Законодательная основа для проведения мероприятий по защите ПД
1. Основные регулирующие документы
2. Ключевые пункты регулирующих документов
Регуляторы
1. Обеспечение контроля и надзора за выполнением требований по защите ПДн
2. Виды предусмотренных законодательством проверок
Общие рекомендации
1. С чего начать
2. Перечень внутренних документов компании
3. Порядок действий по созданию системы защиты ПДн
4. Модель угроз и классификация ИСПДн
5. Требования к аттестации ИСПДн
6. Какие могут быть последствия, если ничего не делать
Часто задаваемые вопросы по защите персональных данных
Заключение
Общая информация о документе
В законодательстве Российской Федерации предусматривается наличие различного рода сведений, которые охраняются законом. Одним из самых больших потоков конфиденциальной информации, её значительной составляющей частью, являются сведения о гражданах. Фундамент законодательства в этой области составляют статьи Конституции Российской Федерации о праве граждан на информацию, соответствующие международным нормам в этой области. Так, охраняется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, личная и семейная тайна. Кроме того, сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
Несмотря на то, что сегодня в основном говорят непосредственно о вышедшем в 2006 году Федеральном законе «О персональных данных», стоит обратить внимание на то, что перечень иных законодательных и нормативных правовых актов, так или иначе затрагивающих вопросы персональных данных уже достаточно велик. А следовательно, накопилось много вопросов и проблем, связанных с разночтением уже существующих нормативных актов и порядком их применения.
В правоотношениях связанных с оборотом персональных данных выступают две стороны – субъект персональных данных, с одной стороны, и с другой стороны оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных . Таким образом, собственником персональных данных является физическое лицо, данные о котором находятся в обороте. Владельцем этой информации, в силу своих обязанностей, становятся уполномоченные государственные и/или коммерческие структуры.
Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. При этом преследуется цель защиты конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах.
Между тем, до 1 января 2010 г. - дня, к которому информационные системы персональных данных должны быть приведены в соответствие требованиям Федерального закона, осталось не так много времени. Этого времени для разработки и внедрения в компании системы защиты персональных данных катастрофически мало.
Сопредседатели комитета по информационной безопасности
Юрий Шойдин, директор по ИТ ГК "Интарсия", член Союза ИТ-директоров России, член клуба ИТ директоров СПб
Виктор Минин, Советник Председателя Совета МОО АЗИ, Председатель Общественного консультативного совета по научно-технологическим вопросам информационной безопасности Комиссии по информационной безопасности при Координационном совете государств-участников СНГ по информатизации при РСС
Введение
После вступления в действие ФЗ «О персональных данных» прошло уже достаточное количество времени. Понемногу общество стало осмысливать значение его принятия в процессе формирования правосознания граждан России — каждый из нас имеет информацию, которая должна защищаться государством от неправомерного распространения и использования. В то же время, необходимо разделять позиции законодателя в отношении операторов, которые обязаны обрабатывать персональные данные согласно требованиям ФЗ и в отношении субъектов персональных данных, права которых должны быть защищены, в первую очередь, путем выполнения требований регулирующих органов, а во вторую, обеспечением контроля и надзора за защитой прав субъектов персональных данных со стороны государства. Таким образом, операторы персональных данных оказываются той категорией, которая в большей степени должна задуматься об организации своей деятельности в соответствии с существующим законодательством.
Очень условно данную деятельность можно разделить на две части, а именно, «нетехническая» сторона вопроса защиты оператором обрабатываемых персональных данных (ПДн), которая, наряду с «технической», имеет немаловажное значение при соблюдении требований ФЗ. Необходимо понимать, что с целью соблюдения таких требований во всех организациях должен появиться новый, достаточно объемный пласт документации.
Если говорить о второй стороне «технической», то очень важно учитывать, что в современной информационной системе предприятия достаточно много приложений, обрабатывающих ПДн . Только комплексный аудит ИС позволяет провести инвентаризацию информационных ресурсов и понять где, как и какие ПДн обрабатываются.
