arrow-up arrowright arrowright
+7 (495) 737-47-47 cons@tls-cons.ru Работаем по Москве и МО
На главную

Нам всем нужны секреты: основы защиты персональных данных

23.06.2010

Наталья Троицкая,
Директор департамента правового консалтинга Группы компаний Телеком-Сервис ИТ

В 2007 году вступил в силу Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ), в сферу действия которого попадают практически все юридические и физические лица, поскольку любое, даже небольшое, предприятие обрабатывает персональные данные: списки сотрудников, контактные данные контрагентов, сведения об участниках (акционерах) и т.п. Закон требует, чтобы каждый оператор – организация или физическое лицо, - владеющий персональными данными своих сотрудников, клиентов, партнеров и т.д., обеспечил конфиденциальность этой информации в соответствии с требованиями Закона № 152-ФЗ уже в этом году.

Игнорируются лишь две вещи – то, что неважно, и то, что хочешь, чтобы было неважно. И второе никогда не выходит. (House, M.D.)

Исходя из положений Закона № 152-ФЗ, можно выделить следующие категории персональных данных: общедоступные персональные данные, специальные категории персональных данных, биометрические персональные данные и иные.

В соответствии с законом, общедоступными являются данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта персональных данных. Такие данные могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные их субъектом. К общедоступным источникам такой информации можно отнести справочники, адресные книги и т.п. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.

К специальным категориям относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается исключительно в случаях, предусмотренных ст.10 Закона № 152-ФЗ.

С целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных, оператор проводит классификацию информационной системы в зависимости от категории и объема обрабатываемых персональных данных. При этом категория определяется исходя из перечня персональных данных, необходимых для обработки в данной информационной системе: от обезличенных до наиболее ценных для человека.

При проведении классификации информационной системы учитываются также заданные оператором характеристики безопасности, структура информационной системы, наличие подключений информационной системы к сетям связи общего пользования и сетям международного информационного обмена, режим обработки персональных данных, режим разграничения прав доступа пользователей информационной системы, местонахождение технических средств информационной системы. Порядок проведения классификации информационных систем регламентируется в порядке, установленном совместным Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20.

По результатам анализа исходных данных типовой информационной системе присваивается один из классов:

  • класс 1 (К1) — ИСПДн, для которых нарушения могут привести к значительным негативным последствиям для субъектов персональных данных;
  • класс 2 (К2) — ИСПДн, для которых нарушения могут привести к негативным последствиям для субъектов персональных данных;
  • класс 3 (К3) — ИСПДн, для которых нарушения могут привести к незначительным негативным последствиям для субъектов персональных данных;
  • класс 4 (К4) — ИСПДн, для которых нарушения не приводят к негативным последствиям для субъектов персональных данных.

Методы и способы защиты информации в ИСПДн в зависимости от класса, режима обработки информации и организации доступа к ней установлены Приказом ФСТЭК России от 05.02.2010 № 58.

Указанный нормативный акт формулирует общую методику построения защиты информационных систем и требует классифицировать данные, определить места их хранения, построить для них модель угроз и модель нарушителя и уже на основе этих данных выбирать средства защиты, способные предотвратить реализацию угроз из подготовленного списка.

- Я давала клятву, что не нанесу вреда!
- Но тебя же не заставляли где-то подписаться. (House, M.D.)

Как указывалось выше, любой работодатель является оператором персональных данных своих работников. Кроме того, осуществляя хозяйственную деятельность, организация или индивидуальный предприниматель получает доступ к некоторым персональным данным своих контрагентов или их представителей.

В связи с этим руководителю организации или соответствующему должностному лицу необходимо проанализировать состав, цели, сроки обработки и хранения персональных данных, обрабатываемых предприятием.

Далее, в зависимости от результатов проведенного анализа, необходимо установить наличие обязанности уведомления уполномоченного государственного органа (Рос-комнадзора). Как уже упоминалось, без уведомления обработка персональных данных может производиться в случаях, предусмотренных п.2 ст.22 Закона № 152-ФЗ:

  • при наличии трудовых отношений;
  • в связи с заключением договора, стороной которого является субъект персональных данных;
  • если персональные данные являются общедоступными;
  • если персональные данные включают только фамилии, имена и отчества субъектов персональных данных;
  • если персональные данные необходимы для оформления однократных пропусков;
  • если данные обрабатываются без использования средств автоматизации.

Вне зависимости от обязанности уведомить уполномоченный орган, организацией определяются применяемые способы обработки персональных данных – с использованием средств автоматизации или без их использования.

