arrod-back new-mail arrow atom Ресурс 2 cod-modern comp connect data-cod detail email fingerprint home input-user iso justice lan libra lifebuoy people planet rub shield speedtimer stat storage tel timer

Защита персональных данных – краткий ликбез

6 ноября 2019
Время прочтения - 4 минуты
  • #security
  • #полезное

В СМИ то и дело появляются материалы о том, что у компаний с мировыми именами персональные данные (ПДн) клиентов просачиваются в открытый доступ. Достаточно вспомнить инцидент с утечкой данных 50 миллионов пользователей Facebook в минувшем году, а у Google такое повторилось дважды за тот же 2018 год – суммарный итог еще больше – 53 миллиона. Такие инциденты ставят под удар репутацию компаний-опреаторов и доверие их клиентов. А кто такие операторы?

Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, осуществляющее обработку персональных данных своих клиентов и/или сотрудников.

В той или иной степени, с ПДн работают государственные органы, сотрудники банков, сотовых операторов и интернет-провайдеров, а также страховые компании, турфирмы, частные клиники, отдел кадров любой организации... Клиенты с легкостью доверяют операторам свои данные и, в то же время, совсем не догадываются, на какие подвиги операторам приходится идти, чтобы обеспечить защиту информации.

Перечень законодательных актов разрастается. Закон предъявляет все больше требований к защите персональной информации. Особенно это актуально в условиях стремительного роста баз данных и пользователей информационных систем.

Про персональные данные

Соблюдать закон о защите персональных данных – важно. Но не менее важно понимать, что и как именно защищать. К ПДн в классическом понимании относится не только паспортные данные… Будьте осторожны, если используемые вами данные дают возможность косвенно определить субъекта, которому они принадлежат. Если сомневаетесь, всегда держите в голове:

Главный критерий персональных данных – это возможность идентифицировать с их помощью личность конкретного человека!

В этом смысле, например, сочетание даты рождения и семейного положения – не дают никакой картины. Но ФИО в совокупности с номером телефона – информация уже достаточная, чтобы определить конкретного человека. А все остальное о нем расскажут социальные сети.

Медицинские организации, аккумулируют данные своих пациентов, и буквально знают о нас все. История болезни, состояние здоровья и даже лечащие врачи – все требует строгой конфиденциальности. Сейчас на федеральном уровне реализуется проект по информатизации системы здравоохранения, который подразумевает надежную защиту персональных данных в информационных системах.

Упорядочивание хаоса

Перечень защищаемых персональных данных достаточно объемный. Имеет смысл составить представление о том, что может отнесено к персданным, чтобы всегда четко ориентироваться. Все категории персональных данных делятся на 4 группы:

  1. Специальные ПДн: расовая, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь;
  2. Биометрические ПДн, позволяющие идентифицировать субъекта ПДн: вес, рост, цвет глаз или волос, длина волос, группа крови, фотография;
  3. Иные ПДн, – позволяющие идентифицировать субъекта персональных данных – например, корпоративная информация. Сюда относятся карточки учета сотрудников. Обычно в них содержатся сведения, с которыми работает HR-служба и бухгалтерия: зарплата, периоды отпуска, даты приема на работу;
  4. Обезличенные и общедоступные ПДн: информация из открытых ресурсов – СМИ и Интернета – например, в социальных сетях: номер телефона, семейный статус, адрес почты. Ее обычно субъект публикует сам.

На эти группы опираются при оценке уровня защищенности информационных систем.

ИСПДн

Информационные Системы Персональных Данных (ИСПДн) собирают, систематизируют и обрабатывают данные. Операторы должны защищать персональные данные и подтверждать надежность и уровень защищенности используемых информационных систем.

В 149-ФЗ указано, что персональные данные всех россиян должны храниться непременно в информационных системах, расположенных на территории РФ. В случае нарушения может быть возбуждено уголовное дело, проблема вполне может вылиться в блокировку ресурса. Так, к примеру, в России в 2016 году была заблокирована социальная сеть LinkedIn.

Но сразу определить уровень защищенности информационной системы сложно. На это влияют несколько факторов:

  • тип ПДн (специальные, биометрические, общедоступные и иные);
  • кому принадлежат персональные данные – сотрудникам или клиентам оператора;
  • количество субъектов персональных данных – более или менее 100 тысяч;
  • типы актуальных угроз – предполагаемый вид и уровень угроз информационной системе.

Надеемся, мы внесли ясность и понимание вопроса необходимости защиты персданных а о том, как грамотно ее организовать, читайте в нашей статье Бизнес-лайфхак по защите персональных данных.