ПДн – число тех, кто оставляет ПДн на вашем сайте.
- Типы актуальных угроз:
- 1 тип — не теоретические, связанные с возможностями уязвимостей в системном программном обеспечении, например, в операционной системе, гипервизоре.
- 2 тип — угрозы средней уязвимости, связанные со слабыми местами прикладного ПО, например, в установленных программах, базах данных.
- 3 тип — угрозы, не связанные с ПО, например, уязвимости в физическом оборудовании.
Важно: если вы используете ПО с сертификацией ФСТЭК, то угрозы 1 и 2 типа для вас не актуальны (недокументированных возможностей в ПО нет). Но понятно, что таким специфичным ПО пользуются в основном только государственные структуры. В общем случае, специалист по информационной безопасности может точно определить уровень актуальных угроз исходя из той конфигурации ПО и инфраструктуры, которую вы реально используете.
УЗ – это требуемый законодательством уровень защищенности ПДн. Всего выделяют 4 типа, у каждого есть свои определения, но если упрощенно, то данные с УЗ-3 и УЗ-4 можно без опасений хранить в публичном облаке, а вот для УЗ-2 и УЗ-1 нужны особые условия.
Выбираем путь к соблюдению закона о Персональных данных
Обратите внимание, если у вас интернет-магазин, вы собираете общедоступную информацию от ваших клиентов, и количество этих клиентов, не превышает 100 тыс., то вам не надо беспокоиться об использовании защищенного ФЗ-152 хостинга или облака, также как и о наличии лицензий ФСБ и ФСТЭК.
Вы спокойно можете выбрать провайдера, чьи серверы расположены на территории РФ, и доверить ему свою ИТ-инфраструктуру. Этого будет полностью достаточно, чтобы соблюдать требования 152-ФЗ в части ИТ инфраструктуры и не опасаться санкций и огромных штрафов!
Кстати, если вы используете CMS нашего давнего партнера 1С-Битрикс, то все становится совсем просто – ребята отлично поработали и поставили в CMS модуль – конструктор соглашений, который подойдет для большинства компаний, чтобы решить все задачи с приемом и обработкой персональных данных на сайте. Вот тут подробно описано, как это работает, а мы в свою очередь подготовили оптимизированные под 1С-Битрикс тарифы на ультрабыстром «железе».
Если же у вас более комплексный случай, то обращайтесь к нам, наши специалисты по информационной безопасности проведут аудит вашего проекта, помогут разработать необходимые нормативные документы и будут готовы сопровождать вас на всех этапах приведения ИТ инфраструктуры к требованиям законодательства.
Группа компаний Rusonyx – ваш надёжный партнёр
Наши серверы находятся не просто на территории РФ – они находятся в самом надежном дата-центре России – DataPro. Несколько upstream провайдеров с защитой от DDoS обеспечивают связность нашей инфраструктуры с сетью Интернет.
Серверы Dell и Intel обеспечивают работу высоконагруженных вебсайтов, мобильных приложений и инфраструктуры интернет-проектов.
Облако на базе OpenStack и виртуализации KVM обеспечивают отказоустойчивость и безопасность клиентских приложений.
Именно поэтому нам доверяют 35 тысяч интернет-магазинов, предприятий, финансовых организаций и ИТ-компаний.
Оставьте ваши контакты и мы свяжемся с вами, чтобы проконсультировать и рассказать подробней о наших услугах.