Защита персональных данных - Часто задаваемые вопросы
ВНИМАНИЕ! Уважаемые посетители!
Благодарим Вас за проявленный интерес к нашему разделу, посвященному проблематике персональных данных, а также за все Ваши вопросы по данной теме.
Со своей стороны мы стараемся отвечать на все вопросы, какие бы они ни были и каким бы образом не были адресованы нам: по электронной почте, телефону, в ходе личных встреч. Мы также стараемся сохранить "авторскую" стилистику и орфографию, т.к. вопросы, возможно, будут более понятны тем или иным группам специалистов. Однако, поэтому мы не несем никакой ответственности за содержание и корректность вопросов, но при этом всецело отвечаем за содержание ответов!
Мы полагаем, в Законе дано полное и исчерпывающее понятие персональных данных – ЛЮБАЯ информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Это определение по своему смыслу полностью совпадает с определением, данным в Директиве ЕС 95/46/ЕС: «персональные данные означают любую информацию, связанную с идентифицированным или идентифицируемым физическим лицом … которое может быть идентифицировано прямо или косвенно, в частности посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной и социальной идентичности».
В качестве иллюстрации можно привести выдержку из документа подготовленного международной рабочей группой по проблеме персональных данных (WR136), который называется «МНЕНИЕ 4/2007 О ПОНЯТИИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ»:
Проводя анализ определения, рабочая группа пришла к мнению, что термин «любая информация» ясно указывает на желание законодателя создать широкое определение персональных данных. Это словосочетание предусматривает широкую интерпретацию. С точки зрения природы информации, определение «персональных данных» включает в себя любые заявления о субъекте. Они включают как «объективную» информацию, например, содержание веществ в крови, так и «субъективную» информацию - мнение или исчисление. Последний вид информации приводит к широкому распространению персональных данных в таких областях, как банки, где она служит для исчисления надежности заемщика («Титус надежный заемщик»), в страховой сфере («Титус, вроде не умрет вскорости») или в сфере труда («Титус хороший работник и достоин продвижения»).
Один из примеров: В ходе судебного процесса по вопросу об опеке над девочкой был произведен нейро-психиатрический анализ ее состояния, в ходе которого был представлен ее рисунок, характеризующий ее семью. Рисунок содержал информацию о ее состоянии и то, что она думала о членах семьи. Тем самым, он мог быть оценен, как содержащий «персональные данные». Рисунок и вправду раскрывал информацию, относящуюся к ребенку (состояние ее здоровья с психиатрической точки зрения), а также о поведении отца и матери. Как результат, родители могли настаивать на их праве доступа к такой специфической информации.
В Законе, (ст. 3, п.2) сказано: «оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных». Согласно норм русского языка, союз «а также» относится к соединительным союзам и может быть заменен на союз «и». Таким образом, следуя букве закона, можно сказать, оператор персональных данных это тот, кто обрабатывает персональные данные и определяет цель их обработки. В данном случае именно определение цели обработки персональных данных является ключевым и главным классифицирующим признаком.
Если оператор персональных данных на основании юридически правильно оформленного договора (см. ст. 6.4 Закона) поручил кому-либо обработку персональных данных и при этом определил цель такой обработки, то такое лицо будет являться третьим лицом в понимании Закона «О персональных данных», но не оператором.
Здесь три вопроса: 1) во всех ли случаях требуется письменное согласие? 2) возможно ли получение «молчаливого» согласия? 3) возможно получение согласия конклюдентным действием? попробуем разобраться:
Письменное согласие требуется не во всех случаях, а только в строго ограниченных случаях:
при включении персональных данных для информационного обеспечения в общедоступные источники (в том числе справочники, адресные книги) – ст.8.1;
при обработке специальных категорий персональных данных – ст. 10.2, п.1;
при обработке биометрических персональных данных – ст. 11.1;
при трансграничной передаче персональных данных – ст. 12.3 п.1;
в случае, когда решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, принимается на основании исключительно автоматизированной обработки его персональных данных – ст. 16.2;
в случаях прямо предусмотренных иными федеральными законами (например, ст. 88ТК РФ, ст. 53 Закона «О связи»).
В остальных случаях достаточно простого (не письменного согласия) субъекта.
Если федеральным законом прямо предусмотрен случай при котором молчание лица порождает юридические последствия, то в этом случае такое молчание можно признать согласием. Однако, в практике обработки персональных данных я таких правовых актов не наблюдал.
Получение согласия конклюдентным действием – возможно., но такое конклюдентное действие должно быть описано и с таким описанием должен в обязательном порядке быть ознакомлен субъект персональных данных. На практике, например при заполнении электронной анкеты, достаточно что бы на экране высветился дисклеймер «Я согласен, что мои персональные данные будут обрабатываться в целях маркетинга и передаваться третьей стороне ООО «Рога и копыта». Если после прочтения такого сообщения лицо поставило галочку и получило доступ к дальнейшему заполнению анкеты, то оно совершило конклюдентное действие.
Безусловно, фотография относится и к персональным данным и к биометрическим персональным данным, то есть данные, которые содержат биологические свойства, психологические характеристики, черты жизни или повторяющиеся действия, являющиеся уникальными для субъекта и измеряемыми, даже если образцы, используемые для измерения вносят определенную степень вероятности (неопределенности). Специфика биометрических данных состоит в том, что их можно рассматривать и как информацию о субъекте, и как «идентификатор». В самом деле, в силу уникальности их связи с определенным лицом, биометрические данные могут быть использованы для идентификации этого лица.
Если оператор персональных данных и его информационная система размещается на территории Российской Федерации, то он полностью подпадает под юрисдикцию законов Российской Федерации. Согласно ст. 2.1 ГК РФ правила, установленные гражданским законодательством, применяются к отношениям с участием иностранных граждан, лиц без гражданства и иностранных юридических лиц, если иное не предусмотрено федеральным законом. Законом «О персональных данных» иное не предусмотрено, следовательно, на работников зарубежной организации распространяются требования этого Закона.
К сожалению, Роскомнадзор практически всегда понимает, что согласие должно быть получено исключительно в письменном виде. Хотя сам закон предполагает лишь 5 случаев получения письменного согласия в случае:
обработки специальных категорий персональных данных (данные о здоровье, расовой и национальной принадлежности и т.д.);
обработки биометрических ПДн;
включения ПДн в общедоступные источники (справочники, адресные книги и т.д.);
необходимости трансграничной передачи персональных данных, в случае, когда принимающая сторона не обеспечивает адекватного уровня защиты;
принятия решений, порождающих юридические последствия для субъектов ПДн при исключительно автоматизированной обработке ПДн.
В остальных случаях согласие может быть получено другим образом.
Во-первых, закон не дает жесткого требования по получению согласия. Есть целый ряд изъятий, когда оно не требуется, например, при работе в рамках заключенного договора. В данном случае коллективный договор страхования и есть тот самый договор, на основании которого проводится дальнейшая обработка ПДн, а значит получать отдельно согласие субъектов не нужно.
Чтобы обезопасить себя полностью, в договоре коллективного страхования необходимо зафиксировать, что «работодатель на основании согласия своих работников передает …», т.е. ответственность по получению согласия на обработку ПДн от субъектов фиксируется на другой Стороне договора.
Ответственность по получению согласия субъектов на обработку ПДн в данном случае лежит на Операторе. А в договоре с третьим лицом, при передаче ему в обработку ПДн, должно быть отдельным пунктом предусмотрено выполнение (ответственность за выполнение) таким третьим лицом требований Оператора по защите персональных данных.
Мы рекомендуем придерживаться следующей логики действий:
Проведение инвентаризации информационных ресурсов, обрабатываемых в ИС, с целью определения перечня ПДн;
Урегулирование правовых вопросов обработки ПДн;
Проведение обследования ИС, определение текущего состояния и комплекса мер, необходимых для ее приведения к требованиям текущей нормативной базы (Закон о ПДн и т.д.);
Направление (при необходимости) уведомления в Роскомнадзор (за исключением случаев обработки ПДн в рамках трудовых отношений, а также в случае обработки ПДн в рамках договорных отношений, что, однако, должно быть четко аргументировано);
Классификация ИСПДн, построение Модели угроз, Модели нарушителя;
Операторам ИСПДн 1 и 2 класса, а также распределенных систем 3-го класса – получение лицензии на деятельность по технической защите конфиденциальной информации (на сегодняшний день такое требование ФСТЭК остается в силе, однако уже подготовлены изменения, частично отменяющие данную обязанность. В дальнейшем получение такой лицензии будет обязательным только в случае оказания Операторами услуг по защите ПДн);
Проектирование и проверка системы обеспечения безопасности ПДн на соответствие требованиям;
Организация эксплуатации системы защиты ИСПДн и контроля использования СЗИ.
Требования по защите персональных данных в значительной мере базируются на требованиях, изложенных в ранее принятых нормативных документах ФСТЭК России по защите информации конфиденциального характера, к основным из которых относятся:
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). (приказ Гостехкомиссии России от 30.08.2002 г. № 282);
Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (Гостехкомиссия России, 1992 г.).
Вместе с тем РД «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены заместителем директора ФСТЭК России 15 февраля 2008 г.) предъявляет более жёсткие требования по защите ИС ПДн, чем требования к АС класса 1Г.
Мероприятия по защите ПДн должны быть реализованы в рамках следующих подсистем СОБИ:
управления доступом;
регистрации и учёта;
обеспечения целостности;
криптографической защиты;
антивирусной защиты;
обнаружения вторжений;
защиты от утечки за счёт ПЭМИН (для ИС 1 и 2 классов).
Конкретный состав мероприятий по защите ПДн определяется в зависимости от класса ИС и результатов моделирования угроз.
Согласно ст. 2 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» оценка соответствия – это прямое или косвенное определение соблюдения требований, предъявляемых к объекту. В нашем случае объектом оценки будет являться ИС ПДн и её СОБИ.
В соответствии с РД ФСТЭК России «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» оценка соответствия ИС ПДн (как объекта информатизации) требованиям безопасности информации может осуществляться в следующей форме:
для ИС ПДн 1 и 2 классов – обязательная сертификация (аттестация) по требованиям безопасности информации;
для ИС ПДн 3 класса – декларирование соответствия требованиям безопасности информации;
для ИС ПДн 3 класса – оценка соответствия проводится по решению оператора.
Таким образом, аттестация – это одна из форм оценки соответствия ИС ПДн требованиям безопасности информации. В настоящее время общий порядок аттестации определён руководящим документом «Положением по аттестации объектов информатизации по требованиям безопасности информации» (утверждено председателем Гостехкомиссии России 25 ноября 1994 г.).
Под аттестацией объекта информатизации по требованиям безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативных документов по защите информации, утвержденных ФСТЭК России.
Цель проведения аттестации (как и других методов оценки соответствия) – официальное подтверждение эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.
Согласно действующим нормативным документам ФСТЭК России оценке соответствия подлежит объект информатизации, представляющий собой (по ГОСТ Р 51275-2006) совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров, отсюда следует, что оценке соответствия требованиям безопасности подлежит ИС ПДн, а не прикладная подсистема.
Это же определено и п. 3.11 РД «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных».
Согласно ст. 2 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» сертификация – это форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров (а также требованиям, устанавливаемых уполномоченными органами государственной власти).
В соответствии с п. 5 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781) средства защиты информации (СЗИ), применяемые в информационных системах обработки персональных данных, в должны проходить в установленном порядке процедуру оценки соответствия.
Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» установлены два метода оценки соответствия: сертификация и декларирование соответствия.
В настоящее время порядок сертификации СЗИ в системе сертификации ФСТЭК России установлен «Положением о сертификации средств защиты информации по требованиям безопасности информации» (утверждено приказом Гостехкомиссии России от 27 октября 1995 г. № 199). Процедура оценки соответствия методом декларирования ФСТЭК России будет разработана и введена в действие ориентировочно в конце 2008 г.
В РД по защите персональных данных речь идёт о:
оценке соответствия СЗИ (или путём сертификации или декларирования о соответствии);
сертификации системы защиты информационной системы, обрабатывающей ПДн, на соответствие заданию по безопасности или профилю защиты (в случае если ЗБ или ПЗ для ИС разрабатывались в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-2002 и соответствующих РД ФСТЭК России).
Так как система защиты для ИС класса К1 должна реализовывать необходимые меры защиты ПДн в большем объёме (см. ответ по п. 9) (т.е. система защиты будет более сложной), то и её стоимость будет выше.
Конкретную стоимость работ можно обосновать только после проведения обследования состояния защищённости ИС и моделирования угроз.
Для выполнения требований Федерального закона 2006 г. № 152 «О персональных данных» оператор персональных данных должен выполнить следующие мероприятия:
провести инвентаризацию ИР, обрабатываемых в ИС, и определить перечень ПДн;
урегулировать правовые вопросы обработки (использования) ПДн (уточнение правовых оснований обработки ПДн, получение согласия субъектов на обработку, пересмотр (при необходимости) договоров с субъектами, установление сроков обработки ПДн и др.);
оформить и направить в территориальный орган уполномоченного органа по защите прав субъектов ПДн уведомление об обработке ПДн;
разработать модель угроз (на основании результатов обследования ИС);
провести классификацию ИС с оформлением соответствующего акта;
получить (при необходимости) лицензию на деятельность по ТЗИ (согласно постановлению Правительства РФ 2006 г. № 504);
определить требования по защите ПДн при их обработке в ИС ПДн в соответствии с присвоенным классом и результатами моделирования;
осуществить проектирование СОБИ;
реализовать проект на создание СОБИ;
провести оценку соответствия ИС ПДн требованиям безопасности согласно присвоенному классу.
организовать эксплуатацию ИС в соответствии с требованиями безопасности и контроль соблюдения условий использования СЗИ.
Руководящие документы ФСТЭК России распространяются только на вопросы технической защиты персональных данных при их автоматизированной обработке в ИСПДн.
Поэтому правовые вопросы порядка получения и использования персональных данных должны решаться в соответствии с Федеральным законом 2006 г. № 152 ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, другими нормативными правовыми актами по этому вопросу.
Как указано в ответе на 2-й вопрос, передача персональных данных третьим лицам согласно ч. 4 ст. 6 ФЗ «О персональных данных» может осуществляться только на основании договора, в котором в том числе должна быть предусмотрена ответственность за нарушение требований законодательства по обеспечению безопасности персональных данных. В этом случае ответственность за разглашение переданных 3-му лицу персональных данных будет нести это лицо.
В настоящее время Уполномоченным органом по защите прав субъектов персональных данных, назначаемым в соответствии со ст. 23 ФЗ «О персональных данных», является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Россвязьинформкомнадзор), преобразованная из Федеральной службы по надзору в сфере связи и массовых коммуникаций в соответствии с указом Президента Российской Федерации от 3 декабря 2008 года № 1715.
На эту федеральную службу возлагается задача обеспечения контроля и надзора за соответствием обработки операторами персональных данных требованиям Федерального закона «О персональных данных».
Как правило, в настоящее время проверки операторов этим органом планируются и осуществляются на основании обращений (жалоб) субъектов персональных данных (граждан).
Цель контроля и надзора - проверка соответствия требованиям законодательства содержания персональных данных и способов их обработки целям их обработки.
Уполномоченный орган по защите прав субъектов персональных данных имеет право (ст. 23 ФЗ «О персональных данных»):
запрашивать у операторов (физических или юридических лиц) информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований Федерального закона;
обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
Оператор обязан учитывать эти полномочия при проведении мероприятий по контролю и надзору, а также предоставлять информацию, необходимую для реализации надзорному органу предоставленных Законом полномочий. Рекомендуется обязательное участие в мероприятиях по контролю и надзору юридической службы компании.
Возможные последствия проверок вытекают из перечисленных полномочий и могут составлять:
получение предписаний на устранение выявленных нарушений;
наложение административных штрафов;
приостановление или прекращение обработки персональных данных, осуществляемой с нарушением требований Федерального закона;
принятие мер по приостановлению действия или аннулированию основных лицензий операторов;
возбуждение уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных.
Задача контроля и надзора за выполнением технических требований по обеспечению безопасности персональных данных возложена на федеральный орган исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России), и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
В настоящее время разрабатывается совместное положение Россвязьинформкомнадзора, ФСТЭК России и ФСБ России, определяющее порядок проведения комплексного контроля и надзора за деятельностью операторов, связанной с обработкой персональных данных.
