Tech Recipe Book
My Services
  • Book
    • About the author
    • Architect
      • Algorithms
        • DB index algorithms
          • How does database indexing work
        • Neural network optimization
          • Neural Network Optimization
        • Route search
          • Road network in a database to build a route
          • Traveling Salesman Problem (TSP)
      • Architecture Frameworks
        • DODAF
        • TOGAF
        • Enterprise Architecture (EA) Tools Reviews 2023 | Gartner
      • Zero Trust
      • Billing
        • SHM billing system
      • Bots
        • Discord
        • Telegram
          • Chat GPT Telegram bot
          • Получаем статистику Telegram-канала при помощи api и python или свой tgstat с регистрацией и смс
          • Как хостить телеграм-бота (и другие скрипты на Python) на Repl.it бесплатно 24/7
          • Создание Telegram бота на PHP #1: основные понятия для работы с API
          • Создание Telegram бота на PHP #2: создание первого бота для Telegram
          • Создание Telegram бота на PHP #3: примеры отправки сообщений с кнопками в Telegram
          • Создание Telegram бота на PHP #4: отправка файлов и изображений в Telegram
          • Создание Telegram бота на PHP #5: работа с хуками
      • Business intelligence
      • Cloud Storage
        • Ceph
        • Virtual Distributed File System
      • Cryptography
        • Open Source PKI Software
        • OpenPGP
          • Email Encryption
          • Kleopatra
          • Miscellaneous Tools
          • Server side applications
      • Message broker
        • Kafka
          • Kafka UI-tools
          • Kafka streams ksqlDb
        • RabbitMQ
      • DB
        • MySQL
          • Auto sharding
          • MariaDB Zabbix monitoring
          • MySQL and MariaDB replication with Zabbix monitoring
        • Postgres
          • HA PostgreSQL with Patroni, Haproxy, Keepalived
          • Mass parallel requests - Greenplum
          • PostgreSQL cluster for development and testing
        • Vitess - Scalable. Reliable. MySQL-compatible. Cloud-native. Database.
      • Identity and Access Management (IDM)
        • FreeIPA - Identity, Policy, Audit
        • FreeIPA as an Enterprise solution
        • Keycloak
          • Keycloak HA cluster
        • Open Identity Platform
        • SSO
          • Keycloak for Java app
          • OpenAM
          • OpenIG
      • Firewall
        • nftables
      • Infrastructure As a Code
        • Ansible
        • IaC Packer Ansible Teraform
        • Installing Jenkins using terraform in Kubernetes in Yandex Cloud with letsencypt
        • Teraform Crosplan Pulumi
        • Yandex IaC solutions
      • Kubernetes
        • Installation
          • Install Kubernetes cluster
          • Deploying a Kubespray cluster to OpenStack using Terraform
          • Kube deploy in Yandex cloud
        • Frameworks
          • Deckhouse
            • LDAP authentification
            • On premise Install
            • Yandex Cloud Install
          • K3S
          • OpenShift OKD
          • RKE2
          • Rancher
            • Rancher Install
        • Auth
          • Keycloak in k8s
          • LDAP
        • GUI management Lens
        • Monitoring
          • Monitoring with Falco
          • Network monitoring
          • Nginx ingress
          • Prometheus Graphana for sample Nodejs app
          • Rsource monitoring Avito
        • Exposing services
          • Exposing Kubernetes Services
          • Cilium BGP
        • CNCF
        • Helm
          • Repositories
            • Artifact Hub | official
            • Bitnami | vmware
          • Awesome helm charts and resources
          • Essential Services for Modern Organizations
          • Security and Compliance
          • Additional charts
        • Isolation
          • vcluster - Virtual Kubernetes Clusters
          • Kiosk
          • KubeArmor
          • Control Plane Hardening
          • Hierarchical namespaces
        • Security Center
          • Minesweeper
          • NeuVector by SUSE
          • SOAR in Kubernetes
          • Security Сenter for Kubernetes
        • Terraform CI security
          • Terraform plan analysis with Checkov and Bridgecrew
          • Yandex Terraform scan
