Защита персональных данных - Часто задаваемые вопросы
ВНИМАНИЕ! Уважаемые посетители!
Благодарим Вас за проявленный интерес к нашему разделу, посвященному проблематике персональных данных, а также за все Ваши вопросы по данной теме.
Со своей стороны мы стараемся отвечать на все вопросы, какие бы они ни были и каким бы образом не были адресованы нам: по электронной почте, телефону, в ходе личных встреч. Мы также стараемся сохранить "авторскую" стилистику и орфографию, т.к. вопросы, возможно, будут более понятны тем или иным группам специалистов. Однако, поэтому мы не несем никакой ответственности за содержание и корректность вопросов, но при этом всецело отвечаем за содержание ответов!
К сожалению, Роскомнадзор практически всегда понимает, что согласие должно быть получено исключительно в письменном виде. Хотя сам закон предполагает лишь 5 случаев получения письменного согласия в случае:
обработки специальных категорий персональных данных (данные о здоровье, расовой и национальной принадлежности и т.д.);
обработки биометрических ПДн;
включения ПДн в общедоступные источники (справочники, адресные книги и т.д.);
необходимости трансграничной передачи персональных данных, в случае, когда принимающая сторона не обеспечивает адекватного уровня защиты;
принятия решений, порождающих юридические последствия для субъектов ПДн при исключительно автоматизированной обработке ПДн.
В остальных случаях согласие может быть получено другим образом.
Во-первых, закон не дает жесткого требования по получению согласия. Есть целый ряд изъятий, когда оно не требуется, например, при работе в рамках заключенного договора. В данном случае коллективный договор страхования и есть тот самый договор, на основании которого проводится дальнейшая обработка ПДн, а значит получать отдельно согласие субъектов не нужно.
Чтобы обезопасить себя полностью, в договоре коллективного страхования необходимо зафиксировать, что «работодатель на основании согласия своих работников передает …», т.е. ответственность по получению согласия на обработку ПДн от субъектов фиксируется на другой Стороне договора.
Ответственность по получению согласия субъектов на обработку ПДн в данном случае лежит на Операторе. А в договоре с третьим лицом, при передаче ему в обработку ПДн, должно быть отдельным пунктом предусмотрено выполнение (ответственность за выполнение) таким третьим лицом требований Оператора по защите персональных данных.
Мы рекомендуем придерживаться следующей логики действий:
Проведение инвентаризации информационных ресурсов, обрабатываемых в ИС, с целью определения перечня ПДн;
Урегулирование правовых вопросов обработки ПДн;
Проведение обследования ИС, определение текущего состояния и комплекса мер, необходимых для ее приведения к требованиям текущей нормативной базы (Закон о ПДн и т.д.);
Направление (при необходимости) уведомления в Роскомнадзор (за исключением случаев обработки ПДн в рамках трудовых отношений, а также в случае обработки ПДн в рамках договорных отношений, что, однако, должно быть четко аргументировано);
Классификация ИСПДн, построение Модели угроз, Модели нарушителя;
Операторам ИСПДн 1 и 2 класса, а также распределенных систем 3-го класса – получение лицензии на деятельность по технической защите конфиденциальной информации (на сегодняшний день такое требование ФСТЭК остается в силе, однако уже подготовлены изменения, частично отменяющие данную обязанность. В дальнейшем получение такой лицензии будет обязательным только в случае оказания Операторами услуг по защите ПДн);
Проектирование и проверка системы обеспечения безопасности ПДн на соответствие требованиям;
Организация эксплуатации системы защиты ИСПДн и контроля использования СЗИ.
Требования по защите персональных данных в значительной мере базируются на требованиях, изложенных в ранее принятых нормативных документах ФСТЭК России по защите информации конфиденциального характера, к основным из которых относятся:
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). (приказ Гостехкомиссии России от 30.08.2002 г. № 282);
Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (Гостехкомиссия России, 1992 г.).
Вместе с тем РД «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены заместителем директора ФСТЭК России 15 февраля 2008 г.) предъявляет более жёсткие требования по защите ИС ПДн, чем требования к АС класса 1Г.
Мероприятия по защите ПДн должны быть реализованы в рамках следующих подсистем СОБИ:
управления доступом;
регистрации и учёта;
обеспечения целостности;
криптографической защиты;
антивирусной защиты;
обнаружения вторжений;
защиты от утечки за счёт ПЭМИН (для ИС 1 и 2 классов).
Конкретный состав мероприятий по защите ПДн определяется в зависимости от класса ИС и результатов моделирования угроз.
Согласно ст. 2 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» оценка соответствия – это прямое или косвенное определение соблюдения требований, предъявляемых к объекту. В нашем случае объектом оценки будет являться ИС ПДн и её СОБИ.
В соответствии с РД ФСТЭК России «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» оценка соответствия ИС ПДн (как объекта информатизации) требованиям безопасности информации может осуществляться в следующей форме:
для ИС ПДн 1 и 2 классов – обязательная сертификация (аттестация) по требованиям безопасности информации;
для ИС ПДн 3 класса – декларирование соответствия требованиям безопасности информации;
для ИС ПДн 3 класса – оценка соответствия проводится по решению оператора.
