Запрет на обработку персональных данных

Содержание

Заявление о запрете обработки персональных данных

КБ «_________________» (ООО)
Адрес: __________________________
________________________________
Адрес: __________________________

ЗАЯВЛЕНИЕ

Я – __________________ – заключил с вами Кредитный договор № __________ от __________ года (далее – Кредитный договор).
Согласно пунктам 3.3.1, 3.3.2, 3.3.3 Кредитного договора вы наделяете себя правом обрабатывать мои персональные данные и использовать их по своему усмотрению.
Считаю такой порядок обработки и использования моих персональных данных незаконным по следующему основанию.
Согласно п. 1 ст. 3 ФЗ «О персональных данных» персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
На основании указанной выше нормы данные обо мне, которые вы собираете при заключении договора, являются персональными данными.
В соответствии с п. 2 ст. 3 ФЗ «О персональных данных» оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
В этой связи вы, как Банк, который собирает информацию о своих потенциальных и нынешних Клиентах, отвечаете требованиям понятия «оператор», содержащегося в ФЗ «О персональных данных».
В свою очередь, ст. 7 ФЗ «О персональных данных» гласит, что операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Вы моего согласия на обработку персональных данных не получали, содержащиеся в пунктах 3.3.1, 3.3.2, 3.3.3 Кредитного договора условия таким согласием не являются, так как по данным пунктам вы самостоятельно, в отсутствие законных на то оснований, наделяете себя правом обрабатывать мои персональные данные, что в данном случае недопустимо.
На основании изложенного, и руководствуясь ст. 7 ФЗ «О персональных данных»,

ПРОШУ:

1. Считать данное заявление как запрет на использование вами моих персональных данных в любых, не связанных напрямую с выдачей кредита, целях и запрет на передачу таких данных третьим лицам.
2. Признать условия, содержащиеся в пунктах 3.3.1, 3.3.2, 3.3.3 Кредитного договора № ___________ от __________ года, недействительными.

Приложение:
1. Копия Кредитного договора № __________ от ___________ года.
2. Копия Графика платежей по Кредитному договору № __________ от ___________ года.
3. Копия Расходного кассового ордера № ____ от ___________ года.

Запрет на использование персональных данных (как образец)

