Компания АБП2Б организовала открытый вебинар на тему 152-ФЗ «О персональных данных». В ходе мероприятия специалисты объяснили, какие ошибки чаще всего допускают компании, как грамотно оформлять согласия и каким образом строить взаимодействие с Роскомнадзором.
Видеозапись вебинара доступна на нашем канале.
Подробнее об услугах по 152-ФЗ от АПБ2Б.
В рамках вебинара были затронуты следующие вопросы:
По сути 152-ФЗ касается практически каждой организации, которая в том или ином виде обрабатывает данные клиентов, сотрудников или контрагентов. За пять лет этот закон пересматривали четырежды, и каждый раз ответственность становилась серьезнее, а штрафные санкции растли.
Чтобы не оказаться в ситуации, когда регулятор приходит с требованиями, компаниям стоит заранее пересмотреть порядок получения согласий, привести документацию в актуальное состояние, выстроить правильный контроль доступа к данным и провести проверку информационных систем.
Видеозапись вебинара доступна на нашем канале.
Подробнее об услугах по 152-ФЗ от АПБ2Б.
В рамках вебинара были затронуты следующие вопросы:
- Четыре типа персональных данных и что к ним относится;
- Типичные ошибки при сборе данных на сайтах и в формах;
- Трансграничная передача данных и проблемы с иностранными сервисами;
- Правила хранения и разграничения доступа к персональным данным;
- Обязанности кадровой службы и отдела информационной безопасности;
- Утилизация данных и сроки хранения;
- Процесс аудита персональных данных и актуализация документов;
- Ответственность организаций за нарушения и размеры штрафов.
По сути 152-ФЗ касается практически каждой организации, которая в том или ином виде обрабатывает данные клиентов, сотрудников или контрагентов. За пять лет этот закон пересматривали четырежды, и каждый раз ответственность становилась серьезнее, а штрафные санкции растли.
Чтобы не оказаться в ситуации, когда регулятор приходит с требованиями, компаниям стоит заранее пересмотреть порядок получения согласий, привести документацию в актуальное состояние, выстроить правильный контроль доступа к данным и провести проверку информационных систем.
Какие типы персональных данных существуют
В законе предусмотрены четыре категории персональных данных, и работа с каждой из них строится по-своему. Это важно понимать, поскольку уровень требований к защите и возможные последствия при нарушениях существенно отличаются в зависимости от типа.
- Общедоступные персональные данные — паспортные сведения: полное имя, год, месяц и место рождения, контактный номер. Эти данные используются повсеместно при работе с документами, оформлении договоров и создании аккаунтов на сайтах.
- Биометрические персональные данные — это все, что позволяет установить личность человека по физическим признакам: отпечатки пальцев, параметры радужки глаза и портретное изображение.
- Иные персональные данные охватывают IP-адреса, адреса электронной почты и тесно связанную с ними информацию. Стоит учитывать, что даже элементарный реестр email-адресов подпадает под понятие персональных данных и для работы с ним необходимо согласие их владельцев.
- Специальные категории персональных данных — это сведения, которые раскрывают суть взглядов и убеждений человека: его политическую позицию, сексуальную ориентацию, вероисповедание, а также информацию о состоянии здоровья.
Что идет не так при сборе персональных данных
Роскомнадзор регулярно проверяет сайты в автоматическом режиме на предмет соблюдения требований закона. К началу сентября 2024 года в течение шести месяцев было просканировано порядка 70 000 сайтов. Результаты оказались весьма красноречивы: было составлено около 10 000 протоколов о выявленных нарушениях. Другими словами, каждый седьмой сайт из проверенных работал с персональными данными с нарушениями.
Чаще всего проблемы возникают из-за согласий. На многих сайтах в форме обратной связи мелким шрифтом стоит уведомление примерно такого содержания: «Заполняя эту форму, вы тем самым принимаете условия обработки персональных данных». На самом деле этого недостаточно, потому что закон требует явного согласия: пользователь должен собственной рукой отметить соответствующий чекбокс.
Не менее частая проблема — полное отсутствие на сайте документа с описанием политики обработки персональных данных. Этот документ должен быть легкодоступен для любого, кто заходит на ресурс. Прятать его где-то глубоко внутри корпоративного портала нельзя.
Отдельный источник сложностей — аналитика. Такие инструменты, как Яндекс. Метрика, в автоматическом режиме собирают IP-адреса, параметры устройств и сценарии поведения пользователей. Все это входит в понятие персональных данных, и для их сбора необходимо предупреждение через всплывающее окно о cookie.
Чаще всего проблемы возникают из-за согласий. На многих сайтах в форме обратной связи мелким шрифтом стоит уведомление примерно такого содержания: «Заполняя эту форму, вы тем самым принимаете условия обработки персональных данных». На самом деле этого недостаточно, потому что закон требует явного согласия: пользователь должен собственной рукой отметить соответствующий чекбокс.
Не менее частая проблема — полное отсутствие на сайте документа с описанием политики обработки персональных данных. Этот документ должен быть легкодоступен для любого, кто заходит на ресурс. Прятать его где-то глубоко внутри корпоративного портала нельзя.
Отдельный источник сложностей — аналитика. Такие инструменты, как Яндекс. Метрика, в автоматическом режиме собирают IP-адреса, параметры устройств и сценарии поведения пользователей. Все это входит в понятие персональных данных, и для их сбора необходимо предупреждение через всплывающее окно о cookie.
Трансграничная передача данных и проблемы с иностранными сервисами
Когда компания подключается к зарубежным сервисам, ситуация усложняется кратно. Взять, например, аналитику: Яндекс. Метрика работает в российском пространстве, а Google Analytics — это продукт иностранной корпорации. И в этом случае возникает проблема передачи персональных данных за границу.
ФСТЭК и Роскомнадзор придерживаются жесткой позиции: все данные о российских гражданах должны обрабатываться исключительно в пределах отечественной юрисдикции. Хорошо известный пример — ограничение доступа к LinkedIn. Регулятор заблокировал сервис именно из-за того, что информация об отечественных пользователях уходила за рубеж.
Любая организация, задействующая зарубежные облачные или аналитические решения, должна осознавать сопряженные с этим риски и быть готовой к замечаниям со стороны регуляторов.
ФСТЭК и Роскомнадзор придерживаются жесткой позиции: все данные о российских гражданах должны обрабатываться исключительно в пределах отечественной юрисдикции. Хорошо известный пример — ограничение доступа к LinkedIn. Регулятор заблокировал сервис именно из-за того, что информация об отечественных пользователях уходила за рубеж.
Любая организация, задействующая зарубежные облачные или аналитические решения, должна осознавать сопряженные с этим риски и быть готовой к замечаниям со стороны регуляторов.
Где и как хранить персональные данные
Информационная система, в которой хранятся персональные данные, должна находиться в отдельном помещении. Факт его выделения закреплен документально, обязательно согласован и занесен в соответствующие реестры. Если в таком помещении размещены любые носители с персональными данными — бумажные журналы, USB-накопители или иные физические носители — все они должны храниться в сейфе.
Принципиально важный аспект — кто и в каком объеме имеет доступ к данным. Персональные данные открыты исключительно для тех сотрудников, которые по своим должностным обязанностям взаимодействуют с ними. Надзор за этим процессом возлагается на специально назначенного ответственного лица.
Типичная ситуация в компаниях: все вопросы, связанные с персональными данными, негласно передают специалистам по информационной безопасности. Однако это неверный подход, поскольку вопросы обработки и вопросы защиты — это две разные сферы ответственности. Информационная безопасность требует профессиональных компетенций, которые есть далеко не у всех.
Многие организации сегодня переносят часть данных в облачные хранилища. В этом случае требуется оформить согласие на обработку. Передача обязанностей по обработке данных внешней компании называется аутсорсингом обработки персональных данных. Субъект данных дает согласие оператору, и уже оператор может передать задачу дальше — но только если между ними заключены соответствующие договоры.