        • Vulnerability management
          • Aqua
          • Sysdig
          • Kyverno
          • GitLab
          • NeuVector by SUSE
        • Image scanning
          • Snyk
          • Sysdig
          • Harbor
          • Trivy
        • Signature verification
          • Sigstore
        • Control plane security
          • Gatekeeper
            • Applying OPA Gatekeeper
          • Kyverno
            • Policy as a code. Kyverno
        • Runtime Security
          • Osquery
          • Falco
          • ClamAV
        • Network security
          • Cilium
          • Control Plane Hardening (API restriction)
          • Network policy recipes
          • Service mesh
            • Istio HA, LoadBalance, Rate limit
          • mTLS Autocert
        • Honeypot
          • Building honeypot using vcluster and Falco
        • Backup
          • Kasten K10
        • Secrets
          • Vault CSI Driver
      • Load Balance
        • Nginx
        • HAProxy
          • Proxy methods
          • HAProxy for RDP
          • Payment gateway A/B test with HAProxy
          • HAPRoxy for Percona or Galera
      • Monitoring
        • Zabbix
          • Apache Zabbix
          • Disc Quota
          • Nginx Zabbix
          • SSL certificates Zabix
          • Zabbix notifications
        • Nagios
          • Datacenter monitoring
        • Prometheus and Grafana
      • Windows
        • Sysmon enhanced Windows audit
        • Sysmon to Block Unwanted File
      • Linux
        • Rsync
        • Debian based
          • Apt-Cacher NG
          • Unattended Upgrades in Debian / Ubuntu
        • RedHat basede
          • RPM Server
        • Logs analysis
        • Build armhf qemu
      • NGFW
      • CI/CD
        • DevSecOps
          • DAST
            • Burp
              • Dastardly
            • StackHawk
            • ZAP and GitHub Actions
          • SAST
            • Checkmarx
            • OSV by Google
            • Snyk
            • SonarQube
        • GitLab Runner in Yandex Cloud
        • Dynamic Gitlab Runners in Yandex Cloud
        • GitLab runner in Kubernetes with Werf
        • Kubernetes deploy strategies
        • Kubernetes highload deploy. part 1
        • Kubernetes highload deploy. part 2
        • Kubernetes Argo Rollouts
        • Jenkins in Kubernetes
        • Ansible Semaphore
        • Image storage, scaning and signing
        • Install WireGuard with Gitlab and Terraform
        • CI/CD example fror small web app
        • Threat matrix for CI CD Pipeline
      • SIEM / SOC
        • Datadog
        • Splunk
          • Splunk — general description
        • MaxPatrol
          • MaxPatrol 8 and RedCheck Enterprise
        • QRadar IBM
        • Cloud Native Security Platform (CNAPP) - Aqua
        • OSSIM | AT&T
          • AlienVault (OSSIM) install
        • Wazuh
        • EDR
          • Cortex XDR | Palo Alto Networks
          • Cynet
          • FortiEDR | Fortinet
          • Elastic
        • Elastic
          • Install Elasticsearch, Logstash, and Kibana (Elastic Stack) on Ubuntu 22.04
          • Setting Up Elastic 8 with Kibana, Fleet, Endpoint Security, and Windows Log Collection
        • Threat Intelligence
          • MISP
          • msticpy Microsoft
          • X-Force | IBM
          • Elastic
      • VPN
        • Full-Mesh VPN fastd, tinc, VpnCloud
        • Wireguard
          • WireGuard for Internet access
          • WireGuard on MikroTik and Keenetic
          • WireGuard site to site
        • SoftEther VPN Project
        • Cisco AnyConnect client
        • OpenConnect
        • SSTP python server
      • OS hardening
        • CIS Benchmarks
      • Cloud Providers
      • OpenNebula
        • OpenNebula Edge Cloud - Open Source Cloud & Edge Computing
        • Discover OpenNebula – Open Source Cloud & Edge Computing Platform
        • OpenNebula Multi-Cloud
        • Kubernetes on OpenNebula
        • The Open Source Alternative to Nutanix
        • The Simple Alternative to OpenStack
        • OpenNebula Partner Ecosystem
      • OpenStack
        • Install manual
        • Install with DevStack
      • VM
        • Create a VHD file from a Linux disk
        • Backup / Migration
          • Coriolis
          • Proxmox Backup Server
