Категории персональных данных
Содержание:
- Персональные данные
- Статья 10. Специальные категории персональных данных
- Голосовые сведения
- Радужная оболочка глаза
- Актуальные задачи и перспективы
- Общее понятие
- Контроль и надзор за выполнением требований закона
- Практическое применение
- 1 ОБЩИЕ ПОЛОЖЕНИЯ
- Пример 2. Удаленный доступ к ресурсам ИСПДн
- Описание решения С-Терра
- Как быть, если отсутствует однозначность определений
- Краткая справка из законодательства
- Требования при трудоустройстве
- Новый европейский регламент GDPR
- Уровни защищенности ИСПДн
Персональные данные
Персональные сведения — существенная информация, относящаяся к конкретному лицу.
Персональная информация:
- ФИО конкретного лица.
- Полные год, месяц, а также полная дата рождения.
- Адрес подобного физического лица, а также положения в семье и в обществе.
- Образование подобного лица, основная профессия и уровень доходов.
- Другая информация, которая содержится в действующем на территории страны федеральном законодательстве.
К другой информации относятся нижеперечисленные данные:
- Паспортные данные физического лица.
- Разнообразные финансовые ведомости.
- Медицинская карта человека.
- Биометрия.
- Иная информация, которая, так или иначе, носит какой-либо идентифицирующий характер.
Общедоступные источники предоставления информации:
- Адресные книги.
- Всевозможные списки.
- Иное обеспечение.
В подобные источники включается информация о конкретном лице, но сведения о человеке вносятся только с письменного согласия самого лица.
Для внесения требуются данные:
- ФИО человека.
- Год и точное место рождения.
- Полный адрес регистрации или же прописки.
- Абонентский номер конкретного гражданина.
- Иная информация, которую согласен предоставить человек.
Иные данные относятся к специализированной категории ограниченного доступа.
По этой причине сведения должны быть надежно защищены действующим на территории нашей страны законом.
При проведении формирования требований по безопасности систем, данные подразделяются сразу на четыре категории.
Статья 10. Специальные категории персональных данных
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
- субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
- обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
- обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
- обработка персональных данных необходима в связи с осуществлением правосудия;
- обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
Голосовые сведения
Эти сведения находят свое применение при удаленном обслуживании, например, в контакт-центре либо голосовом меню банковского учреждения, но не всегда являются точными. Связано это, прежде всего, с возрастными изменениями, заболеваниями человека либо наличием шумов вокруг него в момент идентификации.
Работает эта технология так: человек совершает звонок в контакт-центр, где его просят назвать какой-либо пароль либо ответить на вопрос, связанный с безопасностью входа (адрес, девичью фамилию матери, прочее). Таким образом, проверяются не знания звонящего, а его личность, удостовериться в которой иным способом при телефонном обслуживании не представляется возможным.
Такая процедура не требует наличия специальных сканеров и умений. Достаточно мобильного либо стационарного телефона (диктофона) с встроенным в него микрофоном.
Радужная оболочка глаза
Не менее эффективной и надежной биометрической технологией является идентификация по радужной оболочке глаза, которая также является у человека неизменной на протяжении всей жизни.
На процесс получения изображения не влияет ни ранее произведенная операция по удалению катаракты, ни вживление имплантатов роговицы, ни применение контактных линз (в том числе цветных), ни тот факт, что человек является слепым.
Пока глаз не лишен радужной оболочки, по структуре напоминающей сеть с множеством окружающих кругов, его владельца компьютер может легко идентифицировать.
Сегодня на смену навязчивым инфракрасным лучам и яркому свету пришла черно-белая камера, которая может делать порядка тридцати записей в секунду. Радужная оболочка освещается с помощью еле различимого света, что позволяет камере точно сфокусироваться.
Затем эти записи оцифровываются и сохраняются в базе данных. Вся процедура занимает лишь несколько секунд, в течение которых она может быть полностью компьютеризирована посредством голосового указания либо автофокусировки.
Актуальные задачи и перспективы
Если этап сбора биометрических сведений сегодня не представляет большой проблемы, вопрос создания, постоянного обновления и обслуживания единой базы данных пока пребывает в подвешенном состоянии, являясь одновременно одной из актуальных задач.
Кроме того, остается неразрешенным вопрос, связанный с правовым регулированием доступа к информации такого рода и передачей ее третьим лицам, несмотря на принятие в 2006 году 152-го Федерального закона. Здесь, хотя и говорится о рассматриваемых сведениях, четких инструкций относительно правил хранения и последующей передачи, равно как и контроля над этим процессом, а также снижения человеческого фактора до минимума, пока нет.
Тем не менее, технологии, в основе которых лежат биометрические сведения, продолжают развиваться.
К личности человека может привязываться любая информация, связанная с различными устойчивыми параметрами. Это позволит не только отказаться от бумажной волокиты, но и забыть про такое понятие, как «ключ» в привычном его понимании.
