Персональные данные (ПДн) — это информация, которая позволяет идентифицировать определенного человека. При хранении и обработке ПДн необходимо соблюдать требования законодательства. Их утечка грозит штрафами, судебными разбирательствами, может нанести ущерб репутации компании и привести к потере доверия клиентов.
Что такое персональные данные
К персональным данным относится информация, которая может быть использована для идентификации личности человека: например, Ф. И. О., контактные данные, фото, видео, банковские реквизиты и др. Согласно закону 152-ФЗ, организации должны соблюдать определенные правила при хранении и обработке персональных данных, а именно:
- Оформлять согласие на их обработку
- Ограничивать доступ к персональным данным
- Защищать их от утечек и несанкционированного доступа
- Уведомлять надзорные органы о допущенных нарушениях.
Что могут сделать мошенники, которые располагают личными данными человека?
- Оформить на него микрозаем
- Отправить ему поддельную квитанцию для оплаты штрафа
- Оформить на него сим-карту, чтобы использовать ее при телефонных аферах
- Позвонить ему под видом сотрудника банка, чтобы узнать пароли и коды для входа в интернет-банк и вывести деньги с карты
Виды и отличия персональных данных
В зависимости от специфики персональные данные подразделяются на несколько видов.
Основные персональные данные — это информация, которая позволяет идентифицировать человека: имя и фамилия, дата и место рождения, адрес регистрации, номер телефона и т. п.
В специальные категории ПДн включают данные об этнической принадлежности, политических взглядах, религиозных убеждениях, медицинскую и генетическую информацию и др.
К биометрическим персональным данным относятся такие характеристики человека, как отпечатки пальцев, голос, сканирование сетчатки глаза. Биометрические данные являются одним из самых надежных способов подтверждения личности, так как они уникальны для каждого человека и их трудно подделать.
Иные ПД — это информация, которая не относится ни к одной из трех других групп. Это могут быть сведения о предпочтениях и интересах человека, размере его дохода, социальном статусе и т. п.
Что такое оператор ПДн и субъект ПДн
Оператор персональных данных (ОПД) — это организация, собирающая, хранящая и использующая персональные данные для выполнения определенных целей. Оператор ПДн обязан обеспечить безопасность персональных данных.
Субъект персональных данных (СПД) — это физическое лицо, к которому относятся персональные данные. Иначе говоря, это человек, данные о котором собираются, передаются или обрабатываются оператором персональных данных.
Субъект персональных данных имеет право контролировать, кто, как и где обрабатывает его персональные данные. Также он может требовать их исправления или удаления в случае необходимости
Значимость обработки и хранения персональных данных
Запуск любого проекта в онлайн-торговле, медицинском обслуживании, финансовых услугах и проч. требует обработки огромного объема личных данных, а значит — ответственного подхода к соблюдению стандартов конфиденциальности.
Основным регулятором в сфере ПДн является Роскомнадзор. Главным актом регулирования — Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»
Организации должны принимать меры по защите паспортных данных, медицинских сведений, финансовой и любой другой личной информации своих сотрудников и клиентов. Это не просто юридическое требование: в конечном итоге соблюдение принципов обработки и хранения ПДн способствует развитию безопасной онлайн-среды и повышению безопасности жизни в целом.
Требованиями к защите персональных данных при их обработке установлены четыре уровня защищенности персональных данных: УЗ-1, УЗ-2, УЗ-3 и УЗ-4. УЗ-1 устанавливает наиболее строгие меры безопасности для обработки конфиденциальных данных, УЗ-4 — наименее строгие. Чтобы определить уровень защищенности персональных данных, нужно учитывать категорию обрабатываемой информации, тип угроз, количество субъектов ПДн, а также то, чьи данные обрабатываются — сотрудников или клиентов.
Важные правила обработки и хранения ПДн
Внедрение политики хранения и обработки данных внутри компании помогает установить четкие правила и процедуры по работе с ПДн
- Храните персональные данные так, чтобы посторонние лица не могли получить к ним доступ — они не должны быть разбросаны по всем электронным устройствам компании.
- Ограничьте доступ к ПД при помощи учетных записей с разными правами и надежными паролями, которые регулярно меняются.
- Используйте персональные данные только для тех целей, для которых их вам предоставили.
- Пользуйтесь актуальными версиями антивирусного ПО и программ-брандмауэров. Регулярное обновление систем безопасности и программного обеспечения помогает устранить уязвимости, обнаруженные в процессе работы, и предотвратить возможные атаки злоумышленников.
- Следите за тем, чтобы доступ к ПДн имели только лица, у которых есть право обработки персональных данных. Оперативно закрывайте учетные записи уволенных сотрудников, бывших контрагентов и партнеров.
Плюсы облачного хранения персональных данных
Компании, которые стремятся сократить издержки и повысить эффективность своего бизнеса, все чаще используют защищенную ИТ-инфраструктуру для хранения персональных данных. Перемещая базы с ПДн в облако, они экономят большое количество ресурсов, поскольку им не приходится:
- Заниматься подбором ПО
- Искать, закупать, подключать и настраивать оборудование
- Следить за работоспособностью информационных систем
- Отражать кибератаки
Вкладывать средства в техническую модернизацию - Разрабатывать внутреннюю распорядительную документацию.
Провайдер, который организует хранение персональных данных в облаке, обязан выполнить требования законодательства. Аттестат соответствия 152-ФЗ, который выдается контролирующими органами, подтверждает, что облачная инфраструктура полностью соответствует требованиям приказа ФСТЭК № 21.
Со стороны провайдера MWS, оказывающего услугу безопасного хранения и обработки персональных данных в защищенном облаке, гарантируется полное соблюдение норм действующего законодательства РФ. Дата-центры, в которых физически располагается облачное хранилище, находятся на территории РФ и прошли аттестационные мероприятия. В сегменты облака MWS, аттестованные на соответствие 152-ФЗ, можно переносить любые ПДн и ГИС (государственные информационные системы). Хранение и обработка данных государственных информационных систем соответствует требованиям законодательства РФ в рамках Приказа ФСТЭК №17.
Кроме того, инфраструктура MWS соответствует требованиям ГОСТ Р 57580.1–2017 для безопасного размещения в облаке ИС банков и финтехкомпаний, содержащих данные финансовых операций.
Запуск любого проекта в онлайн-торговле, медицинском обслуживании, финансовых услугах и проч. требует обработки огромного объема личных данных, а значит — ответственного подхода к соблюдению стандартов конфиденциальности.
Основным регулятором в сфере ПДн является Роскомнадзор. Главным актом регулирования — Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»
Организации должны принимать меры по защите паспортных данных, медицинских сведений, финансовой и любой другой личной информации своих сотрудников и клиентов. Это не просто юридическое требование: в конечном итоге соблюдение принципов обработки и хранения ПДн способствует развитию безопасной онлайн-среды и повышению безопасности жизни в целом.
Требованиями к защите персональных данных при их обработке установлены четыре уровня защищенности персональных данных: УЗ-1, УЗ-2, УЗ-3 и УЗ-4. УЗ-1 устанавливает наиболее строгие меры безопасности для обработки конфиденциальных данных, УЗ-4 — наименее строгие. Чтобы определить уровень защищенности персональных данных, нужно учитывать категорию обрабатываемой информации, тип угроз, количество субъектов ПДн, а также то, чьи данные обрабатываются — сотрудников или клиентов.