        • oVirt
        • VMware vCenter
        • Proxmox
      • Docker
        • Container optimization
        • Ubuntu RDP container
      • LXC
        • LXD on Ubuntu 18.04
        • Install, Create and Manage LXC in Ubuntu/Debian
    • Big Data
      • OLAP data qubes
      • Storage and autoscale in Lerua
    • Machine Learning
      • Yandex YaLM 100B. GPT model
      • Kaggle Community Datasts Models
      • AI in video production
      • Image search
      • Chat bots
        • You.com
        • Chat GPT
          • Implementing GPT in NumPy
        • Jailbreak Chat
      • Coding plugins CodeWhisperer
    • Malware
      • Isiaon/Pitraix: Modern Cross-Platform Peer-to-Peer Botnet over TOR
      • theZoo A repository of LIVE malwares
    • Pentest
      • Red Team
        • MITRE ATT&CK matrix
        • C2 Frameworks
          • Brute Ratel C4
          • Cobalt Strike
          • Covenant
          • Havoc Framework
          • Merlin
          • Metasploit
          • Sillenttrinity
          • Sliver
        • Manage and report
          • Dradis Framework
          • Hexway
        • Underground
      • Social engineering
        • Social Engineer Toolkit setoolkit
      • OSINT
        • OSINT for comapny
        • Instagram fishing
      • Forensics
        • Forensics tools
      • Pentesting Methodology
      • Web
      • CI/CD Methodology
      • Cloud Methodology
        • Hacking The Cloud
      • Kubernetes Pentesting
      • Android
        • SSL Unpinning for Android applications
      • iOS
        • SSL unpinning iOS and macOS applications
      • HackBar tool
      • CyberChef Tools
      • Python virtualenv
      • IppSec - YouTube
      • Hacktricks.xyz
    • Compliance
      • 152 ФЗ. Personal data
      • PCI DSS and ГОСТ Р 57580.1-2017
      • Cloud compliance
      • ГОСТ Р 57580.1-2017 для Kubernetes
      • Kubernets as DevSecOps and NIST compliance
      • NIST SP 800-61 cyberincidece control
      • CIS Kubernetes Benchmark v1.6 - RKE2 v1.20
      • CIS Kubernetes Benchmark v1.23 - RKE2
      • Requirements for Russian Banks
      • Tools
        • Chef InSpec
        • Elastic SIEM
    • Asset management
      • CMDBuild
    • Project management
    • Incident management SRE
    • Risk management
      • IT risk management
      • BSI-Standard 200-3
    • Web Dev
      • Cookie security
      • OWASP Top 10 2021
      • Docker nginx php mysql
      • Docker tor hiddenservice nginx
      • Docker Compose wp nginx php mariadb
      • Dependency Checking
        • Nexus Analyzer
        • OWASP dependency-check
      • Yii skeeks cms
      • YiiStudio
    • Art
      • GTK Themes
      • Themes for Xfce Desktop
      • XFCE / Xubuntu Windows 95
      • Moscow events
      • Photo goods
      • Russian style gifts
    • Cryptocurrency
      • News
      • Arbitrage
      • Stocks
      • Exchange aggregators
      • Where to use
      • Prepaid cards
        • BitFree
        • Pyypl Your Money at Your Fingertips
    • IT magazines
      • WIKI and Writeups tools
        • BookStack
        • GitBook
        • MkDocs
        • Wiki.js
        • DokuWiki
    • Languages
    • Learning
      • (ISC)2
        • CISSP
      • Offensive Security
        • OSCP
        • OSEP
        • OSED
      • DevSecOps
        • Certified DevSecOps Professional (CDP)
        • Certified DevSecOps Expert (CDE)
      • Web Security Academy: PortSwigger
    • Relocation
      • London experience
      • IT visas in 2022
      • Remote work
      • Running business in UAE
    • Freenet
      • Independent online services: the philosophy of a free Internet
      • Tor Project Anonymity Online
      • I2P Anonymous Network
    • Services
      • SMS Registration
        • Registering ChatGPT in Russia
      • Local and regional eSIMs for travellers - Airalo
      • Digital busines cards
      • No KYC services and exchanges
Powered by GitBook
On this page
  • Основная терминология
  • Законодательная база
  • Принципы обработки персональных данных
  • Уровни защищённости персональных данных и типы угроз
  • Средства защиты информации
  • Как проверяют защищённость персональных данных
  • Особенности защиты ПДн в облаке: как компании выбрать провайдера
  • Чеклист: как компании защитить ПДн по закону