Таким образом, аттестация – это одна из форм оценки соответствия ИС ПДн требованиям безопасности информации. В настоящее время общий порядок аттестации определён руководящим документом «Положением по аттестации объектов информатизации по требованиям безопасности информации» (утверждено председателем Гостехкомиссии России 25 ноября 1994 г.).
Под аттестацией объекта информатизации по требованиям безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативных документов по защите информации, утвержденных ФСТЭК России.
Цель проведения аттестации (как и других методов оценки соответствия) – официальное подтверждение эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.
Согласно действующим нормативным документам ФСТЭК России оценке соответствия подлежит объект информатизации, представляющий собой (по ГОСТ Р 51275-2006) совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров, отсюда следует, что оценке соответствия требованиям безопасности подлежит ИС ПДн, а не прикладная подсистема.
Это же определено и п. 3.11 РД «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных».
Согласно ст. 2 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» сертификация – это форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров (а также требованиям, устанавливаемых уполномоченными органами государственной власти).
В соответствии с п. 5 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781) средства защиты информации (СЗИ), применяемые в информационных системах обработки персональных данных, в должны проходить в установленном порядке процедуру оценки соответствия.
Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» установлены два метода оценки соответствия: сертификация и декларирование соответствия.
В настоящее время порядок сертификации СЗИ в системе сертификации ФСТЭК России установлен «Положением о сертификации средств защиты информации по требованиям безопасности информации» (утверждено приказом Гостехкомиссии России от 27 октября 1995 г. № 199). Процедура оценки соответствия методом декларирования ФСТЭК России будет разработана и введена в действие ориентировочно в конце 2008 г.
В РД по защите персональных данных речь идёт о:
оценке соответствия СЗИ (или путём сертификации или декларирования о соответствии);
сертификации системы защиты информационной системы, обрабатывающей ПДн, на соответствие заданию по безопасности или профилю защиты (в случае если ЗБ или ПЗ для ИС разрабатывались в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-2002 и соответствующих РД ФСТЭК России).
Так как система защиты для ИС класса К1 должна реализовывать необходимые меры защиты ПДн в большем объёме (см. ответ по п. 9) (т.е. система защиты будет более сложной), то и её стоимость будет выше.
Конкретную стоимость работ можно обосновать только после проведения обследования состояния защищённости ИС и моделирования угроз.
Для выполнения требований Федерального закона 2006 г. № 152 «О персональных данных» оператор персональных данных должен выполнить следующие мероприятия:
провести инвентаризацию ИР, обрабатываемых в ИС, и определить перечень ПДн;
урегулировать правовые вопросы обработки (использования) ПДн (уточнение правовых оснований обработки ПДн, получение согласия субъектов на обработку, пересмотр (при необходимости) договоров с субъектами, установление сроков обработки ПДн и др.);
оформить и направить в территориальный орган уполномоченного органа по защите прав субъектов ПДн уведомление об обработке ПДн;
разработать модель угроз (на основании результатов обследования ИС);
провести классификацию ИС с оформлением соответствующего акта;
получить (при необходимости) лицензию на деятельность по ТЗИ (согласно постановлению Правительства РФ 2006 г. № 504);
определить требования по защите ПДн при их обработке в ИС ПДн в соответствии с присвоенным классом и результатами моделирования;
осуществить проектирование СОБИ;
реализовать проект на создание СОБИ;
провести оценку соответствия ИС ПДн требованиям безопасности согласно присвоенному классу.
организовать эксплуатацию ИС в соответствии с требованиями безопасности и контроль соблюдения условий использования СЗИ.
Руководящие документы ФСТЭК России распространяются только на вопросы технической защиты персональных данных при их автоматизированной обработке в ИСПДн.
Поэтому правовые вопросы порядка получения и использования персональных данных должны решаться в соответствии с Федеральным законом 2006 г. № 152 ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, другими нормативными правовыми актами по этому вопросу.
Как указано в ответе на 2-й вопрос, передача персональных данных третьим лицам согласно ч. 4 ст. 6 ФЗ «О персональных данных» может осуществляться только на основании договора, в котором в том числе должна быть предусмотрена ответственность за нарушение требований законодательства по обеспечению безопасности персональных данных. В этом случае ответственность за разглашение переданных 3-му лицу персональных данных будет нести это лицо.
В настоящее время Уполномоченным органом по защите прав субъектов персональных данных, назначаемым в соответствии со ст. 23 ФЗ «О персональных данных», является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Россвязьинформкомнадзор), преобразованная из Федеральной службы по надзору в сфере связи и массовых коммуникаций в соответствии с указом Президента Российской Федерации от 3 декабря 2008 года № 1715.
На эту федеральную службу возлагается задача обеспечения контроля и надзора за соответствием обработки операторами персональных данных требованиям Федерального закона «О персональных данных».
Как правило, в настоящее время проверки операторов этим органом планируются и осуществляются на основании обращений (жалоб) субъектов персональных данных (граждан).
Цель контроля и надзора - проверка соответствия требованиям законодательства содержания персональных данных и способов их обработки целям их обработки.
Уполномоченный орган по защите прав субъектов персональных данных имеет право (ст. 23 ФЗ «О персональных данных»):
запрашивать у операторов (физических или юридических лиц) информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований Федерального закона;
обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
Оператор обязан учитывать эти полномочия при проведении мероприятий по контролю и надзору, а также предоставлять информацию, необходимую для реализации надзорному органу предоставленных Законом полномочий. Рекомендуется обязательное участие в мероприятиях по контролю и надзору юридической службы компании.
Возможные последствия проверок вытекают из перечисленных полномочий и могут составлять:
получение предписаний на устранение выявленных нарушений;
наложение административных штрафов;
приостановление или прекращение обработки персональных данных, осуществляемой с нарушением требований Федерального закона;
принятие мер по приостановлению действия или аннулированию основных лицензий операторов;
возбуждение уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных.
Задача контроля и надзора за выполнением технических требований по обеспечению безопасности персональных данных возложена на федеральный орган исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России), и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
В настоящее время разрабатывается совместное положение Россвязьинформкомнадзора, ФСТЭК России и ФСБ России, определяющее порядок проведения комплексного контроля и надзора за деятельностью операторов, связанной с обработкой персональных данных.
В том случае, если встроенные средства безопасности общесистемного ПО заявлены в ИСПДн как средства защиты, такое ПО должно быть сертифицировано по требованиям ФСТЭК России.
Если же используется стороннее ПО (СЗИ), реализующее функции защиты ПДн, тогда такой сертификации общесистемного ПО не требуется.
Здесь необходимо привести ссылку на ч. 4 ст. 21 ФЗ «О персональных данных», которая устанавливает: «В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган». В настоящее время порядок уничтожения персональных данных никакими нормативными документами не регламентирован. С учётом этого мы рекомендуем факт уничтожения персональных данных оформлять внутренним актом оператора, в котором должно указываться какие персональные данные, когда, кем и каким образом были уничтожены. Кроме того, рекомендуем формальную процедуру уничтожения персональных данных прописать отдельным разделом в разрабатываемом оператором внутреннем Положении об обработке персональных данных.
В соответствии с п. 19 «Порядка проведения классификации информационных систем персональных данных» (совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20) класс информационной системы может быть пересмотрен по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе. Правом проведения контроля в этом случае обладают ФСТЭК России и ФСБ России. Если в ходе проверки будет установлено, что класс ИСПДн занижен, то скорее всего надзорный орган потребует приведения его в соответствие с реальным состоянием ИСПДн.
Порядок проведения государственного контроля и надзора будет установлен специальным документом - «Порядком осуществления контроля и надзора за соблюдением требований законодательства РФ в области защиты персональных данных», который будет утверждаться совместным приказом Минкомсвязи, ФСБ России и ФСТЭК России. Ориентировочный срок принятия этого документа – 3-4 квартал 2009 г.
Абсолютно неверное трактование этого положения. Согласно ст.23 ФЗ «О персональных данных» надзорный орган (Роскомнадзор) на основании жалоб и обращений граждан или юридических лиц имеет право проверять любого оператора ПДн независимо от того, уведомил ли он этот орган о своём намерении осуществлять обработку ПДн или нет.
В этом случае наступает ответственность, предусмотренная ст. 24 ФЗ «О персональных данных» (гражданская, уголовная, административная, дисциплинарная и иная ответственность, предусмотренную законодательством Российской Федерации).
Полномочия Роскомназора по привлечению операторов к ответственности установлены ст. 23 «О персональных данных» (от привлечения к административной ответственности (ст. 13.11, 19.5, 19.7 и др. КоАП) до направления в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных (ст. 137 и др. УК РФ)
Реальную практику примененния санкций можно посмотреть в отчете Роскомнадзора о деятельности за 2008 год на официальном сайте регулятора (можно попасть через наш раздел "Полезные ссылки"). За редким исключением, это в основном предупреждения и штрафы. Однако, ситуация может кардинально измениться с 1 января 2010 года, когда Роскомнадзор станет приостанавливать или останавливать обработку ПДн операторами, которые не выполнили требования Закона, что по своей сути будет означать остановку деятельности организации.
Сертифицировать можно только конкретные средства (компьютер, ПО, элемент ИС, информационную технологию) – это процесс, не зависящий от конкретного местоположения объекта сертификации.
Аттестация же, напротив, строго привязана к конкретному объекту (адрес, здание, помещение и пр.) – процесс, показывающий, что все требования, указанные в сертификате или любых руководящих документах выполнены и соответствуют.
Сертификат соответствия можно и иногда нужно требовать от производителя. Но сертификация – процесс добровольный. Не все производители поставляют продукты в защищенном исполнении. В таком случае Оператор ПДн может «вокруг» такого продукта (ПО) выстроить защиту с использованием сертифицированных (со стороны ФСБ, ФСТЭК) средств защиты.
А вот аттестация ИСПДн 1-й категории – обязательна.
В настоящее время возможность использования не сертифицированных средств обсуждается. Но это касается исключительно негосударственных структур. К чему приведет обсуждение – пока неизвестно.
В соответствии с п. 3.14 «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены заместителем директора ФСТЭК России 15 февраля 2008 г.) операторы ИС персональных данных для проведения мероприятий по обеспечению безопасности ПДн при их обработке в ИС 1, 2 классов и в распределённых информационных системах 3 класса должны получать лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.