В том случае, если встроенные средства безопасности общесистемного ПО заявлены в ИСПДн как средства защиты, такое ПО должно быть сертифицировано по требованиям ФСТЭК России.
Если же используется стороннее ПО (СЗИ), реализующее функции защиты ПДн, тогда такой сертификации общесистемного ПО не требуется.
Здесь необходимо привести ссылку на ч. 4 ст. 21 ФЗ «О персональных данных», которая устанавливает: «В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган». В настоящее время порядок уничтожения персональных данных никакими нормативными документами не регламентирован. С учётом этого мы рекомендуем факт уничтожения персональных данных оформлять внутренним актом оператора, в котором должно указываться какие персональные данные, когда, кем и каким образом были уничтожены. Кроме того, рекомендуем формальную процедуру уничтожения персональных данных прописать отдельным разделом в разрабатываемом оператором внутреннем Положении об обработке персональных данных.
В соответствии с п. 19 «Порядка проведения классификации информационных систем персональных данных» (совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20) класс информационной системы может быть пересмотрен по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе. Правом проведения контроля в этом случае обладают ФСТЭК России и ФСБ России. Если в ходе проверки будет установлено, что класс ИСПДн занижен, то скорее всего надзорный орган потребует приведения его в соответствие с реальным состоянием ИСПДн.
Порядок проведения государственного контроля и надзора будет установлен специальным документом - «Порядком осуществления контроля и надзора за соблюдением требований законодательства РФ в области защиты персональных данных», который будет утверждаться совместным приказом Минкомсвязи, ФСБ России и ФСТЭК России. Ориентировочный срок принятия этого документа – 3-4 квартал 2009 г.
Абсолютно неверное трактование этого положения. Согласно ст.23 ФЗ «О персональных данных» надзорный орган (Роскомнадзор) на основании жалоб и обращений граждан или юридических лиц имеет право проверять любого оператора ПДн независимо от того, уведомил ли он этот орган о своём намерении осуществлять обработку ПДн или нет.
В этом случае наступает ответственность, предусмотренная ст. 24 ФЗ «О персональных данных» (гражданская, уголовная, административная, дисциплинарная и иная ответственность, предусмотренную законодательством Российской Федерации).
Полномочия Роскомназора по привлечению операторов к ответственности установлены ст. 23 «О персональных данных» (от привлечения к административной ответственности (ст. 13.11, 19.5, 19.7 и др. КоАП) до направления в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных (ст. 137 и др. УК РФ)
Реальную практику примененния санкций можно посмотреть в отчете Роскомнадзора о деятельности за 2008 год на официальном сайте регулятора (можно попасть через наш раздел "Полезные ссылки"). За редким исключением, это в основном предупреждения и штрафы. Однако, ситуация может кардинально измениться с 1 января 2010 года, когда Роскомнадзор станет приостанавливать или останавливать обработку ПДн операторами, которые не выполнили требования Закона, что по своей сути будет означать остановку деятельности организации.
Сертифицировать можно только конкретные средства (компьютер, ПО, элемент ИС, информационную технологию) – это процесс, не зависящий от конкретного местоположения объекта сертификации.
Аттестация же, напротив, строго привязана к конкретному объекту (адрес, здание, помещение и пр.) – процесс, показывающий, что все требования, указанные в сертификате или любых руководящих документах выполнены и соответствуют.
Сертификат соответствия можно и иногда нужно требовать от производителя. Но сертификация – процесс добровольный. Не все производители поставляют продукты в защищенном исполнении. В таком случае Оператор ПДн может «вокруг» такого продукта (ПО) выстроить защиту с использованием сертифицированных (со стороны ФСБ, ФСТЭК) средств защиты.
А вот аттестация ИСПДн 1-й категории – обязательна.
В общем случае используемое в ИСПДн ПО иностранного производства не подлежит сертификации (оценке соответствия).
Оператор обязан использовать ПО (как иностранного так и отечественного производства), прошедшее сертификацию (оценку соответствия) только в случае, если механизмы защиты, реализованные в этом ПО, предполагается использовать для обеспечения безопасности персональных данных. В этом случае указанное ПО будет относиться к средствам защиты информации и подлежит в обязательном порядке процедуре сертификации (оценки соответствия).
В остальных случаях для обеспечения безопасности персональных данных должны использоваться специализированные программные (программно-аппаратные) средства защиты информации, прошедшие в установленном порядке оценку соответствия (сертификацию) во ФСТЭК России.
Действующая нормативные правовые акты в области обеспечения безопасности персональных данных не обязывают оператора получать какие-либо лицензии ФСБ России.
Вместе с тем для обеспечения безопасности персональных данных оператором могут использоваться криптографические средства защиты информации (в основном в случае необходимости передачи персональных данных по открытым (незащищённым) каналам связи). В этом случае порядок применения криптографических средств защиты персональных данных устанавливается следующими нормативными документами ФСБ России:
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. № 149/6/6-622, 2008 г.
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. № 149/54-144, 2008 г.
В случае необходимости применения криптографических средств защиты персональных данных оператор имеет право воспользоваться услугами специализированных организаций, имеющих лицензии ФСБ России на соответствующие виды деятельности (на право предоставления услуг в области шифрования информации и деятельности по техническому обслуживанию шифровальных (криптографических) средств).
Вместе с тем по желанию оператора он имеет право получить лицензии ФСБ России на следующие виды деятельности, связанные с шифровальными (криптографическими) средствами:
предоставление услуг в области шифрования информации;
деятельность по техническому обслуживанию шифровальных (криптографических) средств;
деятельность по распространению шифровальных (криптографических) средств;
деятельность по разработке, производству шифровальных (криптографических) средств, защищенных использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.
Порядок лицензирования по этим видам деятельности устанавливается Федеральным законом «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. № 128-ФЗ и Постановлениями Правительство Российской Федерации от 26 января 2006 г. № 45 «Об организации лицензирования отдельных видов деятельности» и от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами».
В данном случае даже без проведения (предварительного) обследования можно однозначно констатировать, что реализовать требования ФСТЭК России только средствами АИС невозможно.
Однако, если речь идет о доработке самой АИС по требованиям ФСТЭК России, то лицензия обязательно нужна, причем не просто на защиту конфиденциальной информации, а на разработку АС в защищенном исполнении (см. Постановление правительства №532 от 31.08.2006) Это, в свою очередь, задача очень не простая и трудоемкая.
Вопросы лицензирования деятельности, связанной с шифровальными (криптографическими) средствами (за исключением шифровальных (криптографических) средств, предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну) регулируются Постановлением Правительства Российской Федерации от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами». В соответствии с этим постановлением лицензированию подлежат следующие виды деятельности:
деятельность по распространению шифровальных (криптографических) средств;
деятельность по техническому обслуживанию шифровальных (криптографических) средств;
предоставление услуг в области шифрования информации;
разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.
Согласно положениям этого документа:
Если оператор ПДн приобретает СКЗИ для собственных нужд и самостоятельно проводит работы по его установке, то ему нет необходимости получать лицензию на деятельность по техническому обслуживанию шифровальных (криптографических) средств. Вместе с тем, если в технической документации СКЗИ содержится требование по его установке (встраиванию) только организацией, имеющей лицензию ФСБ России, то оператор принимает решение или о получении самому лицензии на этот вид деятельности, или о привлечении для проведения этих работ сторонней организации, имеющей соответствующую лицензию ФСБ России.
Если приобретаемое СКЗИ используется только в интересах организации и она (организация) не предоставляет услуг в области шифрования, то получение лицензии на этот вид деятельности также не требуется.
Если говорить кратко, то требования Закона и ТК РФ не противоречат друг другу. Закон выдвигает общие требования, направленные на обеспечение защиты прав и свобод человека и гражданина (Ст.2 Закона), а ТК РФ определяет некоторые особенности обработки персональных данных применительно к трудовым отношениям. В частности, он оперирует с понятием не просто «персональные данные», а именно «персональные данные работника» (ст. 85ТК РФ), конкретизирует обязанности работодателя при обработке и передаче таких данных, дает определенные гарантии работнику. В этом смысле требования главы 14 ТК РФ надо рассматривать, как дополнительные («отраслевые») требования по отношению к Закону. Надо так же отметить, что в ТК РФ есть отсыл к иным федеральным законам, устанавливающим требования по обработке персональных данных (например, ст.ст. 86, 87 ТК РФ).