Законодательная основа для проведения мероприятий по защите ПДн
1. Основные регулирующие документы
- Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. № 195-ФЗ
- Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (с изменениями от 28 марта 2008 г.);
- Постановление Правительства Российской Федерации от 27 сентября 2007 г. № 612 «Об утверждении Правил продажи товаров дистанционным способом»,
- Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
- Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»
- Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28 марта 2008 г. № 154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 14.02.2008 г., ДСП
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 14.02.2008 г., ДСП
- Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. ФСТЭК России, 15.02.2008 г., ДСП
- Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 15.02.2008 г., ДСП
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. ФСБ России, 21.02.2008 г., № 149/6/6-622
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ России, 21.02.2008 г, № 149/5-144
2. Ключевые пункты регулирующих документов
Приведем ряд ссылок на нормативно-правовую базу, регламентирующую ответственность, наступающую за нарушение законодательства о защите персональных данных.
Кодекс Российской Федерации об административных правонарушениях
Статья 5.39.Отказ в предоставлении гражданину информации.
Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации - влечет наложение административного штрафа на должностных лиц в размере от пятисот до одной тысячи рублей. (примечание: Данная статья является причиной для административного наказания согласно статье.3.12 - Административное приостановление деятельности)
Статья 13.11. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) — влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.
Статья 13.12.Нарушение правил защиты информации.
1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.
3. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), - влечет наложение административного штрафа на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от одной тысячи до одной тысячи пятисот рублей или административное приостановление деятельности на срок до девяноста суток; на должностных лиц - от одной тысячи до одной тысячи пятисот рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей или административное приостановление деятельности на срок до девяноста суток.
Статья 19.5. Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)
1. Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства - влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.
2. Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа - влечет наложение административного штрафа на должностных лиц в размере от пяти тысяч до десяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от двухсот тысяч до пятисот тысяч рублей.
Уголовный Кодекс Российской Федерации
Статья 137. Нарушение неприкосновенности частной жизни.
1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации -
Федеральным законом от 22.12.2008 N 272-ФЗ с 1 января 2010 года абзац второй части первой статьи 137 данного документа будет дополнен словами: ", либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет".
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.
2. Те же деяния, совершенные лицом с использованием своего служебного положения, -
Федеральным законом от 22.12.2008 N 272-ФЗ с 1 января 2010 года абзац второй части второй статьи 137 данного документа будет дополнен словами: ", либо лишением свободы на срок от одного года до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет".
наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.
Статья 140. Отказ в предоставлении гражданину информации
Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, - наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет.
Статья 171. Незаконное предпринимательство
1. Осуществление предпринимательской деятельности без регистрации или с нарушением правил регистрации, а равно представление в орган, осуществляющий государственную регистрацию юридических лиц и индивидуальных предпринимателей, документов, содержащих заведомо ложные сведения, либо осуществление предпринимательской деятельности без специального разрешения (лицензии) в случаях, когда такое разрешение (лицензия) обязательно, или с нарушением лицензионных требований и условий, если это деяние причинило крупный ущерб гражданам, организациям или государству либо сопряжено с извлечением дохода в крупном размере, - наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо арестом на срок от четырех до шести месяцев.
2. То же деяние:
а) совершенное организованной группой;
б) сопряженное с извлечением дохода в особо крупном размере, -
наказывается штрафом в размере от ста тысяч до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет либо лишением свободы на срок до пяти лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев либо без такового.
Федеральный закон «Об информации, информационных технологиях и о защите информации»
Статья 17. Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации
…
1. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.
Федеральный закон «О персональных данных»
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных
Статья 24. Ответственность за нарушение требований настоящего Федерального закона
Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона
Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:
1) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
2) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
Статья 25. Заключительные положения
…
1. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.
2. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.
Регуляторы
1. Обеспечение контроля и надзора за выполнением требований по защите ПДн
Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности – ФСБ России;
Федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации – ФСТЭК России;
Уполномоченный орган по защите прав субъектов персональных данных – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор Министерства связи и массовых коммуникаций).
Область ответственности у каждого из этих органов своя.
ФСБ России традиционно курирует вопросы защиты информации с использованием средств шифрования (криптографии).
ФСТЭК России осуществляет контроль защиты информации с использования технических средств.
Роскомнадзор является основным исполнительным и надзорным органом по защите прав физических лиц, чьи персональные данные обрабатываются.
2. Виды предусмотренных законодательством проверок
Роскомнадзор:
- по обращению субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки (закон №152-ФЗ от 26 июля 2006 г.)
- проверка сведений, содержащихся в уведомлении об обработке персональных данных (закон №152-ФЗ от 27 июля 2006 г.)
- внеплановые проверки по контролю нарушений обязательных требований (закон №134-ФЗ от 8 августа 2001 г.)
ФСТЭК России:
- надзор за деятельностью лицензиата ФСТЭК России (Постановление Правительства от 15 августа 2006 г. №504)
- по обращению Роскомнадзора (закон №152-ФЗ от 27 июля 2006 г.)
- внеплановые проверки по контролю нарушений обязательных требований (закон №134-ФЗ от 8 августа 2001 г.)
ФСБ России:
- контроль за соблюдением правил пользования средств криптографической защиты информации (Приказ ФСБ России №66 от 9 февраля 2005 г. – ПКЗ-2005)
- надзор за деятельностью лицензиата ФСБ России (Постановление Правительства от 29 декабря 2007 г. №957)
- внеплановые проверки по контролю нарушений обязательных требований (закон №134-ФЗ от 8 августа 2001 г.)
- по обращению Роскомнадзора (закон №152-ФЗ от 27 июля 2006 г.)
Общие рекомендации
Мероприятия по обеспечению безопасности персональных данных сочетают в себе реализацию правовых, организационных и технических мер, причем все они одинаково значимы, при этом невыполнение одних требований сводит на нет результаты реализации других.
1. С чего начать
Всем операторам нужно, в первую очередь для себя, закрепить документально основные понятия обработки персональных данных субъектов, так как:
- Во-первых, обязанность оператора представить субъекту персональных данных на основании обращения, запроса информацию, касающуюся обработки его персональных данных, в том числе:
цель обработки;
способы обработки;
сведения о лицах, имеющих доступ к персональным данным;
перечень обрабатываемых персональных данных;
источник получения;
сроки обработки и хранения персональных данных.
Так же надо иметь в виду, что предоставить субъекту такого рода информацию оперативно можно только на основании уже существующих документов, где планомерно изложены принципы и критерии обработки. Иначе, например, операторы мобильной связи, выдавая ответы на одни и те же обращения субъектов в силу большого количества обрабатываемых персональных данных, могут дать противоречивый или не корректный с точки зрения запроса ответ. - Во-вторых, необходимость анализа всех обрабатываемых организацией персональных данных и аккумулирования этой информации в едином документе (назовем его например «Детализированный перечень персональных данных») обусловлена требованием к технической защите обрабатываемых оператором персональных данных. Поясним. Приказом ФСТЭК России, ФСБ России и Мининформсвязи от 13.02.08 № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» при классификации информационных систем с целью определения уровня их защиты и степени расходования средств организации на техническую защиту персональных данных субъектов учитываются категории обрабатываемых персональных данных и их объем. Соответственно, возникает необходимость такую информацию фиксировать и документировать.
- В-третьих, формулирование в «Детализированном перечне», в частности, понятия цели обработки ПДн поможет оператору обосновать в спорных случаях отсутствие согласия субъекта персональных данных, когда такая возможность предусмотрена ФЗ (ч.2,ст.6), потому что законодатель, описывая такие случаи, привязывает их описание к понятию «цель обработки».
- В-четвертых, проверяющий уполномоченный орган, выясняя причину нарушения тех или иных положений законодательства в сфере персональных данных, будет ориентироваться, в первую очередь, на соблюдение принципов ФЗ (ст.5), которые могут быть проверены только на основании документа (документов) определяющих обработку персональных данных в организации.
Для того, чтобы, единый документ об обработке персональных данных в организации «предвосхитил» все вопросы, которые могут возникнуть у Уполномоченного органа, необходим предварительный анализ всей документации оператора, которая содержит и определяет обработку персональных данных субъектов.
В свою очередь, при проведении такого анализа и составлении текста «Детализированного перечня» необходимо учитывать возможность типизации ПДн. К примеру, когда оператор обрабатывает персональные данные субъектов с единой целью (например, оператор связи обрабатывает ПДн с целью предоставления услуги связи), то в «Детализированном перечне» должны быть четко сформулированы понятия цели, способов, перечня обрабатываемых персональных данных и прочее.
