Защита персональных данных. На вопросы читателей «СА» отвечает эксперт

 ДЕНИС ИВАНОВ, старший консультант департамента проектирования и консалтинга компании «Информзащита»

Защита персональных данных
На вопросы читателей «СА» отвечает эксперт

Как трактовать статью 22 ФЗ №152? Что делать, если ИТ-инфраструктура находится в России, но сопровождают системы безопасности специалисты из Европы? Нужно ли всем операторам проводить мероприятия, указанные в законе?

Можно ли подключать систему обработки ПДн к общей сети?

Конечно, можно, только при этом необходимо учесть дополнительные меры безопасности при взаимодействии с сетями связи общего пользования, описанные в «Положении о методах и способах защиты информации в информационных системах персональных данных», утвержденном приказом ФСТЭК России №58 от 5 февраля 2010 года. При подключении информационных систем, обрабатывающих государственные информационные ресурсы, к сетям связи общего пользования необходимо также учитывать Указ Президента Российской Федерации от 17 марта 2008 г. №351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».

При решении вопроса о подключении системы к сетям связи общего пользования в первую очередь необходимо в модели угроз безопасности ПДн рассмотреть дополнительные угрозы, связанные с межсетевым взаимодействием. Во вторую очередь необходимо выбрать и реализовать методы и способы защиты, которые должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных, связанных с взаимодействием информационной системы с сетями связи общего пользования. В зависимости от того, с какой целью осуществляется подключение к сетям связи общего пользования, как правило, потребуется применение дополнительных средств защиты информации:

• системы межсетевого экранирования, обеспечивающие управление доступом, фильтрацию сетевых пакетов и трансляцию сетевых адресов, для скрытия структуры информационной системы;
• системы обнаружения вторжений в информационную систему;
• системы анализа защищенности информационных систем (сканеры безопасности);
• системы антивирусной защиты, обеспечивающие в том числе анализ принимаемой из сети информации на наличие компьютерных вирусов;
• другие специализированные комплексы, обеспечивающие в том числе защиту информации при ее передаче по каналам связи.

Как трактовать статью 22 – «Уведомление об обработке персональных данных»?

Из статьи следует, что организация не обязана никого уведомлять, если это работники организации или контрагенты.

«П. 2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

• относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
• полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.»

Действительно, под описанные в ч. 2 ст. 22 исключения достаточно часто подпадают организации, обрабатывающие только ПДн своих работников, а также контрагентов в рамках договоров гражданско-правового характера и клиентов  рамках оказания услуг по заключенным договорам. На практике таких организаций встречается достаточно много.

Вместе с тем необходимо учесть, что существует несколько типовых факторов, не подпадающих под данные исключения, таких как:

• Обработка ПДн потенциальных работников (кандидатов на вакансии), которые есть у любой организации. Если вы обрабатываете данные по кандидатам на вакансии в автоматизированном виде (в информационной системе), то эта обработка не подпадает под исключения ст. 22 ФЗ №152, что ведет к необходимости уведомления уполномоченного органа по защите прав субъектов персональных данных.
• Случаи, когда ПДн субъектов получены не от самого субъекта ПДн, а, например, от организации, в которой работает контрагент, или от другого юридического лица (заключившего договор с клиентом) и входящего в вашу группу компаний. Данная обработка ПДн также не подпадает под исключения ст. 22, что ведет к необходимости уведомления уполномоченного органа по защите прав субъектов персональных данных.

Если не надо уведомлять, проводить ли все мероприятия, указанные в ФЗ №152, по защите и обработке ПДн?

Безусловно, поскольку требования Федерального закона от 27.07.2006 г. №152 «О персональных данных» являются обязательными для всех операторов, определенных в ст. 1 данного закона, независимо от того, требуется им уведомлять уполномоченный орган по защите прав субъектов персональных данных или нет. Необходимость уведомления уполномоченного органа по защите прав субъектов персональных данных об обработке персональных данных определено в ст. 22 данного ФЗ и является лишь одной из обязанностей оператора по обеспечению защиты прав и свобод человека и гражданина при обработке его персональных данных.

Если сеть предприятия, распределенная настолько, что персональные данные обрабатываются в ЦОД, который находится в Европе. К серверам – доступ в терминальном режиме. Каким образом в данном случае будет проводиться сертификация технических средств и пр. на предмет соответствия требованиям закона?

В описанном случае осуществляется трансграничная передача персональных данных, причем, скорее всего, в страну, подписавшую и ратифицировавшую Конвенцию о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. ETS №108. В соответствии со ст. 12 Федерального закона от 27.07.2006 г. №152 «О персональных данных» оператору, осуществляющему трансграничную передачу персональных данных, необходимо руководствоваться законодательством Российской Федерации в области защиты прав субъектов персональных данных.

В соответствии с Федеральным законом от 27 декабря 2002 г. №184 «О техническом регулировании» объектом обязательного подтверждения соответствия может быть только продукция, выпускаемая в обращение на территории Российской Федерации. Так как все технические средства информационных систем в описанном случае расположены за пределами Российской Федерации, при решении вопросов обеспечения безопасности информационных систем обрабатывающих персональные данные необходимо руководствоваться законодательством иностранного государства, на территорию которого осуществляется передача персональных данных, а также международными нормативными актами, в том числе Конвенцией о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. ETS №108.

Данные (технические) вопросы рекомендуется закрепить в соглашении об уровне предоставления услуг (Service Level Agreement) с центром обработки данных, обеспечив на предприятии (на территории РФ) законность и порядок непосредственно процесса обработки персональных данных в соответствии с требованиями законодательства Российской Федерации в области защиты прав субъектов персональных данных. Кроме того, нельзя забывать об обеспечении безопасности рабочих мест на территории РФ, на которых осуществляются операции экспорта/импорта персональных данных, также требующих защиты.

Если ИТ-инфраструктура находится в России, но сопровождают системы безопасности специалисты из Европы. Такие варианты вообще как-то «легализуются» в соответствии с Законом о персональных данных?

Следуя ч. 4 ст. 6 ФЗ от 27.07.2006 г. №152 «О персональных данных» необходимо с соответствующей организацией, сопровождающей информационные системы (независимо от ее месторасположения), заключить соответствующий договор или соглашение об уровне предоставляемых услуг (Service Level Agreement), в котором оговорить обязанность обеспечения данной организацией конфиденциальности и безопасности ПДн при сопровождении системы.