Принципиально важный аспект — кто и в каком объеме имеет доступ к данным. Персональные данные открыты исключительно для тех сотрудников, которые по своим должностным обязанностям взаимодействуют с ними. Надзор за этим процессом возлагается на специально назначенного ответственного лица.
Типичная ситуация в компаниях: все вопросы, связанные с персональными данными, негласно передают специалистам по информационной безопасности. Однако это неверный подход, поскольку вопросы обработки и вопросы защиты — это две разные сферы ответственности. Информационная безопасность требует профессиональных компетенций, которые есть далеко не у всех.
Многие организации сегодня переносят часть данных в облачные хранилища. В этом случае требуется оформить согласие на обработку. Передача обязанностей по обработке данных внешней компании называется аутсорсингом обработки персональных данных. Субъект данных дает согласие оператору, и уже оператор может передать задачу дальше — но только если между ними заключены соответствующие договоры.
Какие документы должны быть у компании
Надежная защита персональных данных невозможна без комплекта документов. Каждый из них имеет конкретное назначение и может быть затребован регулятором.
С помощью акта классификации информационной системы устанавливается её уровень защитной оболочки. Модель угроз фиксирует те риски, которые существуют именно для вашей системы. Регламенты, разработанные согласно 21-му приказу ФСТЭК, описывают, как должна работать аутентификация, как обеспечивается контроль доступа и как ведётся антивирусная защита.
Если данные не покидают пределы офиса, то есть остаются в так называемой контролируемой зоне, можно обойтись минимально необходимым набором мер: назначением ответственных людей, списком допущенных сотрудников и базовой защитой систем.
Как только данные выходят за границу контролируемой зоны, список требований резко расширяется. Нужны регламенты для работы с ключами шифрования и инструкции по защите каналов связи между площадками. Весь передаваемый трафик должен быть зашифрован в полном соответствии с рекомендациями ФСБ.
К обязательным документам также относятся уведомление Роскомнадзора о начале работы с персональными данными и регламент действий в случае инцидента, согласованный с ГосСОПКА.
С помощью акта классификации информационной системы устанавливается её уровень защитной оболочки. Модель угроз фиксирует те риски, которые существуют именно для вашей системы. Регламенты, разработанные согласно 21-му приказу ФСТЭК, описывают, как должна работать аутентификация, как обеспечивается контроль доступа и как ведётся антивирусная защита.
Если данные не покидают пределы офиса, то есть остаются в так называемой контролируемой зоне, можно обойтись минимально необходимым набором мер: назначением ответственных людей, списком допущенных сотрудников и базовой защитой систем.
Как только данные выходят за границу контролируемой зоны, список требований резко расширяется. Нужны регламенты для работы с ключами шифрования и инструкции по защите каналов связи между площадками. Весь передаваемый трафик должен быть зашифрован в полном соответствии с рекомендациями ФСБ.
К обязательным документам также относятся уведомление Роскомнадзора о начале работы с персональными данными и регламент действий в случае инцидента, согласованный с ГосСОПКА.
Кто за что отвечает: кадры или ИБ
В большинстве компаний сложилась практика, при которой все вопросы, связанные с персональными данными, попадают к специалистам по информационной безопасности. И защита, и организация процессов обработки — всё это ложится на плечи одного подразделения. Причина простая: эта тема находится на границе между техническими и юридическими вопросами, и ИБ-специалисты, как правило, ориентируются в обеих областях.
На деле грамотное распределение обязанностей устроено по-другому. Кадровый отдел оформляет согласия, собирает необходимые сведения и работает с информационной системой персональных данных напрямую. За системный контроль всех этих процессов и за своевременность документации отвечает Data Protection Officer или иной уполномоченный за защиту персональных данных.
Подразделение информационной безопасности сосредоточено на технической защите: анализе угроз, установлении уровня защищенности системы согласно 21-му приказу ФСТЭК, мониторинге утечек и разработке протоколов для ГосСОПКА.