Was this helpful?

  1. Book
  2. Compliance

152 ФЗ. Personal data

Last updated 1 year ago

Was this helpful?

Привет! Меня зовут Макс Плеханов. Я работаю в крупной российской компании, предоставляющей хостинг. Занимаюсь развитием продукта. Одним из важных вопросов, с которыми я сталкиваюсь практически каждый день, — это защита персональных данных.

Обычно мы сами — источники персональных данных, но давайте в этот раз окажемся по ту сторону баррикад: взглянем на процесс взаимодействия с личной информацией с точки зрения бизнеса. Делюсь с вами разбором, как российская компания должна работать с персональными данными (в том числе, в облаке) и защищать их, при этом не нарушая закон.

В России правила обращения с персональными данными граждан определяются федеральным законом «» от 27.06.2006 года №152-ФЗ и перечнем других законодательных актов. Любые организации, которые взаимодействуют с персональными данными, обязаны соблюдать эти законодательные акты, чтобы избежать штрафа от Роскомнадзора. Компании должны заботиться не только о данных своих клиентов или подрядчиков, но и сотрудников.

Нарушить статью 152-ФЗ не так сложно, и это касается не только несанкционированной передачи данных третьим лицам. Чтобы во всём разобраться, нужно знать терминологию и законодательную базу. С них и начнём.

Основная терминология

Согласно :

Персональные данные — это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

Здесь же вводится определение субъекта персональных данных:

Субъект — это «владелец» персональных данных, а персональные данные (ПДн) — это информация, которая относится к конкретному человеку или по которой можно установить личность человека.

Важный момент: не всегда информация, которая на первый взгляд кажется персональными данными, ими является.

Для примера возьмём какое-то распространённое ФИО — Василий Иванович Ушаков. Скорее всего, таких Василиев по всей стране наберётся больше одного и конкретно установить его личность нельзя. Это понимают и компании, собирающие персональные данные, поэтому для осуществления своей деятельности они запрашивают у субъекта дополнительную информацию: номер телефона или электронную почту. По этому набору из ФИО и номера компания будет определять того самого Василия, и этот набор информации будет считаться персональными данными.

Персональные данные разделяются на 4 категории: общедоступные, иные, специальные и биометрические.

Общедоступные персональные данные. Это информация о субъекте, размещённая в общедоступных источниках с его согласия (согласия не на обработку, а на отнесение его данных к категории общедоступных).

Если наш Василий дал согласие на размещение своих ФИО и номера телефона в справочнике, то такие ПДн будут считаться общедоступными. Общедоступные персональные данные характеризуются именно размещением в общедоступных источниках, а не содержащейся в них информацией.

