Фото: ТАСС/Максим Шеметов
28 января в мире отмечается Международный день защиты персональных данных.
Как защищают наши с вами истории болезней, кто украл базу данных ФСКН и что делать, если личные сведения попали в Сеть, выяснило M24.ru.
Что такое "персональные данные" и как их должны охранять
Персональные данные
Это любая информация, относящаяся к прямо или косвенно к определенному физическому лицу: фамилия, имя и отчество, адрес, место работы, религиозные взгляды и прочее.В соответствии с законом "О защите персональных данных", ответственность за обработку и сохранение несут операторы - государственные или частные компании, для работы которых необходимы эти сведения, например, поликлиники или органы власти.
За незаконное распространение персональных данных предусмотрена ответственность вплоть до уголовной по статьям "Нарушение неприкосновенности частной жизни", "Разглашение тайны усыновления (удочерения)", "Халатность" и "Неправомерный доступ к компьютерной информации".
Как рассказал M24.ru глава компании Group-IB Илья Сачков, личные сведения делятся на несколько классов.
- Обезличенные и общедоступные персональные данные (четвертый класс) - фамилия, имя и отчество;
- Сведения, позволяющие идентифицировать человека (третий класс) - адрес;
- Информация, позволяющая идентифицировать человека и получить о нем сведения (второй класс) - работа, хобби и прочее;
- Данные, касающиеся национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья и интимной жизни (первый класс).
В зависимости от класса (кроме четвертого) операторы информации должны принимать соответствующие охранные меры: для третьего и второго классов это использование антивируса, защита от несанкционированного доступа, анализ защищенности системы, содержащей личную информацию, системы обнаружения вторжения и межсетевое экранирование (файервол)
Для первого класса помимо вышеперечисленного необходима подсистема криптографической защиты информации, которая не даст злоумышленнику расшифровать полученные сведения.
Также существуют общие требования к операторам персональных данных:
- Четвертый класс: Обеспечение безопасности помещений, где хранятся данные; сохранность носителей информации; ограниченное число тех, кто может получить сведения;
- Третий класс: Все вышеперечисленное плюс назначение ответственного за безопасность сведений;
- Второй класс: Все вышеперечисленное плюс ограничение доступа к электронному журналу сообщений;
- Первый класс: Все вышеперечисленное плюс автоматическая регистрация изменения полномочий сотрудников и создание подразделения, ответственного за хранение данных.
Степень защиты информации проверяет ФСБ, Роскомнадзор и ФСТЭК (Федеральная служба по техническому и экспортному контролю). Последнее ведомство, кстати, сертифицирует хранилища сведений, без такого разрешения обрабатывать данные нельзя.
Стоит отметить, что все защитные меры характерны для распределенных баз данных – сетей, в которые объединены несколько компьютеров. Еще есть локальные базы - допустим, в магазине на одном ПК. У них уровень защиты ниже, ведь к таким базам сложнее подобраться.
Илья Сачков отметил, что помимо стандартных средств защиты, прописанных в законе, компании и ведомства применяют дополнительные – например, "маркеры", благодаря которым можно отследить, кто и зачем заходил в базу данных.
Фото: ТАСС/Михаил Мордасов
Также хранилище могут отключить от Сети (чтобы хакер не смог его взломать), разграничить права доступа (чтобы один пользователь не мог выполнить несколько операций подряд) и включить логирование всех действий ("журнал" в базе данных, в который записываются все действия).
Можно ли украсть личные данные?
Несмотря на все меры, которые принимаются для защиты, нередко случаются утечки. Например, недавно появилась информация о продаже базы данных ФСКН, включающей в себя сведения об информаторах.
"Безусловно, кража данных ФСКН – это серьезный удар по ведомству, на карту ставится следственная работа, жизнь и здоровье людей", - сказал глава Group-IB. Он отметил, что похитить такие сведения могут двумя путями:
- Данные взял кто-то из сотрудников. К сожалению, это частый метод. По словам Сачкова, сведения могут красть по заказу наркокартелей и просто ОПГ.
- Компьютер, где хранились сведения, взломал хакер. "Если речь идет о киберпреступности, то тут действовали хакеры средней руки. Возможно, что это было хулиганство, а атака была совершена с целью "заявить о себе", - сказал Сачков.
Собеседник издания отметил, что найти тех, кто украл сведения у ФСКН, несложно. "Личные данные воровали и сто лет назад, и тогда находили преступников, хотя они почти не оставляли следов. Сейчас установить, кто тут был и что делал, гораздо проще", - подчеркнул Сачков.
Кто имеет право обрабатывать мои данные и как их удалить, если я не давал согласия?
Обрабатывать без согласия человека его персональные данные и размещать их могут государственные органы, да и то в определенных случаях, например: ФССП, судебные органы при опубликовании решений суда, полиция при розыске.
Ссылки по теме
- Владимир Путин подписал закон о запрете хранения данных россиян за рубежом
- Российские онлайн-счета атаковал новый вирус
- Не скачивать и не сохранять: как спасти смартфон от взлома
Кроме того, фамилия и имя человека есть в телефонных справочниках, или "желтых страницах". Но, как рассказал M24.ru юрист Правовед.ru Александр Самарин, можно потребовать убрать свои данные из списка.
Если где-то без согласия человека были опубликованы его персональные данные, это повод обратиться в суд или в Роскомнадзор с просьбой убрать сведения. В том случае, если согласие все-таки было (например, подписанное по незнанию соглашение), необходимо обратиться с письмом к организации, обрабатывающей данные.
Еще один юрист портала Правовед.ру Татьяна Гусева отметила, что использовать личные сведения можно в том случае, если сам владелец сделал их общедоступными. Также она отметила, что использование персональных данных возможно в том случае, если их субъекту угрожает опасность.
Какие меры для защиты персональных данных россиян предпринимает государство?
31 декабря 2014 года Владимир Путин подписал закон, обязывающий хранить персональные данные россиян только на отечественных серверах. Закон вступит в силу с 1 сентября 2015 года.
В первую очередь закон коснется социальных сетей и почтовых сервисов, которые при регистрации запрашивают контактные и личные данные россиян. К персональным данным отнесут, в частности, адреса электронной почты и личную переписку. Сайты-нарушители будут занесены в "черный список" Роскомнадзора. Этим списком станет специально созданный "Реестр нарушителей прав субъектов персональных данных".
Законопроект также наделяет Роскомнадзор правом блокировать сайты, на которых содержатся персональные данные граждан, полученные с нарушением законодательства. Таким образом, Facebook, Twitter, Instagram и ряд других компаний фактически обяжут создавать хранилища данных на территории России.
Закон обязывает не только хранить персональные данные россиян на территории РФ, но и указывать сведения о месте расположения таких баз данных. Кроме того, документ наделяет Роскомнадзор правом на основании решения суда ограничивать доступ к информации, обрабатываемой с нарушением законодательства РФ в области персональных данных. Закон также предлагает создание так называемых "черных списков" сайтов-нарушителей - автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных".
Авторы законопроекта заявляли, что эта мера поможет более эффективно защищать права граждан России в части сохранности персональных данных и соблюдении тайны переписки. В Госдуме заявляли, что компании, у которых после вступления закона в силу не будет собственных хранилищ персональных данных россиян на территории РФ, смогут арендовать их.
Сергей Блохин