Законодательная и нормативно-правовая база в области обеспечения безопасности персональных данных

Руководитель проектовЗАО «Калуга Астрал»Кухтинов Алексей Анатольевич+79092517676alex@astralnalog.ru

Конституция РФ, Статья 23Конституция РФ, Статья 231. Каждый имеет право на неприкосновенность частной жизни, личную и 1. Каждый имеет право на неприкосновенность частной жизни, личную и

семейную тайну, защиту своей чести и доброго имени.семейную тайну, защиту своей чести и доброго имени.Конституция РФ, Статья 24Конституция РФ, Статья 24

1. Сбор, хранение, использование и распространение информации о частной 1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.жизни лица без его согласия не допускаются.

Выделение категории «персональные данные» из более общей категории «частная жизнь», связано прежде всего с распространением автоматизированных систем обработки и хранения информации, в первую очередь компьютерных баз данных, к которым возможен несанкционированный доступ. Именно эти системы, по сути, сделавшие революцию в вопросах структурирования, хранения и поиска необходимых данных, создали предпосылки для возникновения проблемы защиты сведений персонального характера-персональных данных с целью защиты прав и свобод граждан.

ПРОЛОГ

ЗАКОНОДАТЕЛЬНО-НОРМАТИВНАЯ БАЗА

НОРМАТИВНАЯ БАЗА ПО ЗАЩИТЕ ПДн ПРИ ИСПОЛЬЗОВАНИИ СРЕДСТВ АВТОМАТИЗАЦИИ

1. Федеральный закон 2006 г. № 149-ФЗ «Об информации,информатизации и защите информации».

2. Федеральный закон 2006 г. № 152-ФЗ «О персональных данных».

3. Постановление Правительства РФ от 17 ноября 2007 г.№781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

4. Постановление Правительства РФ от 15 сентября 2008 г.№ 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

5. Постановление Правительства РФ от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем

персональных данных».

6. Документы уполномоченных федеральных органов.

ДОКУМЕНТЫ УПОЛНОМОЧЕННЫХ ФЕДЕРАЛЬНЫХ ОРГАНОВ

1. Порядок проведения классификации информационных систем персональных 1. Порядок проведения классификации информационных систем персональных данных. Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России данных. Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. №55/86/20. Зарегестрирован в Минюсте России 3 апреля 2008 от 13 февраля 2008 г. №55/86/20. Зарегестрирован в Минюсте России 3 апреля 2008 года, регистрационный №11462.года, регистрационный №11462.

ФСТЭК России• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г. ДСП.

•Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.Утверждена заместителем директора ФСТЭК России 14 февраля 2008 г. ДСП.

•Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждены заместителем директора ФСТЭК России 15 февраля 2008 г. ДСП.

•Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. Утверждены заместителем директора ФСТЭК России 15 февраля 2008 г. ДСП.

Пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г .

(конечно, ФСТЭК убрал раздел с утечками информации по каналам побочных электромагнитных излучений и наводок из базовой модели угроз). www.fstec.ru

ФСБ России

• Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств,предназначенных для защиты информации, не содержащей сведений,составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. № 149/6/6-622, 2008 г.,ФСБ России.

• Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. № 149/54-144, 2008 г. ФСБ России.

ДОКУМЕНТЫ УПОЛНОМОЧЕННЫХ ФЕДЕРАЛЬНЫХ ОРГАНОВ

www.fsb.ru

НАЗНАЧЕНИЕ И ОБЛАСТЬ ПРИМЕНЕНИЯ НАЗНАЧЕНИЕ И ОБЛАСТЬ ПРИМЕНЕНИЯ ДОКУМЕНТОВ УПОЛНОМОЧЕННЫХДОКУМЕНТОВ УПОЛНОМОЧЕННЫХ

ФЕДЕРАЛЬНЫХ ОРГАНОВ ФЕДЕРАЛЬНЫХ ОРГАНОВ

Документы предназначены для использования при обеспечении безопасности ПДн в ИС:

-государственных и муниципальных органов власти;

-юридических лиц (независимо от формы их собственности);

- физических лиц (кроме случаев использования ИС только для личных и семейных нужд).

ОСНОВНЫЕ ПОЛОЖЕНИЯ ФЗ 2006 г. ОСНОВНЫЕ ПОЛОЖЕНИЯ ФЗ 2006 г. №152 «О ПЕРСОНАЛЬНЫХ ДАННЫХ»№152 «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

1. Федеральным законом регулируются отношения, связанные с обработкой ПДн, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка ПДн без использования таких средств соответствует характеру действий (операций), совершаемых с ПДн с использованием средств автоматизации.