Настоящее время порядок лицензирования деятельности по технической защите конфиденциальной информации (в том числе лицензионные требования и условия, предъявляемые к соискателям лицензий) установлен следующими нормативными документами:
Федеральный закон от 8.08.2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности»;
Постановление Правительства Российской Федерации от 26.01.2006 г. № 45 «Об организации лицензирования отдельных видов деятельности»;
Постановление Правительства Российской Федерации от 15.08.2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»;
Приказ ФСТЭК России от 28.08.2007 г. № 181 «Об утверждении административного регламента федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности по технической защите конфиденциальной информации» (зарегистрирован в Минюсте РФ 3 октября 2007 № 10232).
Процедура лицензирования определена документами, перечисленными в ответе ко 2-му вопросу.
Согласно ст. 9 Федерального закона от 8.08.2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности» для получения лицензии соискатель представляет в лицензирующий орган (ФСТЭК России) пакет документов, подтверждающих выполнение им соответствующих лицензионных требований и условий.
На основании рассмотрения и анализа представленных документов лицензирующий орган принимает решение о предоставлении или об отказе в предоставлении лицензии в течение 45 дней со дня поступления заявления о предоставлении лицензии со всеми необходимыми документами. Соответствующее решение оформляется приказом лицензирующего органа.
Подробно лицензионные требования и условия для получения лицензии на деятельность по технической защите конфиденциальной информации установлены постановлением Правительства Российской Федерации от 15.08.2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации».
Порядок (процедура) лицензирования определён «Административным регламентом федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности по технической защите конфиденциальной информации» (приказ ФСТЭК России от 28.08.2007 г. № 181).
За рассмотрение лицензирующим органом заявлений о предоставлении лицензий и за предоставление лицензий уплачивается государственная пошлина в размерах и порядке, которые установлены законодательством Российской Федерации о налогах и сборах.
В настоящее время размер государственной пошлины составляет:
за рассмотрение заявления о выдаче лицензии - 300 руб.;
В общем случае используемое в ИСПДн ПО иностранного производства не подлежит сертификации (оценке соответствия).
Оператор обязан использовать ПО (как иностранного так и отечественного производства), прошедшее сертификацию (оценку соответствия) только в случае, если механизмы защиты, реализованные в этом ПО, предполагается использовать для обеспечения безопасности персональных данных. В этом случае указанное ПО будет относиться к средствам защиты информации и подлежит в обязательном порядке процедуре сертификации (оценки соответствия).
В остальных случаях для обеспечения безопасности персональных данных должны использоваться специализированные программные (программно-аппаратные) средства защиты информации, прошедшие в установленном порядке оценку соответствия (сертификацию) во ФСТЭК России.
Действующая нормативные правовые акты в области обеспечения безопасности персональных данных не обязывают оператора получать какие-либо лицензии ФСБ России.
Вместе с тем для обеспечения безопасности персональных данных оператором могут использоваться криптографические средства защиты информации (в основном в случае необходимости передачи персональных данных по открытым (незащищённым) каналам связи). В этом случае порядок применения криптографических средств защиты персональных данных устанавливается следующими нормативными документами ФСБ России:
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. № 149/6/6-622, 2008 г.
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. № 149/54-144, 2008 г.
В случае необходимости применения криптографических средств защиты персональных данных оператор имеет право воспользоваться услугами специализированных организаций, имеющих лицензии ФСБ России на соответствующие виды деятельности (на право предоставления услуг в области шифрования информации и деятельности по техническому обслуживанию шифровальных (криптографических) средств).
Вместе с тем по желанию оператора он имеет право получить лицензии ФСБ России на следующие виды деятельности, связанные с шифровальными (криптографическими) средствами:
предоставление услуг в области шифрования информации;
деятельность по техническому обслуживанию шифровальных (криптографических) средств;
деятельность по распространению шифровальных (криптографических) средств;
деятельность по разработке, производству шифровальных (криптографических) средств, защищенных использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.
Порядок лицензирования по этим видам деятельности устанавливается Федеральным законом «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. № 128-ФЗ и Постановлениями Правительство Российской Федерации от 26 января 2006 г. № 45 «Об организации лицензирования отдельных видов деятельности» и от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».
В данном случае даже без проведения (предварительного) обследования можно однозначно констатировать, что реализовать требования ФСТЭК России только средствами АИС невозможно.
Однако, если речь идет о доработке самой АИС по требованиям ФСТЭК России, то лицензия обязательно нужна, причем не просто на защиту конфиденциальной информации, а на разработку АС в защищенном исполнении (см. Постановление правительства №532 от 31.08.2006) Это, в свою очередь, задача очень не простая и трудоемкая.
Вопросы лицензирования деятельности, связанной с шифровальными (криптографическими) средствами (за исключением шифровальных (криптографических) средств, предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну) регулируются Постановлением Правительства Российской Федерации от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами». В соответствии с этим постановлением лицензированию подлежат следующие виды деятельности:
деятельность по распространению шифровальных (криптографических) средств;
деятельность по техническому обслуживанию шифровальных (криптографических) средств;
предоставление услуг в области шифрования информации;
разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.
Согласно положениям этого документа:
Если оператор ПДн приобретает СКЗИ для собственных нужд и самостоятельно проводит работы по его установке, то ему нет необходимости получать лицензию на деятельность по техническому обслуживанию шифровальных (криптографических) средств. Вместе с тем, если в технической документации СКЗИ содержится требование по его установке (встраиванию) только организацией, имеющей лицензию ФСБ России, то оператор принимает решение или о получении самому лицензии на этот вид деятельности, или о привлечении для проведения этих работ сторонней организации, имеющей соответствующую лицензию ФСБ России.
Если приобретаемое СКЗИ используется только в интересах организации и она (организация) не предоставляет услуг в области шифрования, то получение лицензии на этот вид деятельности также не требуется.
Распространение нормативных документов ФСТЭК России по защите персональных данных будет осуществляться региональными управлениями ФСТЭК России по федеральным округам по заявкам операторов персональных данных после того, как эти документы будут изданы типографским способом.
Для организаций с негосударственной формой собственности документы будут предоставляться за плату.
Так как нормативные документы ФСТЭК России по защите персональных данных имеют пометку «Для служебного пользования» (т.е. содержат сведения, составляющие служебную тайну) в заявке о их предоставлении необходимо указывать, что организация – оператор персональных данных обязуется обеспечить их сохранность в соответствии с «Положением о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти», утверждённым постановлением Правительства Российской Федерации 1994 г. № 1233.
В настоящее время центральный аппарат ФСТЭК России осуществляет подготовку к изданию исправленной и дополненной редакции нормативных документов по защите персональных данных. Ориентировочные сроки выпуска типографского издания этой редакции – 3-4 кварталы 2008 г.
Модель угроз - это документ, определяющий перечень и характеристики основных (актуальных) угроз безопасности ПДн и уязвимостей при их обработке в ИС ПДн, которые должны учитываться в процессе организации защиты информации, проектирования и разработки систем защиты информации, проведения проверок (контроля) защищенности ПДн.
Цель разработки модели угроз – определение актуальных для конкретной ИС ПДн угроз безопасности, источников угроз и уязвимостей. Результаты моделирования должны использоваться для классификации ИС ПДн, а также в качестве исходных данных для построения (проектирования) обоснованной и эффективной системы защиты персональных данных.
Согласно ч. 4 ст. 6 ФЗ «О персональных данных» оператор имеет право на основании договора передать персональные данные для обработки другому (третьему) лицу. В этом случае существенным условием договора должна являться обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
В договоре должны быть определены цели обработки персональных данных третьим лицом, требование обеспечения им конфиденциальности и безопасности персональных данных при их обработке, а также ответственность третьего лица в случае нарушения им требований законодательства.
По заявлению представителей ФСТЭК России в ходе профильных мероприятий по этой проблеме, специальной системы сертификации для ПДн создаваться не будет. В то же время, на сайте ФСТЭК России есть информация о СЗИ, которые можно использовать для защиты ИСПДн. В частности, ссылка на данный документ есть на нашем сайте в разделе Защита ПДн/Полезные ссылки.
Ответ на вопрос содержится в п. 14 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781): «Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.»
Цель аттестации – подтверждение соответствия ИСПДн (её СЗПДн) требованиям по обеспечению безопасности персональных данных, предъявляемых к ней в зависимости от её класса и результатов моделирования угроз. Факт соответствия и будет подтверждаться аттестатом. Кроме того, в аттестате соответствия будут приведены ограничительные условия, которые обязан выполнять владелец аттестованного объекта в течение срока действия аттестата.
Рекомендуется создавать систему защиты ПДн, объединяющую комплекс мер правового, организационного и технического характера. При этом с технической и организационной точек зрения должны присутствовать следующие подсистемы:
управления доступом
регистрации и учета
обеспечения целостности
антивирусной защиты
криптозащиты (при необходимости)
обнаружения вторжений (при необходимости)
защиты от утечки за счет ПЭМИН (при необходимости)
Как правило, первые 4 подсистемы существуют и в данном случае главная цель – убедиться в их соответствии требованиям регламентирующих документов и усовершенствовать в случае необходимости. Отсутствие всякой технической защиты практически нивелирует принятые меры защиты ПДн нормативного (правового) и организационного характера.
После создания технической системы защиты ПДн необходимо провести оценку ее соответствия предъявляемым требованиям (для систем 1-2 класса – аттестация, для 3 класса – либо аттестация, либо декларирование соответствия).
Вопрос применять или не применять криптосредства лежит в компетенции Оператора исходя из целей и технологии обработки персональных данных. При передаче обезличенных ПДн такие требования, скорее всего, применяться не будут.
Если в описании процесса обработки ПДн будет указано, что по каналам связи передаются обезличенные персональные данные, то применять криптосредства, очевидно, не обязательно. Вопрос в том, устроит ли передача именно обезличенных данных самого Оператора, и каким образом они будут обрабатываться в дальнейшем.
Зависит от выбора Оператором варианта построения (сегментирования) ИСПДн.
Можно объявить всю филиальную сеть единой ИСПДн, с необходимостью защиты центра, каналов связи и филиалов с выполнением всех обязательных требований по защите ПДн одновременно ко всем элементам.
Выполнить сегментирование, т.е. разделить на сегменты центр и отдельные филиалы, объединив их каналами связи. В этом случае защищаются по отдельности центр и филиалы (возможно с выполнением различных требований), отделяются с помощью межсетевых экранов, а требования относительно защиты каналов связи могут быть предъявлены провайдерам, либо может использоваться шифрование при передаче информации по открытым каналам.
Отличие состоит в более высоком уровне защиты. Для ИС ПДн класса К1 должны быть дополнительно (относительно ИС ПДн класса К2) реализованы:
более жёсткие требования в подсистемах управления доступом, регистрации и учёта, обеспечения целостности;
соответствующий уровень контроля НДВ для ПО СЗИ;
программно-аппаратные средства (системы) анализа защищённости;
в значительно большем объёме мероприятия по защите ПДн от утечки по каналам ПЭМИН;
мероприятия по защите акустической (речевой) информации (в случае использования функции голосового ввода или воспроизведения информации акустическими средствами).
В соответствии с руководящими документами ФСТЭК России уровень требований, предъявляемых по обеспечению безопасности персональных данных, обрабатываемых в конкретной ИСПДн, зависит от состава актуальных угроз, определяемого по результатам моделирования угроз, и класса ИСПДн .
Для обеспечения безопасности персональных данных при их обработке в ИСПДн операторы должны создавать систему защиты персональных данных (СЗПДн), которая должна включать следующие подсистемы:
управления доступом;
регистрации и учёта;
обеспечения целостности;
криптографической защиты;
антивирусной защиты;
обнаружения вторжений;
защиты от утечки за счёт ПЭМИН (только для ИСПДн 1 и 2 классов).
Требования, предъявляемые к каждой подсистеме СЗПДн, определяются дифференцированно, по результатам обследования ИСПДн, моделирования угроз и на основании присвоенного класса ИСПДн.
В случае применения средств криптографической защиты, требования к необходимому уровню криптографической защиты персональных данных определяются в зависимости от типа возможного нарушителя, который определяется по результатам моделирования угроз на основании нормативных документов ФСБ России.
Затраты на построение СЗПДн можно оптимизировать используя следующие подходы:
Оптимизация категорий обрабатываемых ПДн.
Оптимизация структуры ИСПДн и процессов обработки ПДн. В том числе локализация ПДн в защищённом сегменте ИСПДн, разделение ИСПДн на сегменты разных классов.
Проведение обоснованной классификации ИСПДн.
Правильное моделирование угроз безопасности ПДн.
Оптимизация состава применяемых организационных и технических мер обеспечения безопасности ПДн.
Унификация состава применяемых СЗИ.
Другие меры, определяемые на основании результатов обследования ИСПДн.
Конкретные решения по оптимизации затрат на построение СЗПДн могут быть разработаны специализированными организациями, имеющими лицензии на право деятельности в области защиты информации конфиденциального характера.
Согласно РД ФСТЭК России «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (п. 3.6) для вновь создаваемых (проектируемых) ИСПДн требования по обеспечению безопасности ПДн также определяются в зависимости от класса ИСПДн и результатов моделирования угроз.
В этом случае разработка конкретных требований по обеспечению безопасности ПДн, включаемых в техническое (частное техническое) задание на разработку СЗПДн, осуществляется на предпроектной стадии и должна осуществляться с учётом следующих факторов:
характера (перечня) ПДн, подлежащих защите;
условий расположения ИСПДн относительно границ контролируемой зоны (КЗ);
конфигурации и топологии ИСПДн в целом, и её отдельных компонент, физических, функциональных и технологических связей как внутри этих систем, так и с другими системами различного уровня назначения;
состава технических средств и систем, предполагаемых к использованию в разрабатываемой ИСПДн, условий их расположения, общесистемных и прикладных программные средств, имеющихся и предлагаемые к разработке;
режимов обработки ПДн в ИСПДн в целом и в отдельных компонентах;
класса ИСПДн;
степени участия персонала в обработке ПДн, характера их взаимодействия между собой;
Да, такие прецеденты имеют место. Не раскрывая профессиональных секретов, скажем, что это было достигнуто рядом мер по обезличиванию персональных данных и правильного сегментирования ИС ПДн в рамках ИС в целом.
Дать точный и полный ответ, каким образом в этой ситуации можно выполнить технические требования по обеспечению безопасности персональных данных не представляется возможным, из-за отсутствия важных исходных данных, оказывающих существенное влияние на конкретное техническое решение, которое должно быть реализовано системой защиты.
Необходимые исходные данные могут быть получены только после проведения обследования Вашей ИС, разработки модели угроз и определения её класса защиты. В данный момент можно только констатировать, что:
Ваша ИС в соответствии с «Порядком проведения классификации информационных систем персональных данных» (совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20) должна быть отнесена к специальным ИСПДн.
Терминальная архитектура построения ИСПДн значительно облегчает реализацию ряда технических требований по обеспечению безопасности персональных данных.
В соответствии с п. 7 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781) «Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.»
Согласно п. 2.4 нормативного документа ФСБ России «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (№ 149/54-144, 2008 г.) необходимость обеспечения безопасности персональных данных с использованием криптосредств определяется оператором персональных данных.
Отсюда следует, что в случае использования оператором защищённых каналов связи (например, выделенных оптоволоконных линий связи, передачи данных на съёмном носителе информации при помощи курьера или использования других оргмер) оператору нет необходимости использовать криптосредства для защиты передаваемых персональных данных.
В случае же использования для передачи персональных данных незащищённых (открытых) каналов связи (кроме случая передачи обезличенных или общедоступных персональных данных), по решению оператора должны применяться средства криптографической защиты. При этом требуемый уровень криптозащиты должен определяться на основании разрабатываемой оператором в соответствии с упомянутыми Методическими рекомендациями модели нарушителя.
Напомним, во-первых, что сам «Закон о персональных данных» никто не отменял, а начало действия закона - 27 января 2007 года.
А также отметим, что деятельность по защите персональных данных, на текущий момент, определяется более 25 нормативными актами:
непосредственно Закон о персональных данных;
Закон об информации, информационных технологиях и защите информации, в котором изложены базовые принципы защиты информации;
3 Постановления Правительства РФ: 781 (Порядок обеспечения безопасности ПДн при использовании средств автоматизации), 687 (Порядок обеспечения безопасности ПДн без использования средств автоматизации) и 512 (Порядок защиты биометрических ПДн и их хранения на отчуждаемых носителях вне ИСПДн);
группа документов уполномоченных органов: Роскомнадзор, ФСТЭК, ФСБ.
Во-вторых, Закон о персональных данных гласит (ст. 27), что после вступления в силу Закона, обработка ПДн должна осуществляться в соответствии с требованиями закона, т.е. все принципы и условия обработки ПДн, которые прописаны в ст. 5-7 давно уже должны быть реализованы Операторами ПДн.
Отдельный вопрос касается технических требований по защите ПДн, которые установлены в ст. 19 Закона и должны были быть выполнены не позднее 1 января 2010г. Именно данный вопрос и вызвал большинство диспутов и комментариев заинтересованных сторон.
В ноябре 2009 года в ГД РФ состоялись парламентские слушания, посвященные проблемам защиты ПДн, был разработан ряд рекомендаций, на основании которых в течение 2010 года в Закон о персональных данных будут вноситься изменения. В первую очередь это:
изменения непосредственно в Закон о ПДн;
изменения в ряд нормативных актов в связи с ратификацией РФ европейской конвенции и принятием Закона о ПДн;
внесение изменений в Закон о лицензировании отдельных видов деятельности;
корректировка ряда подзаконных актов;
усиление ответственности Операторов в случае нарушения прав субъектов ПДн.
Что касается планируемых изменений в Закон о персональных данных, наиболее интересными являются:
расширение полномочий Операторов, в т.ч. по определению сроков хранения ПДн;
уточнение случаев, когда нет необходимости получать согласие субъектов на обработку ПДн;
уточнение случаев, когда нет необходимости обеспечивать конфиденциальность ПДн;
определение порядка уничтожения ПДн;
уточнение случаев, когда Оператор имеет право осуществлять обработку ПДн без уведомления надзорных органов.
И в заключении о самом интересном – изменениях в реализации технических требований Закона о персональных данных. На текущий момент в ГД РФ принят в первом чтении проект изменений в Закон о персональных данных, предусматривающий в частности:
перенос сроков реализации технических требований (ч.3 ст. 25) до 1 января 2011г.;
исключение ст. 19 – обязательности применения средств криптографической защиты (комм. – однако, это не означает, что их не надо будет применять, т.е. каждый оператор сам будет определять необходимость их применения (самостоятельно или на основе рекомендаций привлеченных организаций). При этом для Операторов - органов государственной власти такое требование, возможно, будет сохранено).
Кроме того разработана стратегия реализации технических требований, в рамках которой будут разработаны специальные методические рекомендации по реализации требований по защите ПДн в ряде стратегически важных областей жизнедеятельности государства (иными словами «отраслевые рекомендации»). В настоящее время идет работа в следующих областях:
медицина
образование
банковская сфера
сфера связи
Таким образом, в дополнение к документам ФСБ, ФСТЭК и постановлениям правительства будут разработаны «отраслевые» методические рекомендации, конкретизирующие требования технического характера в определенных областях.
Начнём с того, что требования федерального закона не имеет право изменить никакое ведомство, в том числе Минкомсвязи. Закон может быть изменён только другим федеральным законом. В материалах, появившихся в средствах массовой информации, речь идёт всего лишь о подготовке предложений по переносу срока реализации ст. 25 ФЗ «О персональных данных».
Сегодня мы имеем следующую ситуацию.
В соответствии со ст. 25 ФЗ «О персональных данных»:
ч. 2. После дня вступления в силу настоящего Федерального закона (27.01.2007 г.) обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.
ч. 3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 г.
Отсюда следует:
с 27 января 2007 г. обработка персональных данных, включенных в информационные системы персональных данных ВСЕМИ ОПЕРАТОРАМИ ДОЛЖНА осуществляться в соответствии с ФЗ «О персональных данных» (речь идёт о выполнении требований ФЗ, связанных с выполнением правовых принципов и условий обработки персональных данных).
Технические требования по обеспечению безопасности персональных данных (ч. 1 и 2 ст. 19 Закона) должны быть выполнены операторами не позднее 1 января 2010 г.
Сегодня мы прекрасно понимаем, что технические требования по защите персональных данных, которые содержатся в ведомственной нормативной базе ФСТЭК России и документах ФСБ России практически трудновыполнимы, особенно к 1.01.2010. По этой причине на парламентских слушаниях по вопросу о возможности реализации ФЗ «О персональных данных», проведённых в Государственной Думе 20.10.2009 г., были сформулированы следующие выводы и предложения:
Подзаконная база сформировала чрезвычайно затратный, запутанный, противоречивый механизм, не учитывающий ни особенности обработки персональных данных в различных сферах деятельности, ни возможности оператора по обеспечению установленных требований. Установленный подзаконными актами уровень требований к технической защите персональных данных значительно выше, чем в большинстве стран, являющихся сторонами Конвенции и на деле обеспечивающих эффективную защиту персональных данных.
Срок вступления в силу положений части 3 статьи 25 в отношении исполнения требований по безопасности обработки персональных данных применительно к информационным системам персональных данных, действовавшим до вступления в силу Федерального закона целесообразно перенести на 1-2 года.
В кратчайшие сроки внести изменения в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» устранив имеющиеся противоречия и коллизии.
После внесения изменений в Федеральный закон «О персональных данных» привести в соответствие с ним нормативные правовые акты Правительства Российской Федерации и нормативные правовые акты федеральных органов исполнительной власти.
Принять программу мероприятий, рассчитанную на 1 год, по подготовке к вступлению в силу Федерального закона «О персональных данных», включающую:
разработку под общим руководством Минкомсвязи России и при участии заинтересованных министерств и ведомств, совместно с общественными организациями операторов и профильными компаниями отраслевых методических рекомендаций по обеспечению безопасности информационных систем персональных данных;
уточнение сфер компетенции федеральных органов исполнительной власти в области защиты прав граждан при автоматизированной обработке их персональных данных;
федеральным органам исполнительной власти разработать и обеспечить применение отраслевых методических рекомендации организациями отрасли по защите персональных данных.
Давайте подводить итоги.
Требования закона, устанавливающие организационно-правовой режим обработки персональных данных, вступили в силу с 27.01.2007 г. и с этого времени должны выполнятся всеми операторами. Проверка выполнения этих требований и есть область компетенции Роскомнадзора и он (Роскомнадзор) успешно организует и проводит подобного рода проверки уже с 2007 года, в том числе штрафуя операторов и принимая к нарушителям другие меры воздействия, предусмотренные законодательством.
Какой-либо отмены, упрощения или переноса срока реализации этих требований не планируется. Планируется внесение в Закон некоторых уточнений в целях устранения имеющихся противоречий и коллизий. Вместе с тем, по предложениям Роскомнадзора административные штрафы за нарушение законодательства о персданных планируется увеличить до 500 тыс. – 1 млн. руб. (сейчас – 5-10 тыс. руб). Кстати, Роскомнадзор уже разработал проект «Административного регламента проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных», в котором определил себе весьма серьезные полномочия, включая полномочия по наказанию операторов. Этот документ планируется к принятию до конца 2009 года.
Срок выполнения ТЕХНИЧЕСКИХ требований (ст. 25 и ст. 19 Закона) может быть перенесён на 1-2 года вперёд только на основании федерального закона о внесении изменений и дополнений в ФЗ «О персональных данных». Этот ФЗ планируется для обсуждения в Думе в декабре с.г. Давайте дождёмся официально принятых изменений в Федеральный закон «О персональных данных».
Сам факт перенесения срока выполнения ТЕХНИЧЕСКИХ требований не ОТМЕНЯЕТ их, операторы всего лишь получат некоторую передышку и в более спокойном режиме смогут спланировать выполнение технических требований и выделение средств на их реализацию. Кстати, никто не будет предъявлять претензии операторам, если они выполнят технические требования раньше установленного срока. Наоборот, это может дать им определённые конкурентные преимущества. Таким образом, никто не собирается СНИМАТЬ с операторов обязанность по выполнению комплекса мер защиты персональных данных технического характера, и они не дожидаясь истечения очередного срока должны инициировать работы по выполнению этих мер защиты (конечно, если хотят не иметь проблем с государственными надзорными органами).
Вполне возможно, будут инициированы некоторые уточнения технических требований по защите персональных данных. Пока прогноз такой: никаких существенных изменений технических требований не будет. Они будут находиться в рамках класса 1Г. Из требований уберут лишь явные ошибки и несоответствия, о которых мы и так знаем. Вполне возможно, что могут появиться требования по защите ПДн, учитывающие отраслевую специфику - так называемые методические рекомендации (например, в сфере медицины, в банковской сфере и т.п.). Это положительный фактор, в этих документах явно будут вполне разумные требования и компании, предоставляющие услуги в области защиты персональных, данных готовы в своей работе учитывать отраслевые требования Заказчиков.
О применении криптосредств для защиты персональных данных. В подготовленных предложениях речь не идёт об отмене необходимости применения криптосредств для защиты персональных данных. Предложения касаются уточнения области и порядка их использования. Для государственных структур их применение во многих случаях останется обязательным (например, при использовании для передачи персональных данных незащищённых каналов связи), для остальных – порядок их применения будет уточнён ФСБ России.