Требования к защите персональных данных представляют собой перечень законодательно определенных характеристик, которым должна соответствовать система обеспечения безопасности информации о сотрудниках, хранящейся на предприятии. Из статьи далее вы узнаете, какие сведения могут быть отнесены к персональным данным и какие требования предъявляются законодателем к обеспечению их защиты от несанкционированного доступа.
Персональные данные — понятие и сущность
Понятие «персональные данные» установлено п. 1 ст. 3 федерального закона «О персональных данных» № 152 от 27.07.2006, в соответствии с которым таковыми признается любая относящаяся к физическому лицу информация, на основании которой это лицо может быть определено. Таким образом, к персональным данным (далее — ПД) могут быть отнесены:
- Ф. И. О.;
- дата и место рождения;
- адрес регистрации и проживания;
- семейное и материальное положение;
- образование;
- место работы;
- размер дохода;
- профессия и пр.
Такие данные хранятся в любой организации, выступающей в качестве работодателя, т. к. еще на стадии трудоустройства каждый работник представляет пакет документации, содержащей сведения, позволяющие его идентифицировать. Работодатель в этом случае получает статус оператора ПД, под которым, в соответствии с п. 2 ст. 3 ФЗ № 152, понимается юридическое лицо, которое организует и осуществляет обработку таких данных, определяет цели такой обработки, состав обрабатываемых данных и перечень осуществляемых над ними операций.
Конфиденциальность персональных данных
Согласно положениям ст. 7 ФЗ № 152, работодатель обязан обеспечить защиту конфиденциальности используемых им ПД работника. За невыполнение требований законодателя оператор ПД может быть привлечен к административной и даже уголовной ответственности, а деятельность организации — приостановлена на основании требования Роскомнадзора.
Для обеспечения безопасности ст. 19 ФЗ № 152 вменяет оператору ПД обязанность по внедрению в практическую деятельность определенных организационных и технических мероприятий, позволяющих защитить используемые ПД от неправомерного доступа к ним третьих лиц, несанкционированного копирования, распространения, уничтожения, изменения и иных подобных действий.
К организационным мероприятиям, в частности, могут быть отнесены:
- формирование упорядоченных систем хранения ПД;
- разработка внутренней нормативной документации, определяющий порядок сбора, обработки и хранения ПД;
- обучение персонала, в обязанности которого входит работа с ПД.
В качестве технических мероприятий могут выступать:
- использование программных средств защиты информации;
- применение антивирусных программ и межсетевых экранов;
- создание VPN-каналов для передачи ПД за пределы созданной на предприятии системы защиты информации, и пр.
Технические требования к обработке персональных данных по 152 ФЗ
В тексте ФЗ № 152 не содержится прямых указаний на то, какие именно методики должен использовать оператор для технического обеспечения безопасности используемых данных. Однако ч. 3 указанной статьи содержит ссылку на принимаемые Правительством РФ постановления, устанавливающие требования к обработке персональных данных.
В частности, ч. 4 постановления Правительства РФ «Требования к материальным носителям…» от 06.07.2008 № 512 установлено, что материальные носители, используемые оператором для хранения ПД, должны обеспечивать:
- Защиту от несанкционированного внесения третьими лицами исправлений и дополнений в информацию после ее извлечения из информационной системы ПД.
- Обеспечение лицам, обладающим соответствующими полномочиями, доступа к хранящимся на носителе данным.
- Возможность идентификации информационной системы, в которую были внесены ПД, и оператора, которым они были внесены.
- Невозможность несанкционированного доступа к хранящимся на носителе ПД.
Срок использования оператором ПД материального носителя, в соответствии с п. 6 постановления № 512, не должен превышать указанного производителем максимального срока эксплуатации.
Примечание: действие указанных требований не распространяется на бумажные носители, хранящие ПД работников.
Требования закона к 4-му и 3-му уровням защиты персональных данных на предприятии
Помимо ссылки на постановление Правительства РФ № 512 ч. 3 ст. 19 ФЗ № 152 содержит ссылку на постановление Правительства «Об утверждении требований…» № 1119 от 01.11.2012. Установленные данным актом требования (далее — Требования) определяют общие вопросы, касающиеся защиты данных, обрабатываемых оператором ПД.
Согласно п. 4 Требований, оператор ПД может самостоятельно определить перечень программных продуктов, применяемых для защиты ПД, но при этом ему стоит руководствоваться нормативными актами, принимаемыми ФСБ РФ и ФСТЭК РФ. Уровень защиты информации, который должен обеспечить оператор, зависит от того, какие угрозы актуальны для конкретной системы хранения информации, внедренной на предприятии. Виды угроз определены п. 6 Требований, п. 8 устанавливает условия, при наличии которых оператор ПД обязан обеспечить определенный уровень защиты (от 4-го до 1-го).
Так, для обеспечения 4-го уровня защиты необходимо (п. 13):
- Ограничить круг лиц, имеющих доступ к помещениям, в которых хранятся ПД, а также предотвратить возможность несанкционированного доступа к таким хранилищам.
- Обеспечить сохранность носителей, содержащих ПД.
- Определить круг сотрудников, имеющих доступ к ПД.
- Использовать средства, обеспечивающие защиту ПД, характеристики которых соответствуют законодательно установленным требованиям.
Для обеспечения 3-го уровня защиты оператору необходимо выполнить перечисленные выше требования, а также назначить сотрудника, на которого будут возложены обязанности по обеспечению безопасности размещенных в информационной системе данных (п. 14).
Требования закона ко 2-му и 1-му уровням защиты
Ко 2-му и 1-му уровням защиты законодатель предъявляет более жесткие требования, чем к 4-му и 3-му. Для обеспечения 2-го уровня безопасности оператору необходимо выполнить требования, установленные для 3-го уровня, а также ограничить доступ к сведениям, хранящимся в электронном журнале сообщений, со стороны лиц, не имеющих полномочий по их использованию в ходе осуществления своей трудовой деятельности (п. 15).
Для обеспечения 1-го уровня защиты оператор ПД обязан выполнять требования, предъявляемые к системе безопасности 2-го уровня, а также (п. 16):
- Автоматически фиксировать в электронном журнале безопасности сведения об изменениях объема полномочий сотрудников, обладающих доступом к хранящимся в информационной системе персональным данным.
- Создать на предприятии подразделение, функционал которого включает обеспечение безопасности ПД, хранящихся в информационной системе, или возложить указанные обязанности на иное подразделение предприятия.
Итак, работодатель обязан обеспечивать сохранность конфиденциальности информации, получаемой им от работников и имеющей статус персональных данных. Законодатель устанавливает перечень определенных требований, которым должна отвечать система обеспечения безопасности обрабатываемых и хранимых организацией сведений. В зависимости от того, какие угрозы вероятны для используемой информации, устанавливаются различные уровни ее защиты. Чем выше уровень защиты, тем более жесткие требования к ее реализации предъявляет законодатель.