Закон Российской Федерации о защите персональных данных
Какие сведения о сотрудниках государственных организаций собирать и как их обрабатывать, определяет Указ Президента РФ от 30 мая 2005 г. N 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела». Своя специфика существует и в различных отраслях экономики. Определенные рамки обработки персональных данных для… Читать ещё >
Закон Российской Федерации о защите персональных данных (реферат, курсовая, диплом, контрольная)
Министерство по образованию и науке Российской Федерации Томский государственный университет систем управления и радиоэлектроники Кафедра РТЦ
Реферат по дисциплине «Основы информационной безопасности»
Тема: Закон Российской Федерации о защите персональных данных
Нужно ли защищать информацию о конкретном человеке, которая позволяет его идентифицировать? Для большинства людей этот вопрос уже решен. Законодательства многих стран, прежде всего, их конституции, содержат принципы защиты неприкосновенности частной жизни, защиты личной тайны, privecy, запрет на сбор информации о человеке без его согласия.
Жизнь человека в информационном мире неизбежно делает его более прозрачным для государства и общества, поэтому желание сохранить «информационную приватность» становится все более ощутимым. Собственно говоря, именно развитие информационно-телекоммуникационных технологий, внедрение их во все сферы жизни общества и государства, перевод многочисленных картотек в цифровую форму побудили людей задуматься о защите этой весьма чувствительной информации. Новые технологии, с одной стороны, существенно упростили сбор, обработку, хранение, передачу данных, а с другой — создали очевидные угрозы их незаконного оборота, что ведет к нарушениям прав личности.
Нужно ли особым образом защищать персональные данные, если и без этого существуют режимы личной, семейной, профессиональной, государственной, коммерческой, служебной тайн?
Для приведения в соответствие с требованиями Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) защиты персональных данных требуется внедрение новых ИТ-продуктов, принятие организационных мер и модернизация бизнес-процессов компании. Но первым шагом организаций, которые владеют личной информацией, является необходимость подать заявку о регистрации в Роскомнадзор. Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Юридические или физические лица при обработке персональных данных обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. Организации или физ. лица до начала обработки персональных данных обязаны уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением следующих случаев: 1) относящихся к субъектам персональных данных, которых связаны с трудовыми отношениями; 2) полученных в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; 3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных; 4) являющихся общедоступными персональными данными; 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных; 6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится юридическое лицо, или в иных аналогичных целях; 7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. Разъяснить технические требования к компаниям должны были документы ФСТЭК (Федеральная служба по техническому и экспортному контролю), которая вплотную подключится к проверкам вместе с ФСБ. В 2008 г. служба выпустила четыре нормативных документа с подробными инструкциями по исполнению Закона № 152-ФЗ. Однако данные документы создали противоречия, они повторили требования инструкций, предъявляемые к системам, обрабатывающим гостайну, которые не так актуальны для юридических и физических лиц.
К примеру, служба предлагает устранять утечку информации по акустическому и виброакустическому каналам. Итак, наибольшие сложности у российских специалистов вызывают сами требования закона, а точнее — их неконкретность. Эта причина является основной для преодоления препятствий к осуществлению требованиям Федерального закона. На данный момент компании могут реализовать лишь самые общие положения закона — внедрить систему защиты от утечек и инсайдеров, криптографические средства и разделение доступа. Отсюда можно сделать вывод, что сегодня рынок объективно не готов к осуществлению требований Закона № 152-ФЗ. Отметим, что согласно ст. 24 гл. 5 Закона № 152-ФЗ лица, виновные в нарушении его требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. В случае проверки ФСТЭК и ФСБ и обнаружении нарушений компанию могут лишить права заниматься основным видом деятельности и оштрафовать на сумму до 500 000 рублей. Кроме этого, законом предусмотрен арест собственника бизнеса, лишение его свободы на срок до 5 лет и исправительные работы сроком до года. На 2011 г. запланировано около 3тысяч проверок, изучить план проверок можно на официальном сайте Генпрокуратуры.
