Категории

  • Огнетушители
  • Рукава пожарные
  • Оценка земли
  • Как бизнес
  • Оценка недвижимости
  • Услуги по оценке.
  • Индивидуальные средства защиты
  • ПротивоГАЗы
  • Новости
  • Новости

    Где купить держатель для Айфона в авто

    Сегодня очень многие автомобилисты задаются сакраментальным вопросом, который не может их не беспокоить - где купить держатель

    Где выбрать фотоаппарат

    С недавних пор увлекаюсь фото и видео съемкой. Приобрел фотоаппарат от Canon , т.к. доверяю данной компании и сталкивался с их продукцией не раз. И решил приобрести аксессуары для моей камеры. Начал

    Главная Новости

    Закон о защите персональных данных: основы

    Опубликовано: 01.10.2017

    Рано или поздно с вопросом обработки персональных данных сталкивается любой интернет-предприниматель. Когда проект набирает критическую массу клиентов, приходится задумываться о том, как привести документы на сайте в порядок. Но на практике дело не ограничивается лишь размещением в Сети оферты или описаний правил работы сайта.

    Алексей Талан

    Всем известно, что на сайте должен присутствовать документ, который регламентирует правила обработки и хранения добровольно переданных клиентами данных. Но о том, что дальше делать с этим данными, и как правильно обеспечивать их сохранность и безопасность, знают далеко не все.

    Закон о персональных данных

    Когда вы регистрируетесь на сайте, который принадлежит российской компании, то практически любая информация, которую вы указываете о себе, подпадает под действие Федерального закона РФ №152 «О персональных данных». Это означает, что владелец ресурса, будь то интернет-магазин, социальная сеть или «облачный» сервис, обязан защищать вашу личную информацию от злоумышленников и не раздавать направо и налево.

    Негативных примеров того, как обращаются с личной информацией – масса. Взять хотя бы поток SMS-предложений от сервисов такси или турагентств.

    Но бывают случаи посерьезнее, причем вызваны они могут быть ошибкой программистов. Так, в прошлом году в Сеть утекли десятки тысяч SMS, отправленных с сайтов операторов сотовой связи. В сообщениях, которые легко можно было найти в Яндекс или Google, обнаруживались паспортные данные и пароли к социальным сетям. Информацию клиенты вам могут предоставлять разную, от имени и фамилии, до данных по пластиковым картам и даже истории болезней. Чем важнее информация – чем выше за нее ответственность.

    Кратко о законе

    С точки зрения владельцев сайта закон - головная боль, особенно для начинающих предпринимателей, у которых к хронической нехватке денежных средств добавляется отсутствие опыта в решении бюрократических задач.

    Полную версию закона можно изучить здесь . Мы же приведем краткую информацию, написанную обычным человеческим языком.

    Основные определения

    Персональные данные (ПД) – информация, которая определяет физическое лицо. Например:

    фамилия, имя, отчество, год, месяц и дата рождения, адрес, социальное положение, доходы, телефон, образование и т.д. Оператор персональных данных – организация, государственная или частная, или физическое лицо, которые собирают, хранят и обрабатывают персональные данные. В нашем случае – это интернет-магазин, социальная сеть или онлайн-сервис, например, «Яндекс.Метрика».

    Субъект персональных данных – физлицо, которое передает личные данные оператору.

    Устаревшие и актуальные требования: будьте внимательны

    При попытке подробнее узнать о законе ФЗ №152, первым делом в поисковике обнаруживаются статьи, в которых рассказывается о классах, категориях и объемах ПД.

    Эти термины использовались в совместном приказе Минкомсвязи ФСТЭК и ФСБ, который в народе назывался «Приказ Трех». Документ перестал действовать с выходом Постановления Правительства 1119 от 1 ноября 2012 г, в котором на смену классам пришли уровни защищенности (УЗ).

    УЗ сейчас описаны для всех видов информационных систем. Это значит, что операторы могут самостоятельно определить уровень защищенности для своего интернет-сервиса. Чего пока не хватает – так это конкретных требований по защите для каждого уровня УЗ. Пробелы закроют следующие постановления.

    По словам нашего эксперта Андрея Прозорова из IBS Platformix, прошлые требования к защите классов формально утратили силу. Тем операторам, которые уже провели комплекс мер по защите сервисов, эксперт советует следующее:

    1. Актом или протоколом утвердить УЗ и указать дополнительные свойства информационной системы согласно ПП1119.

    2. Дождаться новых требований к защите ИСПД и надеяться, что переделывать придется немного.

    Подробно изучить классификацию УЗ можно в блоге Андрея , я же, чтобы не утомлять читателя, приведу ниже таблицу и дам краткие пояснения.

    Уровней защищенности – четыре, аналогично количеству классов, которые использовались ранее. УЗ определяются на основе актуальных угроз (АУ), количества обрабатываемых ПД в системе, типа ПД и чьи именно ПД оператор обрабатывает – сотрудников или клиентов. Разложим по полочкам.

    Актуальные угрозы:

    1-2 уровни связаны с наличием закладок в программном обеспечении, то есть недекларированных возможностей. Это лазейки, через которые можно получить доступ к сайту. Эти угрозы, очевидно, присутствуют в любом сервисе.

    3 уровень – все остальные менее значимые угрозы.

    Определение уровня АУ связано с определением возможного вреда от несанкционированного использования ПД.