При этом не следует путать общедоступную информацию () и персональные данные, опубликованные в общедоступных источниках (). В отличие от обычной информации, неограниченный доступ к персональным данным не делает их автоматически общедоступными.

Соцсети — отличное тому подтверждение. Судебная практика выработала позицию, согласно которой социальные сети — не общедоступные источники. Как минимум потому, что при регистрации пользователи не дают письменное согласие на размещение персональных данных в общедоступных источниках, как этого требует закон.

Иные персональные данные. В категорию иных ПДн относят данные, которые не подпадают под остальные категории. В целом, эта категория самая распространённая и в неё входят ФИО, номер телефона, электронная почта, дата рождения и тому подобная информация. Пока такие данные не разместили в общедоступных источниках, они иные.

Специальные персональные данные. Специальные персональные данные характеризуют человека как личность: отношение к религии, расовая принадлежность, подробности об интимной жизни или состоянии здоровья.

Биометрические персональные данные. Это данные, которые описывают биологические и физические особенности человека, по которым его идентифицируют: ДНК, отпечаток пальца, группа крови, характеристики голоса, радужка глаза. Фотографии или видео с человеком тоже будут считаться биометрическими персональными данными, если по этим материалам его идентифицируют.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В зависимости от степени применения компьютерных систем при обработке персональных данных она разделяется на 3 типа: автоматизированная, смешанная и неавтоматизированная.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Это основная терминология. Теперь перейдём к законодательным актам, которые касаются обработки персональных данных.

Законодательная база

Всего можно выделить 5 основных законодательных актов, которые регулируют те или иные аспекты работы с персональными данными:

Дальше по ходу статьи мы будем ссылаться на перечисленные акты и подробнее их раскрывать.

Принципы обработки персональных данных

Законность и справедливость обработки. Персональные данные должны обрабатываться на законной и справедливой основе. Если речь идёт об обработке данных сотрудника, то она должна производиться с учётом законов, регулирующих трудовые отношения между работодателем и сотрудником.

Обработка должна осуществляться для достижения конкретных целей. Нельзя просто так собирать персональные данные с мыслью, что они понадобятся в будущем. Собираемые данные должны удовлетворять текущие цели обработки персональных данных, которые указывают в согласии на обработку ПДн.

Нельзя объединять базы данных с ПДн с несовместимыми целями обработки. Если оператор обрабатывает персональные данные с разными целями, то их нельзя хранить в одной базе данных. Например, компания не может хранить данные о клиентах совместно с данными о работниках.

Обрабатывать только те данные, которые соответствуют целям обработки. Этот принцип пересекается со вторым: если оператор обрабатывает ПДн для почтовой рассылки, то он не может просить у пользователя биометрические данные, если они не необходимы для обработки с иной целью.

Неизбыточность обрабатываемых ПДн. Объём обрабатываемых данных должен соответствовать целям.

Точность, достаточность и актуальность ПДн. Оператор должен следить за актуальностью и точностью данных: если данные изменились, то он должен уточнить их или удалить устаревшие.

Срок хранения ПДн ограничен целями обработки. После достижения целей обработки персональных данных их нужно удалить, если нет законных оснований для обратного.

Например, в делах о нарушениях законодательства о рекламе УФАС (Управление Федеральной антимонопольной службы) устанавливает, допустил ли рекламораспространитель обработку персональных данных, несовместимую с целями сбора персональных данных, которые излагаются в согласии на обработку ПДн (статья 9, ФЗ-152). Если рекламораспространитель допустил обработку персональных данных без предварительного согласия абонента или адресата на получение рекламы, он понесёт административную ответственность по ч. 1 ст. 14.3 КоАП РФ за нарушение положений ст. 18 Закона о рекламе.

Подобное решение приняло Свердловское УФАС России 11.02.2022 по делу N 066/05/28-3968/2021 и составило протокол об административном нарушении — рассылки пользователям незаконной рекламы.

