Защита персональных данных – это важно!
Практически каждая организация, от детского садика и школы до государственного ведомства, в той или иной степени обрабатывает персональные данные. На самом деле закон «О персональных данных» – самый массовый закон, который затрагивает интересы всех. Здесь все переплетено: сегодня ты выступаешь, как субъект, а завтра, ты уже оператор. Сегодня ты на стороне тех, кто хочет сэкономить на защите персональных данных, а завтра ты уже сам радеешь за то, чтобы твои персональные данные защищали самым тщательным образом.
Зачем надо защищать персональные данные?
Затем, что неправомерное использование персональных данных может навредить субъекту. Главная цель защиты персональных данных – обеспечение защиты прав и свобод человека (субъекта), в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Необходимость обеспечения безопасности персональных данных в наше время – объективная реальность. Информация о человеке всегда имела большую ценность, но сегодня она превратилась в самый дорогой товар. Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника – в средство мщения. Именно поэтому персональные данные нуждаются в самой серьезной защите. Для граждан, от степени защищенности персональных данных зависит физическая и имущественная безопасность, а для операторов — обеспечение надлежащего функционирования организации.
Несколько примеров, как это может навредить субъекту. Доскональное знание имени, фамилии, места жительства, даты рождения и других подобных сведений поможет злоумышленнику выдавать себя за другое лицо. И чем больше такой информации об увлечениях, хобби и личной жизни есть у мошенника, тем точнее будет сходство. А паспортные данные и вовсе могут помочь злоумышленнику взять на чужое имя кредит или получить доступ к банковским вкладам (как-то, в СМИ проскочила новость, что от лица одного российского гражданина, воспользовавшись его паспортными данными, некто попытался купить особняк в Италии за 4 млн евро). Номер мобильного или городского телефона, впрочем как и адрес электронной почты, привязан к конкретной личности. Злоумышленник, узнав телефонные номера может идентифицировать владельца номера. Точно также, как и для электронного адреса, для телефонов есть опасность SMS- или даже голосового спама. Мы часто заполняем разные анкеты, участвуем в сомнительных лотереях и конкурсах. Самыми легкими последствиями будет «бомбардировка» наших телефонов разным рекламным спамом и сообщениями «радостной новости о крупном выигрыше». Но, зная электронный адрес и основы поиска в Google, можно без труда вытянуть всю остальную информацию – имя фамилию, место жительство, дату рождения. Зная персональные данные ребенка, можно использовать их для неблаговидных целей, вовлекать их в противоправные действия, а то и того хуже: использовать в преступных целях, в том числе и для донорства органов. К сожалению, у нас есть и киднепинг, и педофилия. Разглашение специальных персональных данных может спровоцировать обострение взаимоотношений в коллективе. И еще многое другое.
Не менее ощутимы последствия несоблюдения режима защиты персональных данных и для самой школы. Их разглашение создает проблемы, провоцируя, так называемые имиджевые (репутационные) риски. Утечки персональных данных подчас приводят к действительно непоправимым последствиям в сфере имиджа образовательного учреждения. Маловероятно, что кто-либо продолжит сотрудничество со школой, доброе имя которой подпорчено негативом инцидента в сфере защиты конфиденциальных данных. Не исключается утрата доверия граждан, жалобы субъектов в надзорные органы, публикация негативной информации о нарушениях в СМИ. Кроме того, нарушения порядка обработки и защиты персональных данных для оператора влечет за собой репрессивные риски, обусловленные применением репрессивных мер дисциплинарного, административного или уголовного характера, а также финансовые риски – обусловленные прямыми финансовыми потерями (ущерб и убытки).
Почему надо защищать персональные данные?
Потому, что так предписывает закон. Персональные данные, даже если они обрабатываются в школьных информационных системах, не принадлежат школе. Это то, что передано школе субъектом для использования, но не для нанесения ему ущерба. Неприкосновенность частной жизни – конституционное право каждого гражданина27. Серьезность намерений государства, как патроната интересов граждан, в этом вопросе очевидна: уже сформирована нормативная база, определена ответственность, регуляторы получили соответствующие полномочия, растет количество проверок. Все мы являемся законопослушными гражданами и обязаны выполнять требования законодательства, которым защита персональных данных возложена на те организации, где они обрабатываются. Защиту персональных данных обязаны осуществлять все без исключения организации. То есть, если организация является оператором, она обязана выполнить требования Закона.
Защита персональных данных является обязанностью организации, а не правом. Закон содержит императивную, обязательную норму. Требования по защите персональных данных установлены правительством, а разработка технических требований по защите и контроль их исполнения возложены на уполномоченные органы власти.
За нарушение норм законодательства о персональных данных предусматривается как административная, так и уголовная ответственность, возможна также гражданская и дисциплинарная ответственность. И в настоящее время отмечается устойчивая тенденция усиления ответственности за нарушение порядка обработки и защиты персональных данных.
Законом также закреплены права субъекта персональных данных28 и он вправе принимать законные меры по защите своих прав. В помощь ему, впервые в российской практике введен специальный институт уполномоченных по защите прав субъектов, на который возлагается надзор за соответствием обработки персональных данных требованиям закона29.
От кого надо защищать персональные данные?
