На территории нашей страны действует федеральный закон о защите персональных данных, вы наверняка не раз сталкивались с его официальным обозначением – 152-ФЗ.
Суть 152-ФЗ заключается в том, что каждый, кто собирает и обрабатывает персональные данные (ПДн), обязан обеспечить безопасность этой конфиденциальной информации.
В этом материале мы пошагово объясним вам принципы действия ФЗ-152, чтобы вы могли самостоятельно определить зону своей ответственности и ответственности провайдера, что будет достаточно предпринять, чтобы соблюсти требования закона и нужно ли вам переплачивать в разы за арендованные облачные серверы.
Для начала стоит разобраться – что такое персональные данные, работает ли с ними ваш сайт, попадает он под действие 152-ФЗ в принципе?
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, то есть субъекту персональных данных (ст.3 п.1 152-ФЗ). Например, это могут быть фамилия и имя, место проживания, дата рождения, контактные данные и прочее.
Важно: если на своем сайте вы запрашиваете у посетителя только e-mail, он не будет являться ПДн, поскольку это просто набор символов, не относящийся к конкретной персоне, но, если вы просите представиться и оставить электронный адрес, вы уже работаете с ПДн.
В принципе, это означает, что любой веб-проект, где с пользователем осуществляется прямое взаимодействие – ему нужно представиться и оставить любую информацию о себе – попадает под действие 152-ФЗ.
Если ваш сайт носит исключительно информативный и ознакомительный характер, не имеет форм обратной связи и не подразумевает никакой коммуникации с аудиторией, 152-ФЗ никак вас не коснется, вы можете закрыть эту статью.
Но если вы определили, что работаете с персональными данными, это значит, что вы имеете статус Оператора ПДн.
Оператор ПДн – это компания, которая собирает, хранит, обрабатывает и распространяет персональные данные.
Если вы храните на своих серверах данные пользователей сайта – вы оператор ПДн.
Даже если вы удаляете полученные персональные данные – вы уже осуществляете их обработку, то есть являетесь оператором ПДн.
Вы – оператор ПДн, а это значит, что требования и санкции, прописанные в законе «О персональных данных» имеют к вам непосредственное отношение. Значит, в этих требованиях стоит разобраться подробнее.
Как классификация ПДн влияет на ответственность оператора
Главный принцип 152-ФЗ гласит, что оператор ПДн обязан обеспечить надежную защиту и конфиденциальность персональным данным, с которыми он работает. А вот степень этой защиты и, соответственно, объем ответственности за ее ненадлежащее обеспечение напрямую зависит от типа ПДн, с которыми работает оператор.
Общедоступные ПДн
Базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, e-mail и другие.
Специальные ПДн
Более конкретные данные о личности: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, информация о судимостях и другие. Эту категорию отличает то, что такие данные можно получить только по запросу у самого человека, либо в соответствующих инстанциях.
Биометрические ПДн
Это физиологические или биологические особенности человека, которые используются для идентификации личности: фотографии, отпечатки пальцев, группа крови, генетическая информация и другие.
Важно: если вы не используете фото и другие данные этой категории, чтобы идентифицировать человека, они не являются биометрическими ПДн.
Иные ПДн
К этой категории относятся персональные данные, которые нельзя отнести к категориям, перечисленным выше: принадлежность к определенной социальной группе, корпоративные данные и тому подобные.
Для обеспечения защиты ПДн, согласно закону «О персональных данных», оператору необходимо выстроить безопасную ИТ-инфраструктуру и в случаях, требующих, высокой степени защиты – действительно получить соответствующую документацию от государственных органов, регулирующих действие 152-ФЗ: ФСБ, Роскомнадзор, ФСТЭК – лицензии, свидетельства об аттестации и другие.
Требуемые уровни защиты ПДн
Обеспечение соответствия ваших проектов 152-ФЗ и меры, которые в этой связи необходимо предпринять, напрямую зависят от категории данных ПДн, с которыми Вы работаете и ряда параметров, наглядно представленных в таблице
Рассмотрим все параметры этой таблицы:
- Количество субъектов ПДн – число тех, кто оставляет ПДн на вашем сайте.
- Типы актуальных угроз. Постановление Правительства N 1119 выделяет 3 типа актуальных угроз:
Угрозы 1-го типа - связанные с наличием недокументированных возможностей в системном ПО, используемом в информационной системе.
Угрозы 2-го типа - связанные с наличием недокументированных возможностей в прикладном ПО, используемом в информационной системе.
Угрозы 3-го типа - не связанные с наличием недокументированных возможностей в системном и прикладном ПО, используемом в информационной системе.
Важно: если вы используете ПО с сертификацией ФСТЭК, то угрозы 1 и 2 типа для вас не актуальны (недокументированных возможностей в ПО нет). Но понятно, что таким специфичным ПО пользуются в основном только государственные структуры. В общем случае, специалист по информационной безопасности может точно определить уровень актуальных угроз исходя из той конфигурации ПО и инфраструктуры, которую вы реально используете.
УЗ – это требуемый законодательством уровень защищенности ПДн. Всего выделяют 4 типа, у каждого есть свои определения, но если упрощенно, то данные с УЗ-3 и УЗ-4 можно без опасений хранить в публичном облаке, а вот для УЗ-2 и УЗ-1 нужны особые условия.
Выбираем путь к соблюдению закона о Персональных данных
Обратите внимание, если у вас интернет-магазин, вы собираете общедоступную информацию от ваших клиентов, и количество этих клиентов, не превышает 100 тыс., то вам не надо беспокоиться об использовании защищенного ФЗ-152 хостинга или облака, также как и о наличии лицензий ФСБ и ФСТЭК. В данном случае достаточно выбрать провайдера, чьи серверы расположены на территории РФ и соблюдать базовые нормы ФЗ-152 по сбору, обработке и хранению персональных данных.
Кстати, если вы используете CMS нашего давнего партнера 1С-Битрикс, то все становится совсем просто – ребята отлично поработали и поставили в CMS модуль – конструктор соглашений, который подойдет для большинства компаний, чтобы решить все задачи с приемом и обработкой персональных данных на сайте. Вот тут подробно описано, как это работает, а мы в свою очередь подготовили оптимизированные под 1С-Битрикс тарифы на ультрабыстром «железе».
Если же у вас более комплексный случай, то обращайтесь к нам, наши специалисты по информационной безопасности проведут аудит вашего проекта, помогут разработать необходимые нормативные документы и будут готовы сопровождать вас на всех этапах приведения ИТ инфраструктуры к требованиям законодательства.
Группа компаний Rusonyx – ваш надёжный партнёр
Наши серверы находятся не просто на территории РФ – они находятся в самом надежном дата-центре России – DataPro. Несколько upstream провайдеров с защитой от DDoS обеспечивают связность нашей инфраструктуры с сетью Интернет.
Серверы Dell и Intel обеспечивают работу высоконагруженных вебсайтов, мобильных приложений и инфраструктуры интернет-проектов.
Облако на базе OpenStack и виртуализации KVM обеспечивают отказоустойчивость и безопасность клиентских приложений.
Именно поэтому нам доверяют 35 тысяч интернет-магазинов, предприятий, финансовых организаций и ИТ-компаний.
Оставьте ваши контакты и мы свяжемся с вами, чтобы проконсультировать и рассказать подробней о наших услугах.