учебное пособие защита персональных данных
В современных условиях информационные технологии приобрели глобальный характер и стали неотъемлемой частью всех сфер деятельности личности, общества и государства. Систему государственного и муниципального управления уже невозможно представить в отрыве от современных средств обработки информации. Электронный документооборот, межведомственное электронное взаимодействие, предоставление государственных и муниципальных услуг в электронном виде широко представлены в деятельности органов государственной власти и местного самоуправления. В результате такого проникновения информационной сферы возникают все новые и новые информационные угрозы. Данный информационно-методический ресурс посвящен вопросам информационной безопасности и защиты информации в органах государственной власти и местного самоуправления, государственных и муниципальных учреждениях Воронежской области. Рассчитываем на то, что ресурс «Информационная безопасность Воронежской области» будет полезен как для специалистов в области информационной безопасности, так и для заинтересованных граждан.
ЛЕНТА НОВОСТЕЙ
Внесены изменения в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденные постановлением Правительства Российской Федерации от 06.07.2015 № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации». Открыть
Внесены изменения в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18.02.2013 № 21. Открыть
Информационное сообщение ФСТЭК России от 20.01.2020 № 240/24/250 «О применении сертифицированных операционных Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в связи с прекращением их технической поддержки». Открыть
Внесены изменения в документы, определяющие политику в отношении обработки персональных данных в правительстве Воронежской области, утвержденные постановлением правительства Воронежской области от 26.09.2017 № 748. Открыть
Внесены изменения в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 № 17. Открыть
Правовая защита персональных данных, учебное пособие
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ
ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
«САМАРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»
ПРАВОВАЯ ЗАЩИТА
ПЕРСОНАЛЬНЫХ ДАННЫХ
УМО по образованию в области историко-архивоведения
в качестве учебного пособия для студентов высших учебных заведений,
обучающихся по специальностям 090103 «Организация и технология защиты информации», 090104 «Комплексная защита объектов информатизации» и направлению «Информационная безопасность»
Управлением Роскомнадзора по Самарской области
в качестве учебного пособия для повышения квалификации специалистов в области защиты персональных данных.
Издательство «Самарский университет»
Р е ц е н з е н т ы:
заместитель руководителя Управления Роскомнадзора по Самарской области, советник государственной гражданской службы Российской Федерации 2 класса ;
доктор технических наук, проректор по информатизации Самарского государственного аэрокосмического университета ;
начальник отдела Самарского областного суда, государственный советник юстиции Российской Федерации 3 класса
Р 60 Правовая защита персональных данных : учебное пособие /
. – Самара: Изд-во «Самарский университет», 2010. –
В учебном пособии рассмотрены нормативные правовые аспекты обработки и защиты персональных данных в связи с вступлением в силу Федерального закона «О персональных данных». Представлен обширный справочный материал по действующему законодательству, а также нормативным документам федеральных органов исполнительной власти, касающихся регулирования отношений в области обработки и защиты персональных данных по состоянию на конец 2009 года.
Предназначено для студентов высших учебных заведений, обучающихся по специальностям в области информационной безопасности и юриспруденции, слушателей курсов повышения квалификации по проблемам защиты персональных данных. Рассмотренные вопросы будут полезны руководителям учреждений, сотрудникам кадровых служб, а также специалистам в области информационных технологий, занимающимся разработкой и эксплуатацией автоматизированных информационных систем и обеспечением их безопасности.
© Самарский государственный университет, 2010
© Оформление. Издательство «Самарский
Глава 1. Законодательная база по обработке персональных данных 19
1.1. Основные нормативно-правовые документы Российской
Федерации в области защиты персональных данных. 20
1.2. Конвенция Совета Европы о защите физических лиц при
автоматизированной обработке персональных данных. 28
1.3. Федеральный закон «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной
обработке персональных данных». 35
1.4. Регулирование отношений при обработке персональных
1.4.1. Общие замечания. 36
1.4.3. Уголовный Кодекс Российской Федерации. 40
1.4.4. Кодекс Российской Федерации об административных
1.4.5. Федеральный закон «Об информации,
информационных технологиях и о защите информации». 50
1.4.6. Трудовой Кодекс Российской Федерации. 52
1.4.7. Сводная таблица правонарушений при обработке
персональных данных. 59
Контрольные вопросы к главе 1. 62
Глава 2. Федеральный закон «О персональных данных». 64
2.1. Общие положения. 65
2.2. Принципы и условия обработки персональных данных. 68
2.4. Обязанности оператора при сборе персональных данных. 72
2.5. Контроль и надзор за обработкой персональных данных. 77
2.6. Правоотношения субъектов при обработке персональных
Контрольные вопросы к главе 2. 82
Глава 3. Нормативные документы Федеральных органов власти в области защиты персональных данных. 83
3.1. Уполномоченный орган по защите прав субъектов
персональных данных. 84
3.2. Уведомление об обработке персональных данных. 90
3.3. Положение об обеспечении безопасности персональных
данных при их обработке в информационных системах
персональных данных. 96
3.4. Положение об особенностях обработки персональных
данных, осуществляемой без использования средств
3.5. Требования к материальным носителям биометрических
персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3.6. Порядок классификации информационных систем
3.7. Мероприятия оператора по защите персональных данных.
3.8. Пример нормативных документов оператора.
Контрольные вопросы к главе 3.
Глава 4. Лицензирование и сертификация в области защиты персональных данных.
4.1. Основные понятия.
4.3. Лицензирование деятельности по технической защите
4.4. Лицензирование видов деятельности, связанных с
4.5. Сертификация средств защиты информации.
Контрольные вопросы к главе 4.
Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
Дополнительный протокол к Конвенции о защите частных лиц в отношении автоматизированной обработки данных личного характера, касаясь властей контроля и граничных потоков данных.
Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера (Пояснительный Доклад).
Федеральный закон от 01.01.01 года «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
Федеральный закон от 01.01.01 года «О персональных данных».
Постановление Правительства Российской Федерации от 01.01.01 г. № 000 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
Постановление Правительства Российской Федерации от 01.01.01 г. № 000 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» 255
Постановление Правительства Российской Федерации от 6 июля 2008 г. № 000 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
Постановление Правительства Российской Федерации «О лицензировании деятельности по технической защите конфиденциальной информации».
Постановление Правительства Российской Федерации «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» 263
Приказ Россвязькомнадзора «Об утверждении образца формы уведомления об обработке персональных данных» (в редакции приказа Россвязькомнадзора ).
Приказ Россвязьохранкультуры от 01.01.01 г. № 000 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных».
Указ Президента Российской Федерации от 01.01.01 г. № 000 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела».
Приказ Федерального фонда обязательного медицинского страхования «Об утверждении Положения о защите персональных данных работников фонда обязательного медицинского страхования».
Приказ министерства транспорта Российской Федерации «Об утверждении Положения об организации работы с персональными данными государственного гражданского служащего министерства транспорта Российской Федерации и ведении его личного дела».
Приказ Федеральной службы по тарифам от 7.11.2008 «Об утверждении Положения о работе с персональными данными государственного гражданского служащего ФСТ России и ведении его личного дела».
Письмо Федерального агентства по образованию Российской Федерации от 01.01.01 г. № 17-110 «Об обеспечении защиты персональных данных» 318
Постановление Центральной избирательной комиссии Российской Федерации № 000/1254-4 от 01.01.01 г. «О внесении изменений в «Положение об обеспечении безопасности информации в государственной автоматизированной системе Российской Федерации «Выборы».
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. (ФСБ России, 21.02.2008 № 000/54-144).
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (ФСБ России, 21.02.2008 № 000/6/6-622).
Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (ФСТЭК России, 2008).
Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ( ФСТЭК России, 2008).
Информатизация в настоящее время является одной из самых быстро развивающихся отраслей. Новые технологии сбора, обработки и передачи информации, являющейся, пожалуй, самым ценным товаром современного общества, обусловили появление новых отношений в обществе, требующих соответствующего правового регулирования.
Нормативная правовая база, регулирующая отношения в области информации, информационных технологий и информационной безопасности претерпевает постоянные существенные изменения. Достаточно часто в последние годы изменяется и организационная структура государственной системы управления процессами информатизации и обеспечения информационной безопасности.
В связи с этим учебно-методическая литература в области организационно-правовых вопросов информатизации достаточно быстро устаревает. А если учесть, что по этой тематике учебной литературы издается весьма незначительно, то ощущается ее постоянный дефицит. С другой стороны, информационное общество требует все большее количество квалифицированных специалистов в области информационных технологий и информационной безопасности, обладающих достаточно глубокими знаниями в области правового регулирования информационных отношений.
Надеюсь, что данное учебное пособие внесет свой скромный вклад в подготовку специалистов и повышение уровня правовой культуры гражданина информационного общества.
Одновременно с данным учебным пособием в Самарском государственном университете выпущен интерактивный авторский CD-диск «Информационно-справочная система «Правовая защита персональных данных». Система содержит основные части данного учебного пособия и полные тексты всех законодательных и нормативных актов, касающихся обработки и защиты персональных данных (более 30).