Общее понятие
Персональные данные
Для определения личности человека достаточно одного или нескольких сведений, персональные данные (ПД) имеют конфиденциальный характер, и при обработке оператором это требование обязано соблюдаться.
В качестве оператора могут выступать органы государственной и муниципальной власти, организации и даже обычные люди. Например, при создании сайта, для регистрации требуется введение какой-то запрашиваемой информации: номера телефона, имени или почтовый адрес. Владелец этого ресурса получает к ней доступ и несет законодательную ответственность за сохранение ее в тайне.
Виды персональных данных:
- Специальные сведения
- Общедоступные сведения
- Биометрические сведения
- Иные сведения
Контроль и надзор за выполнением требований закона
За выполнением требований законодательства следит Роскомнадзор.
Роскомнадзор имеет право на:
- Запрос у лиц информации, требующейся для грамотного контроля.
- Проверка сведений, которые содержатся в предоставляемых уведомлениях.
- Требование от действующего оператора уточняющей информации.
- Блокирование или полное уничтожение предоставленных сведений, полученных каким-либо незаконным путем.
- Принятие мер по приостановке или полному прекращению процедуры обработки сведений.
- Обращение в суд для защиты прав субъектов.
- Направление в прокуратуру или в другой уполномоченный орган материалов, необходимых для возбуждения уголовного дела из-за нарушения процедуры обработки личных данных.
- Внесение в действующее Правительство предложений, которые направлены исключительно на совершенствование регулирования процедуры обработки внесенных данных.
- Привлечение к установленной ответственности лиц, которые виновны в нарушении законодательства, регулирующего вопросы обработки информации о лице.
Практическое применение
Применение биометрических технологий сегодня затрагивает многие области, связанные с обеспечением безопасности при получении доступа к информации (рабочим местам, материальным объектам, сетевым ресурсам) и решением задач, основанных на идентификации личности.
Это такие сферы, как безопасность банковских обращений (инвестирование, иные финансовые перемещения), розничная торговля, охрана правопорядка, социальные услуги, охрана здоровья.
На современном этапе работа с биометрическими сведениями может осуществляться для выдачи паспорта либо визы для заграничной поездки. Кроме того, эти сведения используются большинством современных телефонов, планшетов и компьютеров для разблокировки устройства, например, путем считывания отпечатков пальцев либо распознавания лица.
Ожидается, что в ближайшем будущем, биометрические технологии будут охватывать не только все сферы экономики, где требуется решение вопросов персональной идентификации, но и частной жизни.
1 ОБЩИЕ ПОЛОЖЕНИЯ
Политика оператора в отношении обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006. №152-ФЗ «О персональных данных» (далее – ФЗ-152).
Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ООО «РУСШТРАФЫ» (далее – Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
В Политике используются следующие основные понятия:
персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных ПДн, и обеспечивающих их обработку информационных технологий и технических средств;
автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники;
блокирование ПДн — временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
обезличивание ПДн — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность ПДн конкретному субъекту ПДн;
обработка ПДн — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с персональными данными;
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);
предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
распространение ПДн — действия, направленные на раскрытие ПДн неопределенному кругу лиц (передача ПДн) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
трансграничная передача ПДн — передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
уничтожение ПДн — действия, в результате которых невозможно восстановить содержание ПДн в ИСПДн и (или) результате которых уничтожаются материальные носители ПДн.
Компания обязана опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике оператора в отношении обработки ПДн в соответствии с ч. 2 ст. 18.1. ФЗ‑152.
Пример 2. Удаленный доступ к ресурсам ИСПДн
ЗАДАЧА: Защитить ПДн при их передаче через недоверенную сеть в соответствии с законодательством. В организации развернута база данных, содержащая ПДн, к которой необходим доступ 10 сотрудникам, работающим удаленно. Сотрудники используют ноутбуки с ОС Windows (5 рабочих мест), планшеты с разными операционными системами: Android, iOS и др. Резервирование оборудования не требуется. Класс защиты СКЗИ – КС1.
Состав продуктов:
| Центральный офис | Удалённые пользователи |
|---|---|
|
1 x С-Терра Шлюз С-Терра КП на 10 VPN-устройств |
5 х С-Терра Клиент 5 х С-Терра Юнит |
| либо | |
|
1 х С-Терра Виртуальный Шлюз С-Терра КП на 10 VPN-устройств |
Решение базируется на продуктах С-Терра Шлюз, С-Терра Клиент и С-Терра Юнит. В центральном офисе устанавливается шлюз безопасности С-Терра Шлюз (на аппаратной платформе или в виртуальном исполнении), к которому будут осуществляться все клиентские подключения, и С‑Терра КП.