Действительно, в самом ТК РФ порядка и содержания такого согласия не оговаривается. На мой взгляд, будет правильно здесь применить ст. 6 ГК РФ («аналогия закона») и перейти к ст. 9.4 Закона, в которой раскрывается понятие письменного согласия субъекта персональных данных: Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
цель обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
срок, в течение которого действует согласие, а также порядок его отзыва.
Скорее да, чем нет. Если в организации имеется специально уполномоченное лицо (например, работник отдела кадров, руководитель подразделения и пр.), то свою трудовую деятельность он осуществляет на основании приказа (локального нормативного акта) и утвержденной должностной инструкции. Если в инструкции прописаны обязанности по ознакомлению и работе с определенными персональными данными работника, а приказе оговорено, что это лицо имеет право допуска к определенной категории персональных данных работника, то требования ст. 88 ТК РФ формально выполнены. Однако, этого в этих приказах может и не быть. В этом случае потребуется специальный локальный нормативный акт (приказ) со списком и правами допуска сотрудников. Практика же показывает, что при проведении государственного контроля и надзора, регуляторы спрашивают список лиц, допущенных к работе с персональными данными (этого так же требует и новое Положение). Поэтому такой отдельный список целесообразно иметь.
Вопрос с телефонными справочниками решается достаточно просто. Если есть необходимость в телефонном справочнике, значит есть какая-то АТС, то есть оператор связи, следовательно, в этом случае применим Закон «О связи», в частности, его ст. 53.2: Операторы связи вправе использовать созданные ими базы данных об абонентах для осуществления информационно-справочного обслуживания, в том числе для подготовки и распространения информации различными способами, в частности на магнитных носителях и с использованием средств телекоммуникаций.
При подготовке данных для информационно-справочного обслуживания могут быть использованы фамилия, имя, отчество абонента-гражданина и его абонентский номер, наименование (фирменное наименование) абонента - юридического лица, указанные им абонентские номера и адреса установки оконечного оборудования.
Сведения об абонентах-гражданах без их согласия в письменной форме не могут быть включены в данные для информационно-справочного обслуживания и не могут использоваться для оказания справочных и иных информационных услуг оператором связи или третьими лицами.
Предоставление третьим лицам сведений об абонентах-гражданах может осуществляться только с согласия в письменной форме абонентов, за исключением случаев, предусмотренных федеральными законами.
Здесь же можно применить и ст. 8.1 Закона «О персональных данных»: В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
Таким образом, достаточно в инструкцию по использованию служебной АТС (а на сколько я понимаю, речь идет именно о служебной телефонной связи) включить пункт, соответствующий по своему содержанию ст. 53 Закона «О связи» и ст. 9.4 Закона «О персональных данных», довести такую инструкцию под роспись до всех сотрудников, например, в ходе инструктажа при приеме на работу.
Вопрос не простой. Он действительно не урегулирован Законом «О персональных данных» и сопутствующими нормативно-правовыми актами. На портале Роскомнадзора, в разделе «Ваши вопросы», когда спрашивают о составе минимального набора персональных данных, достаточного для идентификации человека, есть лаконичный ответ: «Указанный минимальный перечень действующим законодательством РФ не установлен…». Более того, Роскомнадзор, утверждает, что совершенно различный состав персональных данных можно найти в 75 международных актах, 13 кодексах, 100 законах и 250 Постановлениях Правительства.
Вместе с тем, в российском гражданском праве имеется понятие «аналогия закона» (ст. 6 ГК РФ). Оно применяется тогда, когда в жизни возникают ситуации прямо не урегулированные действующими нормами, но пробел может быть устранен применением законодательства, регулирующего сходные отношения и описывающим сходные ситуации. В нашем случае известно, что законодатель сказал: паспорт – основной документ, удостоверяющий личность (см. Постановление Правительства РФ от 08.07.1997 г. № 828, «Положение о паспорте гражданина Российской федерации», п. 1). В Положении о паспорте сказано: «В паспорт вносятся следующие сведения о личности гражданина: фамилия, имя, отчество, пол, дата и место рождения. И еще, в ходе судебного заседания (см. ст. 265 УПК РФ) председательствующий «…устанавливает личность подсудимого, выясняя его фамилию, имя, отчество, год, месяц, день и место рождения….». Применив принцип аналогии закона (ст. 6 ГК РФ) к решаемой проблеме позволяет установить, что минимальным набором персональных данных, позволяющим идентифицировать личность (в терминах закона «О персональных данных») или удостоверить личность (в терминах других законов, но что, в принципе, одно и то же) является набор, содержащий информацию о ФАМИЛИИ, ИМЕНИ, ОТЧЕСТВЕ, ПОЛЕ, ДАТЕ И МЕСТЕ РОЖДЕНИЯ субъекта персональных данных.
Нет, это решение не правильное. Согласно ст. 6.2 п.1 Закона, без согласия субъекта осуществляется обработка персональных данных на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке. Согласно ст. 7.1 Закона операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных. Передача протокола акционерам определена Законом «Об акционерных обществах». Форма протокола, в том числе в которой указываются персональные данные, ведется с учетом требований ГОСТ 6.30-2003 «Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов». Таким образом, акционер должен и имеет право получить протокол заседаний Совета директоров, однако, являясь в данном случае третьим лицом по отношению к оператору персональных данных (читай – акционерному обществу), каждый акционер, ознакомившийся с таким протоколом, обязан соблюдать требования ст. 7 Закона по обеспечении конфиденциальности полученных сведений. При этом специального согласия субъекта на передачу персональных данных третьим лицам не требуется, так как передача персональных данных осуществляется на основании федерального закона, устанавливающего цель и условия получения персональных данных и круг субъектов. В качестве примера. В Постановлении Федеральной комиссии по рынку ценных бумаг от 31 мая 2002 г. n 17/пс «Об утверждении положения о дополнительных требованиях к порядку подготовки, созыва и проведения общего собрания акционеров» в протоколе общего собрания указываются: полное фирменное наименование и место нахождения общества … почтовый адрес (адреса), по которому направлялись заполненные бюллетени для голосования при проведении общего собрания в форме заочного голосования, а также при проведении общего собрания в форме собрания, если голосование по вопросам, включенным в повестку дня общего собрания, могло осуществляться путем направления в общество заполненных бюллетеней; число голосов, которыми обладали лица, включенные в список лиц, имеющих право на участие в общем собрании, по каждому вопросу повестки дня общего собрания; число голосов, которыми обладали лица, принявшие участие в общем собрании, по каждому вопросу повестки дня общего собрания с указанием, имелся ли кворум по каждому вопросу; число голосов, отданных за каждый из вариантов голосования ("за", "против" и "воздержался") по каждому вопросу повестки дня общего собрания, по которому имелся кворум;… основные положения выступлений и имена выступавших лиц по каждому вопросу повестки дня общего собрания, проведенного в форме собрания; председатель (президиум) и секретарь общего собрания; дата составления протокола общего собрания.
Как уже отмечалось выше, согласно ст. 6.2 п.1 Закона, без согласия субъекта осуществляется обработка персональных данных на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке. Если в правовых актах, определяющих порядок и правомочия ФАС указано, что она имеет право запрашивать у организаций любые НЕОБХОДИМЫЕ ДЛЯ ИСПОЛНЕНИЯ ЕЮ СВОИХ ФУНКЦИЙ материалы, то она может их получить, в том числе и содержащие персональные данные. Однако, в этом случае ФАС обязана соблюдать требования ст. 7 Закона по обеспечении конфиденциальности полученных сведений.
Вообще-то в целом, все термины коррелируют. Действительно, некоторые термины могут иметь разный смысл. С этой целью каждый федеральный закон содержит статью «ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ», в которой и дается толкование того или иного термина применительно к положениям данного закона. В этом случае надо исходить из духа, а не буквы закона.
Есть целый ряд стандартов работающих в этой предметной области, например, ГОСТ Р 50.1.053-2005 «Информационные технологии. Основные термины и определения в области технической защиты информации», ГОСТ Р 50922-96 «Защита информации. Термины и определения», ГОСТ Р 516240-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» и другие.