Отзывы, пожелания и замечания по данному учебному пособию можно прислать по адресу *****@
Власть, прежде всего, должна быть разумной. Если ты повелишь своему народу броситься в море, он устроит революцию. Я имею право требовать послушания, потому что веления мои разумны.
Антуан де Сент-Экзюпери, «Маленький принц»
Введение
Стремительное развитие информационных технологий и глобальных телекоммуникационных сетей привело к качественным изменениям в экономической и социально-политической сферах общественной жизни. Однако высокая скорость внедрения компьютерных технологий и телекоммуникаций в общественную деятельность опережает темпы развития социальных и правовых отношений в развивающемся информационном обществе. Человечество впервые столкнулось с ситуацией, когда широкомасштабная информатизация вызвала новые отношения в обществе, а существующая законодательная база не соответствует складывающимся реалиям.
Наблюдающийся в последние годы процесс бурного развития глобального информационного обмена вызвал все возрастающий размах информационного пиратства, применения информационных технологий для совершения преступлений, поставил ряд серьезных социальных, политических, психологических, а также правовых проблем.
В связи с лавинообразным ростом использования виртуального информационного пространства в виде сети Интернет глобальное информационное общество столкнулось с рядом принципиально новых общественных отношений и правовых проблем. В настоящее время нет единых международных правовых актов, регулирующих отношения, связанные с использованием сети Интернет. Более того, законодательная база разных государств, касающаяся использования глобального информационного пространства, находится в зачаточном состоянии и во многих случаях достаточно противоречива.
В целях обеспечения согласованных действий при решении вопросов в области использования и развития сети «Интернет» в Российской Федерации Министерством связи и массовых коммуникаций издан приказ № 66 от 01.01.2001 «О создании Совета по вопросам использования и развития информационно-телекоммуникационной сети «Интернет» в Российской Федерации». Совет призван действовать в целях разработки предложений по основным направлениям и принципам нормативно-правового регулирования, обеспечения согласованных действий при решении вопросов в области использования и развития информационно-телекоммуникационной сети «Интернет» в Российской Федерации.
По мере развития средств обработки информации, свободы трансграничного информационного обмена усиливается зависимость общества от информационных технологий, а следовательно, безопасность общества все в большей степени зависит от безопасности используемых информационных технологий. Защита информации в настоящее время является неразрывной частью процессов информатизации и включает в себя безопасность не только информационных ресурсов, но и аппаратно-программных средств ее хранения, обработки и передачи.
Совет Безопасности Российской Федерации 25 июля 2007 года принял важный концептуальный документ – «Стратегия развития информационного общества в России». В нем отмечено, что наряду с расширением созидательных возможностей личности и общества, интенсивное развитие информационно-коммуникационных технологий создает новые возможности для реализации угроз национальной безопасности, связанных с нарушением установленных режимов использования информационно-коммуникационных систем, ущемлением конституционных прав граждан, использованием возможностей современных информационных технологий для осуществления враждебных, а также террористических и других преступных действий.
Одной из важнейших целей развития информационного общества в России, как определяет Стратегия, является укрепление государственных гарантий реализации конституционных прав человека и гражданина в информационном обществе. Для реализации этой цели государству необходимо укреплять гарантии конституционных прав граждан на свободный поиск, получение, передачу, производство и распространение информации, на неприкосновенность частной жизни, совершенствовать правовые механизмы регулирования общественных отношений, связанных с использованием информационно-коммуникационных технологий.
Характерной особенностью современной России является существенное и интенсивное преобразование информационной сферы в связи с проводимыми социально-экономическими преобразованиями и интеграцией в мировое информационное сообщество. Это относится не только к широкому внедрению современных компьютеров, телекоммуникаций и информационных технологий, развитию информационной инфраструктуры, но и к совершенствованию организационной и нормативной правовой базы в области информатизации и приведению ее в соответствие с международными нормами права. Сегодня стало очевидным, что современное информационное общество не может эффективно развиваться без соответствующего правового обеспечения со стороны государства. Только в условиях правового государства каждый член общества, соблюдая нормы законодательства, может пользоваться всеми благами информационной эры. Однако для этого каждый член общества должен обладать соответствующим уровнем информационной и правовой культуры.
Учитывая важность процессов информатизации, Председатель Правительства Российской Федерации своим распоряжением от 01.01.2001 ввел в структуру Аппарата Правительства Департамент информационных технологий и связи.
Среди законов, претерпевших существенные изменения, следует указать «Трудовой Кодекс Российской Федерации», «Кодекс Российской Федерации об административных правонарушениях», «Уголовный Кодекс Российской Федерации», «О лицензировании отдельных видов деятельности» и другие.
Одним из новых важнейших законодательных актов является Федеральный Закон «О персональных данных» от 01.01.01 года. Его принятие направлено на реализацию конституционных положений, закрепляющих право каждого гражданина на неприкосновенность частной жизни и свободу информации, а также на реализацию международных обязательств Российской Федерации, взятых на себя при ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28.01.1981). Конвенция ратифицирована Федеральным законом Российской Федерации от 01.01.01 года.
До принятия закона сбор и обработку персональных данных осуществляло большое количество различных по своему правовому положению, характеру и объему полномочий субъектов, включая государственные органы, органы местного самоуправления, различные государственные и негосударственные организации, действующие на основании разрозненных и нередко не согласованных между собой положений законодательства Российской Федерации. При этом единые подходы к деятельности субъектов по сбору и обработке персональных данных действующим законодательством не были установлены. Отсутствовал также единый специализированный правовой механизм защиты прав граждан при обработке персональных данных и централизованный контроль за деятельностью по сбору и обработке персональных данных. Широкое распространение получили случаи несанкционированного доступа к собранным различными государственными органами и иными организациями персональным данным, их незаконного копирования, распространения и использования. В результате чего сформировался и достаточно успешно функционирует «черный» рынок полученных преступным путем информационных систем, баз данных и других информационных ресурсов, содержащих персональные данные граждан.
Целью Федерального закона «О персональных данных» является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Предметом правового регулирования в законе являются отношения, связанные с обработкой персональных данных. Это позволяет надеяться, что закон станет эффективным правовым рычагом противодействия достаточно распространенным случаям нарушения прав физических лиц при обработке их персональных данных.
Следует отметить, что после принятия данного закона во исполнение его требованиям Президент, Правительство и Федеральные органы исполнительной власти Российской Федерации приняли ряд нормативных документов, направленных на создание конкретных механизмов его реализации. Более того, сам закон и нормативные документы органов исполнительной власти обязывают создавать локальную нормативную базу учреждений, регламентирующую процессы обработки персональных данных, реализацию мер по их защите и ответственности должностных лиц.
Данное учебное пособие имеет целью провести анализ современной нормативно-правовой базы в области обработки персональных данных с учетом изменений законодательства на конец 2009 года.
Первая глава учебного пособия посвящена обзору международной правовой базы и Федеральных законов Российской Федерации, регулирующих отношения в области обработки персональных данных.
В главе 2 подробно рассматриваются положения закона «О персональных данных», представлена структурная модель правоотношений субъектов в информационных процессах при обработке и защите персональных данных.
Третья глава посвящена рассмотрению нормативных актов Президента, Правительства и органов исполнительной власти Российской Федерации (ФСБ, ФСТЭК, Мининформсвязи). Подробно описаны мероприятия, которые необходимо провести операторам при обработке и защите персональных данных, приведены конкретные примеры локальных нормативных документов оператора.
В главе 4 рассмотрены вопросам лицензирования деятельности и сертификации в области защиты персональных данных.
В приложении к пособию представлен обширный справочный материал по основным законам, а также руководящим и нормативным документам Президента, Правительства и Федеральных органов исполнительной власти Российской Федерации, касающимся процессов обработки и защиты персональных данных.
Учебное пособие написано на основе опыта преподавания дисциплин по федеральным компонентам общепрофессиональных дисциплин по специальностям «Организация и технология защиты информации», «Математическое обеспечение и администрирование информационных систем», а также ряда спецкурсов для специальностей в области информационных технологий и информационной безопасности.
Пособие ориентировано на студентов высших учебных заведений, обучающихся по специальностям в области информационных технологий и информационной безопасности, юриспруденции, слушателей курсов повышения квалификации по проблемам обработки и защиты персональных данных. Затронутые вопросы могут быть полезны техническим специалистам, занимающимся обеспечением защиты информации, юристам, специалистам кадровых служб и служб безопасности, а также руководителям разных рангов, курирующим вопросы обеспечения информационной безопасности и обработки персональных данных.
Защита персональных данных (конспект лекции)
Цикл лекций по дисциплине «Автоматизация процессов управления информационной безопасностью»
CC BY 4.0 © Рахметов Р. для ООО «Интеллектуальная безопасность» (Security Vision), 2021
Федеральный Закон №149 «Об информации, информационных технологиях и о защите информации» от 27.07.2006
Содержит базовые понятия и определения, которые используются во всех нормативных правовых актах, касающихся защиты информации.
категории информации: общедоступная информация и информация ограниченного распространения
Персональные данные классифицируются как информация ограниченного доступа, в соответствии с 149-ФЗ (ст.9 п.2) соблюдение конфиденциальности такой информации является обязательным, государство устанавливает обязательные нормы и правила её обработки.
Перечень нормативных актов, относящих сведения к категории ограниченного доступа.
Классификатор видов информации, доступ к которой не может быть ограничен: нормативные правовые акты, информация о деятельности государственных органов, состоянии окружающей среды и т.д.
«Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»
В конце 2018 года Российская Федерация совместно с другими странами-участницами подписала «Протокол №223 о внесении изменений в Конвенцию Совета Европы о защите персональных данных», который актуализирует Конвенцию в части соответствия вызовам текущего времени: защита биометрических и генетических данных, новые права физических лиц в контексте алгоритмического принятия решений искусственным интеллектом, требования защиты данных уже на этапе проектирования информационных систем, обязанность уведомлять уполномоченный надзорный орган об утечках данных.
Содержит основные определения и требования, касающиеся обработки персональных данных. В 152-ФЗ вносились изменения:
261-ФЗ от 25.07.2011 – существенные изменения в базовые постулаты защиты ПДн;
Государственные информационные системы (ГосИС / ГИС) определены в 149-ФЗ (ст.13 п.1) как федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.
Ст. 14 п.8 в 149-ФЗ гласит, что все технические средства и средства защиты информации, применяемые в ГосИС, должны соответствовать Федеральному Закону №184-ФЗ «О техническом регулировании» от 27.12.2002, где в статье 20 описаны три допустимые формы подтверждения соответствия: добровольная сертификация, декларирование соответствия, обязательная сертификация.
Меры по обеспечению безопасности ПДн по 152-ФЗ, ПП-1119
Ст. 19 в 152-ФЗ: операторам следует обеспечить установленные Постановлением Правительства №1119 от 01.11.2012 («Об утверждении требований к защите ПДн при их обработке в ИСПДн») уровни защищенности ПДн, под которыми понимается набор требований, нейтрализующий определенные угрозы безопасности. Для моделирования этих угроз, т.е. построения модели угроз (далее — МУ) и модели нарушителя, следует опираться на следующие нормативные правовые акты:
«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», который был разработан и утвержден ФСТЭК России в 2008 году
Статья 5 в 152-ФЗ говорит об обязанности государственных органов разрабатывать отраслевые МУ в зоне их ответственности. Такие МУ были разработаны:
ЦБ РФ (сначала в виде РС БР ИББС-2.4, затем в виде Указания Банка России №3889-У),
В 152-ФЗ обязанность по обеспечению безопасности ПДн возлагается на оператора ИСПД) или на лицо, которое обрабатывает ПДн по поручению оператора (т.н. «обработчик»).
В ПП-1119 приведены конкретные организационные и технические меры защиты, которые следует выполнять оператору (или обработчику) для обеспечения соответствующего уровня защищенности ПДн, при этом выбор уровня защищенности зависит от:
категории обрабатываемых ПДн (т.е. типа ИСПДн)
количества субъектов ПДн
Категории ПДн могут быть:
специальными (обработка информации о критичных аспектах жизни субъекта ПДн, таких как состояние здоровья, национальная/расовая принадлежность, политические и религиозные убеждения),
биометрическими (обработка ПДн, характеризующих физиологические и биологические особенности),
общедоступными (ПДн получены из общедоступных источников),
иными (не входят ни в одну из вышеприведенных категорий).
Актуальные угрозы могут быть:
Максимальным УЗ является 1-ый, минимальным – 4-ый.
Выбор уровня защищенности ПДн
ПП-1119 предлагает достаточно сжатый перечень мер защиты ПДн, поскольку детальные меры безопасности ПДн определяет ФСТЭК России:
Приказ №21 от 18.02.2013 утверждает состав и содержание организационных и технических мер по обеспечению безопасности ПДн,
Приказ №17 от 11.02.2013 регламентирует требования по защите информации в ГосИС, включая защиту ПДн в них,
Приказ №21 ФСТЭК России от 18.02.2013
Посвящен мерам защиты ПДн для негосударственных ИС и содержит перечень конкретных мер для обеспечения того или иного УЗ ПДн.
В п.4 операторам негосударственных ИС дается послабление в виде разрешения не использовать сертифицированные СЗИ в случае отсутствия закрываемых ими актуальных угроз.
В п.6 документа устанавливается трехлетний интервал проведения оценки эффективности реализованных мер.
Приказ №21 (как и Приказ №17) предлагает одинаковый алгоритм выбора и применения мер для обеспечения безопасности:
сначала осуществляется выбор базовых мер на основании положений соответствующего Приказа
далее производится адаптация выбранного базового набора мер, предполагающая исключение нерелевантных «базовых» мер в зависимости от особенностей информационных систем и использующихся технологий
затем адаптированный базовый набор мер уточняется для нейтрализации актуальных угроз не выбранными ранее мерами
осуществляется дополнение уточненного адаптированного базового набора мерами установленными иными применимыми нормативными правовыми документами.
Приказ №21 в п.10 содержит важное замечание о возможности оператора применять компенсирующие меры при невозможности технической реализации или экономической нецелесообразности применения мер из базового набора, что дает определенную гибкость при выборе новых и обосновании использования уже внедренных средств защиты в целях обеспечения безопасности ПДн.
В случае, если оператор использует сертифицированные СЗИ, регулятор в п.12 Приказа предъявляет требования к классам применяемых СЗИ и к средствам вычислительной техники (далее — СВТ).
Сертифицированные межсетевые экраны, системы обнаружения вторжений, средства антивирусной защиты информации, средства доверенной загрузки, средства контроля съемных машинных носителей, операционные системы в соответствии с недавно (в 2011-2016 гг.) введенными классификаторами ФСТЭК России могут иметь классы от 1 (максимальный уровень обеспечения защиты) до 6 (минимальный уровень). СВТ могут быть классифицированы по семи уровням в соответствии с руководящим документом ФСТЭК России. Требования предъявляются и к контролю отсутствия недекларированных возможностей (НДВ) в ПО СЗИ — существует четыре уровня контроля. Актуальный список сертифицированных СЗИ содержится в государственном реестре сертифицированных средств защиты информации на сайте ФСТЭК России.
В Приказе №21 указаны следующие группы мер по обеспечению безопасности ПДн, которые должны быть применены в зависимости от требуемого уровня защищенности ПДн:
Идентификация и аутентификация субъектов доступа и объектов доступа
Управление доступом субъектов доступа к объектам доступа
Ограничение программной среды
Защита машинных носителей ПДн
Регистрация событий безопасности
Контроль (анализ) защищенности ПДн
Обеспечение целостности ИС и ПДн
Обеспечение доступности ПДн
Защита среды виртуализации
Защита технических средств
Защита ИС, ее средств, систем связи и передачи данных
Выявление инцидентов и реагирование на них
Управление конфигурацией ИС и системы защиты ПДн.
Приказ №17 ФСТЭК России от 11.02.2013
Устанавливает требования к обеспечению безопасности информации ограниченного доступа в ГосИС, при этом в п.5 подчеркивается, что при обработке ПДн в ГосИС следует руководствоваться и ПП-1119.
Приказ обязывает операторов ГосИС использовать только сертифицированные СЗИ и получать пятилетний аттестат соответствия требованиям по защите информации.
Данный документ предполагает выполнение операторами следующих мероприятий для обеспечения защиты информации (далее — ЗИ):
формирование требований к ЗИ
разработка, внедрение и аттестация системы ЗИ ИС
обеспечение ЗИ в ходе эксплуатации и при выводе из эксплуатации.
Пункт 14.3 Приказа говорит о необходимости создания модели угроз и предлагает использовать Банк данных угроз безопасности информации (БДУ) ФСТЭК России.
Для ГосИС устанавливается класс (К) защищенности (от максимального 1-го до минимального 3-го), который зависит от:
уровня значимости (УЗ) обрабатываемой информации
уровень значимости зависит от степени возможного ущерба свойствам безопасности (конфиденциальность, целостность, доступность) обрабатываемой в ГосИС информации
масштаб системы может быть федеральным, региональным или объектовым.
в ГосИС 1-го класса защищенности должна быть обеспечена защита от действий нарушителей с высоким потенциалом
в ГосИС 2-го класса — от нарушителей с потенциалом не ниже усиленного
Поскольку для обеспечения ИБ в ГосИС допустимо применять только сертифицированные СЗИ, в п.26 Приказа №17 описаны допустимые классы СЗИ, СВТ и уровни контроля отсутствия НДВ, в зависимости от класса ГосИС.
В п.27 проводится связь между классом защищенности ГосИС и уровнями защищенности ПДн, обрабатываемыми в ней:
выполнение требований мер ЗИ для ГосИС 1-го класса обеспечивают 1, 2, 3 и 4 уровни защищенности ПДн (УЗ ПДн)
выполнение требований мер ЗИ для ГосИС 2-го класса обеспечивают 2, 3 и 4 УЗ ПДн
Меры защиты информации в ГосИС почти полностью совпадают с мерами из Приказа №21, за исключением отсутствия указаний на выявление инцидентов и управление конфигурацией – это выполняется уже после построения системы защиты, на этапе эксплуатации аттестованной ГосИС, наряду с управлением самой системой защиты информации и контролем за обеспечением уровня защищенности информации в ГосИС.
Кроме Приказа №17, при реализации соответствующих мер ЗИ можно также руководствоваться и методическим документом ФСТЭК России «Меры защиты информации в государственных информационных системах», в котором более детально раскрываются состав и содержание всех мер.
Устанавливает нормы по применению одного из шести классов СКЗИ при защите ПДн:
Класс СКЗИ выбирается в зависимости от требуемого уровня защищенности ПДн и от типа актуальных угроз. Несмотря на то, что классы СКЗИ нейтрализуют угрозы, источником которых является нарушитель определенного типа с тем или иным уровнем потенциала (типов нарушителей всего 6, от Н1 до Н6, они определяются в модели нарушителя), данный Приказ привязывает класс СКЗИ именно к уровню защищенности ПДн, а не к возможностям злоумышленников.
Кроме описания необходимых классов СКЗИ, указанный документ содержит административные требования к оператору, такие как организация режима доступа в помещения (физическая безопасность — установка замков, решеток), обеспечение сохранности носителей ПДн, утверждение перечня лиц, которые имеют доступ к ПДн.
Международные нормы по защите персональных данных
В Европейском Союзе действуют нормы GDPR (General Data Protection Regulation, Общий регламент по защите персональных данных) – принят в апреле 2016 года, вступил в силу 25 мая 2018 года.
Под персональными данными в рамках GDPR понимается любая информация, относящаяся к идентифицированному или идентифицируемому лицу (субъекту персональных данных). Под идентифицируемым лицом понимается то лицо, которое может быть идентифицировано, прямо или косвенно, в частности с использованием таких идентификаторов, как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или при помощи одного или нескольких факторов, специфичных для физического, физиологического, генетического, умственного, экономического, культурного или социального статуса этого лица. Таким образом, под определение ПДн подпадают не только привычные нам характеристики, но и IP-адрес, установленные пользователю cookie-идентификаторы, данные о геолокации пользователя и иные технические атрибуты.
Зона действия норм GDPR распространяется на всех операторов, которые обрабатывают ПДн граждан ЕС и иных граждан, находящихся на территории ЕС.
При этом оператор может не иметь представительства на территории ЕС, а его автоматизированные системы могут также находиться за пределами ЕС.
Примеры, касающиеся применения норм GDPR к операторам-компаниям из РФ:
российский банк должен соответствовать нормам GDPR при обработке данных своих клиентов-граждан РФ при их нахождении на территории ЕС;
онлайн-магазин с регистрацией в РФ, предоставляющий услуги/товары в том числе гражданам ЕС, использующий cookie-идентификаторы и/или аналитику поведения пользователей на своем сайте с интерфейсом на языках ЕС, также подпадает под действие норм GDPR;
дочерняя структура российской компании, ведущая деятельность на территории ЕС.
законность, справедливость и прозрачность обработки — соответствие обработки ПДн законодательству, выработка и следование публично доступной политике по работе с персональными данными (т.н. privacy policy)
ограничение целей обработки — обработка ПДн осуществляется для определенных, четко выраженных целей и не дольше, чем того требует достижение указанных целей
минимизация данных — обработка ровно такого объема ПДн, который требуется для достижения целей обработки
точность — обрабатываемые ПДн точны и верны, в противном случае субъект может потребовать удалить или откорректировать неверные ПДн
ограничение на хранение — после достижения цели обработки данные удаляются
целостность и конфиденциальность — обработка ПДн ведется безопасно, данные защищаются от несанкционированного доступа, случайного или намеренного удаления, утери, повреждения, с применением соответствующих технических и организационных мер.
