Защита персональных данных: требования законодательства и способы защиты от утечек

Вопрос защиты персональных данных уже много лет не теряет актуальности, при этом с каждым годом количество утечек не уменьшается. Согласно сведениям «РИА Новости» со ссылкой на Роскомнадзор, в 2024 году было выявлено 135 эпизодов утечки баз данных, включавших свыше 710 млн записей с информацией о гражданах России. Крупнейшая утечка данных произошла в феврале прошлого (2024) года, когда в интернет попала база объемом около 500 млн строк с подробностями о жителях страны.

Персональные данные: понятие и категории

Персональные данные представляют собой совокупность информации, позволяющей установить личность физического лица прямым или косвенным способом. К ним относятся различные сведения, используемые организациями и государственными органами для взаимодействия с гражданами. В том числе:

• Имя, фамилия и отчество.
• Дата и место рождения.
• Место жительства и контактная информация.
• Семейное положение и профессия.
• Серийный номер паспорта и ИНН.
• Номер банковской карты и прочие платежные реквизиты.
• Биометрия, такая как фотографии, голос и отпечатки пальцев.
• Информация о состоянии здоровья и особенностях организма.

Перечень персональных данных можно найти на сайте Роскомнадзора, кликнув на «Перейти к форме».

Прокрутив вниз, находим «Категории персональных данных»

Законодательство России четко определяет порядок сбора, обработки и передачи персональных данных, устанавливая правовые рамки для организаций и государственных учреждений. Важнейшими категориями персональных данных (ПДн) являются:

• Общедоступные ПДн — сведения, которые могут публиковаться в справочниках или других документах по согласию человека. К таким персональным данным можно отнести имя, фамилию, номер телефона и другие.
• Специальная категория ПДн — сведения, которые, как правило, находятся в закрытом доступе. Их можно узнать либо у непосредственно самого человека, либо направив официальный запрос в организацию, где хранятся эти данные (полиция, суд, больница и т.д.). К таким данным можно отнести: расу, вероисповедание, семейное положение, наличие судимости и другое.
• Биометрические ПДн — уникальные данные человека, позволяющие однозначно его идентифицировать. К ним относятся отпечатки пальцев, скан радужки глаза, генетический код и др.
• Иные ПДн — сюда включают все виды данных, которые не относятся к первым трем видам.

Российское законодательство о защите персональных данных

Полный список всех нормативных правовых актов в области персональных данных можно посмотреть на сайте Роскомнадзора.

Комплекс требований по защите персональных данных закреплен Федеральным Законом №152-ФЗ «О персональных данных». Этот акт регулирует деятельность юридических лиц и обязует соблюдать установленные нормы при сборе, хранении и передаче частных сведений граждан.

Любые операции с персональными данными требуют предварительного согласия владельца информации, за исключением отдельных обстоятельств, установленных законодательными нормами. Гражданин вправе ограничить использование своих данных, отозвав данное ранее разрешение.

Правильное понимание особенностей и значения персональных данных позволяет людям обезопасить свою личную информацию, снижая вероятность попадания данных в чужие руки и минимизируя негативные последствия возможных нарушений приватности.

Закон состоит из трех важнейших компонентов: права физических лиц (субъектов данных); обязанности организаций (операторов данных); ответственность за нарушение закона.

Права физических лиц (субъектов данных)

• Возможность давать согласие на обработку своих данных.
• Право знакомиться с имеющейся информацией о себе.
• Возможность требовать исправления недостоверных данных.

Обязанности организаций (операторов данных)

• Обязанность внедрять технические и организационные меры защиты информации.
• Требование назначить ответственных за выполнение нормативных требований.
• Регистрация в реестре операторов персональных данных.

Ответственность за нарушение закона

• Штрафы, достигающие десятков миллионов рублей.
• Наложение санкций вплоть до временной остановки деятельности предприятия.
• Уголовная ответственность для лиц, совершивших правонарушение.

Сотрудничество между физическими лицами и операторами должно осуществляться в строгих правовых рамках, установленных российским законодательством.

Начиная с конца мая 2025 года, в российском Кодексе административных правонарушений появятся поправки, ужесточающие меры ответственности операторов, виновных в разглашении частной информации граждан либо нарушении правил информирования контролирующих органов. Нарушители теперь рискуют столкнуться с многомиллионными санкциями.

Так, если в результате деятельности или бездействия организации незаконно распространится информация о тысяче и более гражданах, должностные лица понесут наказание в виде штрафа от 200 тыс. до 400 тыс. рублей, а юридическим лицам и индивидуальным предпринимателям придется выплатить от 3 до 5 млн рублей.

Особое внимание уделено утечкам особых видов данных, таких как медицинские сведения: штрафы за такие проступки увеличены вплоть до 15 млн рублей. Помимо прочего, введена административная ответственность за невыполнение обязанности сообщать о фактах утечки данных (штраф до 3 млн рублей), задержку или полный отказ подачи уведомлений о начале обработки данных (до 300 тыс. рублей), а также дискриминационные действия в отношении тех, кто отказывается сдавать биометрические показатели (штраф до 0,5 млн рублей).