Наконец, есть «Сборник терминов и определений. Информационная безопасность и защита информации»
Дать конкретный ответ по этому вопросу невозможно. Провести детальный анализ всех представленных документов и имеющихся в них терминах потребует много времени. Надо говорить о конкретных терминах. Если будет список терминов, требующих разъяснения – можно сделать анализ отдельно. В принципе всегда действует правило: термин в старшем документе – более правильный. Таким образом за основу надо брать цепочку: Конституция – кодекс – федеральный закон – национальный стандарт – отраслевой стандарт, руководящий документ, ведомственный приказ – словарь – прочие источники.
Полностью соотносится. Более того, его принятие как раз и было вызвано тем, что Россия присоединилась к Конвенции и должна была привести свое внутреннее законодательство в соответствии с этой Конвенцией. Положения Закона коррелируют, а во многом повторяют положения Конвенции и Директивы Европарламента 95/46/ЕС.
Распространение нормативных документов ФСТЭК России по защите персональных данных будет осуществляться региональными управлениями ФСТЭК России по федеральным округам по заявкам операторов персональных данных после того, как эти документы будут изданы типографским способом.
Для организаций с негосударственной формой собственности документы будут предоставляться за плату.
Так как нормативные документы ФСТЭК России по защите персональных данных имеют пометку «Для служебного пользования» (т.е. содержат сведения, составляющие служебную тайну) в заявке о их предоставлении необходимо указывать, что организация – оператор персональных данных обязуется обеспечить их сохранность в соответствии с «Положением о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти», утверждённым постановлением Правительства Российской Федерации 1994 г. № 1233.
В настоящее время центральный аппарат ФСТЭК России осуществляет подготовку к изданию исправленной и дополненной редакции нормативных документов по защите персональных данных. Ориентировочные сроки выпуска типографского издания этой редакции – 3-4 кварталы 2008 г.
Модель угроз - это документ, определяющий перечень и характеристики основных (актуальных) угроз безопасности ПДн и уязвимостей при их обработке в ИС ПДн, которые должны учитываться в процессе организации защиты информации, проектирования и разработки систем защиты информации, проведения проверок (контроля) защищенности ПДн.
Цель разработки модели угроз – определение актуальных для конкретной ИС ПДн угроз безопасности, источников угроз и уязвимостей. Результаты моделирования должны использоваться для классификации ИС ПДн, а также в качестве исходных данных для построения (проектирования) обоснованной и эффективной системы защиты персональных данных.
Согласно ч. 4 ст. 6 ФЗ «О персональных данных» оператор имеет право на основании договора передать персональные данные для обработки другому (третьему) лицу. В этом случае существенным условием договора должна являться обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
В договоре должны быть определены цели обработки персональных данных третьим лицом, требование обеспечения им конфиденциальности и безопасности персональных данных при их обработке, а также ответственность третьего лица в случае нарушения им требований законодательства.
По заявлению представителей ФСТЭК России в ходе профильных мероприятий по этой проблеме, специальной системы сертификации для ПДн создаваться не будет. В то же время, на сайте ФСТЭК России есть информация о СЗИ, которые можно использовать для защиты ИСПДн. В частности, ссылка на данный документ есть на нашем сайте в разделе Защита ПДн/Полезные ссылки.
Ответ на вопрос содержится в п. 14 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781): «Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.»
Цель аттестации – подтверждение соответствия ИСПДн (её СЗПДн) требованиям по обеспечению безопасности персональных данных, предъявляемых к ней в зависимости от её класса и результатов моделирования угроз. Факт соответствия и будет подтверждаться аттестатом. Кроме того, в аттестате соответствия будут приведены ограничительные условия, которые обязан выполнять владелец аттестованного объекта в течение срока действия аттестата.
Критериев здесь только два и они приведены в Законе:
обработка персональных данных порождает юридические последствия;
обработка ведется исключительно автоматизированными средствами.
Поясним на примере, может быть и не очень удачном. Билинговая система оператора связи, без участия оператора или кого-либо из персонала определила, что некий абонент превысил установленный порог лимита разговоров, без участия оператора по определенному алгоритму занесла абонента в список должников, рассчитала стоимость времени, обработала его персональные данные, установила личность абонента, данные его кредитной карты и провела транзакцию по списанию со счетов субъекта рассчитанной суммы. В этом случае такая обработка повлекла юридические последствия для субъекта – списание со счетов определенной суммы. При этом, вся обработка, в том числе и принятие решения о списании проводилась без участия оператора или какого-либо другого сотрудника оператора связи, исключительно на основе того алгоритма, который заложен в билинговую систему.
Нет, в этом случае юридическое лицо, осуществляющее администрирование системы не является оператором персональных данных, так как, во-первых, не оно установило цели обработки информации, во-вторых, оно не обрабатывает сами персональные данные, а только обслуживает оборудование информационной сети, в-третьих, не имеет доступа к этим персональным данным. Правда, при этом необходимо четко доказать, что администратор сети не имеет доступа к самой информации (как правило, системный администратор в силу своих обязанностей имеет доступ ко всей информации в информационной системе и необходимо применение специальных технических и программных средств, исключающих такую возможность, так называемая «защита от инсайдера»).
Классификацию должен проводить ОПЕРАТОР персональных данных, то есть то лицо, которое устанавливает цель обработки персональных данных. Правообладатель информационной системы может и не быть оператором персональных данных, а лицо, осуществляющее обработку персональных данных, может быть и третьим лицом.
Рекомендуется создавать систему защиты ПДн, объединяющую комплекс мер правового, организационного и технического характера. При этом с технической и организационной точек зрения должны присутствовать следующие подсистемы:
управления доступом
регистрации и учета
обеспечения целостности
антивирусной защиты
криптозащиты (при необходимости)
обнаружения вторжений (при необходимости)
защиты от утечки за счет ПЭМИН (при необходимости)
Как правило, первые 4 подсистемы существуют и в данном случае главная цель – убедиться в их соответствии требованиям регламентирующих документов и усовершенствовать в случае необходимости. Отсутствие всякой технической защиты практически нивелирует принятые меры защиты ПДн нормативного (правового) и организационного характера.
После создания технической системы защиты ПДн необходимо провести оценку ее соответствия предъявляемым требованиям (для систем 1-2 класса – аттестация, для 3 класса – либо аттестация, либо декларирование соответствия).
Вопрос применять или не применять криптосредства лежит в компетенции Оператора исходя из целей и технологии обработки персональных данных. При передаче обезличенных ПДн такие требования, скорее всего, применяться не будут.
Если в описании процесса обработки ПДн будет указано, что по каналам связи передаются обезличенные персональные данные, то применять криптосредства, очевидно, не обязательно. Вопрос в том, устроит ли передача именно обезличенных данных самого Оператора, и каким образом они будут обрабатываться в дальнейшем.
Зависит от выбора Оператором варианта построения (сегментирования) ИСПДн.
Можно объявить всю филиальную сеть единой ИСПДн, с необходимостью защиты центра, каналов связи и филиалов с выполнением всех обязательных требований по защите ПДн одновременно ко всем элементам.
Выполнить сегментирование, т.е. разделить на сегменты центр и отдельные филиалы, объединив их каналами связи. В этом случае защищаются по отдельности центр и филиалы (возможно с выполнением различных требований), отделяются с помощью межсетевых экранов, а требования относительно защиты каналов связи могут быть предъявлены провайдерам, либо может использоваться шифрование при передаче информации по открытым каналам.
Отличие состоит в более высоком уровне защиты. Для ИС ПДн класса К1 должны быть дополнительно (относительно ИС ПДн класса К2) реализованы:
более жёсткие требования в подсистемах управления доступом, регистрации и учёта, обеспечения целостности;
соответствующий уровень контроля НДВ для ПО СЗИ;
программно-аппаратные средства (системы) анализа защищённости;
в значительно большем объёме мероприятия по защите ПДн от утечки по каналам ПЭМИН;
мероприятия по защите акустической (речевой) информации (в случае использования функции голосового ввода или воспроизведения информации акустическими средствами).
В соответствии с руководящими документами ФСТЭК России уровень требований, предъявляемых по обеспечению безопасности персональных данных, обрабатываемых в конкретной ИСПДн, зависит от состава актуальных угроз, определяемого по результатам моделирования угроз, и класса ИСПДн .
Для обеспечения безопасности персональных данных при их обработке в ИСПДн операторы должны создавать систему защиты персональных данных (СЗПДн), которая должна включать следующие подсистемы:
управления доступом;
регистрации и учёта;
обеспечения целостности;
криптографической защиты;
антивирусной защиты;
обнаружения вторжений;
защиты от утечки за счёт ПЭМИН (только для ИСПДн 1 и 2 классов).