Уровни защищённости персональных данных и типы угроз

Выбор технологических мер для обеспечения защиты персональных данных зависит от 4 критериев:

  • кто является субъектом обработки ПДн: сотрудники или нет;

  • количество субъектов обработки;

  • категории обрабатываемых персональных данных;

  • тип угроз.

Если с первыми тремя критериями всё довольно ясно, то на типах угроз необходимо остановиться подробнее.

Существует 3 типа актуальных угроз, которым может быть подтверждена ИСПДн. Актуальные угрозы безопасности персональных данных — это совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в ИСПДн, который может привести к уничтожению, изменению, блокированию, копированию, предоставлению, распространению персональных данных и другим неправомерным действиям.

  • Угрозы 1-го типа вам грозят, если в системном программном обеспечении вашей информационной системы есть недокументированные (незадекларированные) возможности.

  • Угрозы 2-го типа актуальны для информационной системы, где имеются недокументированные (незадекларированные) возможности в прикладном программном обеспечении.

  • Угрозы 3-го типа предполагают наличие угроз, не связанных с наличием недокументированных (незадекларированных) возможностей в системном и прикладном программном обеспечении.

Чёткого разграничения о том, каким операторам свойственно иметь те или иные типы угроз, нет. Угрозы 1-го и 2-го типа не актуальны для тех операторов, чья работа ИСПДн планируется на лицензионном системном программном обеспечении, в защищённой информационной среде, созданной на основе сертифицированных средств защиты информации.

На основе вышеупомянутых критериев системе присваивается один из четырёх уровней защищённости (УЗ). Приведём таблицу уровней защищённости в зависимости от 4 критериев:

Чтобы создать 4-й уровень защищённости, требуется:

  • обеспечить безопасность помещения, в котором размещена ИСПДн;

  • организовать сохранность носителей с ПДн;

  • утвердить документ с перечнем лиц, которым необходим доступ к персональным данным для выполнения рабочих обязанностей;

  • использовать средства защиты информации (СЗИ), прошедшие процедуру оценки.

Для обеспечения 3-го уровня защищённости нужно:

  • обеспечить 4-й уровень;

  • назначить ответственного за безопасность персональных данных.

Для обеспечения 2-го уровня защищённости необходимо:

  • обеспечить 3-й уровень;

  • ограничить доступ к электронному журналу сообщений.

Для обеспечения 1-го уровня защищённости требуется:

  • обеспечить 2 уровень;

  • организовать автоматическую регистрацию изменений полномочий сотрудников по доступу к персональным данным в электронном журнале;

  • создать отдел или возложить на существующий ответственность за безопасность ИСПДн.

Например, одной из обязательных мер для всех уровней защищённости является ИАФ 1 — идентификация и аутентификация пользователей, являющихся работниками оператора. Реализовать такую систему можно разными способами, в том числе с помощью средств защиты информации (СЗИ), например, Secret Net Studio.

Средства защиты информации

При выборе средств защиты информации оператор должен отталкиваться от того, планирует ли он проходить аттестацию. Её проводит лицензиат ФСТЭК (Федеральной службы по техническому и экспортному контролю). Обычно аттестация необходима в государственных и муниципальных учреждениях. Коммерческим компаниям аттестация может потребоваться для сотрудничества с такими организациями, но чаще всего она не требуется.

В зависимости от выбранного варианта проверки качества защиты персональных данных оператор будет выбирать средства защиты информации. При прохождении аттестации оператор вынужден использовать сертифицированные СЗИ, которые соответствуют уровню защищённости его системы. Если же оператор предпочтёт выбрать акт оценки эффективности, то он вправе использовать не сертифицированные СЗИ, однако ему придётся продемонстрировать регулятору, что они прошли проверку и отвечают необходимым нормам.

Как проверяют защищённость персональных данных

Основной регулятор в области персональных данных — Роскомнадзор. Он проверяет операторов и ведёт их учёт. В некоторых случаях оператором могут заинтересоваться ФСТЭК (если речь идёт о государственных организациях) и ФСБ (если речь идёт о криптографических методах защиты).