От последствий действий хакеров, злоумышленников, инсайдеров, а иногда и от нашей собственной беспечности. А еще от последствий различных проявлений техногенных факторов: отключения электричества, выходя из строя компьютеров, протечек воды, и много другого, что может уничтожить или исказить информацию. Проще говоря – от всего того, что может причинить вред субъекту, то есть от различных угроз безопасности персональным данным.
Что такое угрозы безопасности персональным данным?
Любую угрозу можно описать совокупностью источника, фактора и способа (метода) ее реализации:
Угроза = f(источник угрозы, уязвимость [фактор], способ [метод] реализации)
Очень удобная формула, позволяющая правильно выбрать методы защиты (устранения угроз). Формула показывает, что если нет источника угрозы, но есть какая-то уязвимость, то и угроза не будет реализована. Точно также, если есть уязвимость, но нет источникам угроз – она также не будет реализована. Следовательно, достаточно направить усилия на устранение либо источника, либо уязвимости. Такой подход позволяет экономить деньги при создании системы защиты персональных данных. Логическая взаимосвязь составных элементов угрозы показана на рисунке.
На самом деле угроз не так уж и много. Все угрозы можно разложить по тем полезным свойствам информации, которые защищаются и сформировать конечный список угроз:
при обеспечении конфиденциальности информации:
хищение (копирование) информации и средств ее обработки
утрата (неумышленная потеря, утечка) информации
при обеспечении целостности информации:
модификация (искажение) информации
отрицание подлинности информации
навязывание ложной информации
при обеспечении доступности информации:
блокирование информации
уничтожение информации и средств ее обработки
Что такое модель угроз и зачем она нужна?
Один и тот же источник угрозы может использовать разные факторы и уязвимости для достижения своей неблаговидной цели. Поэтому различных реализаций угроз может быть сколь угодно много. Описанный особым образом набор таких возможных реализаций составляет модель угроз. Это обязательный документ, разработка которого предписана требованиями уполномоченных государственных органов. Он позволяет обосновать необходимость применения тех или иных способов и методов защиты персональных данных и, в то же время, дает возможность исключить некоторые реализации угроз, как не актуальные для конкретной школы.
Разработка модели угроз – кропотливая работа, требующая времени, специальных знаний и опыта. Не каждый оператор обладает такими возможностями. Поэтому, законодатель обязал государственные органы в пределах своих полномочий разрабатывать модели актуальных для отрасли с учетом содержания персональных данных, характера и способов их обработки30. Такие модели согласовываются с уполномоченными государственными органами. Школа, как оператор персональных данных, в данном случае должна использовать отраслевую модель актуальных угроз, а не разрабатывать свою.
Кто регулирует отношения?
Государство взяло патронат над обработкой персональных данных и защитой интересов субъектов. Регулирование в этой обрасти осуществляют:
Правительство Российской Федерации;
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор России);
Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
Федеральная служба безопасности (ФСБ России).
Правительство РФ осуществляет меры по обеспечению законности, прав и свобод граждан. В сфере защиты персональных данных Правительство РФ уполномочено:
определять перечень мер, направленных на обеспечение защиты информации,
устанавливать уровни защищенности определенных информационных систем,
определять требования к защите персональных данных,
определять государственные органы, осуществляющие лицензирование деятельности в этой области и утверждать положения о лицензировании.
Роскомнадзор определен уполномоченным органом по защите прав субъектов персональных данных31. На Роскомнадзор возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям закона32. Полномочия в этой области определены серьезные, в том числе проведение проверок как в плановом режиме, так и по заявлениям субъектов. В рамках исполнения своих функций, должностные лица Роскомнадзора имеют право:
выдавать обязательные для выполнения предписания об устранении выявленных нарушений в области обработки персональных данных;
составлять протоколы об административном правонарушении или направлять в органы прокуратуры материалы для решения вопроса о возбуждении дел об административных правонарушениях, а также о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных;
направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии,
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований законодательства.
ФСТЭК Росси является регулятором в области обеспечения безопасности информации не криптографическими методами, а ее нормативные акты, касающиеся защиты информации, являются обязательными для всех организаций, которые находятся под юрисдикцией России33. Она имеет свою систему сертификации средств защиты информации34. В рамках этой системы проводится обязательная сертификация средств, предназначенных для защиты персональных данных. ФСТЭК России наделена полномочиями:
устанавливать требования по защите информации не криптографическими методами,
определять состав и содержание организационных и технических мер по обеспечению безопасности информации ограниченного доступа,
поводить лицензирование видов деятельности, связанных с защитой информации,
организовывать и проводить сертификацию средств защиты информации, использующих не криптографические методы защиты,
осуществлять контроль и надзор за выполнением требований по обеспечению безопасности информации.
ФСБ России является регулятором в области использования криптографических средств защиты информации. ФСБ России отвечает за все вопросы применения криптографических методов защиты информации. ФСБ России имеет систему сертификации средств криптографической защиты информации (система сертификации СКЗИ)35. В рамках этой системы проводится сертификация шифровальных средств.
Все органы действуют строго в рамках своей компетенции. Таким образом:
Роскомнадзор отвечает за общий контроль и надзор, представление интересов субъектов при обработке их персональных данных,
ФСТЭК России регламентирует вопросы технической защиты персональных данных не криптографическим методами,
ФСБ регламентирует вопросы защиты персональных данных криптографическими методами.
Причем при осуществлении своих функций знакомиться с персональными данными, обрабатываемыми в организации, имеют право только сотрудники Роскомнадзора.
|