Персональные данные
В соответствии с Законом № 152-ФЗ персональными данными является любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПДн). К персональным данным в связи с этим могут относиться фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, принадлежащая субъекту ПДн.
Персональные данные (данные) — информация, несущая определенно личный характер к своему владельцу. Главное отличие персональных данных от корпоративных данных — это то, что при похищении персональных данных ущерб будет нанесен конкретному лицу в первую очередь (а потом возможно по цепочке украсть и данные друзей лица), а при похищении корпоративных данных урон будет нанесен в первую очередь компании, то есть группе лиц (а уже потом конкретно каждому лицу).
Примерами персональных данных могут служить переписка по электронной почте, файлы пользователя (например, файл диплома или созданный пользователем рисунок), логины и пароли к различным онлайн-сервисам (или веб-сайтам), данные кредитной карточки пользователя, фотографии пользователя (его собственные), его паспортные данные (которые могут храниться у пользователя на компьютере).
Персональные данные могут представлять в ряде случаев определенный интерес у злоумышленника. Например, зная ваш номер кредитной карты и ее пин-код, злоумышленник может сделать любые покупки и переводы в сети Интернет от вашего лица, а вы только будете удивляться тому, куда уходят ваши деньги. Другой пример: вы пользователь платного онлайн-сервиса (например, сервиса Интернет-телефонии). Зная ваш логин и пароль к сервису, злоумышленник может пользоваться этим сервисом от вашего имени, не заплатив при этом ни копейки. Суть похищения вашей персональной информации может быть не только в виде денежной прибыли, но также заключаться в личном интересе, например, злоумышленника может интересовать ваша личная жизнь, и он захочет просмотреть все ваши фотографии.
При этом действия злоумышленника могут носить различный характер: направленный и локальный. При направленном характере действий злоумышленник будет намеренно охотиться именно за вашей личной информацией (например, для компромата на вас по заказу от ваших недоброжелателей). При локальном же характере действий у злоумышленника нет четкой ориентировки по поводу жертвы, он будет пытаться похитить личную информацию у большого круга лиц, причем информация эта может быть также направленного характера (например, похитить информацию кредитных карт у любой сотни пользователей), либо локального (похитить любую информацию личного характера у сотни пользователей).
А каким образом он может это сделать? Что при этом будет использовать злоумышленник? Прежде всего, существует такое общее понятие как malware (малварь, вредоносная программа, зловредная программа) — любое программное обеспечение, предназначенное для обеспечения получения несанкционированного доступа к информации, хранимой на компьютере, с целью причинения вреда (ущерба) владельцу информации и/или владельцу компьютерного устройства.
Состав и содержание персональных данных определяют операторы ПДн1 в зависимости от целей их обработки. Например, перечень персональных данных для популярных в последнее время систем лояльности клиентов компании, как правило, включают контактные данные, необходимые для связи с клиентами, и сведения о предоставленных услугах. Состав этих сведений не должен быть избыточен при этом, оставаясь достаточным, чтобы «понимать» предпочтения клиента, его финансовые возможности, «отслеживать» его покупательскую историю и т. п.
Отличие российского и международного законодательства США, Великобритания и Канада, так же как и Россия, разработали технические регламенты, которые транслируют положения законодательства верхнего уровня в конкретные советы и рекомендации по защите персональных данных. В Великобритании в 1998 году был принят «Закон о защите персональных данных» — «Data Protection Act 1998». Его техническая реализация — проект стандарта «Specification for the management of personal information in compliance with the Data Protection Act 1998» (BS 10 012) должен получить статус официального документа в июне 2009. Параллельно с англичанами свою версию стандарта по безопасности ПДн выпустили в США. Проект документа по защите персональных данных для американских государственных структур — «Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)» (SP 800 122) регламентирует выполнение Законов «The Privacy Act of 1974» и «Privacy Protection Act of 1980». Канада выпустила «Privacy Code» — набор документов для реализации законодательства по защите сведений о частных лицах (The Privacy Act и PIPEDA).