Правила обработки ПДн по GDPR:
субъекты ПДн обладают правом на получение доступа к собранным о них данным, правом на корректировку и удаление неверных ПДн в системах оператора, правом на забвение, т.е. на удаление ПДн по их просьбе, правом на перенос данных из одной системы в другую в машиночитаемом виде, правом на отказ от обработки ПДн системами искусственного интеллекта, системами профилирования и автоматизированными системами принятия юридически значимых решений (при этом при таком отказе оператор не вправе ущемлять иные законные права субъекта при обработке его ПДн)
оператор должен производить оценку рисков нарушения прав и свобод субъектов
оператор должен вести актуальный реестр бизнес-процессов обработки ПДн, в котором отражаются цели и основания обработки ПДн, категории обрабатываемых ПДн, сроки хранения и применяемые меры по защите ПДн
при проектировании автоматизированных систем обработки ПДн операторы должны руководствоваться принципами встроенной конфиденциальности (privacy by design, т.е. внедрять меры защиты ПДн на всех этапах проектирования систем и жизненного цикла обработки ПДн) и конфиденциальности по умолчанию (privacy by default, т.е. обрабатываемый объем ПДн должен быть минимальным для достижения чётко поставленных целей их обработки)
согласие на обработку ПДн должно быть дано субъектом ПДн в виде активных осознанных действий — оператор не имеет права считать согласие субъекта данным по умолчанию, как не может и не давать пользователю выбора или не предоставлять ему возможность отозвать согласие без ущемления интересов
оператор должен назначить ответственного за защиту персональных данных (Data Privacy Officer) в случаях, когда:
Штрафные санкции за невыполнение требований по защите ПДн в РФ
Штрафы, взимаемые за нарушение российского законодательства о защите персональных данных, регламентируются ст. 13.11 КоАП РФ, в которой предусматриваются семь составов правонарушений, введенных в июле 2017 года. Например, часть 1 ст. 13.11 КоАП РФ предусматривает наказание операторов за обработку ПДн в случаях, не предусмотренных законом, либо обработку, несовместимую с целями сбора ПДн, в размере до 50 тысяч рублей. Часть 2 ст. 13.11 КоАП РФ предусматривает наказание за обработку ПДн без согласия субъекта либо за нарушения в процессе получения такого согласия, в размере до 75 тысяч рублей.
Невыполнение норм о локализации баз ПДн на территории РФ является нарушением ст.1 242-ФЗ и ст.15.5 149-ФЗ, что грозит блокированием доступа к веб-ресурсу компании-нарушителя на основании вынесенного судебного решения.
Штрафные санкции за невыполнение требований по защите ПДн в Евросоюзе
Штрафы, взимаемые европейскими регуляторами за невыполнение норм GDPR в случае незначительных нарушений составляют до 10 миллионов евро или 2% от мирового годового оборота компании, а в случае существенных — до 20 миллионов евро или 4% от мирового годового оборота.
При этом за год действия требований GDPR (2018-2019 гг.) уже подведена неутешительная статистика: было проведено более 200000 проверок в отношении операторов, а общая сумма штрафов составляет более 56 миллионов евро, при этом 50 миллионов евро составляет сумма штрафа, выставленного интернет-гиганту Google со стороны французского регулятора в области защиты ПДн (за сбор ПДн без согласия субъекта).
Порядок проведения проверок Роскомнадзором
Роскомнадзор, отечественный уполномоченный государственный орган по защите прав субъектов ПДн, имеет право проводить проверки юридических лиц и индивидуальных предпринимателей на предмет выполнения ими положений Законодательства РФ в области защиты ПДн.
Проверки проводятся как Центральным Аппаратом (план проверок и отчеты о деятельности публикуются на официальном сайте), так и Управлениями по Федеральным округам (например, на сайте Управления Роскомнадзора по ЦФО размещены планы деятельности и отчеты на последние 10 лет).
Проверки Роскомнадзора регламентируются Постановлением Правительства РФ №146 от 13.02.2019 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных».
В соответствии с этим Постановлением проверки бывают как плановыми (практика показала, что регулятор проверяет в течение года группы компаний, объединенных по общему признаку, например, по сфере деятельности), так и внеплановыми: они могут проводится по поручению Президента, Правительства РФ или по решению Руководителя Роскомнадзора в рамках проведения прокурорской проверки, в случае неисполнения предыдущего предписания регулятора, а также в случае поступления жалоб от субъектов ПДн.
Внеплановые проверки могут быть только выездными, а плановые могут быть как документарными, так и выездными.
Регулятор при проверке изучает внутренние нормативные документы по обработке ПДн, осматривает места хранения ПДн, требует наглядно продемонстрировать обработку ПДн в информационных системах.
Как правило, в случае выявления недостатков регулятор выносит предписание на устранение нарушений в заданные сроки, а штрафует за отсутствие правовых основ для обработки ПДн (например, за отсутствие задокументированных фактов дачи согласия субъектами ПДн), за несоответствие целей обработки и объема ПДн, за отсутствие необходимых уведомлений и политик на сайте оператора при условии сбора ПДн на нем.