На деле грамотное распределение обязанностей устроено по-другому. Кадровый отдел оформляет согласия, собирает необходимые сведения и работает с информационной системой персональных данных напрямую. За системный контроль всех этих процессов и за своевременность документации отвечает Data Protection Officer или иной уполномоченный за защиту персональных данных.
Подразделение информационной безопасности сосредоточено на технической защите: анализе угроз, установлении уровня защищенности системы согласно 21-му приказу ФСТЭК, мониторинге утечек и разработке протоколов для ГосСОПКА.
Когда данные становятся ненужными
Утилизация персональных данных — это тот этап жизненного цикла, который многие организации попросту пропускают. Между тем закон однозначен: если цель обработки данных достигнута, они должны быть удалены.
Приведем наглядный пример. Допустим, вы зарегистрировались в каком-либо сервисе видеоконференций, но через год к нему больше не обращаетесь. Ваши персональные данные, согласно требованиям, подлежат удалению. В действительности же они нередко остаются в базе провайдера неопределенно долго.
Помимо этого, любой субъект персональных данных может в любой момент отозвать ранееданное согласие или потребовать прекращения обработки. После такого обращения оператор обязан избавиться от этих данных. Это не рекомендация и не просьба, а прямое требование закона. Если компания проигнорирует подобное заявление, это автоматически квалифицируется как нарушение.
При этом удаление должно быть полным и окончательным. Для цифровых носителей существуют специализированные утилиты, которые перезаписывают информацию без возможности восстановления. Обычное удаление файлов не подходит. Бумажные документы подлежат уничтожению через шредер, после чего составляется акт.
Приведем наглядный пример. Допустим, вы зарегистрировались в каком-либо сервисе видеоконференций, но через год к нему больше не обращаетесь. Ваши персональные данные, согласно требованиям, подлежат удалению. В действительности же они нередко остаются в базе провайдера неопределенно долго.
Помимо этого, любой субъект персональных данных может в любой момент отозвать ранееданное согласие или потребовать прекращения обработки. После такого обращения оператор обязан избавиться от этих данных. Это не рекомендация и не просьба, а прямое требование закона. Если компания проигнорирует подобное заявление, это автоматически квалифицируется как нарушение.
При этом удаление должно быть полным и окончательным. Для цифровых носителей существуют специализированные утилиты, которые перезаписывают информацию без возможности восстановления. Обычное удаление файлов не подходит. Бумажные документы подлежат уничтожению через шредер, после чего составляется акт.
Как провести аудит персональных данных
За последние пять лет в 152-ФЗ были внесены изменения четыре раза. Менялись стандарты отчетности, пересматривалась система штрафов в рамках КоАП и Уголовного кодекса. Чтобы всегда быть в курсе требований, желательно проводить оценку соответствия регулярно — хотя бы раз-два в год.
Аудит начинается с того, что существующие документы сопоставляются с последними изменениями в законодательстве. Следующим шагом становится изучение информационной системы персональных данных, если она существует. Если система ранее не была классифицирована, проводится полноценная проверка: инвентаризация оборудования, выявление применяемых технологий и разработка модели угроз.
Немаловажная часть процесса — установление того, сколько субъектов персональных данных обслуживает система, какие из четырех категорий данных в ней обрабатываются, и какие из типов угроз реально существуют. На основе этой информации определяется необходимый уровень защищенности.
Примечание: в большинстве случаев для систем, ориентированных на хранение конфиденциальной информации, угрозы 1 и 2 типа не окажутся существенными.
Если актуальны только угрозы 3 типа, уровень защищенности ИСПДн устанавливается в зависимости от того, какие именно данные обрабатывают: УЗ-4 для общедоступных, УЗ-3 для биометрических и иных, УЗ-2 для специальных категорий.
По итогам проверки выявляются пробелы: если нет нужных документов, их разрабатывают; если они существуют, но утратили актуальность, проводится их обновление. Полноценный аудит предполагает и последующее сопровождение в течение года: при появлении вопросов или нестандартных ситуаций специалисты приходят на помощь.
