-
добавить в избранное
Защита ПДн – чья забота?
19 февраля 2019
Кто должен защищать персональные данные?
Вопреки устоявшемуся мнению – все, кто хоть как-то пропускает их в любом их виде через свои устройства и компьютеры. Федеральный закон № 152-ФЗ это однозначно определяет: «оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных». Так что с точки зрения закона любой частный пользователь должен защищать ПДн – если, естественно, у него так или иначе образуется набор данных, позволяющих определить субъекта ПДн, и он не сохраняет их лично для себя. Другой вопрос – насколько это реально и когда это будут проверять.
Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
- обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
- организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации.
То есть если вы сохранили личные данные лично для себя, Федеральный закон № 152-ФЗ не требует их защиты, а вот если вы сделали репост или поделились сплетней или переслали контакт (а кто этого не делает?), требования закона встают в полный рост.
Важно! Штрафы за несоблюдение закона о персональных данных достаточно высоки, так что не рекомендуем частным пользователям хранить персональные данные в большом количестве. Во избежание…
Что такое обработка персональных данных? Если мне пришло письмо с фоткой, а я его сразу удалил – это считается обработкой? Еще одна цитата: «обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных». Таким что если вам пришло письмо – это уже обработка с использованием средств автоматизации. И это логично, так как хакер это письмо может перехватить, а доступ к подписи письма, IP-адресу отправителя или вашей базе контактов позволит ему достаточно точно вычислить субъекта персональных данных.
Что такое автоматизированная обработка персональных данных? «Обработка персональных данных с помощью средств вычислительной техники». Требования закона не распространяются на обработку ПДн без использования таких средств.
Что такое ИСПДн? «Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств». Если кратко, то это совокупность компьютеров, устройств и систем, где обрабатываются ПДн. И это – именно те компьютеры, устройства и системы, которые нужно защищать согласно требованиям закона. Да, если часть ваших компьютеров никак не обрабатывает ПДн, согласно Федеральному закону № 152-ФЗ их защищать не нужно. Что, впрочем, не означает, что их не нужно защищать согласно другим законам и требованиям.
Должен ли я использовать для защиты только сертифицированные версии? Да, однозначно. Об этом говорит Постановление Правительства от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»:
Для обеспечения 4-го уровня («Антивирусная правДА!» отмечает: и более высокого тоже) защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Тоже довольно дискуссионный пункт: что есть прошедшие процедуру оценки соответствия? Но в практике это как раз сертифицированные версии продуктов.
Должен ли я использовать в ИСПДн антивирус? На этот вопрос отвечает Приказ ФСТЭК от 18 февраля 2013 г. № 21:
8. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее – машинные носители персональных данных);
- регистрация событий безопасности;
- антивирусная защита.
Как видим, фраза достаточно однозначная и не допускающая толкований. Никаких «могут входить». Правда, на практике состав мер защиты выбирается в зависимости от признанных актуальными угроз. Например, если для доступа к ПДн используются тонкие клиенты, на которые нет возможности доустановить какие-либо средства защиты, то антивирус на них может не использоваться. Но таких случаев мало, и если антивирус можно установить, то сделать это необходимо.
Какой антивирус выбрать? Вот тут грустно. Состав мер антивирусной защиты описывается в том же 21-м приказе:
8.6. Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
VI. Антивирусная защита (АВЗ)
АВЗ.1 Реализация антивирусной защиты
АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
Мягко говоря, негусто. Более подробно требования к антивирусной защите описываются в Профилях антивирусной защиты, на соответствие которым сертифицируются антивирусы, но и там требований маловато.
Поэтому, как это ни печально, но для защиты закон допускает использование только «просто антивируса (но сертифицированного)». От современных угроз такие решения должного уровня защиты не обеспечивают.
#персональные_данные #законодательство #антивирус #безопасность
Антивирусная правДА! рекомендует
- На трех страничках нереально описать все нюансы, связанные с защитой персональных данных, поэтому, если вам что-то интересно – спрашивайте в комментариях.
- Не только требования защиты ПДн подразумевают использование сертифицированных средств. Есть, скажем, требования защиты конфиденциальных данных, критически важных объектов…
|
Оцените выпуск Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.
|
Сделайте репост
|
![[ВКонтакте]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
achemolganskiy
14:11:02 2019-02-20
Родриго
23:49:57 2019-02-19
stavkafon
23:00:30 2019-02-19
Геральт
22:19:43 2019-02-19
Rider
22:13:12 2019-02-19
Lia00
21:42:04 2019-02-19
orw_mikle
21:38:10 2019-02-19
Andromeda
21:35:04 2019-02-19
Dvakota
21:13:11 2019-02-19
Альфа
20:55:56 2019-02-19
anatol
20:21:53 2019-02-19
Lenba
19:10:54 2019-02-19
I23
19:00:45 2019-02-19
I46
18:57:56 2019-02-19
Шалтай Александр Болтай
18:56:50 2019-02-19
razgen
18:21:12 2019-02-19
robot
18:15:32 2019-02-19
Serg07
18:11:25 2019-02-19
marisha-san
18:03:00 2019-02-19
Toma
17:48:15 2019-02-19
eaglebuk
16:05:49 2019-02-19
Татьяна
15:31:00 2019-02-19
vinnetou
14:48:49 2019-02-19
Денисенко Павел Андреевич
14:42:29 2019-02-19
Masha
14:25:22 2019-02-19
znamy
13:36:07 2019-02-19
sanek-xf
13:21:34 2019-02-19
SGES
12:41:53 2019-02-19
Dmur
12:26:56 2019-02-19
Oleg
12:05:11 2019-02-19
Morpheus
11:00:29 2019-02-19
EvgenyZ
10:40:09 2019-02-19
dyadya_Sasha
10:36:55 2019-02-19
Я понял, что так и есть, т.к. "требования закона не распространяются на обработку ПДн без использования таких средств"(вычислительной техники). ;)
Alexander
10:32:40 2019-02-19
Вот также и с персональными данными… Власть имущие и организующие определили для нас ПДн в качестве инструмента для обеспечения "правильного" пребывание в этой жизни своих подопечных...
Защита ПДн – чья забота? Забота или ответственность, обязанность или долг... Сегодня очень насыщенная статья, да, собственно, как и любая компиляция из законов, постановлений, инструкций и рекомендаций. Не просто не только разобраться, а хотя бы только уложить в сознание в удобоваримом виде…
Человек ещё не родился, а вокруг него уже имеется каркас ограничений и условностей, создаются разные явные и скрытые учётные сведения, как предтеча его будущих ПДн... И получается так, что ещё до нашего рождения появляется, крепнет и организуется база данных, - нечто "цифровое", подконтрольное и требующее управления по определённым строгим правилам...
И эти самые правила тоже растут, видоизменяются, конфликтуют и дополняют друг друга, запрещают и разрешают, направляют и ограничивают... Много разного они "предписывают", - незамутнённой голове без специального форматирования и особой прошивки трудно разобраться во всех этих юридических хитросплетениях...
Но жизнь продолжается, не смотря на разные регламентирующие "нормы" и стремления всех нас пропустить через фильтр прокрустова ложа положенного и предписанного.
Так будем же стойко хранить свои ПДн! Будем требовать от должностных лиц и аффилированных предприятий лицензий и сертификатов. Да поможет нам... ! Храните деньги и сберегайте ПДн в надёжном месте и под защитой Dr.Web Security Space!
dyadya_Sasha
10:28:51 2019-02-19
Если только фотография сделанная антикварной плёночной зеркалкой на фотоувеличителе дома. ))
Это ПДн на которые не распространяется требование закона о ПДн.
kozinka.ru
10:25:23 2019-02-19
Неуёмный Обыватель
10:19:07 2019-02-19
Эх, а я то наивный питал надежду, что в тетрадках и блокнотах можно систематизировать и обрабатывать без опаски :)
dyadya_Sasha
10:07:10 2019-02-19
На вопрос: "Защита ПДн - чья забота?" к "озабоченным" помимо субъектов обрабатывающих ПНд отнес бы самого владельца ПНд и государство в обязанности которого входит защита своих граждан,а это в тч и защита ПДн. "Озабоченность" государства должна проявляться не только в написании нужных и правильных законов, но и контроль за их исполнением, а так же создание условий для их выполнения. Не все могут себе позволить юристов, должны быть какие-то госслужбы, которые доступно разъяснят, что если ты занимаешься "этим", то должен сделать "это" и "это". Дальше, если не выполняешь - предписание со сроками выполнения, опять не выполняешь - штрафы. Сейчас многие (ИМХО) субъекты, занимающиеся обработкой ПДн понятия не имеют, что конкретно в плане защиты они должны делать и что им грозит какое-то наказание за "неделанье". А если их(занимающихся обработкой ПДн) никто не трогает, то и делать ничего не будут, пока жаренный петух в одно место не клюнет.
cpp
09:05:44 2019-02-19
Zserg
08:59:42 2019-02-19
Vlad X
08:49:38 2019-02-19
Поэтому с хорошим юристом можно уйти от ответственности,
что и происходит в жизни.
Natalya_2017
08:42:10 2019-02-19
Пaвeл
08:12:49 2019-02-19
Любитель пляжного футбола
07:50:48 2019-02-19
tigra
07:40:22 2019-02-19
Korney
07:25:05 2019-02-19
ka_s
07:16:01 2019-02-19
vkor
07:10:07 2019-02-19
vkor
07:09:10 2019-02-19
Что значит "персональные данные в большом количестве"? Как определить объём ПД?
L1t1um
06:17:37 2019-02-19