У Роскомнадзора есть несколько способов проверить, как компания соблюдает закон.

К такой проверке нужно отнестись ответственно: собрать весь пакет документов за пару дней получится только у малого бизнеса. Для крупных и средних компаний рекомендуется выстроить в компании постоянный процесс по соответствию законодательству.

Внеплановая проверка. Если Роскомнадзор сочтёт, что оператор нарушает законы о персональных данных, то он может прийти с внеплановой проверкой. За сутки до неё он должен уведомить оператора.

Запрос. Роскомнадзор может направить запрос к оператору, например, объяснить жалобу со стороны физлица и запросить перечень документов.

Мониторинг. Сотрудники Роскомнадзора могут вручную или в автоматическом режиме проверять сайт оператора на нарушения.

Особенности защиты ПДн в облаке: как компании выбрать провайдера

Федеральный закон не запрещает оператору пользоваться инфраструктурой провайдера для обработки персональных данных. При этом для субъекта ПДн ничего не меняется.

Договорные отношения между провайдером и оператором ПДн заключаются в оказании услуг хостинга и иных услуг и не включают в себя обработку ПДн. Во время проверки договор об оказании услуг станет одним из документов, которые нужно будет предоставить проверяющему органу.

Например, компания «А» разместила на сервере провайдера «Б» сайт, где фигурируют персональные данные пользователей, не давших согласие на их распространение.

Соответственно, в любом случае ответственность перед субъектами персональных данных несёт оператор. Даже если данные пользователя утекли из облака из-за ошибки хостинга, то перед субъектом персональных данных ответственность несёт всё равно оператор.

При выборе провайдера компании необходимо ориентироваться на следующие аспекты:

  • У провайдера должен быть аттестат соответствия требования по защите информации. Аттестация проводится лицензиатом ФСТЭК, и в случае успешного прохождения компания получает аттестат о том, что инфраструктура соответствует требованиям по безопасности информации.

Чеклист: как компании защитить ПДн по закону

  1. Обязательно изучить и соблюдать все 7 принципов обработки персональных данных, согласно статье 5 152-ФЗ.

  2. Предпринять все организационные и технологические меры для обеспечения необходимого и достаточного уровня защищённости данных. 4-й уровень защищённости оптимальный по затратам, но необходимо исходить из обработки ПДн, их количества и типов угроз, а не стремления к наиболее экономичному уровню защищённости.

  3. Выбрать вариант проверки качества защиты персональных данных — акт оценки эффективности или аттестация. На основе этого выбрать СЗИ.

  4. Выстроить в компании постоянный процесс по соответствию законодательству, чтобы проходить проверки Роскомнадзора (особенно это актуально для крупных и средних компаний).

  5. Если пользуетесь хостингами, при их выборе ориентироваться на два правила: серверы провайдера должны быть в РФ, сам провайдер должен быть аттестован по защите информации.

Любые действия с персональными данными, в том числе сбор и хранение, называются обработкой. Согласно :

Организация, которая обрабатывает персональные данные, является оператором персональных данных ():

Информационная система персональных данных (ИСПДн) — это система с персональными данными и технологическими средствами их обработки ():

Федеральный закон «» от 27.06.2006 года №152-ФЗ: вводит основные термины, определяет принципы и условия обработки персональных данных, описывает обязанности оператора и права субъекта;

от 01.11.2012 года: определяет типы угроз и уровни защищённости, классифицирует ИСПДн;

от 15.09.2008 года: устанавливает обработку персональных данных без средств автоматизации;

от 18.02.2013 года: устанавливает технические и организационные методы обеспечения защиты персональных данных;

от 10.07.2014 года: регулирует методы криптографической защиты.