В случаях, когда оператор обрабатывает персональные данные, преследуя различные цели, к примеру, обрабатывая данные работников для начисления заработной платы, установления пропускного режима, учета в кадровом делопроизводстве, возникает потребность их типизировать относительно цели обработки, и это должно быть отражено в «Положении». Такая система описания (относительно критерия цели обработки, например) позволит оператору эффективно ориентироваться в документах, содержащих персональные данные, давать ответы на запросы субъектов и Уполномоченного органа.
Другим вопросом, имеющим отношение к документации оператора персональных данных, является вопрос о сроках хранения персональных данных. В данном случае законодательство, пожалуй, впервые устанавливает максимальный, и к тому же условный, срок хранения — «по достижении целей обработки». Организации должны будут установить сроки хранения персональных данных, причем необходимо заранее продумать обоснование выбранных сроков хранения. Например, исходя из требований трудового, гражданского (исковая давность) и пенсионного законодательства срок хранения для карточек формы Т-2 установлен – 75 лет, а для информации о предоставленных абоненту услугах связи, на основании Постановления Правительства № 538 от 2005 года срок хранения составляет 3 года.
Что касается технических мероприятий по обеспечению защиты ПДн, то мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах в обязательном порядке должны включать в себя учет лиц, допущенных к работе с персональными данными в ИС. При этом лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, должны допускаться к соответствующим данным на основании списка, утвержденного уполномоченным лицом оператора.
При этом сам по себе утвержденный список мало что значит. Важно обеспечить разграничение доступа не только к приложениям, но и реализовать в самих приложениях доступ к персональным данным в соответствии с утвержденным списком. Сделать это без эффективной системы управления доступом будет крайне затруднительно.
Наряду с разграничением доступа к персональным данным в ИСПДн должны быть реализованы механизмы:
- Регистрации и учета.
- Обеспечения целостности.
- Антивирусной защиты.
- Криптографической защиты.
Функционал, который должны выполнять данные механизмы, определен в методических документах ФСБ России и ФСТЭК России по защите персональных данных.
Механизмы направлены на предотвращение несанкционированного доступа к персональным данным и, кроме того, обеспечивают своевременное обнаружение фактов несанкционированного доступа к ним. Кроме того важно понимать, что какие бы хорошие не были механизмы защиты, ответственные лица оператора должны периодически проводить контроль и проверку их эффективности.
Определенную сложность при категорировании, защите и аттестации ИС будет иметь тот факт, что современные автоматизированные ИС используют программные продукты, целиком охватывающие все предприятие. Если раньше мы могли говорить о локальной защите конкретного модуля (например, кадрового учета), то теперь при повсеместном использовании ERP-систем, где этот модуль интегрирован в саму систему, защищать и аттестовать придется всю информационную систему.
2. Перечень внутренних документов компании
- Приказ о создании комиссии по защите персональных данных с наделением ее полномочий по проведению всех мероприятий, касающихся организации защиты персональных данных;
- Положение о персональных данных и их защите;
- Инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные;
- Приказ/ы о возложении персональной ответственности за защиту персональных данных;
- Договор с субъектом персональных данных, который может содержать отдельное письменное согласие субъекта персональных данных на их обработку, в случаях определенных согласно №152-ФЗ;
- Нормативный документ (перечень), аккумулирующий информацию о персональных данных, обрабатываемых оператором (в том числе их категория, объем и сроки хранения)
- Перечень информационных систем, обрабатывающих персональные данные
- Регламент допуска сотрудников к обработке персональных данных
- Перечень допущенных сотрудников к обработке персональных данных
- Должностные инструкции сотрудников, имеющих отношение к обработке персональных данных.
3. Порядок действий по созданию системы защиты ПДн
При наличии в организации единого управленческого звена можно предложить операторам следующую схему организации системы защиты персональных данных:
- Организовать руководство вопросами организации защиты персональных данных
- Создать два направления по формированию обеспечения защиты обрабатываемых персональных данных: техническое направление и направление «нетехнической» защиты, обязанности которого, в свою очередь, можно перераспределить по структурным подразделениям согласно целям обработки, например, защита персональных данных в кадровом делопроизводстве, в контрольно-пропускной системе, юридическом структурном подразделении (при формировании и учете договоров с субъектами персональных данных). При этом внутренним документом (должностной инструкцией) должна быть установлена персональная ответственность работников этих направлений за надлежащую защиту персональных данных.