В финале формируется система информационной безопасности и утверждаются регламенты, которые будут обеспечивать соблюдение требований на практике.
Аудит начинается с того, что существующие документы сопоставляются с последними изменениями в законодательстве. Следующим шагом становится изучение информационной системы персональных данных, если она существует. Если система ранее не была классифицирована, проводится полноценная проверка: инвентаризация оборудования, выявление применяемых технологий и разработка модели угроз.
Немаловажная часть процесса — установление того, сколько субъектов персональных данных обслуживает система, какие из четырех категорий данных в ней обрабатываются, и какие из типов угроз реально существуют. На основе этой информации определяется необходимый уровень защищенности.
Примечание: в большинстве случаев для систем, ориентированных на хранение конфиденциальной информации, угрозы 1 и 2 типа не окажутся существенными.
Если актуальны только угрозы 3 типа, уровень защищенности ИСПДн устанавливается в зависимости от того, какие именно данные обрабатывают: УЗ-4 для общедоступных, УЗ-3 для биометрических и иных, УЗ-2 для специальных категорий.
По итогам проверки выявляются пробелы: если нет нужных документов, их разрабатывают; если они существуют, но утратили актуальность, проводится их обновление. Полноценный аудит предполагает и последующее сопровождение в течение года: при появлении вопросов или нестандартных ситуаций специалисты приходят на помощь.
В финале формируется система информационной безопасности и утверждаются регламенты, которые будут обеспечивать соблюдение требований на практике.
Что нужно сделать прямо сейчас
Специалисты АБП2Б рекомендуют организациям предпринять ряд конкретных шагов:
Планка требований, установленных 152-ФЗ, неуклонно растет. Роскомнадзор проверяет тысячи ресурсов без ручного вмешательства, а штрафы за ненадлежащее обращение с данными становятся все серьезнее. Организациям крайне важно не дожидаться визита регулятора, а позаботиться обо всем заранее.
Если вам требуется провести аудит персональных данных, обновить документацию или проконсультироваться по любому из требований 152-ФЗ, обращайтесь к экспертам АБП2Б. Мы работаем с требованиями Роскомнадзора на практическом уровне и поможем привести вашу организацию в полное соответствие без избыточных затрат.
Подробнее о наших продуктах и услугах:
О компании АБП2Б (пентесты, аудиты ИБ, аудит персональных данных)
Менеджер паролей ОдинКлюч
SSH/SFTP/RDP/VNC-клиент МС22
Платформа для инвентаризации ИТ-активов ОдинХаб
- Пройтись по всем веб-формам и убедиться, что на каждой из них есть отдельный чекбокс для явного согласия пользователя;
- Разместить на сайте документ с описанием того, как обрабатываются персональные данные;
- Обновить внутреннюю документацию: саму политику, шаблоны согласий, журналы и действующие регламенты;
- Составить полный список информационных систем, в которых присутствуют персональные данные;
- Проверить, каким образом в организации происходит уничтожение данных, у которых истек срок хранения;
- Подготовить все те документы, которых в настоящий момент не хватает для полного соблюдения 152-ФЗ.
Планка требований, установленных 152-ФЗ, неуклонно растет. Роскомнадзор проверяет тысячи ресурсов без ручного вмешательства, а штрафы за ненадлежащее обращение с данными становятся все серьезнее. Организациям крайне важно не дожидаться визита регулятора, а позаботиться обо всем заранее.
Если вам требуется провести аудит персональных данных, обновить документацию или проконсультироваться по любому из требований 152-ФЗ, обращайтесь к экспертам АБП2Б. Мы работаем с требованиями Роскомнадзора на практическом уровне и поможем привести вашу организацию в полное соответствие без избыточных затрат.
Подробнее о наших продуктах и услугах:
О компании АБП2Б (пентесты, аудиты ИБ, аудит персональных данных)
Менеджер паролей ОдинКлюч
SSH/SFTP/RDP/VNC-клиент МС22
Платформа для инвентаризации ИТ-активов ОдинХаб