Время прочтения: 5 мин.

Законодательная база

Основным законом, регламентирующим работу с персональными данными, является Федеральный закон «О персональных данных» № 152-ФЗ от 27.07.2006 (далее -152-ФЗ). В нем прописаны основные понятия: что такое ПДн, как их собирать, хранить и уничтожать, т.е. обрабатывать. Закон распространяется на государственные, коммерческие компании и индивидуальных предпринимателей, которые обрабатывают ПДн. В IT системах закон не распространяется на физических лиц (например, мои контакты в телефоне). Тот, кто обрабатывает ПДн, называется оператором.

Более детально о ПДн и действиях с ними указано в следующих подзаконных актах:

Кто проверяет исполнение требований закона.

  • Роскомнадзор ведёт реестр операторов персональных данных и проверяет, выполняют ли они требования закона, который защищает права граждан, то есть субъектов персональных данных. На сайте Роскомнадзора размещается план проверок организаций на текущий год.
  • ФСТЭК[1] России. В основном сосредоточена на контроле за государственными компаниями, но может выйти на проверку коммерческих компаний по приглашению Роскомнадзора.
  • ФСБ не проверяет операторов персональных данных. Она занимается лицензиатами по криптографии, и также может быть привлечена к проверке Роскомнадзором, который выявил оператора персональных данных, использующего криптографию.

Уровни защищённости ПДн.

Их всего четыре, и они зависят:

  1. от типа персональных данных, которые вы обрабатываете:
  •  Специальные – например медицинская информация и всё что с ней связано.
  • Биометрические – биологические или физиологические особенности человека, которые позволяют установить его личность. Например, снимок сетчатки глаза или отпечатка пальца.
  • Общедоступные – это не конфиденциальная информация, например, номер телефона в справочнике.
  •  Иные – любая информация о человеке: ФИО, год рождения, адрес, семейное положение. Это как раз самый распространённый случай.

2. от принадлежности персональных данных (чьи данные мы обрабатываем):

  • наших сотрудников
  • не сотрудников (клиентов/партнёров/ контрагентов).
  1. от объема персональных данных:
  • более 100 000
  •  менее 100 000
  1. от типов, угроз, которые вы посчитаете актуальными для вашей системы.

Итак, на уровень защищённости персональных данных влияют: типы персональных данных, их принадлежность, количество, а также типы угроз для информационной системы. С первыми тремя факторами всё понятно, а вот о типах и угрозах мы поговорим чуть подробнее.

Что такое типы угроз и какими они бывают.

Постановление правительства №1119 от 01.11.2012г. ранжирует и описывает эти угрозы. Они бывают трёх типов:

Угроза первого типа — это закладки в системном ПО от вендора, спецслужб или разработчиков open source. Системное ПО — это всё, что управляет процессором и памятью, например, операционная система средства виртуализации. Если вы верите, что агенты ЦРУ и МИ-6 или Моссада оставили закладки в ПО, чтобы охотиться за персональными данными, которые обрабатываются в ваших информационных системах, то для вас будут актуальны угрозы первого типа.

Угрозы второго типа — это тоже закладки в ПО, но уже в прикладном. Например, в пакете офисных приложений или системах управления баз данных.

Угрозы третьего типа – это все остальные угрозы, которые не попадают под определение закладок в системном и прикладном ПО.

Как определить, какой уровень защищённости у моей системы персональных данных.

Подведём итог. Вы поняли, какие типы персональных данных вы обрабатываете, кому они принадлежат и сколько их, а также определились с типом угроз.

Теперь определим требуемый уровень защищенности системы с помощью таблицы.

Если ориентироваться на третий тип угроз, то в нашем законодательстве биометрия считается менее критичным типом данных, чем специальные. Хотя при компрометации, сетчатку глаза или отпечаток пальца не поменять, как паспорт. Те, кто обрабатывают биометрию, пожалуйста, будьте особо внимательны! Если произойдет утечка этих персональных данных, жизнь ваших клиентов сильно осложнится, ведь сетчатку глаз или отпечатки пальцев не поменять.

 Итак, что важно запомнить, если вы обрабатываете иные персональные данные и считаете, что для вас неактуальна угроза первого и второго типа. Скорее всего у вас третий уровень защищённости. Единственное исключение — обработка специальных персональных данных не сотрудников и их количество — более 100 000. Например, это данные у компаний, которые заниматься сбором медицинских анализов. Тут при выборе третьего типа угроз у вас будет второй уровень защищённости.

Чем выше уровень защищённости системы, тем больше мер и сил вы должны вложить в её защиту. В следующей таблице представлена информация по необходимым средствам защиты, в соответствии с установленным уровнем защищённости.

Беглое сравнение количества мер необходимых для УЗ-3 и УЗ-2 говорит само за себя. Если конкретней, для первого и второго УЗ вам понадобится система обнаружения вторжений. А вот для УЗ-3 и УЗ-4- это лишь рекомендация. Для УЗ-1 и УЗ-2 придётся наладить процесс расследования инцидентов, а для УЗ-3 и УЗ-4 можно этого и не делать.

Обезличивание персональных данных

При проведении проверок, для обеспечения безопасности ПДн, нужно их скрывать. И я хочу поделиться несколькими способами, как это можно осуществить.

Итак, нам необходимо обезличить набор данных, где есть ПДн (к примеру ФИО и дата рождения) для его дальнейшего безопасного использования. (пример кода Python заменить на *)

Пример: в строке S записаны персональные данные.

S = Иванов Иван Иванович 15.18.1965

Первый способ замены:

repl_s = ” ”.join(“0” if i.isdigit() else “*” if i.isalpha() else i for i in s)

Второй способ замены:

Import string
table = str.maketrans({i: “*” for i in string.ascii_letters} | {i: “0” for i in string.digits})
repl_s = s.translate(table)

Третий способ замены:

Import re
repl_s = re.sub(r’[a-zA-Za-яА-ЯёЁ]’, ”*”, re.sub(r’\d’, ‘0’, s) )

Надеюсь, информация в статье оказалась для вас полезной.
Не нарушайте ФЗ, берегите свои данные и данные клиентов, чтобы избежать их утечки и репутационных рисков.

[1] Федеральная служба по техническому и экспортному контролю России