Прежде всего отметим, что многие компании по-прежнему защищают свои системы неверно — с точки зрения закона.
Существует довольно много законов и документов регуляторов, регламентирующих правила защиты компаний и организаций самого разного профиля: государственных и частных, защищающих персональные данные (ПДн) и обеспечивающих функционирование критически важных систем.
Кратко опишем их требования, и начнем с требований Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных».
В каких случаях требуются сертифицированные продукты?
Статья 19 этого закона гласит, что обеспечение защиты ПДн достигается, в частности, «применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации». То есть уже в самом законе прописана необходимость использования продуктов, прошедших процедуру оценки соответствия.
Постановление Правительства РФ № 1119 от 01.11.2012 г. уточняет, что для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо «использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз».
В свою очередь, ФСТЭК России в своем приказе № 21 от 18.02.2013 обозначает, что «меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных».
Приказ ФСТЭК России № 21 уточняет требования по использованию средств защиты в ИСПДн различного уровня: «При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации: в информационных системах 1 уровня защищенности персональных данных применяются средства защиты информации не ниже 4 класса...».
Кто должен использовать сертифицированные продукты?
Снова открываем Федеральный закон № 152-ФЗ: «Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой <...> и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств…».
Да, согласно закону защищать персональные данные (с использованием сертифицированных решений!) должны даже обычные пользователи. Не все, конечно, но список исключений весьма невелик — специальная защита не требуется, если ПДн обрабатываются исключительно для личных и семейных нужд и «при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации».
То есть, если вы переслали контакт с указанием сведений о ком-то или поделились сплетней о коллеге, требования закона встают для вас в полный рост.
Но пока (кто знает, что будет в будущем!) требования предъявляются к компаниям и организациям, органам власти, юридическим и физическим лицам, осуществляющим обработку ПДн с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
Персональные данные и их обработка
Федеральный закон № 152-ФЗ от 27.07.2006 (в редакции от 31.12.2017) гласит: «Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Так что персональными данными может оказаться любая информация, которая позволяет так или иначе идентифицировать субъекта ПДн. Судебные решения это только подтверждают. Так, согласно решениям российских судов персональными данными являются: информация о смерти физического лица (Постановление Арбитражного суда Поволжского округа от 25.09.2014 № Ф06-15508/2013), номер мобильного телефона (апелляционное определение Алтайского краевого суда от 01.10.13 по делу № 33–9241/2015), фотографии физического лица (апелляционное определение Свердловского областного суда от 09.04.15 по делу № 33–5232/2015).
С другой стороны, если вы каким-то образом получили персональные данные (например, вам на электронную почту прислали предложение, и ваш сервер эти данные обработал) — это уже обработка ПДн.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
И это логично, поскольку злоумышленник или доверчивый сотрудник может случайно или намеренно допустить утечку таких данных.
Фактически, каждая компания или организация располагает персональными данными и обязана их защищать. А значит — должна использовать сертифицированные средства защиты.
После даты вступления в силу Федерального закона № 152-ФЗ (26.01.2007) обработка ПДн, включенных в информационные системы персональных данных (ИСПДн) до этой даты, должна осуществляться в соответствии с данным законом. ИСПДн, созданные до этого дня, должны были быть приведены в соответствие с его требованиями не позднее 1 июля 2011 года. Прошло почти 8 лет с указанного срока!
И дело нешуточное: по ст. 24 Федерального закона № 152 «О персональных данных» «лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность».
Продукты Dr.Web обладают необходимыми сертификатами соответствия.
В качестве примера сертифицированных решений можно привести продукты компании «Доктор Веб». Они имеют сертификаты ФСТЭК России (сертификат действует до 27.01.2025), ФСБ России, Минобороны России. Это позволяет использовать их для защиты:
- ИСПДн до 1-го уровня защищенности включительно;
- ГИС и МИС до 1-го класса защищенности включительно;
- объектов Минобороны России, а также организаций, работающий с Минобороны России;
- объектов критической инфраструктуры вплоть до высшего уровня;
- систем обработки сведений, содержащих государственную тайну.
Вы можете оставить комментарий: