УправлениеБезопасность

ФЗ № 152: до Рубикона – меньше года

Юрий Шойдин | 18.09.2009
По оценкам Роскомнадзора, операторами персональных данных сегодня являются около 3 млн. российских компаний и организаций. Согласно закону «О персональных данных» под правовой надзор должны попасть более половины из них.

По оценкам Роскомнадзора, операторами персональных данных сегодня являются около 3 млн. российских компаний и организаций. Согласно закону «О персональных данных» под правовой надзор должны попасть более половины из них.

Сегодня у нас в стране очень много говорят о вышедшем в 2006 году Федеральном законе «О персональных данных» (его принятие стало следствием присоединения Российской Федерации к Европейской конвенции 1981 года «О защите личности в связи с автоматической обработкой персональных данных»). Между тем до 1 января 2010 года – дня, к которому информационные системы персональных данных (ИСПДн) должны быть приведены в соответствие требованиям закона ФЗ № 152, осталось меньше  года. Этого времени для разработки и внедрения в компаниях систем защиты персональных данных катастрофически мало. Вот тут-то и встает сакраментальный для России вопрос: что делать?

Левая, правая где сторона?

Сферу использования персональных данных и обращения с ними регламентируют порядка 30 российских законов, в том числе «Об информации, информационных технологиях и защите информации» и «О лицензировании отдельных видов деятельности». Кроме того, существуют подзаконные акты и различные методические документы, призванные уточнять трактовку или толковать применение определенных норм законов. К сожалению, многие из этих документов противоречат друг другу. Так, согласно Закону «О персональных данных», круг сведений, подпадающих под его действие, можно трактовать как самостоятельный режим «ограниченного использования». Соответственно возникает проблема соотношения режимов, связанная с необходимостью «вынесения» персональных данных из других существующих режимов. С точки зрения законодательства такой подход неверен, поскольку «персональные данные», согласно классификации, являются информацией, а не режимом.

В Законе «Об информации, информационных технологиях и защите информации» указывается, что персональные данные не должны передаваться пользователю без согласия субъекта – в Законе же «О персональных данных» отмечается ответственность оператора персональных данных за их распространение.

Еще одна юридическая кочка – вопрос лицензирования. Дело в том, что Закон «О персональных данных» не предусматривает лицензирования деятельности оператора персональных данных. С другой стороны, есть Закон «О лицензировании отдельных видов деятельности», согласно которому в определенных случаях, например когда оператор обрабатывает персональные данные не только для собственных нужд, защита персональных данных подлежит лицензированию. Стоит отметить, что операторам персональных данных будет сложно обосновать использование ПД только для собственных нужд. Иными словами, практически всем операторам придется получать соответствующие лицензии ФСТЭК и/или ФСБ.

Помимо сугубо юридических проблем есть еще ряд трудностей. Одна из них организационно-финансового порядка. Так, многие компании не включили в свой бюджет на 2009 год затраты на создание систем по защите персональных данных – в текущем году они могут не успеть их создать. Особенно с учетом финансового кризиса. Еще хуже ситуация с органами власти и бюджетными организациями: при разработке и утверждении Федерального закона «О персональных данных» Правительство РФ не рассматривало выделение этим структурам средств на приведение их информационных систем в соответствие требованиям закона.

В контексте вышесказанного вырисовываются два возможных сюжета развития ситуации. Первый: если ряд существенных поправок не будет урегулирован до конца 2009 года, то, возможно, придется пересматривать сроки вступления в силу положений Закона «О персональных данных с 1 января 2010 года на более позднюю дату. Второй вариант: закон вступит в действие с 1 января 2010 года, а все коллизии будут решаться в судебном порядке, что называется, персонально.

  • Регулятор


    Орган

    На кого и на что направлено

    Примечания

    ФСБ России


    центр лицензирования территориального органа в субъектах РФ

    лицензирование деятельности операторов ПД при использовании ими для  обеспечения конфиденциальности персональных данных криптографических средств защиты

    при использовании криптографии в ИСПДн

    ФСТЭК России


    территориальные органы в федеральных округах РФ

    лицензирование деятельности операторов персональных данных при осуществлении ими технической защиты конфиденциальной информации

    при категорировании системы ПД

    Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)


    Территориальные отделения

    контроль за лицензированием деятельности операторов ПД

    в вопросах регистрации оператора ПД


    С чего начать?

    Комплекс мероприятий по обеспечению безопасности персональных данных включают в себя меры правового, организационного и технического порядка , причем все они одинаково значимы и невыполнение одних требований сводит на нет результаты реализации других. Каждому оператору необходимо (в первую очередь для себя) документально закрепить основные понятия обработки конкретных персональных данных субъектов.

    Во-первых, у него есть обязанность предоставить субъекту ПД на основании обращения или запроса с его стороны информацию, касающуюся обработки его персональных данных. А сделать это оперативно можно только на основании уже существующих документов, где планомерно изложены принципы и критерии обработки. Иначе, например, операторы мобильной связи, выдавая ответы на обращения одного и того же субъекта, в силу большого количества обрабатываемых персональных данных могут дать противоречивый или некорректный с точки зрения запроса ответ.

    Во-вторых, необходимость анализа всех обрабатываемых организацией персональных данных и аккумулирования этой информации в едином документе (назовем его «Положение о персональных данных») обусловлена требованием к технической защите обрабатываемых оператором персональных данных. Поясним. Согласно приказу ФСТЭК, ФСБ и Мининформсвязи России от 13.02.08 № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» при классификации информационных систем с целью определения уровня их защиты и степени расходования средств организации на техническую защиту персональных данных субъектов учитываются категории обрабатываемых персональных данных и их объем. Соответственно возникает необходимость такую информацию фиксировать и документировать.

    В-третьих, формулирование в «Положении», в частности, понятия цели обработки ПД поможет оператору обосновать в спорных моментах отсутствие согласия субъекта персональных данных в случаях, когда такая возможность предусмотрена ФЗ (№ 152) (ч. 2, ст. 6), потому что законодатель, описывая такие случаи, привязывает их описание к понятию «цель обработки».

    В-четвертых, проверяющий уполномоченный орган, выясняя причину нарушения тех или иных положений законодательства в сфере персональных данных, будет ориентироваться в первую очередь на соблюдение принципов ФЗ (№ 152) (ст. 5), которые могут быть проверены только на основании документа (документов) по организации защиты персональных данных.

    Типизация и сроки хранения

    Для того, чтобы единый документ об обработке персональных данных в организации «предвосхитил» все вопросы, которые могут возникнуть у уполномоченного органа, необходим предварительный анализ всей документации оператора, содержащей персональные данные субъектов.

    В свою очередь, при проведении такого анализа и составлении текста «Положения» необходимо учитывать возможность типизации ПД. К примеру, когда оператор связи обрабатывает персональные данные субъектов с единой целью - предоставления услуги связи,  в «Положении» должны быть четко сформулированы понятия этой цели, способов, перечня обрабатываемых персональных данных и пр.

    В случаях, когда оператор обрабатывает персональные данные, преследуя различные цели, к примеру для начисления заработной платы работникам, установления пропускного режима, учета в кадровом делопроизводстве, возникает потребность типизировать эти данные относительно цели обработки, и это должно быть отражено в «Положении». Такая система описания (относительно критерия цели обработки, например) позволит оператору эффективно ориентироваться в документах, содержащих персональные данные, давать ответы на запросы субъектов и уполномоченных органов.

    Другой вопрос, имеющий отношение к документации оператора персональных данных,  касается сроков хранения документов и информации, содержащей персональные данные. В данном случае законодательство, пожалуй, впервые устанавливает для информации и документов максимальный и к тому же условный срок хранения: «по достижении целей обработки». Организации должны будут установить сроки хранения содержащих персональные данные документов, причем необходимо заранее продумать их обоснование. Например, исходя из требований трудового, гражданского (исковая давность) и пенсионного законодательства срок хранения для карточек формы Т-2 составляет  75 лет, а для сведений о предоставленных абоненту услугах связи – три года (на основании Постановления Правительства № 538 от 2005 года).

    Разграничение доступа

    Что же касается технических мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах, то их спектр в обязательном порядке должен включать в себя учет лиц, допущенных к работе с персональными данными в ИС. При этом лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, должны допускаться к соответствующим данным на основании списка, утвержденного оператором или уполномоченным лицом.

    Сам по себе утвержденный список для информационной системы мало что значит – важно обеспечить разграничение доступа к приложениям в соответствии со списком и предоставить пользователям именно те права, которые им необходимы для выполнения должностных обязанностей. Сделать это без эффективной системы управления идентификацией и доступа будет весьма затруднительно.

    Наряду с собственно разграничением доступа, в ИСПД должны быть реализованы мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным и/или передачи их лицам, не имеющим права доступа к такой информации, а также обеспечивающие своевременное обнаружение фактов несанкционированного доступа к ПД. Все запросы пользователей ИСПД на получение персональных данных и факты предоставления таковых по этим запросам должны регистрироваться автоматизированными средствами информационной системы в электронном журнале обращений, содержание которого должно периодически проверяться ответственными лицами оператора.

    Определенная сложность при категорировании, защите и сертификации ИС будет связана с тем, что современные автоматизированные ИС используют программные продукты, целиком охватывающие все предприятие. Если раньше мы могли говорить о локальной защите конкретного модуля (например, кадрового учета), то теперь, при повсеместном использовании ERP-систем, где этот модуль интегрирован в саму систему, защищать и сертифицировать придется всю автоматизированную ИС.

    Документы, которые должны быть у оператора ПД

    1    Письменное согласие субъекта персональных данных
    2    Нормативный документ (перечень), аккумулирующий в себе информацию о персональных данных, обрабатываемых оператором (в том числе их категория, объем и сроки хранения
    3    Положение о персональных данных и их защите
    4    Должностные инструкции сотрудников, имеющих отношение к обработке персональных данных

    Письменное согласие

    В числе документов, которые должны иметь операторы ПД, законом определено письменное согласие субъекта ПД. Мы хотим обратить внимание читателей на особенности этого документа. Требования к форме письменного согласия установлены ФЗ (№ 152) (п. 4 ст. 9). Так, письменная форма применяется в случаях, если:
    • персональные данные включаются в общедоступные источники;
    • оператором обрабатываются специальные (раса, национальность, политические взгляды, религиозные убеждения, состояние здоровья, интимной жизни) и биометрические персональные данные (характерные физиологические особенности).

    Кроме того, письменное согласие субъекта требуется:
    • при любой передаче (распространении) его персональных данных;
    • при запрашивании любых персональных данных субъекта у третьего лица;
    • при принятии оператором решения, порождающего юридические последствия в отношении субъекта персональных данных;
    • при трансграничной передаче персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных.
    Порядок действий по созданию системы защиты ПД:
    1. Инвентаризация ИС, обрабатывающих ПД
    2. Оценка законности обработки ПД и обеспечение согласия субъектов на обработку
    3. Контроль и корректировка договорных отношений с субъектами
    4. Формирование перечня ПД и проведение категорирования
    5. Определение сроков и условий прекращения обработки ПД
    6. Разграничение доступа пользователей ИС к ПД
    7. Формирование документов, регламентирующих работу с ПД
    8. Формирование модели угроз безопасности ПД от неправомерной деятельности
    9. Классификация ИС ПД
    10. Уведомление уполномоченного органа об обработке ПД
    11. Приведение системы защиты ПД в соответствие требованиям регуляторов
    12. Лицензирование деятельности по технической защите конфиденциальной информации
    13. Сертификация ИС ПД
    14. Эксплуатация ИС: мониторинг, выявление и реагирование на инциденты ИБ
    Ответственность за нарушения

    Прежде всего, следует учитывать, что законодательство устанавливает уголовную ответственность за нарушение неприкосновенности частной жизни (УК РФ, ст. 137), за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений (УК РФ, ст. 138). Кроме того, гражданское законодательство предусматривает защиту нематериальных благ граждан, в частности неприкосновенности частной жизни, личной и семейной тайны, деловой репутации. Пострадавшее лицо может потребовать в судебном порядке компенсации морального вреда, возмещения убытков и опровержения сведений, порочащих его честь, достоинство и деловую репутацию (ГК РФ, ч. 1, ст. 150, 151, 152).

    Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет за собой наложение административного штрафа на виновного в размере от трех до пяти минимальных размеров оплаты труда (МРОТ), на должностных лиц – от пяти до десяти МРОТ, а на юридическое лицо – от пятидесяти до ста МРОТ (КоАП РФ, гл. 13, ст. 13.11).

    Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации, влечет наложение административного штрафа в размере от пяти до десяти МРОТ с конфискацией этих средств; на должностных лиц – от десяти до двадцати МРОТ, а на юридических лиц – от ста до двухсот МРОТ с конфискацией несертифицированных средств (КоАП РФ, ст. 13.12.2).

    Разглашение информации, доступ к которой ограничен федеральным законом, и, в частности, персональных данных (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) лицом, имевшим к ней доступ по служебным или профессиональным обязанностям, карается административным штрафом в размере от пяти до пятидесяти МРОТ (КоАП РФ, ст. 13.14).

    В случае возникновения вопросов по созданию системы защиты персональных данных советуем обратиться в комитет по информационной безопасности МОО СоДИТ или МОО АЗИ.

    (По материалам семинара «Требования и правоприменительная практика выполнения законодательства о персональных данных», проведенного 06.02.09 в Москве СоДИТ и АЗИ при поддержке ИНСОР)

    Юрий Шойдин, директор по ИТ ГК «Интарсия»


Об авторах

Юрий Шойдин

Юрий Шойдин

Член правления Российского Союза ИТ-директоров, возглавляет Комитет по информационной безопасности.


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Другие материалы рубрики

Мысли вслух

Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.
Сейчас мы вступаем в следующую фазу выздоровления и восстановления, но гибридный мир никуда не денется
В России опрос показал: 48% составляют технооптимисты, а больше половины – технофобы и техноскептики.

Компании сообщают

Мероприятия

Юникон & гейм экспо минск / unicon & game expo minsk
Минск, пр. Победителей, 20/2 (футбольный манеж)
14.05.2021 — 16.05.2021
12:00
SAS Global Forum 2021
ОНЛАЙН
18.05.2021 — 20.05.2021