Профилактика нарушений обязательных требований в области персональных данных предприятий ТЭК

Введение

В условиях цифровой трансформации и развития информационных технологий предприятия топливно-энергетического комплекса (далее - ТЭК) становятся одной из главных мишеней для киберпреступников, что обусловлено, в том числе, стратегической значимостью данных, которыми располагают предприятия ТЭК, в частности, персональными данными сотрудников и клиентов. Возможная утечка может привести не только к финансовым и репутационным потерям, но и создать угрозу национальной безопасности страны.
Особую значимость вопрос защиты персональных данных приобретает в условиях ужесточения государственного контроля и регулирования, введения новых более строгих требований к обеспечению информационной безопасности. Очевидным является тот факт, что принимаемые превентивные меры по защите персональных данных должны не только минимизировать риск возможной утечки, но и обеспечить стабильную работу предприятий ТЭК.
Защита персональных данных в организациях ТЭК имеет особую значимость, во – первых, в силу масштабов и объемов обрабатываемой информации, во – вторых, особенностей потенциальных последствий утечки данных, в – третьих, в силу возрастающих угроз кибератак, направленных на критически важную инфраструктуру.
К числу основных возможных рисков «утечки» персональных данных можно отнести нарушение конфиденциальности и прав субъектов персональных данных, использование полученной информации в целях совершения мошенничества или шантажа, подрыв и утрата доверия не только со стороны контрагентов, потребителей, работников не только к тому или иному предприятию ТЭК, но и к органам государственной власти в целом, действующей власти. Поскольку любой сбой в работе стратегически важных объектов в стране расценивается как слабость, неэффективность аппарата управления действующей власти. Ярким примером в данном случае могут служить события, произошедшие в Краснодаре летом 2024 года, когда перебои в поставках электроэнергии привели к открытым протестам со стороны населения.
Сфера ТЭК обладает рядом особенностей, влияющих на подходы к защите персональных данных. Одна из таких особенностей состоит в высокой степени зависимости от автоматизированных систем управления технологическими процессами (АСУ ТП), другая заключается – в интеграции с государственными информационными системами и выполнении специальных требований по защите информации, третья особенность - необходимость соблюдения как общих норм законодательства о защите персональных данных, так и отраслевых стандартов информационной безопасности .
Целью настоящего исследования является анализ и разработка рекомендаций по профилактике нарушений обязательных требований в области защиты персональных данных на предприятиях ТЭК.
Для достижения поставленной цели необходимо решить следующие задачи, в частности, изучить основные угрозы и риски утечек персональных данных в сфере ТЭК, провести анализ действующего законодательства и нормативных требований в области защиты персональных данных, выявить особенности организации защиты данных на предприятиях ТЭК, разработать рекомендации по минимизации рисков и повышению уровня соблюдения обязательных требований.
Объектом исследования в данном случае являются процессы обеспечения защиты персональных данных на предприятиях топливно-энергетического комплекса, предметом - нормативно-правовое регулирование, организационно-технические и профилактические меры по защите персональных данных в сфере ТЭК.
Нормативную основу для исследования составляют ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ, ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ, Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», ГОСТ Р 57580.1—2017 «Защита информации финансовых организаций. Общие положения», рекомендации ФСТЭК по обеспечению защиты критической информационной инфраструктуры, международные стандарты ISO/IEC 27001:2013 «Системы управления информационной безопасностью», ISO/IEC 27701:2019 «Расширение для управления персональными данными».
В ходе исследования используются метод анализа – в процессе изучения законодательства, стандартов и ведомственных актов, регулирующих защиту персональных данных в сфере ТЭК, сравнительного анализа для выявление особенностей нормативного регулирования в России и международной практике, экспертного интервьюирования — сбор мнений специалистов в области защиты персональных данных и информационной безопасности, практического исследования — в ходе анализ реальных случаев «утечки» персональных данных и их последствий на предприятиях ТЭК.
В ходе настоящего исследования предпринята попытка по выработке системных мер по профилактике нарушений обязательных требований в области защиты персональных данных, что особенно актуально для устойчивого функционирования предприятий ТЭК в современных условиях.