Удаленным пользователям на рабочие места с ОС Windows устанавливаются дистрибутивы С‑Терра Клиент. Реализована поддержка всех актуальных версий Windows. Клиенты могут использовать любой подходящий вариант подключения (Ethernet, Wi-fi, 4G-модем).
Удаленным пользователям к мобильным устройствам для взаимодействия с ИСПДн подключается С‑Терра Юнит – специализированный персональный шлюз безопасности. Он очень компактен и не зависит от операционной системы устройства, трафик которого защищает. По умолчанию поддерживаются как проводные, так и беспроводные (WiFi, 3G/4G) каналы связи. Скорость шифрования устройства составляет до 10 Мбит/с. Данной пропускной способности достаточно для обеспечения корректной работы телефонов, ноутбуков, планшетов, промышленных контроллеров и других типов устройств.
1 Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
2 Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
3 Приказ ФСБ России от 10.07.2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»
Описание решения С-Терра
Продукты компании С-Терра, сертифицированные регуляторами – ФСБ России и ФСТЭК России, позволяют обеспечить защиту персональных данных в ИСПДн любого уровня защищенности.
Таблица 2. Применение продуктов С-Терра для защиты ПДн разных УЗ
| Область применения | Продукт | УЗ-1 | УЗ-2 | УЗ-3 | УЗ-4 |
|---|---|---|---|---|---|
| Криптографическая защита удаленного доступа к ресурсам ИС |
C-Терра Шлюз, С-Терра Юнит, С-Терра Виртуальный Шлюз, С-Терра CSCO-STVM, С-Терра Клиент, С-Терра Клиент А |
– | + | + | + |
| Межсетевое экранирование | C-Терра Шлюз, С-Терра Виртуальный Шлюз, С-Терра CSCO-STVM, С-Терра Клиент | + | + | + | + |
| Защита от вторжений | С-Терра СОВ | + | + | + | + |
Как быть, если отсутствует однозначность определений
В таком случае следует обратиться к научно-практическому комментарию Роскомнадзора, который рекомендует использовать следующий подход:
Если совокупность данных необходима и достаточна для идентификации лица, эти данные следует считать персональными, даже если они не содержат никаких документов, удостоверяющих личность. Если же без дополнительной информации установить конкретное лицо, к которому относятся персональные данные, невозможно, их нельзя считать персональными данными.
Для лучшего понимания ситуации рассмотрим пример:
Иванов Иван Иванович |
Иванов Иван Иванович, |
Иванов Иван Иванович — сочетание этих трех слов не является персональными данными, ведь если мы не знаем человека и не имеем о нем дополнительных сведений, невозможно определить, что это за личность. Если же говорить об Иванове Иване Ивановиче, менеджере по развитию в группе компаний «ИТ-ГРАД» — эти данные относятся к ПДн, поскольку явно определяют сотрудника, о котором идет речь.
Краткая справка из законодательства
После множества переносов 1 января 2011 года вступил в силу Федеральный закон от 27.07.2006 года №152 «О персональных данных» и начали действовать санкции за неисполнение требований (административная и уголовная ответственность). Основная цель закона – защитить права и свободы граждан при обработке личной информации, в том числе право на неприкосновенность частной жизни, личную и семейную тайну.
Федеральный закон обязал операторов персональных данных «принимать необходимые организационные и технические меры для защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». Для обеспечения реализации положений Федерального закона выпущены следующие документы:
- Постановление Правительства РФ от 01.11.2012 г. № 1119, которое определяет классификацию ИСПДн, возможных угроз и уровней защищенности ПДн;
- Приказ ФСТЭК России от 18.02.2013 г. № 21, определяющий перечень мер защиты, которые должны быть реализованы в зависимости от уровня защищенности ИСПДн для нейтрализации актуальных угроз, а также требования к сертификации применяемых средств защиты информации.
- Приказ ФСБ России от 10.07.2014 г. № 378, определяющий состав организационных и технических мер, которые необходимо реализовывать при применении в ИСПДн средств криптографической защиты информации. Документ также содержит требования к классу защиты СКЗИ в зависимости от уровня защищенности ПДн.
Определено 4 группы обрабатываемых ПДн:
| 1 группа — | специальные категории ПДн, к которым относится информация о национальной и расовой принадлежности субъекта, о религиозных, философских, либо политических убеждениях, информация о здоровье и интимной жизни субъекта; |
| 2 группа — | биометрические ПДн, данные, характеризующие биологические или физиологические особенности субъекта, например фотография или отпечатки пальцев; |
| 3 группа — | общедоступные ПДн, сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом; |
| 4 группа — | иные категории ПДн, не представленные в предыдущих группах. |
Под актуальными угрозами безопасности ПДн понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПДн при их обработке в ИС, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия.