    Количество персональных данных

    Больше или меньше 100 000 субъектов. Тип персональных данных

    Биометрические (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых оператор может установить личность субъекта персональных данных). Специальные (религиозные взгляды, состояние здоровья, расовая принадлежность и т.д.). Общедоступные (получаемые из общедоступных источников в соответствии с 152-ФЗ). Другие. Чьи персональные данные

    В ИСПД могут использоваться данные сотрудников, или же данные клиентов, допустим, в записях заказов интернет-магазинов.

    Таблица. Определение уровня защищенности ИСПД (правые колонки)

    Меры по защите персональных данных

    Очевидно, что кардинально меры по защите ПД с переходом на УЗ не изменятся. Расскажу об общих принципах защиты.

    Помните: чем больше ПД вы собираете, тем больше мер придется принять. Поэтому стоит подумать, без каких сведений вы можете обойтись, чтобы снизить риски и объем работы. Кроме того, в некоторых случаях ПД стоит разнести по разным базам данных и уменьшить срок хранения сведений о пользователях.

    Разделить меры можно на два вида: организационные и программно-технические. К первым относятся:

    классификация информационной системы, выявление возможных угроз, создание плана действий по защите данных и должностных инструкций, утверждение перечня лиц, которые допущены к обработке ПД. К программно-техническим можно отнести:

    проверку оборудования, установку сертифицированных антивирусов, сетевых экранов и криптографических средств, налаживание системы разграничения доступа, регистрации и учета, использование средств защиты от утечек информации по различным каналам. Что и в каком количестве необходимо устанавливать определяется на шаге выявления угроз и типа хранящихся ПД. Лучше всего отдать задачу по защите данных на аутсорс – то есть в стороннюю организацию с лицензией ФСТЭК. Цена вопроса для самых-самых личных данных (класс 1 по старой классификации) начинается примерно от 300 000 рублей.

    Помимо работы по установке сертифицированных антивирусов, сетевых экранов и спецприложений, аутсорсеры оформят за вас кучу бумаг, которые будут свидетельствовать о принятых мерах. Это могут быть должностные инструкции, приказы, акты о ликвидации ПД клиентов, подтверждения покупки сертифицированных программ и т.д. Если случится прокол, вы всегда сможете подать в суд на подрядчика и переложить на него часть ответственности.

    Ответственность за нарушение персональных данных (за работу сайта без проведения защитных мер) многогранна, в основном проходит по административной линии (штрафы, предписания, приостановка деятельности предприятия). При этом наказывается нарушение требований по защите ПД. Поскольку явного требования к лицензированию и аттестации нет, то за это прямо не наказывают. Наказывают за отсутствие мероприятий по защите (отсутствие документов, регламентов, процедур, технических мероприятий).

    Что нужно для работы сайта

    Хорошая новость: чтобы собирать персональные данные для интернет-магазина или онлайн-сервиса, никакая лицензия не требуется. Необходимо лишь провести мероприятия по защите данных.

    Получать лицензии ФСТЭК и ФСБ России необходимо только в том случае, если вы оказываете услуги по технической защите информации. Например, помогаете интернет-сервисам правильно организовать работу с ПД или обещаете клиентам защищать их данные.

    Примеры таких лицензий можно посмотреть на сайтах хостинг-провайдера nic.ru , сервиса онлайн-дневников dnevnik.ru и компании «ОнЛайн Защита» .

    Оферта на сайте необходима, если вы запрашиваете у пользователя любые личные данные. Примеры и варианты реализации таких договоров стоит смотреть на крупных сайтах. Нам понравилось, как это сделано на tcsbank.ru. Написано кратко и доступно для пользователя, что встретишь редко.

    Сервис обязан уведомить субъекта, с какой целью и в каком порядке будут использоваться его персональные данные. Это не обязательно делать отдельным документом, можно включить в общие правила сервиса.

    Следует обратить особое внимание и на то, как хранятся у вас персональные данные клиентов. Удостоверьтесь, что к ним не имеют доступ поисковые роботы (проверьте хотя бы файл правил для поисковиков robots.txt, который находится в mysite/robots.txt). Также убедитесь, что доступ к личным данным клиентов имеют только те сотрудники, которым это требуется.

    Основные части оферты

    В этой главе я перечислю основные моменты, которые должны присутствовать в оферте о персональных данных. Примеры можно посмотреть по ссылкам выше.

    Если вашим сервисом могут воспользоваться несовершеннолетние – внесите пункты, что требуется согласие родителей или опекунов.

    Укажите дальнейший маршрут данных пользователя: будут ли они передаваться третьим лицам и аффилированным компаниям.

    Кратко опишите, для чего и сколько времени собираетесь хранить данные, а также как клиент может затребовать удаление данных.

    Опишите, какие данные и с какой целью предоставляет пользователь.

    Итого

    Оказывается, работать с персональными данными не так страшно и затратно, особенно если у вас небольшой проект. Для большинства сервисов достаточно разработать оферту и усилить контроль за программистам, чтобы внутренние страницы клиентов не стали достоянием Google.

    Главное же, что надо помнить: чем меньше сведений вы собираете – тем безопаснее работа для вас, как оператора.

    CEO "Клик-Шторм" (резидент бизнес-инкубатора ИТ-парка, Казань).

    rss