Обработка персональных данных считается осуществленной без использования средств автоматизации (неавтоматизированной), если действия с персональными данными осуществляются при непосредственном участии человека. Указанное определение дано в Постановлении Правительства РФ от 15.09.2008 № 687.

Большинство организаций в своей хозяйственной деятельности используют бухгалтерские программы, клиентские автоматизированные системы и т.п, осуществляющие обработку персональных данных. Несмотря на то, что такая обработка осуществляется при непосредственном участии человека, эксперты относят ее к автоматизированному способу. Порядок обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных регламентирован Постановлением Правительства РФ от 17.11.2007 № 781.

Далее формируется модель угроз безопасности и проводится классификация ИСПДн. Отметим, что по экспертным оценкам большинство существующих ИСПДн относятся к 3 классу.

Исполнение требований Закона № 152-ФЗ подразумевает проведение организацией комплекса мероприятий по обеспечению защиты персональных данных.

Организационные мероприятия по защите персональных данных включают в себя разработку организационно-распорядительных документов, регламентирующих процесс получения, обработки, хранения, передачи и защиты персональных данных:

  • Положение об обработке персональных данных;
  • Положение по защите персональных данных;
  • Перечень информационных систем, обрабатывающих персональные данные;
  • План мероприятий по защите персональных данных;
  • Регламент взаимодействия с субъектами персональных данных;
  • Регламент специалистов (администраторов) безопасности персональных данных;
  • Перечень лиц (пользователей), допущенных к обработке персональных данных, и регламент их работы с персональными данными;
  • Регламент организации хранения персональных данных и организация доступа в помещения, где осуществляется обработка персональных данных и/или размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
  • Согласие субъекта на обработку его персональных данных (порядок получения согласия регламентирован ст.9 Закона № 152-ФЗ).

Меры организационного характера проводятся вне зависимости от способа осуществ-ления обработки персональных данных. Перечень документов и мероприятий зависит от специфики деятельности организации, с учетом категорий обрабатываемых персональных данных.

Технические мероприятия, осуществляемые в целях обеспечения защиты информации, проводятся с использованием программно-аппаратных средств защиты информации.

В соответствии с Приказом ФСТЭК России от 05.02.2010 № 58, при обработке персональных данных в информационных системах применение технических мер защиты является обязательным.

Технические мероприятия направлены за защиту речевой информации и информации, обрабатываемой техническими средствами, в т.ч. воспроизводимой при помощи различных устройств отображения, средств вычислительной техники, информации на бумажных носителях и носителях на магнитной, оптической и т.п. основе.

К основным способам защиты информации в информационных системах относятся:

  • межсетевое экранирование;
  • использование средств антивирусной защиты, систем предотвращения вторжений, сканеров уязвимостей;
  • использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;
  • использование средств защиты от утечек информации: систем контроля над периферийными устройствами, средств шифрования.
- Статистика министерства юстиции показывает, что расовые предрассудки влияют на определенные меры наказания. Черным обвиняемым выносят приговор в десять раз чаще, чем белым.
- Но это же не означает, что надо совсем отказаться от смертной казни. Просто нужно убивать больше белых. (House, M.D.)

Поскольку действие Закона № 152-ФЗ касается фактически каждого субъекта предпринимательской деятельности, необходимо учитывать, что за невыполнение требований законодательства в области защиты персональных данных установлена административная и уголовная ответственность.

В частности, административная ответственность предусмотрена следующими статьями Кодекса РФ об административных правонарушениях:

  • статья 5.39 «Отказ в предоставлении гражданину информации»;
  • статья 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)»;
  • статья 13.14 «Разглашение информации с ограниченным доступом»;
  • статья 19.5 «Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государст-венный надзор (контроль)»;
  • статья 19.7 «Непредставление сведений (информации)».

Уголовная ответственность наступает при совершении преступлений, предусмотренных следующими статьями Уголовного кодекса РФ:

  • статья 137 «Нарушение неприкосновенности частной жизни»;
  • статья 140 «Отказ в предоставлении гражданину информации»;
  • статья 272 «Неправомерный доступ к компьютерной информации»;
  • статья 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети».

Подводя итог высказанному, необходимо отметить, что Федеральный закон «О персональных данных» ставит серьезные задачи практически перед каждой организацией или индивидуальным предпринимателем, начинать решать которые необходимо уже сегодня. Своевременное проведение необходимых мероприятий избавит субъектов предпринимательской деятельности не только от притязаний со стороны контролирующих органов, но и обеспечит стабильность хозяйственной деятельности, поскольку позволит избежать материальных и репутационных издержек, связанных с претензиями работников, контрагентов или их представителей, обусловленными невыполнением требований по сбору, обработке и хранению персональных данных.


Все Статьи