В свете бурного обсуждения последних дней набросал такой документ. …

Из комментариев:
«Думаю неплохо бы добавить следующее: (Проверено на себе)
3. На основании п.1 ст. 14 Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014)
«О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015) ТРЕБУЮ уничтожить мои персональные данные, как незаконно полученные и не являющимися необходимыми для заявленной цели обработки.»
«ЗАЯВЛЕНИЕ о запрете использования и передаче персональных данных без моего согласия, в нарушение требований Федерального Законодательства и с целью причинения имущественного вреда.»
«В Роскомнадзор:
В соответствии с Положением «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций», утвержденного Постановлением Правительства Российской Федерации от 16.03.2009 N 228 и Административным регламентом проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденным Приказом Роскомнадзора № 312 от 14.11.2011 г., прошу Вас, на основании изложенного,
1. Провести проверку, возбудить административное производство и привлечь должностных и юридических лиц ООО «….» к административной ответственности, предусмотренной статьёй 13.11 КоАП за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
2. При выявлении признаков уголовно-наказуемых деяний передать материалы в следственные органы ;»
«Через «запятую » … и с целью причинения имущественного, морального и физического вреда.
А то как то слабо звучит заявление.
А ещё бы «посоветовать» и упомянуть и о ЗоЗПП(Закон РФ от 07.02.1992 N 2300-1 (ред. от 13.07.2015). И уж в догонку и Закон о санитарно — эпидемиологическом благополучии населения(Федеральный закон от 30.03.1999 N 52-ФЗ (ред. от 13.07.2015) «О санитарно-эпидемиологическом благополучии населения»).
И не забыть и Федеральный закон Российской Федерации от 30 декабря 2009 г. N 384-ФЗ «Технический регламент о безопасности зданий и сооружений» .»
«А если у Вас есть медсправки о причинении Вам моральных страданий и возникших болезней в результате Ваших переживаний от Ваших ПД в ЕПД,то это ОГРОМНОЕ подспорье.Вот только как их поиметь -другой вопрос.Поэтому Вы уже ведь просто написали и о имущественных и о моральных о физических вредоносных факторах от ПД.»
«ст.155 ЖК РФ
16. При привлечении лицами, указанными в части 15 настоящей статьи, представителей для осуществления расчетов с нанимателями жилых помещений государственного и муниципального жилищных фондов, собственниками жилых помещений и взимания платы за жилое помещение и коммунальные услуги согласие субъектов персональных данных на передачу персональных данных таким представителям не требуется. Один пункт в статье перечеркивает целый закон 152 ФЗ.»
«…КОГДА НИ ОДИН федеральный закон не исполнен, то ответ прокуратуры — ОТПИСКА, укрывающая сведения о нарушениях, а это — признак мошенничества в органах прокуратуры.»
«Подписывая СОГЛАШЕНИЕ, Вы тем самым заключаете договор о правоотношениях. Любая бумажка двух лиц- это и есть договор. Новые термины только вводят в заблуждение. В этом — цель мошенников. Подбросив в почтовый ящик лист макулатуры с некими цифрами — Вам предлагают оферту (ДОГОВОР на оплату). Проплатили- значит согласились и СЧИТАЕТСЯ, что заключили договор с УК.»
«Вам ответило то должностое лицо, к которому Вы обращались?
Если нет. Пишите не опровержение на отписку, а заявление в полицию под талон О ДИСКРИМИНАЦИИ ВАШИХ ПРАВ ЛИЦОМ, которое ВАМ НЕ ОТВЕТИЛО . Читайте закон №59. То лицо, к которому обратились обязано ДАТЬ ответ по существу и в установленный срок. никто ФЕД.закон НЕ ОТМЕНИЛ.»
«Также прошу предоставить объяснения по следующим фактам:
1. наличие в распоряжении Вашей организации моих персональных данных (ФИО, паспортные данные, адрес, номер домашнего телефона) в отсутствие каких-либо ранее имевшихся установленных правоотношениях и моего самоличного их предоставления;
2. осуществления действий, связанных с хранением, обработкой, в том числе и автоматизированным способом, моих ПД, которые доступны сотрудникам организации посредством их наличия в компьютерной базе данных, в отсутствие на то моего согласия;
3. передачи моих персональных данных третьим лицам, МФЦ, в отсутствие на то моего согласия.
Также настоящим заявляю свое требование о прекращении любых действий, связанных с хранением, обработкой, распространением, передачей и пр. моих персональных данных.
Требую уничтожения моих ПД с предоставлением в мой адрес подлинного экземпляра»
«Акта об уничтожении персональных данных как на бумажных, так и электронных носителяхй с указанием наименований, номеров или ID баз данных, наименований, номеров или ID записей в базе данных, наименований, номеров или ID носителей данных. К Акту необходимо приложить должным образом свидетельствованную копию приказа руководителя организации о назначении комиссии для уничтожения ПД. В нашем заявлении мы написали так. Может пригодиться.»
«Полагаю необходимым добавить к изложенному Ю.Лебедем.
В силу отсутствия договора между мной, как собственником, ПУКой, как коммерческой структурой согласия как собственник квартиры, и как Гажданин по Конституции в отсутствие договора своего согласия на обработку персональных данных не давал.
Поскольку правоотношений в виде договора у вас со мной нет, и никогда не было, то вы, как коммерческая структура нарушаете мои права, как собственника, как Гражданина.
У нас всегда права Гражданина охраняются государством.
Статья 23
1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
Статья 24
1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
В данном случае мы, как частные лица согласия на обработку данных не давали ч.1 ст. 24 Конституции. Примерно так…»
«В соответствии с Положением «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций», утвержденного Постановлением Правительства Российской Федерации от 16.03.2009 N 228 и Административным регламентом проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденным Приказом Роскомнадзора № 312 от 14.11.2011 г., просим Вас, на основании изложенного
1. Провести проверку, возбудить административное производство и привлечь должностных и юридических лиц ООО «»
к административной ответственности, предусмотренной статьёй 13.11 КоАП за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
2. Провести дополнительную проверку законности получения компанией ООО «» разрешения на работу с персональными данными нанимателей жилых помещ
3. В случае обнаружения нарушений приостановить действие разрешения на работу с персональными данными.
4. Проверить порядок направления платежных документов жителям домов, находящимся на обслуживании ООО
5. При выявлении признаков уголовно-наказуемых деяний передать материалы в следственные органы ……области.
Это я писала в РОСКОМНАДЗОР. Ответ опубликовала ранее. Сами то ли провели проверку, то ли не провели. Так и непонятно.(Хотела потребовать разъяснений…так как много противоречий)
Правда РКН отправили в Управление МВД, те в УБЭП, те в какой-то 6отдел.»
http://maxpark.com/community/1574/content/4882193
Запрет на использование персональных данных (версия 2)