Требования, предъявляемые к каждой подсистеме СЗПДн, определяются дифференцированно, по результатам обследования ИСПДн, моделирования угроз и на основании присвоенного класса ИСПДн.
В случае применения средств криптографической защиты, требования к необходимому уровню криптографической защиты персональных данных определяются в зависимости от типа возможного нарушителя, который определяется по результатам моделирования угроз на основании нормативных документов ФСБ России.
Затраты на построение СЗПДн можно оптимизировать используя следующие подходы:
Оптимизация категорий обрабатываемых ПДн.
Оптимизация структуры ИСПДн и процессов обработки ПДн. В том числе локализация ПДн в защищённом сегменте ИСПДн, разделение ИСПДн на сегменты разных классов.
Проведение обоснованной классификации ИСПДн.
Правильное моделирование угроз безопасности ПДн.
Оптимизация состава применяемых организационных и технических мер обеспечения безопасности ПДн.
Унификация состава применяемых СЗИ.
Другие меры, определяемые на основании результатов обследования ИСПДн.
Конкретные решения по оптимизации затрат на построение СЗПДн могут быть разработаны специализированными организациями, имеющими лицензии на право деятельности в области защиты информации конфиденциального характера.
Согласно РД ФСТЭК России «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (п. 3.6) для вновь создаваемых (проектируемых) ИСПДн требования по обеспечению безопасности ПДн также определяются в зависимости от класса ИСПДн и результатов моделирования угроз.
В этом случае разработка конкретных требований по обеспечению безопасности ПДн, включаемых в техническое (частное техническое) задание на разработку СЗПДн, осуществляется на предпроектной стадии и должна осуществляться с учётом следующих факторов:
характера (перечня) ПДн, подлежащих защите;
условий расположения ИСПДн относительно границ контролируемой зоны (КЗ);
конфигурации и топологии ИСПДн в целом, и её отдельных компонент, физических, функциональных и технологических связей как внутри этих систем, так и с другими системами различного уровня назначения;
состава технических средств и систем, предполагаемых к использованию в разрабатываемой ИСПДн, условий их расположения, общесистемных и прикладных программные средств, имеющихся и предлагаемые к разработке;
режимов обработки ПДн в ИСПДн в целом и в отдельных компонентах;
класса ИСПДн;
степени участия персонала в обработке ПДн, характера их взаимодействия между собой;
Да, такие прецеденты имеют место. Не раскрывая профессиональных секретов, скажем, что это было достигнуто рядом мер по обезличиванию персональных данных и правильного сегментирования ИС ПДн в рамках ИС в целом.
Дать точный и полный ответ, каким образом в этой ситуации можно выполнить технические требования по обеспечению безопасности персональных данных не представляется возможным, из-за отсутствия важных исходных данных, оказывающих существенное влияние на конкретное техническое решение, которое должно быть реализовано системой защиты.
Необходимые исходные данные могут быть получены только после проведения обследования Вашей ИС, разработки модели угроз и определения её класса защиты. В данный момент можно только констатировать, что:
Ваша ИС в соответствии с «Порядком проведения классификации информационных систем персональных данных» (совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20) должна быть отнесена к специальным ИСПДн.
Терминальная архитектура построения ИСПДн значительно облегчает реализацию ряда технических требований по обеспечению безопасности персональных данных.
В соответствии с п. 7 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781) «Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.»
Согласно п. 2.4 нормативного документа ФСБ России «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (№ 149/54-144, 2008 г.) необходимость обеспечения безопасности персональных данных с использованием криптосредств определяется оператором персональных данных.
Отсюда следует, что в случае использования оператором защищённых каналов связи (например, выделенных оптоволоконных линий связи, передачи данных на съёмном носителе информации при помощи курьера или использования других оргмер) оператору нет необходимости использовать криптосредства для защиты передаваемых персональных данных.
В случае же использования для передачи персональных данных незащищённых (открытых) каналов связи (кроме случая передачи обезличенных или общедоступных персональных данных), по решению оператора должны применяться средства криптографической защиты. При этом требуемый уровень криптозащиты должен определяться на основании разрабатываемой оператором в соответствии с упомянутыми Методическими рекомендациями модели нарушителя.
В связи с многочисленными вопросами, поступающими нашим экспертам, хотели бы несколько прояснить текущую ситуацию с биометрическими данными, чтобы избежать неясностей и неверных трактовок.
Первое. Закон о персональных данных гласит: Биометрические персональные данные – сведения, которые «характеризуют физиологические особенности человека и на основе которых можно установить его личность»… Таким образом, закон оговаривает возможность, а не факт установления личности субъекта, то есть это не одно и то же, что «позволяют установить личность». Пример. По отпечатку пальца можно установить личность только в том случае, если где-то существует база данных, в которой этот отпечаток сопоставляется с идентификационными данными субъекта. Если кто-то нашел на улице некий предмет с отпечатком пальца – единственное, что можно сказать, что этот предмет держал человек, но кто конкретно, невозможно сказать до тех пор, пока найденный отпечаток не будет сверен в дактилоскопической базе данных с хранящимся там образцом и сопоставимыми идентификационными данными субъекта. Только после этого можно утверждать, что предмет был потерян Ивановым Иваном Ивановичем. Данный пример применим и к фотографии.
Таким образом, как видно из примера, найденный отпечаток пальца действительно помог идентифицировать субъекта, но именно на основе отпечатка пальца. То есть в данном случае отпечаток пальца послужил дополнительным идентификатором субъекта, но сам по себе не определил субъекта, так как для этого пришлось лезть в дактилоскопическую базу и уточнять, кому конкретно принадлежит этот идентификатор. Фактически налицо два процесса:
1. идентификация - сопоставление идентификатора субъекту;
2. аутентификация – определение, кому принадлежит идентификатор, и сопоставление идентификатора некоей базе данных. Вывод: сами по себе биометрические данные не могут установить личность, но на их основе (как жесткого идентификатора и как об этом говорит Закон) можно установить личность. То есть биометрические данные являются не идентифицирующими данными, а идентификаторами, а это суть разные понятия.
Кроме того, исходя из вышесказанного, биометрические данные не могут считаться заменой идентификационного набора, включающего ФИО, пол, дату рождения, адрес и пр., поскольку для идентификации субъекта в таком случае однозначно потребуется аутентифицировать и сам идентификатор (биометрические данные) - сопоставить с идентификационными персональными данными. Следовательно, биометрические персональные данные сами по себе не только не входят в список идентифицирующих, но и, тем более, не подменяют его.
Второе. Организованные (упорядоченные) биометрические данные (фотография, отпечаток пальца) являются биометрическими персональными данными. В общем смысле такие понятия, как персональные данные, биометрические персональные данные, персональные данные, позволяющие идентифицировать субъекта – это все объективные понятия, не зависящие ни от субъективных факторов, ни от способа их обработки, ни от целей их обработки. Это важно для понимания.
Если в какой-либо информационной системе хранится фотография и не используется непосредственно для идентификации, она не перестает быть биометрическими персональными данными, так как она объективно отражает физиологические особенности человека и ее можно использовать для идентификации. При этом Закон не дает никаких изъятий относительно формы ее представления, в цифре, картинке или как-то иначе. То есть система, в которой есть фотография, независимо от того для чего эта фотография используется, будет информационной системой, обрабатывающей биометрические персональные данные. Не может быть так, что в одном случае – это биометрические персональные данные, а если сдали в архив и не используем для идентификации, то это уже и не биометрические персональные данные. Пример. Имеем на служебном пропуске фотографию сотрудника. Она предназначена именно для идентификации личности, так как на ее основе охрана принимает решение о пропуске сотрудника, сверяя его фотографию с образцом, хранимым в компьютере (БД СКУД) и лицом самого сотрудника. Значит существует некий носитель (бумажный или электронный), на котором имеется изображение лица субъекта и которое отражает его физиологические особенности («черты лица»), которые и позволяют принять решение об идентичности его личности той, которая занесена в базу данных СКУД. Следовательно, фотография является биометрическими персональными данными.
Важно учесть, что фактическое непризнание организацией фотографии сотрудника в качестве его биометрических персональных данных не освобождает данную организацию от ответственности в рамках существующего законодательства.