Канадский, английский и американский стандарты, в отличие от документов российских регуляторов, дают более общие рекомендации по обеспечению безопасности ПДн и не предписывают, как конкретно должны защищаться персональные данные. Более того, тот же американский стандарт рекомендует по возможности обезличивать персональные данные, чтобы уйти от различных защитных мер, снижающих удобство пользования информацией.
Существуют случаи, когда цели, состав и содержание ПДн четко определяются законодательными и нормативно-правовыми актами. Это касается областей, где взаимоотношения между субъектами ПДн и операторами нуждаются в строгой регламентации. При этом в некоторых случаях субъект персональных данных обязан предоставлять оператору сведения о себе.
Например, функционирование определенных отраслей экономики связано с необходимостью обеспечения безопасности. Так, ФЗ-16 «О транспортной безопасности» определяет необходимость создания единой государственной информационной системы обеспечения транспортной безопасности. Такая система должна состоять из централизованных баз персональных данных о пассажирах, включающих следующие данные:
фамилия, имя, отчество;
дата и место рождения;
вид и номер документа, удостоверяющего личность, по которому приобретается проездной документ (билет);
пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный);
дата поездки.
Регламентация состава и содержания ПДн касается отношений, связанных с трудовой деятельностью человека. Если речь идет о кадровой системе, к составу персональных данных относятся сведения, предусмотренные унифицированной формой учета кадров Т-2, утвержденной Постановлением № 1 Госкомстата России от 05.01.2004. К таким сведениям относятся:
фамилия, имя, отчество;
дата рождения;
гражданство;
номер страхового свидетельства;
ИНН;
знание иностранных языков;
данные об образовании (номер, серия дипломов, год окончания);
данные о приобретенных специальностях
семейное положение;
данные о членах семьи (степень родства, ФИО, год рождения, паспортные данные, включая прописку и место рождения);
фактическое место проживания;
контактная информация;
данные о военной обязанности;
данные о текущей трудовой деятельности (дата начала трудовой деятельности, кадровые перемещения, оклады и их изменения, сведения о поощрениях, данные о повышении квалификации и т. п.).
К другим нормативным актам, регулирующим отношения в сфере деятельности человека и определяющим цели обработки, состав и содержание ПДн, относятся ФЗ-179 «Трудовой кодекс РФ», ФЗ-27 «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», ФЗ-129 «О государственной регистрации юридических лиц и индивидуальных предпринимателей» и т. п.
Какие сведения о сотрудниках государственных организаций собирать и как их обрабатывать, определяет Указ Президента РФ от 30 мая 2005 г. N 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела». Своя специфика существует и в различных отраслях экономики. Определенные рамки обработки персональных данных для кредитно-финансовых учреждений устанавливает ФЗ-218 «О кредитных историях», для авиационного транспорта — Воздушный кодекс, для торговых организаций (Интернет-магазинов и т. п.) — Постановление Правительства Российской Федерации от 27 сентября 2007 г. N 612 «Об утверждении Правил продажи товаров дистанционным способом», для туристического бизнеса — Постановление Правительства Российской Федерации от 18 июля 2007 г. N 452 «Об утверждении Правил оказания услуг по реализации туристского продукта» и т. п.
Невозможно не упомянуть и ФЗ-143 «Об актах гражданского состояния», в котором государство четко определяет, какие сведения о личности должны собираться, храниться и обрабатываться на протяжении всей его жизни.
Что такое оператор и субъект персональных данных?
Оператор персональных данных — это, как правило, организация, а точнее — государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Субъект персональных данных — это физическое лицо. Оператор несет ответственность за защиту персональных данных субъекта в соответствии с действующим законодательством РФ.
Категории персональных данных
Законодательство определяет различные категории персональных данных. К ним могут относиться общедоступные ПДн, специальные категории ПДн, категории ПДн, обрабатываемые в информационных системах персональных данных (далее ИСПДн), биометрические ПДн и другие.
Рис. 1
Общедоступные ПДн
Общедоступными являются данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Такие данные могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн. Источниками такой информации являются, к примеру, справочники, адресные книги и т. п. Сведения о субъекте ПДн могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.
Специальные категории ПДн
К специальным категориям относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:
субъект ПДн дал согласие в письменной форме на обработку своих персональных данных;
персональные данные являются общедоступными;
персональные данные относятся к состоянию здоровья субъекта ПДн и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПДн;
обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации или необходима в связи с осуществлением правосудия.
Категории персональных данных, обрабатываемые в ИСПДн
Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» определяет следующие категории персональных данных, которые обрабатываются в ИСПДн:
Категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. Категория 2 — персональные данные, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1. Категория 3 — персональные данные, позволяющие идентифицировать субъекта ПДн. Категория 4 — обезличенные и (или) общедоступные персональные данные.
Категорирование персональных данных при обработке в ИСПДн может также проводиться по параметру «объем обрабатываемых персональных данных». Под этим подразумевается количество субъектов, данные которых обрабатываются в информационной системе. Этот параметр может принимать следующие значения:
В информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов ПДн или персональные данные субъектов ПДн в пределах субъекта РФ или Российской Федерации в целом.
В информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов ПДн или персональные данные субъектов ПДн, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования.
В информационной системе одновременно обрабатываются данные менее чем 1000 субъектов ПДн или персональные данные субъектов ПДн в пределах конкретной организации.
Такое категорирование персональных данных необходимо для определения класса ИСПДн, от которого зависят меры по обеспечению безопасности ПДн при обработке в информационных системах.
Биометрические персональные данные.
Биометрические персональные данные — это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Биометрические персональные данные обрабатываются в соответствии со статьей 11 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Они могут обрабатываться только при наличии согласия в письменной форме субъекта ПДн. Обработка биометрических персональных данных без согласия субъекта ПДн может осуществляться в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, о государственной службе, о порядке выезда из РФ и въезда в Российскую Федерацию, уголовно-исполнительным законодательством.
Исходя из определения биометрических ПДн, к ним относятся фотографии и видеоизображения субъектов ПДн. Это подтверждают и представители регуляторов, в частности Федеральной службы по техническому и экспортному контролю. Фотографии субъектов ПДн могут обрабатываться в пропускных системах и системах контроля доступа, видеоизображения — в системах видеонаблюдения и т. п.
Оператор персональных данных.
Согласно Закону № 152-ФЗ операторами персональных данных являются государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Под обработкой ПДн понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ПДн.
Исходя из определения, можно сделать вывод о том, что все без исключения организации или компании независимо от форм собственности являются операторами персональных данных, поскольку они как минимум осуществляют сбор, систематизацию, хранение и уточнение сведений о своих сотрудниках в соответствии с российским законодательством (Трудовой Кодекс РФ). Помимо этого многие компании по роду своей деятельности обрабатывают сведения о своих клиентах, партнерах, поставщиках и субподрядчиках, которые им необходимы для выполнения функций в соответствии с их назначением.
Оператор вправе осуществлять обработку следующих персональных данных без уведомления уполномоченного органа по защите прав субъектов ПДн (Роскомнадзор):
относящихся к субъектам ПДн, которых с оператором связывают трудовые отношения;
полученных оператором в связи с заключением договора, стороной которого является субъект ПДн, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн;
относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПДн;
являющихся общедоступными персональными данными;
включающих в себя только фамилии, имена и отчества субъектов персональных данных;
необходимых в целях однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем (далее ИС), а также в государственные ИСПДн, созданные в целях защиты безопасности государства и общественного порядка;
обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов ПДн. При этом бытует ошибочное мнение о том, что в случае, если нет необходимости регистрироваться как оператор ПДн в Роскомнадзоре (а законом такие случаи предусмотрены), то компания не является оператором ПДн и на нее не распространяются обязанности, предусмотренные законодательством. Более того, таким образом, компании пытаются оправдать свое бездействие в области обеспечения безопасности ПДн. Если компания не предпринимает никаких усилий по защите персональных данных, это однозначно расценивается как «невыполнение требований российского законодательства».
Ответственность за нарушения по обработке персональных данных.
Лица, виновные в нарушении требований Федерального закона 152-ФЗ «О персональных данных», несут: — гражданскую, — уголовную (см. Уголовный кодекс Российской Федерации, ст. 137, 140, 155, 183, 272, 273, 274, 292, 293), — административную (см. Кодекс Российской Федерации об административных правонарушениях, ст. 5.27, 5.39, 13.11−13.14, 13.19, 19.4−19.7, 19.20, 20.25, 32.2), — дисциплинарную (см. Трудовой кодекс Российской Федерации, ст.81; ст.90; ст.195; ст.237; ст.391) и иную предусмотренную законодательством РФ ответственность (см. подзаконные акты по работе с персональными данными, которые издаются в субъектах РФ, ведомствах и организациях). Обрабатывая персональные данные сотрудников, клиентов, партнеров и т. д. в информационной системе, компания обязана реализовать мероприятия по их защите в соответствии с положениями Федерального закона от 27.07.06 г. № 152-ФЗ «О персональных данных» .
Обязанности оператора ПДн
Рис. 2
Российское законодательство возлагает на операторов ПДн определенные обязанности, основными из которых являются:
Обеспечение безопасности обработки персональных данных, что означает обязанность «принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».
Уведомительный характер обработки персональных данных. В соответствии со статьей 22 Закона оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Роскомнадзор вносит сведения об операторе в реестр операторов. Информация, содержащаяся в реестре, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, является общедоступной.
При получении персональных данных (в том числе от третьих лиц) оператор ПДн до начала обработки обязан получить у субъекта этих ПДн письменное разрешение на их обработку (за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если они являются общедоступными).
Оператор обязан предоставить субъекту ПДн по требованию все имеющиеся сведения о нем, целях и условиях обработки, способах защиты его персональных данных. Оператор также должен уничтожить или блокировать соответствующие персональные данные, внести в них необходимые изменения по предоставлении субъектом ПДн или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Более того, оператор ПДн обязан предоставить доказательство получения согласия субъекта ПДн на обработку его персональных данных, а в случае обработки общедоступных персональных данных на него возлагается обязанность доказать, что обрабатываемые ПДн являются общедоступными.
Подконтрольность и поднадзорность деятельности операторов персональных данных государственным органам. Это означает обязанность оператора сообщать в уполномоченный орган по защите прав субъектов ПДн по его запросу информацию, необходимую для осуществления деятельности указанного органа. Функциями контроля и надзора государство наделило Роскомнадзор, ФСТЭК и ФСБ3.
Невыполнение требований законодательства? Какие последствия?
Законом предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение его требований. Так, Кодекс об административных правонарушениях предусматривает максимальный штраф в 500 000 рублей за невыполнение законного предписания Роскомнадзора (ст. 19.5 КоАП). Тот же Кодекс предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП).
В уголовном кодексе говорится о штрафе в 300 000 руб., обязательных работах на срок до 1-го года, аресте до 6-ти месяцев и лишении права занимать должность на срок до 5-ти лет в случае осуществления защиты персональных данных без лицензии в случаях, если это деяние причинило крупный ущерб гражданам (ст. 171 УК).
При систематических и грубых нарушениях Роскомнадзор имеет право ходатайствовать об отзыве лицензий на основной вид деятельности.
Обработка персональных данных
В российском законодательстве определяются основные принципы обработки персональных данных. К ним, в частности, относятся:
Оператор персональных данных определяет цели их обработки в соответствии со своими полномочиями.
Объем и характер обрабатываемых персональных данных должен соответствовать целям их обработки.
Недопустимо объединять созданные для разных целей персональные данные (например, в одну базу данных).
Персональные данные подлежат уничтожению по достижении целей (утраты необходимости в) их обработки.
Большое значение в Законе уделено условиям обработки персональных данных. Так, обработка персональных данных может осуществляться оператором только с письменного согласия субъектов ПДн.
В каких случаях не требуется согласие субъекта ПДн на обработку сведений о нем?
Согласие субъекта ПДн не требуется в следующих случаях:
обработка персональных данных осуществляется на основании других федеральных законов, например, некоторыми Федеральными законами предусматриваются случаи обязательного предоставления субъектом ПДн своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;
оператор и субъект ПДн связаны договором на выполнение действий, которые требуют обработки персональных данных этого субъекта, например, договор, по которому туристическая фирма (оператор) имеет право использовать персональные данные субъекта для бронирования гостиницы;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение его согласия невозможно, например, госпитализация человека при несчастном случае;
обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПДн;
осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПДн лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Существует два вида обработки персональных данных: автоматизированный и неавтоматизированный. Об этих видах обработки ПДн речь пойдет в следующих разделах статьи.
Жизненный цикл персональных данных.
Обработка персональных данных требует создание специального режима, в котором четко определены технология их обработки, порядок и условия существования ПДн на каждом этапе их жизненного цикла. Это предусматривает разработку и внедрение процедур их сбора, приема, учета, регистрации, хранения, использования, уничтожения и т. п. Большое значение при этом имеет срок хранения ПДн, а также наличие системы контроля обработки ПДн на всех этапах их жизненного цикла.
Срок обработки ПДн.
Определение сроков обработки ПДн крайне важно потому, что Федеральный закон определяет, что «в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки».
Анализ технологических процессов обработки ПДн.
В своих проектах по защите ПДн специалисты компании «Инфосистемы Джет» большое внимание уделяют учету технологических процессов обработки персональных данных (жизненный цикл ПДн) и получению информации о существующих процедурах обработки ПДн. С этой целью ими проводятся следующие работы:
анализ документов, определяющих технологические процессы обработки ПДн;
проведение интервью с сотрудниками заказчика, реализующими процедуры обработки ПДн;
определение владельца технологического процесса обработки ПДн (соотнесение технологического процесса со структурным подразделением заказчика и используемой ИСПДн);
определение процедур сбора, приема, учета и регистрации ПДн в информационных системах персональных данных, хранения, обработки, выпуска, копирования и передачи ПДн, их уничтожения и контроля за этими процедурами.
Сроки обработки также определяются на основании других нормативно-правовых актов. Так, требованиями трудового, гражданского, пенсионного законодательства, отраслевых нормативных актов устанавливаются определенные сроки обработки персональных данных. Например, для карточек Т-2 — это 75 лет 6 (Постановление Госкомстата № 1), а для сведений о предоставленных абоненту услугах связи — 3 года (Постановление Правительства № 538).
Неавтоматизированная обработка ПДн.
Неавтоматизированная обработка персональных данных осуществляется в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Согласно данному Постановлению, обработка персональных данных считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия осуществляются при непосредственном участии человека.
Что считать неавтоматизированной обработкой ПДн?
Вопрос разделения неавтоматизированной и автоматизированной обработки у многих организаций вызывает затруднения. Рассмотрим п.п. 1 и 2
Постановления РФ:
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее. Исходя из этого, некоторые организации полагают, что всю обработку ПДн можно отнести к неавтоматизированной, поскольку во всех случаях имеется факт «обработки ПДн при непосредственном участии человека». И это является ошибкой. В данном случае неправильно рассматривать эту обработку только как неавтоматизированная. К примеру, если пользователь внес данные в персональный компьютер только для того, чтобы их распечатать, и не сохранял данные на компьютере, то эту обработку можно считать неавтоматизированной. Если пользователь сохранил эти данные в виде файла и хранит их на компьютере, то нужно рассматривать эту обработку ПДн в том числе и как автоматизированную.
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). При этом не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн для каждой из них должен использоваться отдельный материальный носитель.
Постановление определяет, какая информация должна быть включена в типовые формы документов, включающих персональные данные, условия ведения журналов (реестров, книг), содержащих ПДн (например, необходимых для однократного пропуска субъекта ПДн на территорию оператора), описывает важнейшие этапы жизненного цикла персональных данных, зафиксированных на материальном носителе.
Автоматизированная обработка персональных данных.
Для того, чтобы определить, что является «автоматизированной обработкой ПДн», необходимо ввести понятие «автоматизированного файла ПДн», которое означает любой комплекс данных о субъектах ПДн, подвергающийся автоматизированной обработке («Конвенция о защите физических лиц при автоматизированной обработке персональных данных», СЕД № 108, от 28 января 1981 г.).
«Автоматизированная обработка ПДн» подразумевает действия с «автоматизированными файлами ПДн», которая включает следующие операции, осуществляемые полностью или частично с помощью средств автоматизации: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение.
Информационные системы персональных данных
Что такое ИСПДн?
Информационные системы персональных данных представляют собой совокупность информационных и программно-аппаратных элементов, основными из которых являются:
ПДн, содержащиеся в базах данных, как совокупность информации и ее источников, используемых в информационных системах;
информационные технологии, как совокупность приемов, способов и методов применения средств вычислительной техники при обработке ПДн;
технические средства, осуществляющие обработку ПДн, под которыми понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации);
программные средства (операционные системы, системы управления базами данных, прикладное программное обеспечение и т. п.);
средства защиты информации;
вспомогательные технические средства и системы, к которым относятся средства и системы коммуникации, не предназначенные для обработки ПДн, но размещенные в помещениях, в которых расположены ИСПДн (различного рода телефонные средства и системы, средства вычислительной техники, средства и системы передачи данных в системе радиосвязи, средства и системы охранной и пожарной сигнализации, оповещения и сигнализации, контрольно-измерительная аппаратура, средства и системы кондиционирования, проводной радиотрансляционной сети и приема программ радиовещания и телевидения, электрочасофикации, средства электронной оргтехники).
Кто должен обеспечивать безопасность ПДн?
Безопасность ПДн при их обработке в ИСПДн обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (уполномоченное лицо). При этом оператор должен заключать договор с уполномоченным лицом. Существенным условием этого договора является обязанность уполномоченного лица обеспечить конфиденциальность и безопасность ПДн при их обработке в ИСПДн.
Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах оператором может назначаться структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности персональных данных.
Какие ИСПДн существуют?
Персональные данные обрабатываются в массе приложений. Как показал опыт компании «Инфосистемы Джет» по выполнению проектов по ЗПД, их количество может варьироваться от 3 до 5 в малых и средних компаниях, от 30 до 50 — в крупных компаниях. К информационным системам персональных данных могут быть отнесены:
CRM-системы (данные о клиентах — физических лицах и представителях клиентов — юридических лиц);
биллинговые системы (данные о клиентах, осуществляющих оплату услуг);
автоматизированные банковские системы (данные о сотрудниках банка, о клиентах, партнерах и т. п.);
автоматизированные медицинские системы (данные о пациентах и т. п.);
Call-центры (данные о клиентах и сотрудниках в зависимости от предназначения call-центра);
кадровые системы (данные о сотрудниках организации);
бухгалтерские системы (данные о сотрудниках и клиентах организации);
системы документооборота (данные о сотрудниках организации, клиентах, партнерах);
почтовые системы (данные о сотрудниках организации, клиентах, партнерах, заполненные карточки в адресных книгах почтовых систем и т. п.);
автоматизированные системы бюро пропусков (данные о посетителях).
С точки зрения принадлежности информационные системы могут быть следующих видов: ИСПДн государственных и муниципальных органов, юридических и физических лиц, организующих или осуществляющих обработку персональных данных, а также определяющих цели и содержание обработки персональных данных (за исключением случаев, когда последние используют указанные системы исключительно для личных и семейных нужд).
Классификация ИСПДн.
Классификация ИСПДн проводится оператором в соответствии с «Порядком проведения классификации информационных систем персональных данных», утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. №. 55/86/20, а также на основании нормативно-методических документов регуляторов ФСТЭК и ФСБ.
Классификация информационных систем проводится на этапе создания или в ходе их эксплуатации (для ранее введенных в эксплуатацию и модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных. Проведение классификации информационных систем включает в себя следующие этапы:
сбор и анализ исходных данных по информационной системе;
присвоение ей соответствующего класса;
его документальное оформление (составление и утверждение руководством организации Актов классификации на конкретные ИСПДн).
При проведении классификации информационной системы учитываются следующие исходные данные:
категория обрабатываемых в информационной системе персональных данных (категория 1, категория 2, категория 3, категория 4)8;
объем обрабатываемых персональных данных (количество субъектов ПДн, персональные данные которых обрабатываются в информационной системе — 1, 2, 3);
заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;
структура информационной системы;
наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;
режим обработки персональных данных;
режим разграничения прав доступа пользователей информационной системы;
местонахождение технических средств информационной системы.
Таб. 1 — Определение класса типовой информационной системы Практика показала, что существуют определенные сложности в проведении классификации ИСПДн силами операторов, поскольку для выполнения данной задачи не всегда хватает компетенции собственных специалистов.
Обладая опытом проведения проектов по защите персональных данных, компания «Инфосистемы Джет» сформировала свой подход к проведению данного вида работ. При этом отличительной особенностью является «правильная» классификация ИСПДн, при которой удается в значительной степени минимизировать расходы наших заказчиков на создание системы защиты персональных данных.
В частности, это становится возможным за счет минимизации мест хранения и обработки ПДн, разделения/сегментирования ИС, снижения требований к части сегментов, сокращения числа сотрудников, имеющих доступ к персональным данным, обезличивания части персональных данных, выведения части данных из ИСПДн. В ходе анализа технологических процессов обработки ПДн специалистами компании «Инфосистемы Джет» вырабатываются рекомендации по снижению предполагаемых классов ИСПДн, которые могут содержать следующее:
Абстрагирование ПДн — сделать их менее точными, например, путем группирования общих характеристик;
Скрытие ПДн — удалить всю или часть записи ПДн;
Замена ПДн — переставить поля одной записи ПДн с теми же самыми полями другой аналогичной записи;
Замена данных средним значением — заменить выбранные данные средним значением для группы ПДн;
Разделение ПДн на части — использование таблиц перекрестных ссылок;
Маскирование ПДн — замена одних символов в ПДн другими.
По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, ИСПДн подразделяются на типовые и специальные:
типовые информационные системы — информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных;
специальные информационные системы — информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик их безопасности, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
По структуре информационные системы подразделяются:
на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств (автоматизированные рабочие места);
на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
на комплексы автоматизированных рабочих мест и локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).
По наличию подключений к сетям связи общего пользования и сетям международного информационного обмена информационные системы подразделяются на имеющие и не имеющие подключений к таким сетям.
По режиму обработки персональных данных в информационной системе ИСПДн подразделяются на однопользовательские и многопользовательские.
По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и с разграничением прав доступа.
Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах РФ, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.
Классификация типовых ИСПДн.
Рис. 3
персональный данный информационный система По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:
класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
Класс типовой информационной системы определяется в соответствии с таблицей № 1 .
Классификация специальных ИСПДн.
Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с нормативно-методическими документами регуляторов ФСТЭК и ФСБ.
К специальным ИСПДн автоматически относятся:
информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов ПДн;
информационные системы, в которых на основании исключительно автоматизированной обработки персональных данных предусмотрено принятие решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.
Составление моделей угроз для специальных ИСПДн Применительно к основным типам информационных систем разработаны типовые модели угроз безопасности ПДн, характеризующие наступление различных видов последствий в результате несанкционированного или случайного доступа и реализации угрозы в отношении персональных данных. Всего таких моделей шесть и описаны они в документе ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная 15 февраля 2008 года: