Остаточный принцип отменен. Компании озаботились информационной безопасностью

 ВИКТОР СЕРДЮК, генеральный директор ЗАО «ДиалогНаука», CISSP, к.т.н., доцент кафедры «Информационные технологии» РГТУ им. К.Э. Циолковского

Остаточный принцип отменен
Компании озаботились информационной безопасностью

Персональные данные – сложный объект для регулирования. С одной стороны, они являются отражением частной жизни, неприкосновенность которой охраняется законом. С другой стороны, ПДн – это необходимый элемент социализации и юридическая основа для реализации правоспособности и дееспособности

Во многом это связано со вступлением в силу Федерального закона №152 «О персональных данных». Предпосылками к принятию данного закона являлись необходимость гармонизации российского и западного законодательства, а также желание предпринять конкретные шаги для повышения уровня защищенности персональных данных граждан.

В 2009–2010 годах были внесены некоторые изменения в законодательство о персональных данных. Федеральный закон №266-ФЗ внес изменения в ФЗ «О персональных данных» по вопросам реализации международных договоров Российской Федерации о реадмиссии [1].

При необходимости обработки персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии:

• согласие субъекта персональных данных не требуется;
• допускается обработка специальных категорий персональных данных;
• обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных;
• может осуществляться трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных.

Федеральный закон №363-ФЗ исключил обязанность оператора использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Тем не менее необходимо отметить, что использование средств криптографической защиты регламентируется нормативными документами ФСБ РФ и определяется на основе модели нарушителя. Закон также продлил срок, до которого информационные системы персональных данных должны быть приведены в соответствие с требованиями федерального закона.

Теперь информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями федерального закона не позднее 1 января 2011 года. При этом необходимо отметить, что те информационные системы, которые вводятся в эксплуатацию после 1 января 2010 года, уже должны соответствовать требованиям по защите персональных данных.

16 марта 2010 года вступил в силу приказ ФСТЭК России, в соответствии с которым принято «Положение о методах и способах защиты информации в информационных системах персональных данных».

Утвержденное положение определяет методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных операторами или уполномоченными лицами [2].

В связи с изданием приказа ФСТЭК России решением ФСТЭК России с 15 марта 2010 года для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных не применяются следующие методические документы ФСТЭК России:

• «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», утвержденные заместителем директора ФСТЭК России 15 февраля 2008 года;
• «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные заместителем директора ФСТЭК России 15 февраля 2008 года.

Таким образом, с 15 марта 2010 года методы и способы защиты информации в информационных системах персональных данных устанавливаются ФСТЭК России в следующих документах:

• «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн»;
• «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн»;
• «Положения о методах и способах защиты информации в информационных системах персональных данных».

Необходимо отметить, что внесенные изменения не отменяют необходимость использования сертифицированных средств защиты информации, так как это требование содержится как в приказе ФСТЭК РФ №58, так и в постановлении Правительства РФ №781.

Согласно статье 19 федерального закона, «оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

Кроме того, в соответствии с положениями закона обработка персональных данных может осуществляться только с согласия субъекта в письменной форме. В качестве альтернативы письменной формы согласия можно использовать электронную цифровую подпись. Однако в законе есть несколько исключений.

Еще одно требование сформулировано в 22-й статье федерального закона: «Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных». Однако и в данной статье предусмотрен ряд исключений. Так, например, если организация обрабатывает только персональные данные своих работников, то в этом случае она может вести обработку без уведомления уполномоченного органа.

В качестве уполномоченного органа выступает Роскомнадзор (www.rsoc.ru), на сайте которого можно получить информацию о форме уведомления и порядке ее заполнения. Именно Роскомнадзор с формальной точки зрения отвечает за соблюдение требований законодательства в области защиты персональных данных. На сайте регулятора можно ознакомиться с планом проверок на текущий и следующий годы, а также с некоторыми их результатами.

Для реализации требований Федерального закона «О персональных данных» необходимо создание и внедрение комплексной системы защиты. Как правило, процесс создания такой системы защиты включает в себя следующие основные этапы:

• проведение обследования с целью оценки соответствия организации требованиям Федерального закона «О персональных данных»;
• разработка модели угроз безопасности персональных данных (ПДн);
• разработка модели нарушителя (в случае использования каналов связи для передачи ПДн);
• проектирование системы защиты ПДн в составе информационной системы, обрабатывающей персональные данные (ИСПДн);
• разработка комплекта организационно-распорядительных документов по защите персональных данных;
• внедрение системы защиты персональных данных;
• аттестация информационной системы персональных данных по требованиям безопасности информации.

В соответствии со статьей 24 федерального закона «лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность». На практике нарушение требований федерального закона может привести к одному из следующих последствий:

• приостановление или прекращение обработки персональных данных (ПДн), осуществляемой с нарушением требований ФЗ «О персональных данных»;
• направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов ПДн;
• приостановка действия или лишение лицензий, без которых деятельность по обработке персональных данных становится незаконной;
• конфискации несертифицированных средств защиты информации. С учетом того что определенные механизмы безопасности интегрированы в общесистемное и прикладное ПО, в ряде случаев возможна конфискация серверов и рабочих станций, обрабатывающих персональные данные;
• привлечение к административной и уголовной ответственности лиц, виновных в нарушении соответствующих статей Уголовного и Административного кодексов.

Кроме того, согласно пункту 3 статьи 21, «в случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные». При этом очевидно, что уничтожение персональных данных для организаций, работающих с физическими лицами, например для банков или страховых компаний, равносильно приостановке бизнеса.

В настоящее время многие критикуют Федеральный закон «О персональных данных» за излишне жесткие требования и рассматривают его как очередной повод для государственных регуляторов к проведению тех или иных проверок. Сегодня можно с уверенностью сказать, что принятие закона позволило привлечь внимание руководства российских компаний к проблеме обеспечения информационной безопасности. Так, если раньше во многих организациях подразделения, отвечающие за защиту информации, финансировались по остаточному принципу, то теперь благодаря закону они полноценным образом участвуют в процессе планирования затрат на решения по защите информации.

1. Реадмиссия – передача запрашивающим государством и принятие запрашиваемым государством лиц (граждан запрашиваемого государства, граждан третьих государств или лиц без гражданства), чей въезд, пребывание или проживание в запрашивающем государстве признаны незаконными.
2. Уполномоченное лицо – лицо, которому на основании договора оператор поручает обработку персональных данных.

Комментарии могут оставлять только зарегистрированные пользователи