В сформированы 7 принципов обработки персональных данных, которые должны быть ориентиром для операторов:

Соблюдение принципов и условий обработки персональных данных — обязательно. При проверке контролирующий орган будет определять, допустил ли оператор ПДн нарушения норм и ФЗ-152. Эти нормы обычно рассматривают в совокупности с другими статьями ФЗ-152, а также с нормами других федеральных законов.

Все типы угроз определены в :

Определение типа угроз безопасности персональных данных, актуальных для информационной системы, осуществляется оператором с учётом оценки возможного вреда. Такая оценка проводится на основании и в соответствии с нормативными правовыми актами, указанными в . К этим правовым актам относится «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

Для каждого уровня защищённости необходимо использовать набор организационных и технических мер, определённых в и .

Все технологические меры по обеспечению того или иного уровня защищённости перечислены в : всего там 15 категорий, в которые в общей сумме входит 109 мер.

Для большинства негосударственных организаций подойдёт акт оценки эффективности, который требуется от всех операторов в соответствии со . Разница в том, что аттестацию проводит обязательно лицензиат ФСТЭК, а акт оценки эффективности компания может провести самостоятельно.

Отдельного внимания заслуживает криптозащита. Если она используется в системе, то необходимо применять СКЗИ (средства криптографической защиты информации), которые сертифицированы ФСБ. Это такие программы или устройства, которые шифруют документы и генерируют электронную подпись. Криптографические средства также подбираются в соответствии с уровнем защищённости системы, согласно .

Плановая проверка. Региональное отделение Роскомнадзора проводит плановую проверку раз в 3 года. Планы проверок размещаются на . Проверяющий орган потребует от оператора предоставить кипу документов, связанных с обработкой персональных данных: начиная от типового согласия на обработку ПДн до модели угроз ИСПДн. Конкретный список документов, который нужен при проверке, в законе не определён. Проверяющий вправе общаться с сотрудниками оператора, проверять дела уволенных.

Операторы ПДн, получая услуги хостинга, не перестают быть ответственными за персональные данные. Они не должны открывать доступ к данным, распространяя их неограниченному кругу лиц. Также у операторов должен быть свой комплект документов, свидетельствующих о том, что им были приняты меры в соответствии со , , описывающие обязанности оператора и меры по обеспечению защиты данных. Оператор продолжает нести всю ответственность перед субъектом за персональные данные, а поставщик услуг, в данном случае хостинг, несёт ответственность перед оператором по договору об оказании услуг.

В соответствии с при обработке персональных данных оператор обязан принимать необходимые меры для обеспечения защиты персональных данных от неправомерных действий, в данном случае от незаконного распространения.

В нашем примере провайдер «Б» несёт ответственность перед компанией «А» за предоставляемые хостинг-услуги, но перед пользователями всю ответственность за защиту их личной информации несёт именно компания «А» ().

Серверы провайдера должны находиться на территории РФ в соответствии с .

https://habr.com/ru/companies/netologyru/articles/715922/
О персональных данных
пункту 1, статьи 3, 152-ФЗ
статья 7, 149-ФЗ
статья 8, 152-ФЗ
пункту 3, статьи 3, 152-ФЗ
пункт 2, статья 3, 152-ФЗ
пункт 10, статья 3, 152-ФЗ
О персональных данных
Постановление Правительства №1119
Постановление Правительства №687
Приказ ФСТЭК России №21
Приказ ФСБ России №378
статье 5, 152-ФЗ
статей 5
6
Постановлении Правительства №1119
пункта 5 части 1 статьи 18.1 152-ФЗ
5 части 19 статьи 152-ФЗ
Постановлении Правительства №1119
Приказе ФСТЭК №21
Приказе ФСТЭК №21
2 частью 4 пункта 19 статьи 152-ФЗ
приказу ФСБ №378
сайтах территориальных округов
ст. 18
19 ФЗ-152
ч.1 ст. 19 ФЗ-152
ст. 13.11 КоАП РФ
ч. 5 ст. 18 ФЗ-152