2. Заявление в РосКомНадзор чтобы погладили ПУКу против шерстки.
«не поздно я собралась писать заявление по вымогательству и можно ли его писать сразу в суд???» «В органы полиции. по своему опыту я вижу что мой отдел полиции меня игнорит страшно. Я подавал на него в суд по ст.125 УПК. Суд включил «дурку» — типа в календаре он ничего не понимает и сроки считать не умеет. Хотя все даты и обстоятельства суд определил верно. А вот вывод сделал совершенно «левый». Сейчас обжалую это решение в Верховном Суде РБ.
Я думаю, что сейчас я буду подавать заявления через сайт МВД, чтобы в полицию сверху спускалось мое заявление и мне письменно об этом сообшалось.И с момента сообщения я уже буду считать сроки и … и снова полицию тащить в суд и снова и снова выливать ведро помоев.»
«Роскомнадзор проверил все мои доводы по передаче персональных данных и вынес определение о передаче всех материалов в отношении ТСЖ (в моем случае) в прокуратуру для принятия мер прокурорского реагирования и рассмотрения вопроса о возбуждении дела об административном правонарушении, ст.13.11 КоАп РФ — нарушение установленного законом порядка сбора, хранения, использования, распространения информации о гражданах (персональных данных). Посмотрим что отпишет прокуратура.»
«Спросите ГЖИ как и на каком основании выдавалась лицензия, какие док-ы были предоставлены. попросите ознакомиться с реестром домов, которыми управляет.»

Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция)

27 июля 2006 года N 152-ФЗ
РОССИЙСКАЯ ФЕДЕРАЦИЯ ФЕДЕРАЛЬНЫЙ ЗАКОН О ПЕРСОНАЛЬНЫХ ДАННЫХ Принят Государственной Думой 8 июля 2006 года Одобрен Советом Федерации 14 июля 2006 года

Список изменяющих документов

(в ред. Федеральных законов от 25.11.2009 N 266-ФЗ, от 27.12.2009 N 363-ФЗ, от 28.06.2010 N 123-ФЗ, от 27.07.2010 N 204-ФЗ, от 27.07.2010 N 227-ФЗ, от 29.11.2010 N 313-ФЗ от 23.12.2010 N 359-ФЗ, от 04.06.2011 N 123-ФЗ, от 25.07.2011 N 261-ФЗ, от 05.04.2013 N 43-ФЗ, от 23.07.2013 N 205-ФЗ, от 21.12.2013 N 363-ФЗ, от 04.06.2014 N 142-ФЗ, от 21.07.2014 N 216-ФЗ, от 21.07.2014 N 242-ФЗ, от 03.07.2016 N 231-ФЗ, от 22.02.2017 N 16-ФЗ, от 01.07.2017 N 148-ФЗ, от 29.07.2017 N 223-ФЗ, от 31.12.2017 N 498-ФЗ) (см. Обзор изменений данного документа)

  • Глава 1. Общие положения
    • Статья 1. Сфера действия настоящего Федерального закона
    • Статья 2. Цель настоящего Федерального закона
    • Статья 3. Основные понятия, используемые в настоящем Федеральном законе
    • Статья 4. Законодательство Российской Федерации в области персональных данных
  • Глава 2. Принципы и условия обработки персональных данных
    • Статья 5. Принципы обработки персональных данных
    • Статья 6. Условия обработки персональных данных
    • Статья 7. Конфиденциальность персональных данных
    • Статья 8. Общедоступные источники персональных данных
    • Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
    • Статья 10. Специальные категории персональных данных
    • Статья 11. Биометрические персональные данные
    • Статья 12. Трансграничная передача персональных данных
    • Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
  • Глава 3. Права субъекта персональных данных
    • Статья 14. Право субъекта персональных данных на доступ к его персональным данным
    • Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
    • Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
    • Статья 17. Право на обжалование действий или бездействия оператора
  • Глава 4. Обязанности оператора
    • Статья 18. Обязанности оператора при сборе персональных данных
    • Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
    • Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
    • Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных
    • Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
    • Статья 22. Уведомление об обработке персональных данных
    • Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях
  • Глава 5. Государственный контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона
    • Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
    • Статья 24. Ответственность за нарушение требований настоящего Федерального закона
  • Глава 6. Заключительные положения
    • Статья 25. Заключительные положения

