Наверх
Gendalf Gendalf

Мифы о 152-ФЗ «О защите персональных данных» (часть II)

2019-04-22

О защите персональных данных

Давайте развеем очередные два заблуждения о 152-ФЗ, которые не доводили до добра ни бизнес, ни нервы оператора персональных данных.

О том, кто такие «операторы фискальных данных» и чего от них требует 152-ФЗ, мы уже рассказывали в предыдущей статье «Мифы о 152-ФЗ «О защите персональных данных» (часть I).

Прежде чем приступить к следующим мифам, еще раз напомним: 152-ФЗ предполагает не только защиту систем, сервисов и сетевого оборудования от внешних угроз, но и соблюдение правовых оснований для хранения и обработки персональных данных ваших сотрудников.


Миф №1 «Пакет документов имеется, персональные данные храним у провайдера. Соответствие 152-ФЗ обеспечено?»

Обеспечено, если вы не забыли подписать обязательное поручение. Поручать обработку персональных другим лицам только после подписания соответствующего документа. Другими словами, поручение – это договор, в котором отмечается, какие операции сервис-провайдер может осуществлять с персональными данными оператора.

В поручении устанавливается обязанность сервис-провайдера соблюдать конфиденциальность персональных данных, обеспечивать их безопасность при обработке. Также указываются требования к защите персональных данных в соответствии со ст. 19 152-ФЗ

Обратите внимание, за соблюдение вышеуказанного провайдер несет ответственность перед оператором персональных данных, а не перед субъектом.Ответственность перед субъектом персональных данных за действия сервис-провайдера (или иного лица) несет оператор.

Вывод: для соблюдения закона в части передачи работ обработки персональных данных третьим лицом, не забудьте подписать поручение. Обязательно укажите все требования по обеспечению защиты персональных данных субъектов. Без этого документа провайдер ничем вам не обязан.


Миф №2 «У нас высший уровень защищенности УЗ-1»

Уверены, что вам нужен именно такой уровень защиты персональных данных? Давайте разберемся, почему вы можете ошибаться.

УЗ помогает определить, от чего/кого защищены персональные данные. На уровень защищенности влияют такие факторы, как:

  • тип персональных данных (специальные, биометрические, общедоступные и др.);
  • принадлежность персональных данных – сотрудникам или несотрудникам оператора;
  • количество субъектов персональных данных – более или менее 100 000 тыс.
  • типы актуальных угроз.

В соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. № 1119 существует 4 типа угроз.

Угрозы 1-го и 2-го типа касаются информационной системы и связаны с наличием недокументированных (недекларированных) возможностей в системном или прикладном программном обеспечении.

Эти типы угроз могут быть актуальны, если вы убеждены, что агенты ЦРУ, МИ-6 или МОССАД размещают в операционной системе закладки, чтобы воровать персональные данные конкретных субъектов именно у вас.

Да, есть сомнительное прикладное программное обеспечение, к примеру, μTorrent. Но можно сделать список разрешенного софта к установке и подписать с пользователями соглашение; не давать пользователям права локальных администраторов и т.д.

Угрозы 3-го типа не связанны с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе. Есть одно исключение. Уровень защищенности может быть высоким (УЗ-2) у тех компаний, которые обрабатывают специальные персональные данные несотрудников в объеме более 100 000 (например, сфера медицинской диагностики, оказания медицинских услуг).

УЗ-4 встречается у компаний, чья деятельность не связана с обработкой персональных данных несотрудников, т. е. клиентов или подрядчиков. Либо у организаций, у которых базы персональных данных малы.

В Постановлении Правительства РФ от 1 ноября 2012 г. № 1119 прописано 109 мер для соблюдения каждого УЗ. Чем выше УЗ, тем больше их больше. Если оставить только те меры, которые нужны для УЗ-3, то получится 41.

Вывод: если вы не собираете анализы или биометрию клиентов и не боитесь закладок в системном и прикладном ПО, то, скорее всего, у вас УЗ-3. Не переборщите с уровнем защищенности, ведь чтобы обеспечить УЗ-1 или УЗ-2, придется выполнить огромный ряд технических и организационных мер.


Вы можете обратиться за услугами по информационной безопасности и защите персональных данных в «ГЭНДАЛЬФ». Наши специалисты помогут подобрать все необходимое в соответствии с требованиями 152-ФЗ.

Узнайте, соблюдены ли в вашей организации все требования ФЗ-152 – получите бесплатную консультацию прямо сейчас!

Бесплатная консультация


Поделиться  
×