Когда шифрование обязательно:
- если в базе содержатся специальные категории данных (сведения о здоровье, биометрия, данные детей);
- если база используется в государственных информационных системах или в стратегически важных компаниях;
- если по результатам моделирования угроз ФСТЭК определён высокий уровень угроз.
Когда шифрование рекомендуется, но может быть не обязательным:
- при работе с «обычными» персональными данными в локальной системе с минимальными рисками;
- если оператор использует другие адекватные меры защиты (например, разграничение доступа, антивирус, файрволы, аудит доступа).
Обоснование по законодательству
- Ст. 19 ФЗ-152 — оператор обязан принимать необходимые правовые, организационные и технические меры для защиты ПДн.
- Приказ ФСТЭК России № 21 — требует применение криптографических средств в зависимости от уровня защищённости информационных систем ПДн.
- Приказ ФСБ России № 378 — регулирует применение сертифицированных средств криптографической защиты информации.
- ГОСТ Р 57580 — прямо рекомендует использовать шифрование баз данных при высоких рисках утечки.
Практика и позиция Роскомнадзора
Роскомнадзор на проверках часто выявляет отсутствие шифрования в базах, где оно должно было быть применено.
Пример: медицинская клиника хранила данные пациентов в базе без криптографической защиты. Проверка признала это нарушением, так как данные о здоровье относятся к специальной категории ПДн, и шифрование обязательно.
В другом случае небольшая компания вела кадровый учёт сотрудников в Excel без шифрования, но на защищённом сервере с ограниченным доступом. Нарушений не выявили, так как уровень угроз был минимальный, а доступ контролировался.
Важный момент для организаций
Шифрование — это не универсальная обязанность для всех операторов, а мера, которая применяется по результатам анализа рисков. Однако отсутствие шифрования в чувствительных системах почти всегда расценивается как нарушение.
Рекомендации и выводы
Да, в большинстве случаев шифрование баз ПДн является необходимой мерой. Чтобы соответствовать ФЗ-152:
- Проведите категорирование своей информационной системы.
- Определите уровень угроз по приказу ФСТЭК № 21.
- Используйте сертифицированные средства шифрования (ФСБ/ФСТЭК).
- Зафиксируйте меры по шифрованию в локальных актах и включите их в комплект документов по ФЗ-152.
- Контролируйте порядок использования ключей и доступ к зашифрованным данным.
Компания ICTech поможет вашей организации провести категорирование информационных систем, выбрать оптимальные меры защиты (включая шифрование), а также подготовить полный пакет документов для соблюдения ФЗ-152 и успешного прохождения проверок Роскомнадзора.