Открыть полный текст документа

Мифы о 152-ФЗ, которые могут дорого обойтись оператору персональных данных

Всем привет! Я руковожу центром киберзащиты DataLine. К нам приходят заказчики с задачей выполнения требований 152-ФЗ в облаке или на физической инфраструктуре.
Практически в каждом проекте приходится проводить просветительскую работу по развенчанию мифов вокруг этого закона. Я собрал самые частые заблуждения, которые могут дорого обойтись бюджету и нервной системе оператора персональных данных. Сразу оговорюсь, что случаи госконтор (ГИС), имеющих дело с гостайной, КИИ и пр. останутся за рамками этой статьи.

Миф 1. Я поставил антивирус, межсетевой экран, огородил стойки забором. Я же соблюдаю закон?

152-ФЗ – не про защиту систем и серверов, а про защиту персональных данных субъектов. Поэтому соблюдение 152-ФЗ начинается не с антивируса, а с большого количества бумажек и организационных моментов.
Главный проверяющий, Роскомнадзор, будет смотреть не на наличие и состояние технических средств защиты, а на правовые основания для обработки персональных данных (ПДн):

  • с какой целью вы собираете персональные данные;
  • не собираете ли вы их больше, чем нужно для ваших целей;
  • сколько храните персональные данные;
  • есть ли политика обработки персональных данных;
  • собираете ли согласие на обработку ПДн, на трансграничную передачу, на обработку третьими лицами и пр.

Ответы на эти вопросы, а также сами процессы должны быть зафиксированы в соответствующих документах. Вот далеко не полный список того, что нужно подготовить оператору персональных данных:

  • Типовая форма согласия на обработку персональных данных (это те листы, которые мы сейчас подписываем практически везде, где оставляем свои ФИО, паспортные данные).
  • Политика оператора в отношении обработки ПДн ( есть рекомендации по оформлению).
  • Приказ о назначении ответственного за организацию обработки ПДн.
  • Должностная инструкция ответственного за организацию обработки ПДн.
  • Правила внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям закона.
  • Перечень информационных систем персональных данных (ИСПДн).
  • Регламент предоставления доступа субъекта к его ПДн.
  • Регламент расследования инцидентов.
  • Приказ о допуске работников к обработке ПДн.
  • Регламент взаимодействия с регуляторами.
  • Уведомление РКН и пр.
  • Форма поручения обработки ПДн.
  • Модель угроз ИСПДн.

После решения этих вопросов можно приступать к подбору конкретных мер и технических средств. Какие именно понадобятся вам, зависит от систем, условий их работы и актуальных угроз. Но об этом чуть позже.
Реальность: соблюдение закона – это налаживание и соблюдение определенных процессов, в первую очередь, и только во вторую – использование специальных технических средств.

Миф 2. Я храню персональные данные в облаке, дата-центре, соответствующем требованиям 152-ФЗ. Теперь они отвечают за соблюдение закона

Когда вы отдаете на аутсорсинг хранение персональных данных облачному провайдеру или в дата-центр, то вы не перестаете быть оператором персональных данных.
Призовем на помощь определение из закона:
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Источник: статья 3, 152-ФЗ
Из всех этих действий сервис-провайдер отвечает за хранение и уничтожение персональных данных (когда клиент расторгает с ним договор). Все остальное обеспечивает оператор персональных данных. Это значит, что оператор, а не сервис-провайдер, определяет политику обработки персональных данных, получает от своих клиентов подписанные согласия на обработку персональных данных, предотвращает и расследует случаи утечки персональных данных на сторону и так далее.
Следовательно, оператор персональных данных по-прежнему должен собрать документы, которые были перечислены выше, и выполнить организационные и технические меры для защиты своих ИСПДн.
Обычно провайдер помогает оператору тем, что обеспечивает соответствие требованиям закона на уровне инфраструктуры, где будут размещаться ИСПДн оператора: стойки с оборудованием или облако. Он также собирает пакет документов, принимает организационные и технические меры для своего куска инфраструктуры в соответствие с 152-ФЗ.
Некоторые провайдеры помогают с оформлением документов и обеспечением технических средств защиты для самих ИСПДн, т. е. уровня выше инфраструктуры. Оператор тоже может отдать эти задачи на аутсорсинг, но сама ответственность и обязательства по закону никуда не исчезают.
Реальность: обращаясь к услугам провайдера или дата-центра, вы не можете передать ему обязанности оператора персональных данных и избавиться от ответственности. Если провайдер вам это обещает, то он, мягко говоря, лукавит.