Приступать к технической защите можно после проведения категорирования персональных данных, определения их объема и особенностей технологических процессов их обработки (передача ПДн в рамках технологического процесса между территориально обособленными подразделениями компании, многопользовательский доступ к персональным данным, различные права доступа сотрудников к ПДн). Эти операции позволят:
- Определить класс защиты персональных данных и осуществить подбор необходимых средств удовлетворяющих требованиям к системе защиты информационной системы определенного класса.
- Спроектировать систему защиты персональных данных.
- Произвести подготовку и при необходимости сертификацию системы защиты персональных данных/аттестацию информационной системы персональных данных.
На основании вышесказанного процесс, связанный с приведением порядка обработки персональных данных в соответствие требованиям законодательства, можно условно разбить на следующие этапы:
- Инвентаризация ИС, обрабатывающих ПДн
- Оценка законности обработки ПДн и наличие согласия субъектов на обработку
- Контроль и корректировка договорных отношений с субъектами
- Формирование перечня ПДн и проведение категорирования
- Определение сроков и условий прекращения обработки ПДн
- Разграничение доступа пользователей к ПДн в ИСПДн
- Формирование документов регламентирующих работу с ПДн
- Формирование модели угроз, содержащей актуальные угрозы информационной безопасности персональным данным при их обработке в информационной системе
- Классификация ИСПДн
- При, необходимости определенной в №152-ФЗ, направить уведомление об обработке ПД в уполномоченный орган по защите прав субъектов персональных данных
- Приведение системы защиты ПДн в соответствие требованиям регуляторов
- При необходимости, определенной методическими документами ФСТЭК России и ФСБ России получить необходимые лицензии
- Аттестация ИСПДн
- Эксплуатация ИС – мониторинг, выявление и реагирование на инциденты ИБ
4. Модель угроз и классификация ИСПДн
На основании приказа ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» классификацию ИСПДн оператор персональных данных должен осуществить самостоятельно.
При этом модель угроз создается, на основании методических документов ФСТЭК России и ФСБ России, а также актуальных угроз безопасности персональным данным при их обработке в ИСПДн.
Методические документы, определяющие модель угроз:
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 14.02.2008 г., ДСП
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 14.02.2008 г., ДСП
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ России, 21.02.2008 г, № 149/5-144
Необходимо учитывать, что в случае обеспечения безопасности персональных данных без использования криптосредств при формировании модели угроз используются методические документы ФСТЭК России.
В случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств при формировании модели угроз используются методические документы ФСТЭК России и ФСБ России. При этом из двух содержащихся в документах ФСТЭК России и ФСБ России однотипных угроз выбирается более опасная.
По согласованию с ФСТЭК России и ФСБ России допускается формирование модели угроз только на основании методических документов ФСБ России.
При обеспечении безопасности персональных данных при обработке в информационных системах, отнесенных к компетенции ФСБ России, модели угроз формируются только на основании методических документов ФСБ России.
5. Требования к аттестации ИСПДн
Общие требования безопасности ИСПДн определены в ФЗ. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий. Защитные механизмы в значительной степени уточнены в постановлении Правительства 2007 г. № 781. А конкретные требования по нейтрализации выявленных угроз безопасности и конкретные функциональные требования к защитным механизмам определяются после классификации системы и актуализации модели угроз на основании методических документов ФСТЭК России и ФСБ России.
Для получения квалифицированной помощи, в случае возникновения вопросов по созданию системы защиты персональных данных, желательно обратиться в комитет по информационной безопасности МОО СОДИТ и/или МОО АЗИ.
6. Какие могут быть последствия, если ничего не делать
Необходимо отметить, что законодательство устанавливает уголовную ответственность за нарушение неприкосновенности частной жизни , за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений . Кроме того, гражданское законодательство предусматривает защиту нематериальных благ граждан, включающих, в частности, неприкосновенность частной жизни, личную и семейную тайну, деловую репутацию. Устанавливается компенсация морального вреда, возможность требования по суду возмещения убытков и опровержения, порочащих честь, достоинство и деловую репутацию гражданина сведений .
Надо также учитывать, что использование несертифицированных информационных систем, баз и банков данных, несертифицированных средств защиты информации, если они подлежат обязательной сертификации, влечет их конфискацию .
А нарушение правил защиты информации и отказ в предоставлении гражданину информации может привести к административному приостановлению деятельности организации сроком до 90 суток .
Разглашение информации, доступ к которой ограничен федеральным законом и в частности, персональных данных, (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, которое имело к ней доступ по служебным или профессиональным обязанностям – карается административным штрафом до десяти тысяч рублей .
Часто задаваемые вопросы по защите персональных данных
Обязательно ли надо подавать уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных?
Согласно закону №152-ФЗ оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, если условия обработки аналогичны п.2 ст.22
Надо ли просить у субъекта персональных данных согласие на обработку его ПДн?
Да, для того чтобы обрабатывать персональные данные субъекта необходимо получить от него согласие в письменной форме. Случаи, когда не требуется просить у субъекта персональных данных согласие на право обработки его персональных данных, определенны статьей 6 закона №152-ФЗ.
А кто будет проверять нашу организацию по вопросу защиты персональных данных в первую очередь?
В первую очередь организацию будет проверять (проводить плановые и внеплановые проверки) Роскомнадзор.
На настоящее время уже сложилась определенная практика таких проверок, как в центральном федеральном округе, так и в регионах. Ознакомиться с ней можно на сайтах территориальных подразделений Роскомнадзора.
А если мы не будем выполнять, нас же за это все равно не накажут?!
На настоящее время уже сложилась определенная судебная практика по вопросу защиты персональных данных. Так по информации московского подразделения Роскомнадзора, озвученного его представителем Михеевой О.М. в феврале 2009г., из 9 заявлений направленных в суд по 2 суд принял решение удовлетворить заявление субъекта ПДн, по 1 было принято решение направить в суд первой инстанции.
Лицензии (ФСТЭК России и ФСБ России) получаются на организацию или на юридическое лицо?
Лицензии (ФСТЭК России и ФСБ России) получаются на каждое юридическое лицо
Достаточно ли нам будет взять на аутсорсинг внешнюю компанию, обладающую необходимыми лицензиями, для того, чтобы не получать различные лицензии регуляторов?
Да, действительно достаточно заключить соглашение на оказание аутсорсинговых услуг с компанией обладающей необходимыми лицензиями ФСТЭК России и ФСБ России для того, чтобы не получать данные лицензии самим.
Кто имеет право проводить работы по аттестации информационных системы персональных данных?
Аттестовывать информационные системы персональных данных имеет право только организация обладающая лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации (в самой лицензии должно быть указано, что по данным работам компания имеет право оказывать услуги).
Как получить доступ к закрытым документам по защите персональных данных ФСТЭК России?
Перечень нормативно-методических документов ФСТЭК России в области персональных данных:
а) Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
б) Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
в) Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных;
г) Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Для получения указанных документов операторы, осуществляющие обработку персональных данных, могут обратиться по адресу: 105175, г. Москва, ул. Старая Басманная, 17 или в территориальные подразделения ФСТЭК России по месту нахождения организации.
Какие средства должны использоваться для защиты персональных данных
Согласно методическим документам ФСТЭК России и ФСБ России для защиты персональных данных должны использоваться только сертифицированные средства.
Перечни данных средств находятся следующим электронным адресам:
Единый ГОСУДАРСТВЕННЫЙ РЕЕСТР сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (Реестр ФСТЭК России)
http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls
Перечень средств защиты информации, не содержащей сведений, составляющих государственную тайну (Перечень средств ФСБ России)
http://www.fsb.ru/fsb/supplement/contact/lsz/perechen.htm
Я начал определять класс информационная система персональных данных, и в соответствии с приказом трех (ФСТЭК, ФСБ, Мининформсвязи) у меня получается ряд признаков (Хнпд). Какой выбрать?
Позиция регулирующих органов такова, что из всех Хнпд , что у вас есть вы можете выбрать тот, который позволит вам получить самый низкий класс информационной системы персональных данных.
Заключение
За дополнительными разъяснениями по применению законодательства о персональных данных обращайтесь в комитет по информационной безопасности СоДИТ по почте itsec@rucio.ru.
Союз ИТ-директоров также выражает благодарность за помощь в подготовке семинара нашим партнерам LETA, Прософт-Системы и СофтИнформ, а также специалистам компании LETA, принявшим участие в редактировании данного документа.
В рамках обсуждения настоящих рекомендаций на семинаре экспертами была выявлена необходимость продолжения работы по совершенствованию действующих законодательных и правовых актов регулирующих вопросы защиты персональных данных.