В СМИ то и дело появляются материалы о том, что у компаний с мировыми именами персональные данные (ПДн) клиентов просачиваются в открытый доступ. Достаточно вспомнить инцидент с утечкой данных 50 миллионов пользователей Facebook в минувшем году, а у Google такое повторилось дважды за тот же 2018 год – суммарный итог еще больше – 53 миллиона. Такие инциденты ставят под удар репутацию компаний-опреаторов и доверие их клиентов. А кто такие операторы?
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, осуществляющее обработку персональных данных своих клиентов и/или сотрудников.
В той или иной степени, с ПДн работают государственные органы, сотрудники банков, сотовых операторов и интернет-провайдеров, а также страховые компании, турфирмы, частные клиники, отдел кадров любой организации... Клиенты с легкостью доверяют операторам свои данные и, в то же время, совсем не догадываются, на какие подвиги операторам приходится идти, чтобы обеспечить защиту информации.
Перечень законодательных актов разрастается. Закон предъявляет все больше требований к защите персональной информации. Особенно это актуально в условиях стремительного роста баз данных и пользователей информационных систем.
Про персональные данные
Соблюдать закон о защите персональных данных – важно. Но не менее важно понимать, что и как именно защищать. К ПДн в классическом понимании относится не только паспортные данные… Будьте осторожны, если используемые вами данные дают возможность косвенно определить субъекта, которому они принадлежат. Если сомневаетесь, всегда держите в голове:
Главный критерий персональных данных – это возможность идентифицировать с их помощью личность конкретного человека!
В этом смысле, например, сочетание даты рождения и семейного положения – не дают никакой картины. Но ФИО в совокупности с номером телефона – информация уже достаточная, чтобы определить конкретного человека. А все остальное о нем расскажут социальные сети.
Медицинские организации, аккумулируют данные своих пациентов, и буквально знают о нас все. История болезни, состояние здоровья и даже лечащие врачи – все требует строгой конфиденциальности. Сейчас на федеральном уровне реализуется проект по информатизации системы здравоохранения, который подразумевает надежную защиту персональных данных в информационных системах.
Упорядочивание хаоса
Перечень защищаемых персональных данных достаточно объемный. Имеет смысл составить представление о том, что может отнесено к персданным, чтобы всегда четко ориентироваться. Все категории персональных данных делятся на 4 группы:
- Специальные ПДн: расовая, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь;
- Биометрические ПДн, позволяющие идентифицировать субъекта ПДн: вес, рост, цвет глаз или волос, длина волос, группа крови, фотография;
- Иные ПДн, – позволяющие идентифицировать субъекта персональных данных – например, корпоративная информация. Сюда относятся карточки учета сотрудников. Обычно в них содержатся сведения, с которыми работает HR-служба и бухгалтерия: зарплата, периоды отпуска, даты приема на работу;
- Обезличенные и общедоступные ПДн: информация из открытых ресурсов – СМИ и Интернета – например, в социальных сетях: номер телефона, семейный статус, адрес почты. Ее обычно субъект публикует сам.
На эти группы опираются при оценке уровня защищенности информационных систем.
ИСПДн
Информационные Системы Персональных Данных (ИСПДн) собирают, систематизируют и обрабатывают данные. Операторы должны защищать персональные данные и подтверждать надежность и уровень защищенности используемых информационных систем.
В 149-ФЗ указано, что персональные данные всех россиян должны храниться непременно в информационных системах, расположенных на территории РФ. В случае нарушения может быть возбуждено уголовное дело, проблема вполне может вылиться в блокировку ресурса. Так, к примеру, в России в 2016 году была заблокирована социальная сеть LinkedIn.
Но сразу определить уровень защищенности информационной системы сложно. На это влияют несколько факторов:
- тип ПДн (специальные, биометрические, общедоступные и иные);
- кому принадлежат персональные данные – сотрудникам или клиентам оператора;
- количество субъектов персональных данных – более или менее 100 тысяч;
- типы актуальных угроз – предполагаемый вид и уровень угроз информационной системе.
Надеемся, мы внесли ясность и понимание вопроса необходимости защиты персданных а о том, как грамотно ее организовать, читайте в нашей статье Бизнес-лайфхак по защите персональных данных.