Миф 3. Необходимый пакет документов и мер у меня есть. Персональные данные храню у провайдера, который обещает соответствие 152-ФЗ. Все в ажуре?

Да, если вы не забыли подписать поручение. По закону оператор может поручить обработку персональных данных другому лицу, например, тому же сервис-провайдеру. Поручение – это своего рода договор, где перечисляется, что сервис-провайдер может делать с персональными данными оператора.
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом.
Источник: п.3, статья 6, 152-ФЗ
Тут же закрепляется обязанность провайдера соблюдать конфиденциальность персональных данных и обеспечивать их безопасность в соответствии с указанными требованиями:
В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
Источник: п.3, статья 6, 152-ФЗ
За это провайдер несет ответственность перед оператором, а не перед субъектом персональных данных:
В случае если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Источник: 152-ФЗ.
В поручении также важно прописать обязанность обеспечения защиты персональных данных:
Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее – оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее – уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.
Источник: Постановление Правительства РФ от 1 ноября 2012 г. № 1119
Реальность: если отдаете персональные данные провайдеру, то подписывайте поручение. В поручении указывайте требование по обеспечению защиты ПДн субъектов. Иначе вы не соблюдаете закон в части передачи работ обработки персональных данных третьим лицом и провайдер в части соблюдения 152-ФЗ вам ничего не обязан.

Миф 4. За мной шпионит Моссад, или У меня непременно УЗ-1

Некоторые заказчики настойчиво доказывают, что у них ИСПДн уровня защищенности 1 или 2. Чаще всего это не так. Вспомним матчасть, чтобы разобраться, почему так получается.
УЗ, или уровень защищенности, определяет, от чего вы будете защищать персональные данные.
На уровень защищенности влияют следующие моменты:

  • тип персональных данных (специальные, биометрические, общедоступные и иные);
  • кому принадлежат персональные данные – сотрудникам или несотрудникам оператора персданных;
  • количество субъектов персональных данных – более или менее 100 тыс.
  • типы актуальных угроз.

Про типы угроз нам рассказывает Постановление Правительства РФ от 1 ноября 2012 г. № 1119. Вот описание каждого с моим вольным переводом на человеческий язык.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Если вы признаете этот тип угроз актуальным, значит вы свято верите в то, что агенты ЦРУ, МИ-6 или МОССАД разместили в операционной системе закладку, чтобы воровать персональные данные конкретных субъектов именно из ваших ИСПДн.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Если считаете, что угрозы второго типа – это ваш случай, то вы спите и видите, как те же агенты ЦРУ, МИ-6, МОССАД, злобный хакер-одиночка или группировка разместили закладки в каком-нибудь пакете программ для офиса, чтобы охотиться именно за вашими персональными данными. Да, есть сомнительное прикладное ПО типа μTorrent, но можно сделать список разрешенного софта к установке и подписать с пользователями соглашение, не давать пользователям права локальных администраторов и пр.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Вам не подходят угрозы 1 и 2 типов, значит, вам сюда.
С типами угроз разобрались, теперь смотрим, какой же уровень защищенности будет у нашей ИСПДн.

Таблица на основе соответствий, прописанных в Постановлении Правительства РФ от 1 ноября 2012 г. № 1119.
Если мы выбрали третий тип актуальных угроз, то в большинстве случаев у нас будет УЗ-3. Единственное исключение, когда угрозы 1 и 2 типа не актуальны, но уровень защищенности все равно будет высоким (УЗ-2), – это компании, которые обрабатывают специальные персональные данные несотрудников в объеме более 100 000. Например, компании, занимающиеся медицинской диагностикой и оказанием медицинских услуг.
Есть еще УЗ-4, и он встречается в основном у компаний, чей бизнес не связан с обработкой персональных данных несотрудников, т. е. клиентов или подрядчиков, либо базы персональных данных малы.
Почему так важно не переборщить с уровнем защищенности? Все просто: от этого будет зависеть набор мер и средств защиты для обеспечения этого самого уровня защищенности. Чем выше УЗ, тем больше всего надо будет сделать в организационном и техническом плане (читай: тем больше денег и нервов нужно будет потратить).
Вот, например, как меняется набор мер обеспечения безопасности в соответствии с тем же ПП-1119.