Подробней обо всех изменениях вы можете узнать здесь:

Основные угрозы и риски, связанные с нарушением конфиденциальности персональных данных

Современные технологии позволяют накапливать, хранить, обрабатывать и обмениваться данными, тем самым создавая условия для многочисленных угроз и рисков, направленных на нарушение конфиденциальности.

Наиболее распространенными причинами утечек персональных данных являются: 

• Киберпреступления и мошенничество.
• Утечки данных из-за слабых паролей.

Подробно о кибербезопасности можно узнать в статье «Кибербезопасность от А до Я», а о защите данных — в статье «Защита данных и информации: методы, практика, стандарты и законы».

Здесь же мы приведем описания угроз, повышающих риск утечки непосредственно персональных данных.

Киберпреступления и мошенничество

Одними из распространенных способов хищения персональных данных являются социальная инженерия и фишинг.

Социальная инженерия — использует человеческие эмоции и доверие для получения нужной информации. Искусственно создается ситуация, когда жертва добровольно раскрывает секретные данные. Например, звонки от псевдосотрудника службы поддержки, утверждающего, что произошел сбой системы и необходимы повторные данные для восстановления аккаунта.

Фишинг использует все те же методы социальной инженерии — злоумышленники маскируются под доверенное лицо или организацию, отправляя письма или сообщения с целью обмануть жертву и заставить ее раскрыть конфиденциальную информацию. Например, поддельные электронные письма от якобы банка или сервиса доставки с просьбой подтвердить учетные данные или перейти по ссылке на фейковый ресурс, где происходит перехват введенной информации.

Еще одна опасность — атаки с использованием вирусов-шпионов. Пользователь скачивает зараженный файл или открывает вредоносное вложение, после чего программа-шпион получает доступ ко всей информации на устройстве жертвы, включая логины, пароли, файлы и финансовую информацию. Часто подобные инструменты используются преступниками для дальнейшего вымогательства денежных средств путем блокировки файлов или шифрования данных.

Утечки данных из-за слабых паролей

Одна из крупнейших ошибок пользователей интернета — выбор простых и легко угадываемых паролей. Большинство людей используют одни и те же комбинации символов для разных платформ, делая свои аккаунты особенно уязвимыми. Атаковав одну систему, злоумышленники получают ключ к множеству ресурсов сразу.

Использование одинаковых комбинаций многократно увеличивает риск успешной атаки. В частности, хакеры применяют метод перебора (brute force attack), используя автоматизированные скрипты, которые быстро проверяют сотни тысяч вариантов паролей одновременно. Простота подбора делает слабые пароли настоящей находкой для киберпреступников.

Еще одной ошибкой является пренебрежение рекомендациями периодически менять пароли. Если однажды пароль попал в базу хакера, постоянная смена ключа усложняет дальнейшие попытки проникновения.

Решением данной проблемы является внедрение сложных многоуровневых паролей, состоящих из букв разного регистра, цифр и специальных символов. Современные браузеры предлагают встроенную генерацию надежных ключей, упрощающую процесс создания уникальных кодов доступа.

Чтобы защититься от указанных угроз, эксперты рекомендуют следовать простым правилам:

• Использовать надежные пароли и избегать повторного использования одних и тех же комбинаций.
• Включить двухфакторную аутентификацию везде, где это доступно.
• Устанавливать обновления операционной системы и приложений своевременно.
• Избегать публичных сетей Wi-Fi или использовать VPN-сервисы для дополнительной защиты.

Больше о методах и технологиях защиты данных и информации.

Больше о том, как повысить уровень защищенности информации и данных.

Уровни защиты персональных данных

Уровни защищенности ПДн зависят от сочетания различных факторов: 

• Категории ПДн.
• Актуальные угрозы.
• Тип взаимодействия с субъектами персональных данных (например, сотрудники, клиенты).
• Объем персональных данных, которые обрабатываются в информационной системе (до или более 100 тыс. человек).

Согласно Постановлению Правительства РФ № 1119 от 01.11.2012 выделяют 4 уровня защищенности персональных данных. Определить, какой из них требуется, можно по таблице «Определение уровня защищенности персональных данных согласно ПП РФ №1119».

Заключение

Эффективная защита персональных данных достигается благодаря комплексному подходу, включающему соблюдение нормативно-правовых актов, развитие технической инфраструктуры, регулярное обучение сотрудников и формирование культуры цифровой грамотности. 

Обеспечить все это можно с помощью компаний, профессионально занимающихся услугами в сфере защиты данных и, в частности, персональных:

• Аудит ИТ-инфраструктуры помогает проверить соответствие компании или организации требованиям законодательства, в том числе в части защиты персональных данных и застраховать собственную ответственность в случае возникновения инцидентов.
• Сервисы по защите персональных данных помогают правильно организовать информационную систему компании.
• Учебные центры помогут организовать обучение сотрудников необходимым навыкам и умениям, позволяющим в дальнейшем обеспечить сохранность и надлежащую защиту персональных данных.