В то же время, если фотография не нужна для целей идентификации или каких-либо иных целей, то она является избыточной информацией, что, в принципе, является нарушением ст.5 п.3 Закона: соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных.
Третье. Неверно полагать, что биометрическими персональными данными являются только те, которые участвуют в процессе машинного распознавания. Закон такого ограничения не предусматривает, а в ст.11 Закона говорится только о том, что биометрические персональные данные «могут обрабатываться», но нигде не сказано, что такая обработка может быть только автоматизированной. Более того, ст.1 Закона как раз говорит, что обработка может быть как автоматизированная, так и без использования средств автоматизации.
Само понятие «обработка» совершенно не зависит от того, какими методами она ведется, а зависит от действий, совершаемых с персональными данными: сбор, хранение, систематизация, накопление, уточнение, использование, распространение, обезличивание, блокирование, уничтожение. Это императивная норма ст.3 Закона и список этих действий конечен.
Четвертое. Биометрические данные отличаются тем, что они уникальны, то есть присущи только конкретному субъекту, и измеримы. Например, процедура сличения субъекта с эталоном (фото на пропуске) это и есть измерение. Однако, измерения (сравнения) могут проводиться с разной степенью доверия. В то же время, степень доверия к биометрическим данным не меняет их объективной сущности и даже при малой степени доверия они все равно остаются биометрическими данными.
К примеру, зная только часть идентификационных данных (имя) можно попытаться идентифицировать личность, но существует вероятность ошибки - возможно есть тезка. В определенных условиях и этого достаточно, в других - надо иметь большую уверенность и потребуется полный набор идентификационных данных. В равной степени это относится и к биометрическим данным. Степень же необходимого доверия, по всей вероятности, должен определить сам пользователь данной информации исходя из тех бизнес-процессов, которые он реализует и для которых необходима эта информация.
Необходимо также отметить, что биометрические данные обладают некоторым дуализмом. С одной стороны, они содержат в себе информацию о субъекте, с другой стороны, являются неотъемлемой его частью и, как следствие, могут выступать в качестве идентификатора субъекта. Получается, что особенности лица (например, шрам), присущие субъекту, отражаются на его фотографии. И эта черта может послужить для установления личности. К примеру, можно ли отнести к биометрическим данным словесный потрет без фотографии, описывающий особенности лица? Можно, потому что он описывает уникальные черты субъекта. Но, в то же время, словесный портрет может и не описывать шрам и при этом не перестает быть портретом.
О необходимости проведения аттестации ИСПДн (какие классы, порядок аттестации и т.п.)
Действительно, «Положение о методах и способах защиты информации в информационных системах персональных данных» не рассматривает вопросы оценки соответствия ИСПДн установленным требованиям и проведения аттестации информационных систем персональных данных, так как эти вопросы выходят за рамки компетенции данного документа и рассмотрены в других документах. Между тем, вопрос аттестации не снят с повестки дня.
Сегодня можно констатировать следующее:
В соответствии с п. 12 в) «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Постановление Правительства РФ 2007 г. № 781) оператору достаточно обеспечить «проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации» и проведение аттестации его ИСПДн не требуется.
В соответствии с Указом Президента РФ от 06.03.1997 № 188 персональные данные (кроме общедоступных и обезличенных) относятся к сведениям конфиденциального характера.
Порядок защиты конфиденциальной информации регламентируется «Специальными требованиями и рекомендации по технической защите конфиденциальной информации (СТР-К)». В соответствии с п. 2.17 СТР-К «Объекты информатизации должны быть аттестованы на соответствие требованиям по защите информации».
Однако требования СТР-К являются обязательными только для защиты государственных информационных ресурсов.
Согласно ч. 9 ст. 14 Федерального закона №149-ФЗ «Об информации, информационных технологиях и защите информации»: «Информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами».
Отсюда можно сделать вывод, что обязательная аттестация проводится только для государственных информационных систем, в которых осуществляется обработка персональных данных. В остальных случаях она носит добровольный (необязательный характер).
Вместе с тем, необходимо отметить, что в соответствии с п. 3 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»: «Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора».
Так как для коммерческих структур аттестация становится не обязательной, то в этом случае вся ответственность за точное исполнение всех технических требований по защите персональных данных лежит на операторе ПДн. И в случае выявленных несоответствий в ходе государственного контроля и надзора, именно он несет за это ответственность. Если же оператор проходит процедуру оценки соответствия установленным требованиям с привлечением третьих лиц (по результатам которых оформляется аттестат соответствия или заключение), то, как правило, в этом случае он с одной стороны получает уверенность, что все меры выполнены, а с другой стороны, в случае выявленных нарушений третье лицо разделяет риски с оператором ПДн.
О возможности сегментирования системы в целом на подсистемы различных классов
Возможность сегментирования ИСПДн в целом предусмотрена «Положением о методах и способах защиты информации в информационных системах персональных данных» (раздел 2). В частности п. 2.11 этого Положения устанавливает, что «подключение информационной системы к информационной системе другого класса или к информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) осуществляется с использованием межсетевых экранов», а п. 2.4 Приложения к «Положению о методах и способах защиты информации в информационных системах персональных данных» устанавливает, что «При разделении информационной системы при помощи межсетевых экранов на отдельные части для указанных частей системы может устанавливаться более низкий класс, чем для информационной системы в целом.».
О необходимости использования сертифицированных средств защиты информации, в том числе криптографических при передаче по каналам связи и сетям связи общего пользования
Ответ приведён в п. 5 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Постановление Правительства РФ 2007 г. № 781): «5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.»
А также в п. 2.1 «Положения о методах и способах защиты информации в информационных системах персональных данных»:
«2.1. Методами и способами защиты информации от несанкционированного доступа являются: использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия; ».
В соответствии со ст. 20 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» подтверждение соответствия осуществляется в формах: принятия декларации о соответствии (декларирование соответствия) или обязательной сертификации.
В настоящее время ФСТЭК России и ФСБ России, которые в соответствии с п. 3 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Постановление Правительства РФ 2007 г. № 781) получили право устанавливать методы и способы защиты информации в информационных системах, имеют только действующие системы сертификации средств защиты информации, а системы декларирования соответствия ими ещё не созданы.
Отсюда следует, что в настоящее время для защиты ПДн необходимо применение сертифицированных средств защиты.
Об атрибутах безопасности Атрибут безопасности - информация, связанная с субъектами, пользователями и/или объектами, которая используется для осуществления политики безопасности (ГОСТ Р ИСО/МЭК 15408).
Атрибутами безопасности могут быть идентификаторы, аутентификационная информация (например, пароль), права доступа (роль, привилегии) и др.
Напомним, во-первых, что сам «Закон о персональных данных» никто не отменял, а начало действия закона - 27 января 2007 года.
А также отметим, что деятельность по защите персональных данных, на текущий момент, определяется более 25 нормативными актами:
непосредственно Закон о персональных данных;
Закон об информации, информационных технологиях и защите информации, в котором изложены базовые принципы защиты информации;
3 Постановления Правительства РФ: 781 (Порядок обеспечения безопасности ПДн при использовании средств автоматизации), 687 (Порядок обеспечения безопасности ПДн без использования средств автоматизации) и 512 (Порядок защиты биометрических ПДн и их хранения на отчуждаемых носителях вне ИСПДн);
группа документов уполномоченных органов: Роскомнадзор, ФСТЭК, ФСБ.
Во-вторых, Закон о персональных данных гласит (ст. 27), что после вступления в силу Закона, обработка ПДн должна осуществляться в соответствии с требованиями закона, т.е. все принципы и условия обработки ПДн, которые прописаны в ст. 5-7 давно уже должны быть реализованы Операторами ПДн.
Отдельный вопрос касается технических требований по защите ПДн, которые установлены в ст. 19 Закона и должны были быть выполнены не позднее 1 января 2010г. Именно данный вопрос и вызвал большинство диспутов и комментариев заинтересованных сторон.
В ноябре 2009 года в ГД РФ состоялись парламентские слушания, посвященные проблемам защиты ПДн, был разработан ряд рекомендаций, на основании которых в течение 2010 года в Закон о персональных данных будут вноситься изменения. В первую очередь это:
изменения непосредственно в Закон о ПДн;
изменения в ряд нормативных актов в связи с ратификацией РФ европейской конвенции и принятием Закона о ПДн;
внесение изменений в Закон о лицензировании отдельных видов деятельности;
корректировка ряда подзаконных актов;
усиление ответственности Операторов в случае нарушения прав субъектов ПДн.