Теперь смотрим, как, в зависимости от выбранного уровня защищенности, меняется список необходимых мер в соответствии с Приказом ФСТЭК России № 21 от 18.02.2013 г. К этому документу есть длиннющее приложение, где определяются необходимые меры. Всего их 109, для каждого УЗ определены и отмечены знаком «+» обязательные меры – они как раз и рассчитаны в таблице ниже. Если оставить только те, которые нужны для УЗ-3, то получится 41.

Реальность: если вы не собираете анализы или биометрию клиентов, вы не параноик боитесь закладок в системном и прикладном ПО, то, скорее всего, у вас УЗ-3. Для него предусмотрен вменяемый список организационных и технических мер, которые реально выполнить.

Миф 5. Все средства защиты (СЗИ) персональных данных должны быть сертифицированы ФСТЭК России

Если вы хотите или обязаны провести аттестацию, то скорее всего вам придется использовать сертифицированные средства защиты. Аттестацию будет проводить лицензиат ФСТЭК России, который:

  • заинтересован продать побольше сертифицированных СЗИ;
  • будет бояться отзыва лицензии регулятором, если что-то пойдет не так.

Если аттестация вам не нужна и вы готовы подтвердить выполнение требований иным способом, названным в Приказе ФСТЭК России № 21 «Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных», то сертифицированные СЗИ для вас не обязательны. Постараюсь кратко привести обоснование.
В пункте 2 статьи 19 152-ФЗ говорится о том, что нужно использовать средства защиты, прошедшие в установленном порядке процедуру оценки соответствия:
Обеспечение безопасности персональных данных достигается, в частности:

3)применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
В пункте 13 ПП-1119 также есть требование об использовании средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства:

использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Пункт 4 Приказа ФСТЭК № 21 практически дублирует пункт ПП-1119:
Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.
Что общего у этих формулировок? Правильно – в них нет требования использовать сертифицированные средства защиты. Дело в том, что форм оценки соответствия несколько (добровольная или обязательная сертификация, декларирование соответствия). Сертификация – это лишь одна из них. Оператор может использовать несертифицированные средства, но нужно будет продемонстрировать регулятору при проверке, что для них пройдена процедура оценки соответствия в какой-либо форме.
Если же оператор решает использовать сертифицированные средства защиты, то нужно выбирать СЗИ в соответствие с УЗ, о чем явно указано в Приказе ФСТЭК № 21:
Технические меры защиты персональных данных реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности.
При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:

Пункт 12 Приказа № 21 ФСТЭК России.
Реальность: закон не требует обязательного использования сертифицированных средств защиты.

Миф 6. Мне нужна криптозащита

Тут несколько нюансов:

  1. Многие считают, что криптография обязательна для любых ИСПДн. На самом деле использовать их нужно лишь в случае, если оператор не видит для себя иных мер защиты, кроме как применение криптографии.
  2. Если без криптографии никак, то нужно использовать СКЗИ, сертифицированные ФСБ.
  3. Например, вы решили разместить ИСПДн в облаке сервис-провайдера, но не доверяете ему. Свои опасения вы описываете в модели угроз и нарушителя. У вас ПДн, поэтому вы решили, что криптография – единственный способ защиты: будете шифровать виртуальные машины, строить защищенные каналы посредством криптозащиты. В этом случае придется применять СКЗИ, сертифицированные ФСБ России.
  4. Сертифицированные СКЗИ подбираются в соответствии с определенным уровнем защищенности согласно Приказу № 378 ФСБ.

Для ИСПДн с УЗ-3 можно использовать КС1, КС2, КС3. КС1 – это, например, C-Терра Виртуальный шлюз 4.2 для защиты каналов.
KC2, КС3 представлены только программно-аппаратными комплексами, такими как: ViPNet Coordinator, АПКШ «Континент», С-Терра Шлюз и т. д.
Если у вас УЗ-2 или 1, то вам нужны будут средства криптозащиты класса КВ1, 2 и КА. Это специфические программно-аппаратные комплексы, их сложно эксплуатировать, а характеристики производительности скромные.

Реальность: закон не обязывает использовать СКЗИ, сертифицированные ФСБ.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *