Какие компании и информационные системы подпадают под действие ФЗ-152
Федеральный закон №152-ФЗ «О персональных данных» определяет круг субъектов, обязанных соблюдать правила обработки сведений о гражданах. Оператором может выступать государственный орган, муниципальное образование, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее обработку персональных данных и определяющее её цели и состав. Под действие закона подпадают любые структуры, которые накапливают, систематизируют, хранят, уточняют, извлекают или передают сведения, позволяющие прямо или косвенно идентифицировать человека. Исключений по организационно-правовой форме или масштабу деятельности не предусмотрено.
Критерии отнесения юридического лица к операторам персональных данных
Статус оператора присваивается не на основании уведомительного документа, а по факту совершения действий с данными физических лиц. Первый критерий — наличие цели обработки, например, ведение кадрового учёта, заключение договоров или обслуживание пользователей интернет-сервиса. Второй критерий — определение состава обрабатываемой информации: фамилий, имён, адресов электронной почты, IP-адресов, файлов cookie, если они сопоставлены с поведенческими профилями. Третий критерий — самостоятельное принятие решения о методах и сроках обработки. Если компания лишь принимает данные по поручению заказчика, не влияя на цели и способы их использования, она действует как обработчик, но оператором остаётся заказчик. Для соблюдения требований закона операторы могут использовать специализированные облачные сервисы, такие как https://iiii-tech.com/services/cloud/cloud-152/.
Что признаётся информационной системой персональных данных
Информационная система персональных данных (ИСПДн) — это совокупность сведений, содержащихся в базах, и технологических средств, обеспечивающих их обработку. К ИСПДн относятся не только физические серверы и системы управления базами данных, но и облачные платформы, виртуальные хранилища, файловые архивы, автоматизированные рабочие места, кадровые программы и CRM-системы. Определяющим признаком является структурированность массивов по определённым критериям поиска, например, по табельному номеру, адресу или контактному телефону. Если программа лишь отображает разрозненные записи без возможности сортировки и фильтрации по субъектам, она не образует ИСПДн в значении, установленном нормативными актами.
Принцип локализации баз данных российских пользователей по ФЗ-242
С принятием Федерального закона №242-ФЗ в статью 18 закона «О персональных данных» была внесена прямая обязанность операторов обеспечивать запись, систематизацию, накопление, хранение и извлечение персональных данных граждан России с использованием баз, физически находящихся на территории страны. Эта норма вытекает из принципа локализации, обязывающего размещать серверные мощности и центры обработки информации в пределах государственных границ РФ. Подробнее о том, какие именно объекты и системы должны соответствовать данному правилу, можно узнать из требований к инфраструктуре в соответствии с ФЗ-152 и ФЗ-242, где разъясняются нюансы применения нормативных положений к различным архитектурным решениям.
Требование к физическому размещению серверов на территории РФ при первичном сборе
Первичный сбор персональных данных должен осуществляться непосредственно в базу, локализованную в российском дата-центре. Если интернет-ресурс предлагает форму регистрации или анкету для заполнения, запись вносимой информации обязана происходить на сервер, расположенный в РФ, до какой-либо репликации или резервного копирования за рубеж. Реплика на трансграничный узел допустима лишь после фиксации данных в отечественной инфраструктуре, причём объём сведений, передаваемых за пределы страны, не должен превышать минимально необходимого для заявленных целей обработки. Подтверждением места размещения служат договоры аренды серверных стоек либо свидетельства о праве собственности на оборудование с привязкой к физическому адресу.
Условия и рамки допустимой трансграничной передачи сведений
Передача сведений о российских гражданах на серверы, расположенные за пределами РФ, ограничена рядом условий. До начала трансграничного обмена оператор обязан удостовериться, что страна-получатель обеспечивает адекватный уровень защиты прав субъектов, либо получить письменное согласие гражданина с указанием конкретного государства и наименования контрагента. Конвенция Совета Европы ETS №108 и ратифицировавшие её государства признаются юрисдикциями с достаточной защитой. В остальных случаях требуется предварительное согласование с Роскомнадзором и предоставление оценки воздействия на права субъектов. Копирование баз данных за рубеж без выполнения условий локализации при первичном сборе расценивается как нарушение вне зависимости от наличия согласия.
Как классифицируются информационные системы по уровням защищённости
Уровень защищённости ИСПДн варьируется от первого (самого высокого) до четвёртого (минимального) и определяется путём анализа категории обрабатываемых сведений, количества субъектов и типа актуальных угроз. Постановление Правительства РФ №1119 от 1 ноября 2012 года устанавливает алгоритм отнесения системы к конкретному классу, который затем диктует перечень обязательных технических и организационных мер. Системы первого уровня, как правило, содержат специальные категории данных или биометрию более чем ста тысяч человек, тогда как четвёртый уровень присваивается небольшим информационным массивам о сотрудниках при выявлении угроз только первого типа.
Зависимость класса ИСПДн от количества субъектов и типа обрабатываемых сведений
Численность субъектов в базе данных разделяется на три пороговые категории: менее тысячи, от тысячи до ста тысяч и свыше ста тысяч записей. Подсчёт ведётся по уникальным физическим лицам, а не по строкам таблиц, чтобы исключить дублирование. Тип сведений ранжируется по чувствительности: иные категории (фамилия, имя), биометрические данные, специальные категории (расовая принадлежность, политические взгляды, состояние здоровья). Пересечение большого числа субъектов со специальными категориями сразу повышает систему до первого или второго уровня защищённости, что влечёт применение средств криптографии с классом не ниже КС2 и обязательную сертификацию средств защиты информации.
Влияние актуальных угроз на итоговую категорию безопасности системы
Нормативная методика выделяет три типа угроз: первый связан с недокументированными возможностями системного программного обеспечения, второй — с недекларированными функциями прикладных программ, третий — с угрозами, не затрагивающими программное обеспечение напрямую. Наличие угроз первого типа автоматически исключает присвоение четвёртого уровня защищённости, даже при малом количестве субъектов. Модель угроз должна фиксировать источники опасности: внешнего нарушителя без легального доступа, внутреннего пользователя с минимальными правами или привилегированного администратора, действующего умышленно.
Построение защиты инфраструктуры от угроз утечки и несанкционированного доступа
Разработка модели угроз как базиса для выбора средств защиты
Модель угроз безопасности является документом, описывающим вероятные каналы реализации несанкционированного доступа, потенциальных нарушителей и их возможности. Она разрабатывается для каждой конкретной ИСПДн на основании её архитектуры, топологии сети и интерфейсов взаимодействия со смежными системами. Анализируются уязвимости аппаратного обеспечения, операционных систем, каналов связи и прикладного программного обеспечения. Без согласованной и утверждённой модели угроз выбор средств защиты информационного контура не имеет обоснования, что делает невозможным соответствие нормам Приказа ФСТЭК России №21.
Обязательные технические меры: межсетевое экранирование и криптография каналов связи
Межсетевые экраны разделяют инфраструктуру на изолированные сегменты, исключая прямое взаимодействие узлов, обрабатывающих персональные данные, с публичными подсетями. Фильтрация трафика настраивается по принципу запрета всего, что явно не разрешено, а правила межсетевого взаимодействия базируются на IP-адресах отправителя и получателя, портах и протоколах прикладного уровня. Для удалённого администрирования и обмена данными через незащищённые сети применяется криптографическая защита каналов с использованием протоколов IPsec или TLS, при этом длина ключа шифрования и алгоритм должны удовлетворять требованиям класса защищённости, присвоенного системе.
Внедрение организационных мер, политик и регламентов обработки данных
Приказом руководителя назначается лицо, ответственное за организацию обработки персональных данных, с фиксацией его полномочий в должностной инструкции. Разрабатывается пакет внутренней документации: политика обработки, регламент доступа к базам, порядок резервирования и восстановления данных, правила проведения инструктажа персонала. Сотрудники, допущенные к работе с ИСПДн, проходят периодическое обучение и подписывают обязательство о неразглашении конфиденциальной информации. Контроль соблюдения регламентов осуществляется путём выборочных проверок журналов действий пользователей и аудита прав доступа с периодичностью не реже раза в квартал.
Организация непрерывного мониторинга, регистрации событий и реагирования на инциденты
Системы регистрации событий фиксируют попытки входа в операционную среду, обращения к базам данных, изменения прав доступа, запуск и остановку сервисов безопасности. Журналы защищаются от модификации и удаления, а срок их хранения не может быть меньше одного года в случае регистрации действий, связанных с потенциальными нарушениями. При обнаружении инцидента, такого как многократный ошибочный ввод пароля или аномальная сетевая активность, инициируется процедура реагирования: блокировка учётной записи, оповещение ответственного лица, сбор и анализ цифровых следов для определения вектора атаки и предотвращения повторения.
Риски и ответственность за несоответствие инфраструктуры законодательным нормам
Административные штрафы и предписания надзорных органов
Роскомнадзор уполномочен проводить плановые и внеплановые проверки соблюдения порядка обработки персональных данных, в том числе запрашивать IP-адреса серверов для верификации их физического расположения. При обнаружении отсутствия локализации или иных нарушений выносится предписание об их устранении в срок до шести месяцев. Статья 13.11 Кодекса об административных правонарушениях РФ предусматривает дифференцированные штрафы для должностных и юридических лиц, а повторное неисполнение предписания влечёт увеличение размера взыскания вплоть до 18 миллионов рублей для организаций.
Санкции за нарушение порядка локализации вплоть до блокировки ресурса
За систематическое игнорирование требования о размещении баз на территории РФ предусмотрена мера в виде внесения интернет-ресурса в реестр нарушителей прав субъектов персональных данных. Процедура инициируется на основании вступившего в силу судебного акта и реализуется взаимодействием Роскомнадзора с операторами связи, ограничивающими доступ к информационному ресурсу на территории страны. Блокировка сохраняется до момента предоставления оператором документального подтверждения переноса сбора и хранения сведений на российские серверные мощности, что нередко сопряжено с полной реструктуризацией сетевой архитектуры и длительными сроками восстановления работоспособности сервисов.