Как хранить и защищать персональные данные
Персональные данные могут храниться в бумажном или электронном виде. Согласно ФЗ № 152, ст. 18.1, п. 1.2, оператор сам определяет способ и фиксирует это в локальных документах (например, базы данных клиентов часто хранят в виртуальном облаке, а информацию о сотрудниках ― в распечатанном виде).
Другое требование ― чтобы базы данных находились на территории РФ. Исключения ― случаи, перечисленные в ФЗ № 152, ст. 18, п. 5.
В том же ФЗ № 152, ст. 5, п. 7 есть общие требования к хранению.
– Хранить данные не дольше, чем нужно для целей обработки, в формате, позволяющем определить субъекта.
– После достижения цели персональные данные уничтожить или обезличить.
Основа правильного хранения персональных данных ― надежная защита. За нее отвечает оператор (ФЗ № 152, ст. 19), даже если передает обработку третьему лицу (тогда нужно заключать договор ― Постановление Правительства № 1119, п. 3).
Для каждой категории персональных данных устанавливаются свои средства защиты. Они зафиксированы в нормативных актах Федеральной службы безопасности Российской Федерации (ФСБ) ― приказ ФСБ России от 10 июля 2014 г. № 378 и Федеральной службы по техническому и экспортному контролю (ФСТЭК) ― приказ ФСТЭК России от 18.02.2013 № 21. ФСБ отвечает за криптографическую защиту данных, а ФСТЭК ― за техническую. Все технические средства для защиты персональных данных должны пройти проверку этих служб.
Всего выделяют четыре уровня защищенности персональных данных. Чтобы определить уровень, нужно знать четыре параметра (Постановление Правительства № 1119):
– Категория персональных данных: 1 ― специальные, 2 ― биометрические, 3 ― общедоступные, 4 ― иные.
– Чьи персональные данные будут обрабатываться: работников организации или других лиц.
– Количество субъектов, данные которых обрабатываются: менее 100 000 и более 100 000.
– Типы актуальных угроз: 1 ― связанные с наличием недокументированных возможностей в системном программном обеспечении; 2 ― связанные с наличием недокументированных возможностей в прикладном программном обеспечении; 3 ― не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении.
К технологии хранения биометрических данных вне информационных систем есть особые требования.
Зная эти параметры, можно рассчитать уровень защищенности персональных данных по калькулятору ФСТЭК. Система выдаст перечень мер для защиты информации. Но: нужно точно знать все параметры, иначе калькулятор определит уровень неправильно. Чтобы не ошибиться, стоит обратиться к специалисту по информационной безопасности.