Угрозы подразделяются на 3 типа:
| 1 тип — | Актуальны для ИС, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в СПО, используемом в ИС. |
| 2 тип — | Актуальны для ИС, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в ППО, используемом в ИС. |
| 3 тип — | Актуальны для ИС, если для нее актуальны угрозы, не связанные с наличием НДВ. |
Определено 4 уровня защищённости (УЗ) персональных данных (представлены в таблице 1), различающихся перечнем необходимых к выполнению требований и устанавливаемых в зависимости от категории обрабатываемых персональных данных, типа актуальных угроз и числа субъектов персональных данных.
Таблица 1. Уровни защищенности (УЗ) персональных данных
| Тип ИС | Сотрудники оператора | Кол-во субъектов | Тип актуальных угроз | ||
|---|---|---|---|---|---|
| 1 | 2 | 3 | |||
|
ИСПДн-С Специальные |
нет | >100 000 | УЗ-1 | УЗ-1 | УЗ-2 |
| нет | УЗ-1 | УЗ-2 | УЗ-3 | ||
| да | Любое | ||||
|
ИСПДн-Б Биометрические |
да/нет | Любое | УЗ-1 | УЗ-2 | УЗ-3 |
|
ИСПДн-И Иные |
нет | >100 000 | УЗ-1 | УЗ-2 | УЗ-3 |
| нет | УЗ-2 | УЗ-3 | УЗ-4 | ||
| да | Любое | ||||
|
ИСПДн-О Общедоступные |
нет | >100 000 | УЗ-2 | УЗ-2 | УЗ-4 |
| нет | УЗ-2 | УЗ-3 | УЗ-4 | ||
| да | Любое | УЗ-2 | УЗ-3 | УЗ-4 |
Требования при трудоустройстве
Не у каждого человека получится работать в подразделении по делам несовершеннолетних из-за множества спорных моментов и нюансов. К кандидатам на должность инспектора предъявляются следующие требования:
- наличие профильного образования;
- российское гражданство;
- обладание военным билетом;
- неимение судимости;
- отсутствие близких родственников с судимостью.
Занять свободную вакансию сложно. Претенденту необходимо хорошо разбираться в правовой и социальной области. Будущий инспектор ПДН должен уметь нестандартно подходить к детям, проявлять гибкость, слушать и слышать каждого ребенка.
За службу в полиции государство хорошо поощряет. Кроме высокой заработной платы, сотрудники получают надбавку за стаж. Им предоставляется льготный санаторный отдых, бесплатное обмундирование и медицинские гарантии.
Новый европейский регламент GDPR
Правила, устанавливаемые относительно персональных данных на уровне закона, — не только российская тенденция. Так, 25 мая этого года вступает в силу новый европейский регламент GDPR (General Data Protection Regulation) — большой, сложный и подробный закон
И, в частности, 30 пункт преамбулы к закону обращает внимание на то, что к персональным данным относятся онлайн-идентификаторы, поскольку они ассоциируются с конкретными физическими лицами, к которым относятся адреса интернет-протоколов (IP-адреса), идентификаторы cookies и другие следы, радиочастотные метки, предпочтения по выбору сайта и так далее
В соответствии с новым европейским регламентом (как и с трактовкой российского регулятора) онлайн-идентификаторы позволяют идентифицировать конкретного интернет-пользователя. В целом же стоит признать, что однозначно определить персональные данные в полном объеме мы не можем, поскольку многие аспекты зависят от соответствующего контекста и контента.
Уровни защищенности ИСПДн
Всего существует четыре уровня защищенности (УЗ) ПД.
УЗ-1 устанавливается:
- если существуют угрозы I типа и информсистема работает со специальными, биометрическими или иными категориями ПД;
- если существуют угрозы II типа и информсистема работает со специальными категориями ПД свыше 100 тысяч граждан.
УЗ-2 устанавливается при угрозах типов:
- I и работе с общедоступными личными данными;
- II и работе с личными данными служащих оператора или при работе со специальной категорией ниже 100 тысяч человек;
- II и работе с использованием биометрических личных данных;
- II и обработке общедоступных личных данных при количестве от 100 тысяч человек (без персонала оператора);
- II и работе с другими видами ПД с количеством от 100 тысяч человек (без учета работников оператора);
- III и работе со специальной категорией более чем 100 тысяч человек (не считая персонала оператора).
УЗ-3 устанавливается при наличии угроз следующих типов:
- II, включая работу с ПД общедоступного характера с количеством людей до 100 тысяч человек;
- II с работой с другими категориями до 100 тысяч человек;
- III с обработкой специальных категорий до 100 тысяч человек;
- III с использованием биометрических ПД;
- III с работой с другими категориями, превышающими 100 тысяч человек (кроме персонала оператора).
УЗ-4 устанавливается при угрозах:
- III типа и работе с общедоступной информацией;
- III типа и обработке других категорий меньше 100 тысяч человек.
