Защита ПДн – чья забота?
19 февраля 2019
Кто должен защищать персональные данные?
Вопреки устоявшемуся мнению – все, кто хоть как-то пропускает их в любом их виде через свои устройства и компьютеры. Федеральный закон № 152-ФЗ это однозначно определяет: «оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных». Так что с точки зрения закона любой частный пользователь должен защищать ПДн – если, естественно, у него так или иначе образуется набор данных, позволяющих определить субъекта ПДн, и он не сохраняет их лично для себя. Другой вопрос – насколько это реально и когда это будут проверять.
Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
- обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
- организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации.
То есть если вы сохранили личные данные лично для себя, Федеральный закон № 152-ФЗ не требует их защиты, а вот если вы сделали репост или поделились сплетней или переслали контакт (а кто этого не делает?), требования закона встают в полный рост.
Важно! Штрафы за несоблюдение закона о персональных данных достаточно высоки, так что не рекомендуем частным пользователям хранить персональные данные в большом количестве. Во избежание…
Что такое обработка персональных данных? Если мне пришло письмо с фоткой, а я его сразу удалил – это считается обработкой? Еще одна цитата: «обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных». Таким что если вам пришло письмо – это уже обработка с использованием средств автоматизации. И это логично, так как хакер это письмо может перехватить, а доступ к подписи письма, IP-адресу отправителя или вашей базе контактов позволит ему достаточно точно вычислить субъекта персональных данных.
Что такое автоматизированная обработка персональных данных? «Обработка персональных данных с помощью средств вычислительной техники». Требования закона не распространяются на обработку ПДн без использования таких средств.
Что такое ИСПДн? «Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств». Если кратко, то это совокупность компьютеров, устройств и систем, где обрабатываются ПДн. И это – именно те компьютеры, устройства и системы, которые нужно защищать согласно требованиям закона. Да, если часть ваших компьютеров никак не обрабатывает ПДн, согласно Федеральному закону № 152-ФЗ их защищать не нужно. Что, впрочем, не означает, что их не нужно защищать согласно другим законам и требованиям.
Должен ли я использовать для защиты только сертифицированные версии? Да, однозначно. Об этом говорит Постановление Правительства от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»:
Для обеспечения 4-го уровня («Антивирусная правДА!» отмечает: и более высокого тоже) защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Тоже довольно дискуссионный пункт: что есть прошедшие процедуру оценки соответствия? Но в практике это как раз сертифицированные версии продуктов.
Должен ли я использовать в ИСПДн антивирус? На этот вопрос отвечает Приказ ФСТЭК от 18 февраля 2013 г. № 21:
8. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее – машинные носители персональных данных);
- регистрация событий безопасности;
- антивирусная защита.
Как видим, фраза достаточно однозначная и не допускающая толкований. Никаких «могут входить». Правда, на практике состав мер защиты выбирается в зависимости от признанных актуальными угроз. Например, если для доступа к ПДн используются тонкие клиенты, на которые нет возможности доустановить какие-либо средства защиты, то антивирус на них может не использоваться. Но таких случаев мало, и если антивирус можно установить, то сделать это необходимо.
Какой антивирус выбрать? Вот тут грустно. Состав мер антивирусной защиты описывается в том же 21-м приказе:
8.6. Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
VI. Антивирусная защита (АВЗ)
АВЗ.1 Реализация антивирусной защиты
АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
Мягко говоря, негусто. Более подробно требования к антивирусной защите описываются в Профилях антивирусной защиты, на соответствие которым сертифицируются антивирусы, но и там требований маловато.
Поэтому, как это ни печально, но для защиты закон допускает использование только «просто антивируса (но сертифицированного)». От современных угроз такие решения должного уровня защиты не обеспечивают.
#персональные_данные #законодательство #антивирус #безопасность
Антивирусная правДА! рекомендует
- На трех страничках нереально описать все нюансы, связанные с защитой персональных данных, поэтому, если вам что-то интересно – спрашивайте в комментариях.
- Не только требования защиты ПДн подразумевают использование сертифицированных средств. Есть, скажем, требования защиты конфиденциальных данных, критически важных объектов…
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
achemolganskiy
14:11:02 2019-02-20
Родриго
23:49:57 2019-02-19
stavkafon
23:00:30 2019-02-19
Геральт
22:19:43 2019-02-19
Rider
22:13:12 2019-02-19
Lia00
21:42:04 2019-02-19
orw_mikle
21:38:10 2019-02-19
Andromeda
21:35:04 2019-02-19
Dvakota
21:13:11 2019-02-19
Альфа
20:55:56 2019-02-19
anatol
20:21:53 2019-02-19
Lenba
19:10:54 2019-02-19
I23
19:00:45 2019-02-19
I46
18:57:56 2019-02-19
Шалтай Александр Болтай
18:56:50 2019-02-19
razgen
18:21:12 2019-02-19
robot
18:15:32 2019-02-19
Serg07
18:11:25 2019-02-19
marisha-san
18:03:00 2019-02-19
Toma
17:48:15 2019-02-19
eaglebuk
16:05:49 2019-02-19
Татьяна
15:31:00 2019-02-19
vinnetou
14:48:49 2019-02-19
Денисенко Павел Андреевич
14:42:29 2019-02-19
Masha
14:25:22 2019-02-19
znamy
13:36:07 2019-02-19
sanek-xf
13:21:34 2019-02-19
SGES
12:41:53 2019-02-19
Dmur
12:26:56 2019-02-19
Oleg
12:05:11 2019-02-19
Morpheus
11:00:29 2019-02-19
EvgenyZ
10:40:09 2019-02-19
dyadya_Sasha
10:36:55 2019-02-19
Я понял, что так и есть, т.к. "требования закона не распространяются на обработку ПДн без использования таких средств"(вычислительной техники). ;)
Alexander
10:32:40 2019-02-19
Вот также и с персональными данными… Власть имущие и организующие определили для нас ПДн в качестве инструмента для обеспечения "правильного" пребывание в этой жизни своих подопечных...
Защита ПДн – чья забота? Забота или ответственность, обязанность или долг... Сегодня очень насыщенная статья, да, собственно, как и любая компиляция из законов, постановлений, инструкций и рекомендаций. Не просто не только разобраться, а хотя бы только уложить в сознание в удобоваримом виде…
Человек ещё не родился, а вокруг него уже имеется каркас ограничений и условностей, создаются разные явные и скрытые учётные сведения, как предтеча его будущих ПДн... И получается так, что ещё до нашего рождения появляется, крепнет и организуется база данных, - нечто "цифровое", подконтрольное и требующее управления по определённым строгим правилам...
И эти самые правила тоже растут, видоизменяются, конфликтуют и дополняют друг друга, запрещают и разрешают, направляют и ограничивают... Много разного они "предписывают", - незамутнённой голове без специального форматирования и особой прошивки трудно разобраться во всех этих юридических хитросплетениях...
Но жизнь продолжается, не смотря на разные регламентирующие "нормы" и стремления всех нас пропустить через фильтр прокрустова ложа положенного и предписанного.
Так будем же стойко хранить свои ПДн! Будем требовать от должностных лиц и аффилированных предприятий лицензий и сертификатов. Да поможет нам... ! Храните деньги и сберегайте ПДн в надёжном месте и под защитой Dr.Web Security Space!
dyadya_Sasha
10:28:51 2019-02-19
Если только фотография сделанная антикварной плёночной зеркалкой на фотоувеличителе дома. ))
Это ПДн на которые не распространяется требование закона о ПДн.
kozinka.ru
10:25:23 2019-02-19
Неуёмный Обыватель
10:19:07 2019-02-19
Эх, а я то наивный питал надежду, что в тетрадках и блокнотах можно систематизировать и обрабатывать без опаски :)
dyadya_Sasha
10:07:10 2019-02-19
На вопрос: "Защита ПДн - чья забота?" к "озабоченным" помимо субъектов обрабатывающих ПНд отнес бы самого владельца ПНд и государство в обязанности которого входит защита своих граждан,а это в тч и защита ПДн. "Озабоченность" государства должна проявляться не только в написании нужных и правильных законов, но и контроль за их исполнением, а так же создание условий для их выполнения. Не все могут себе позволить юристов, должны быть какие-то госслужбы, которые доступно разъяснят, что если ты занимаешься "этим", то должен сделать "это" и "это". Дальше, если не выполняешь - предписание со сроками выполнения, опять не выполняешь - штрафы. Сейчас многие (ИМХО) субъекты, занимающиеся обработкой ПДн понятия не имеют, что конкретно в плане защиты они должны делать и что им грозит какое-то наказание за "неделанье". А если их(занимающихся обработкой ПДн) никто не трогает, то и делать ничего не будут, пока жаренный петух в одно место не клюнет.
cpp
09:05:44 2019-02-19
Zserg
08:59:42 2019-02-19
Vlad X
08:49:38 2019-02-19
Поэтому с хорошим юристом можно уйти от ответственности,
что и происходит в жизни.
Natalya_2017
08:42:10 2019-02-19
Пaвeл
08:12:49 2019-02-19
Любитель пляжного футбола
07:50:48 2019-02-19
tigra
07:40:22 2019-02-19
Korney
07:25:05 2019-02-19
ka_s
07:16:01 2019-02-19
vkor
07:10:07 2019-02-19
vkor
07:09:10 2019-02-19
Что значит "персональные данные в большом количестве"? Как определить объём ПД?
L1t1um
06:17:37 2019-02-19