Глава 1 Понятие и характеристика персональных данных
1.1 Персональные данные и частная жизнь: соотношение понятий


Информация, относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных), которая прямо или косвенно позволяет идентифицировать данное лицо, является персональными данными. Персональные данные могут быть идентифицирующими, контактными, биометрическими, финансовыми и другими.
Примерный перечень персональных данных может выглядеть следующим образом: фамилия, имя, отчество, дата и место рождения, паспортные данные, адрес проживания, телефонный номер, адрес электронной почты. К биометрическим данным можно отнести, например, отпечатки пальцев, фотографии, голос, к финансовым данным – данные о банковских счетах.
Идентифицирующий характер персональных данных заключается в том, что с их помощью возможно установить личность человека.
Некоторые данные, например, медицинская информация или национальная принадлежность, являются особо защищаемыми.
Объектом правового регулирования в данном случае является сбор, обработка и хранение персональных данных. В России его основу составляет, прежде всего, ФЗ-152 «О персональных данных», а на международном уровне участники руководствуются требованиями Общего регламента по защите данных (GDPR).
Очередные изменения в Федеральный закон № 152-ФЗ «О персональных данных» от 27 июля 2006 года были внесены 24 апреля 2020 года. Нарушение его требований влечет административную ответственность, предусмотренную ст. 13.11 КоАП РФ, в том числе в виде штрафа для юридических лиц до 75 тыс. рублей.
Примерами нарушения могут быть обработка персональных данных без согласия в письменной форме субъекта персональных данных – например, сбор, копирование, хранение, доступ и пр. множества резюме соискателей; или невыполнение оператором при обработке персональных данных без использования средств автоматизации – например, передача материальных носителей персональных данных без принятия мер, исключающих несанкционированный доступ к ним, а также возможность случайного доступа и/или копирования этих данных. Более серьезное наказание следует за невыполнение обязанностей при сборе персональных данных при использовании баз данных на территории Российской Федерации –
от 1 до 6 млн руб.
Повторное нарушение данного положения влечет ответственность от 6 до 18 млн руб .
Ст. 24 вышеназванного федерального закона предусматривает возмещение морального вреда субъекту персональных данных в случае нарушения его прав при обработке, при этом возмещение морального вреда осуществляется независимо от понесенных субъектом персональных данных потерь. Для оценки необходимости построения системы защиты персональных данных по требованиям GDPR необходимо оценить возможные потери, которые предприятие ТЭК может понести в худшем случае реализации риска.
Согласно закону персональные данные могут обрабатываться только с согласия самого субъекта, без наличия такового только в установленных законом случаях.
Частная жизнь является правом человека на неприкосновенность личной, семейной жизни, а также на защиту своей репутации и достоинства. Понятие частной жизни является более широким, в него входят также личная переписка, любая другая форма межличностного общения, информация о месте пребывания и передвижениях, телефонные переговоры, любая медицинская информация.
Право на частную жизнь закреплено, в частности, в Конституции Российской Федерации (ст. ст. 23, 24), Европейской конвенции о защите прав человека (в ст. 8).
Если говорить о соотношении понятий «персональные данные» и «частная жизнь», то необходимо отметить, что персональные данные являются составной часть частной жизни. То есть, данные понятия соотносятся как общее и частное. Нарушение защиты персональных данных может привести к утрате контроля над частной жизнью.
Персональные данные как элемент частной жизни предполагает, что доступ к персональным данным напрямую связан с неприкосновенностью частной жизни.
Законы о защите персональных данных призваны защитить частную жизнь, устанавливая правовые механизмы контроля за процессом их получения и обработки, а нарушение установленных границ, например, неавторизованная обработка или публикация персональных данных нарушает право человека на частную жизнь .
Таким образом, персональные данные являются важнейшим средством и инструментом защиты частной жизни. Соблюдение правил обработки и хранения данных является ключевым элементом системы защиты конфиденциальности и личных прав человека.

1.2 Виды и роль персональных данных на предприятиях ТЭК

На предприятиях топливно-энергетического комплекса обрабатывается широкий спектр персональных данных сотрудников, клиентов, подрядчиков и партнеров. Персональные данные сотрудников необходимы для кадрового учета, обеспечения безопасности и урегулирования трудовых отношений В данном случае речь идет фамилиях, именах, отчествах, дате рождения, адресах проживания. регистрации,