Что касается планируемых изменений в Закон о персональных данных, наиболее интересными являются:
расширение полномочий Операторов, в т.ч. по определению сроков хранения ПДн;
уточнение случаев, когда нет необходимости получать согласие субъектов на обработку ПДн;
уточнение случаев, когда нет необходимости обеспечивать конфиденциальность ПДн;
определение порядка уничтожения ПДн;
уточнение случаев, когда Оператор имеет право осуществлять обработку ПДн без уведомления надзорных органов.
И в заключении о самом интересном – изменениях в реализации технических требований Закона о персональных данных. На текущий момент в ГД РФ принят в первом чтении проект изменений в Закон о персональных данных, предусматривающий в частности:
перенос сроков реализации технических требований (ч.3 ст. 25) до 1 января 2011г.;
исключение ст. 19 – обязательности применения средств криптографической защиты (комм. – однако, это не означает, что их не надо будет применять, т.е. каждый оператор сам будет определять необходимость их применения (самостоятельно или на основе рекомендаций привлеченных организаций). При этом для Операторов - органов государственной власти такое требование, возможно, будет сохранено).
Кроме того разработана стратегия реализации технических требований, в рамках которой будут разработаны специальные методические рекомендации по реализации требований по защите ПДн в ряде стратегически важных областей жизнедеятельности государства (иными словами «отраслевые рекомендации»). В настоящее время идет работа в следующих областях:
медицина
образование
банковская сфера
сфера связи
Таким образом, в дополнение к документам ФСБ, ФСТЭК и постановлениям правительства будут разработаны «отраслевые» методические рекомендации, конкретизирующие требования технического характера в определенных областях.
Начнём с того, что требования федерального закона не имеет право изменить никакое ведомство, в том числе Минкомсвязи. Закон может быть изменён только другим федеральным законом. В материалах, появившихся в средствах массовой информации, речь идёт всего лишь о подготовке предложений по переносу срока реализации ст. 25 ФЗ «О персональных данных».
Сегодня мы имеем следующую ситуацию.
В соответствии со ст. 25 ФЗ «О персональных данных»:
ч. 2. После дня вступления в силу настоящего Федерального закона (27.01.2007 г.) обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.
ч. 3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 г.
Отсюда следует:
с 27 января 2007 г. обработка персональных данных, включенных в информационные системы персональных данных ВСЕМИ ОПЕРАТОРАМИ ДОЛЖНА осуществляться в соответствии с ФЗ «О персональных данных» (речь идёт о выполнении требований ФЗ, связанных с выполнением правовых принципов и условий обработки персональных данных).
Технические требования по обеспечению безопасности персональных данных (ч. 1 и 2 ст. 19 Закона) должны быть выполнены операторами не позднее 1 января 2010 г.
Сегодня мы прекрасно понимаем, что технические требования по защите персональных данных, которые содержатся в ведомственной нормативной базе ФСТЭК России и документах ФСБ России практически трудновыполнимы, особенно к 1.01.2010. По этой причине на парламентских слушаниях по вопросу о возможности реализации ФЗ «О персональных данных», проведённых в Государственной Думе 20.10.2009 г., были сформулированы следующие выводы и предложения:
Подзаконная база сформировала чрезвычайно затратный, запутанный, противоречивый механизм, не учитывающий ни особенности обработки персональных данных в различных сферах деятельности, ни возможности оператора по обеспечению установленных требований. Установленный подзаконными актами уровень требований к технической защите персональных данных значительно выше, чем в большинстве стран, являющихся сторонами Конвенции и на деле обеспечивающих эффективную защиту персональных данных.
Срок вступления в силу положений части 3 статьи 25 в отношении исполнения требований по безопасности обработки персональных данных применительно к информационным системам персональных данных, действовавшим до вступления в силу Федерального закона целесообразно перенести на 1-2 года.
В кратчайшие сроки внести изменения в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» устранив имеющиеся противоречия и коллизии.
После внесения изменений в Федеральный закон «О персональных данных» привести в соответствие с ним нормативные правовые акты Правительства Российской Федерации и нормативные правовые акты федеральных органов исполнительной власти.
Принять программу мероприятий, рассчитанную на 1 год, по подготовке к вступлению в силу Федерального закона «О персональных данных», включающую:
разработку под общим руководством Минкомсвязи России и при участии заинтересованных министерств и ведомств, совместно с общественными организациями операторов и профильными компаниями отраслевых методических рекомендаций по обеспечению безопасности информационных систем персональных данных;
уточнение сфер компетенции федеральных органов исполнительной власти в области защиты прав граждан при автоматизированной обработке их персональных данных;
федеральным органам исполнительной власти разработать и обеспечить применение отраслевых методических рекомендации организациями отрасли по защите персональных данных.
Давайте подводить итоги.
Требования закона, устанавливающие организационно-правовой режим обработки персональных данных, вступили в силу с 27.01.2007 г. и с этого времени должны выполнятся всеми операторами. Проверка выполнения этих требований и есть область компетенции Роскомнадзора и он (Роскомнадзор) успешно организует и проводит подобного рода проверки уже с 2007 года, в том числе штрафуя операторов и принимая к нарушителям другие меры воздействия, предусмотренные законодательством.
Какой-либо отмены, упрощения или переноса срока реализации этих требований не планируется. Планируется внесение в Закон некоторых уточнений в целях устранения имеющихся противоречий и коллизий. Вместе с тем, по предложениям Роскомнадзора административные штрафы за нарушение законодательства о персданных планируется увеличить до 500 тыс. – 1 млн. руб. (сейчас – 5-10 тыс. руб). Кстати, Роскомнадзор уже разработал проект «Административного регламента проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных», в котором определил себе весьма серьезные полномочия, включая полномочия по наказанию операторов. Этот документ планируется к принятию до конца 2009 года.
Срок выполнения ТЕХНИЧЕСКИХ требований (ст. 25 и ст. 19 Закона) может быть перенесён на 1-2 года вперёд только на основании федерального закона о внесении изменений и дополнений в ФЗ «О персональных данных». Этот ФЗ планируется для обсуждения в Думе в декабре с.г. Давайте дождёмся официально принятых изменений в Федеральный закон «О персональных данных».
Сам факт перенесения срока выполнения ТЕХНИЧЕСКИХ требований не ОТМЕНЯЕТ их, операторы всего лишь получат некоторую передышку и в более спокойном режиме смогут спланировать выполнение технических требований и выделение средств на их реализацию. Кстати, никто не будет предъявлять претензии операторам, если они выполнят технические требования раньше установленного срока. Наоборот, это может дать им определённые конкурентные преимущества. Таким образом, никто не собирается СНИМАТЬ с операторов обязанность по выполнению комплекса мер защиты персональных данных технического характера, и они не дожидаясь истечения очередного срока должны инициировать работы по выполнению этих мер защиты (конечно, если хотят не иметь проблем с государственными надзорными органами).
Вполне возможно, будут инициированы некоторые уточнения технических требований по защите персональных данных. Пока прогноз такой: никаких существенных изменений технических требований не будет. Они будут находиться в рамках класса 1Г. Из требований уберут лишь явные ошибки и несоответствия, о которых мы и так знаем. Вполне возможно, что могут появиться требования по защите ПДн, учитывающие отраслевую специфику - так называемые методические рекомендации (например, в сфере медицины, в банковской сфере и т.п.). Это положительный фактор, в этих документах явно будут вполне разумные требования и компании, предоставляющие услуги в области защиты персональных, данных готовы в своей работе учитывать отраслевые требования Заказчиков.
О применении криптосредств для защиты персональных данных. В подготовленных предложениях речь не идёт об отмене необходимости применения криптосредств для защиты персональных данных. Предложения касаются уточнения области и порядка их использования. Для государственных структур их применение во многих случаях останется обязательным (например, при использовании для передачи персональных данных незащищённых каналов связи), для остальных – порядок их применения будет уточнён ФСБ России.
В федеральном законе «О персональных данных» дано толкование термина «персональные данные», из которого, вроде бы, следует, что любая информация является персональными данными. Следует ли понимать все буквально или все же учитывать цель обработки и характер данных? Существует ли минимальный набор данных о физическом лице, после которого они становятся персональными?