2. Действие Федерального закона не распространяется на отношения, возникающие при: 1) обработке ПДн физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов ПДн; 2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ других архивных документов в соответствии с законодательством об архивном деле в РФ; 3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством РФ в связи с деятельносью физического лица в качестве индивидуального предпринимателя; 4) обработка ПД, отнесеных в установленном порядке к сведениям, составляющим государственную тайну.

1. Сфера действия 1. Сфера действия (ст.1)(ст.1)

ОСНОВНЫЕ ПОНЯТИЯ

ОСНОВНЫЕ ПОНЯТИЯ

1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другаяинформация.2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование,уничтожение персональных данных.

Цель Федерального закона «О персональных данных» (ст.2)

Целью Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав

на неприкосновенность частной жизни, личную и семейную тайну.

1. Обработка ПДн может осуществляться оператором с согласия субъетов ПДн, за исключение случаев, предусмотренных частью 2 настоящей статьи.

2. Согласие субъекта ПДн, не требуется в следующих случаях: 1) обработка ПДн осуществляется на основнии федерального закона, устанавливающего

ее цель, условия получения ПДн и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка ПДн осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка ПДн осуществляется для статических или иных научных целей при условии обязательного обезналичивания ПДн;

4) обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

5) обработка ПДн необходима для достаки почтовых отправлений организациям почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка ПДн осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПДн;

7) осуществляется обработка ПДн, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПДн лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Условия обработки персональных данных (ст.6)

Уведомление об обработке Уведомление об обработке персональных данных (ст.22)персональных данных (ст.22)

1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 статьи 7.

2. Обеспечение конфиденциальности персональныхданных не требуется:1) в случае обезличивания персональных данных;2) в отношении общедоступных персональных данных.

Оператор до начала обработки ПДн обязан уведомить уполномоченный органпо защите прав субъектов ПДн о своем намерении осуществлять обработку

ПДн, за исключением случаев, предусмотренных частью 2 настоящей статьи. (Ст22).

Форма уведомления о намерении оператором обрабатывать персональные данныеустановлена приказом Федеральной службы по надзору в сфере связи и

массовых коммуникаций (Россвязькомнадзор) №8 от 17 июля 2008 г.

www.pd.rsoc.ru www.rsoc.ru

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъекта ПДн обработку ПДн:

1) относящихся к субъектам ПДн, которых связывают с оператором трудовые отношения; 2) полученных оператором в связи с заключением договора, стороной которого является субъект ПДн, если ПДн не распространяются, а также не предоставляются третьими лицами без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн; 3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединениям или религиозной организацией, действующими в соответствии с законодательством Россиийской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что ПДн не будут распространяться без согласия в письменной форме субъектов ПДн; 4) являющихся общедоступными ПДн; 5) включающих в себя только фамилии, имена и отчества субъектов ПДн; 6) необходимых в целях однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях; 7) включенных в информационные системы ПДн, имеющие в соответствии с ФЗ статус федеральных автоматизированных ИС, также в государственные ИСПДн, созданные в целях защиты безопасности государства и общественного порядка; 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности ПДн при их обработке и к соблюдению прав субъектов персональных данных.

Уведомление об обработке Уведомление об обработке персональных данных (ст.22)персональных данных (ст.22)

Уполномоченный орган

В настоящее время Уполномоченным органом по защите прав субъектов персональных В настоящее время Уполномоченным органом по защите прав субъектов персональных данных,данных, назначаемым в соответствии со ст.23 ФЗ «О персональных данных», является назначаемым в соответствии со ст.23 ФЗ «О персональных данных», является Федеральная служба по надзору в сфере связи, информационных технологий и массовых Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), преобразованная из Федеральной службы по надзору в сфере коммуникаций (Роскомнадзор), преобразованная из Федеральной службы по надзору в сфере связи массовых коммуникаций в соответствии с указом Президента РФ от 3 декабря 2008 года связи массовых коммуникаций в соответствии с указом Президента РФ от 3 декабря 2008 года №1715№1715

Уполномоченный орган по защите прав субъектов персональных данных имеет право:

1) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

2) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

3) обращаться в суд с исковыми заявлениями в защиту прав субъектов ПДн и представлять интересы субъектов персональных данных в суде;

4) направлять заявление в орган, осуществляющий лицензированиедеятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством РФ порядке;

5) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектовперсональных данных, в соответствии с подведомственностью;

6) привлекать к административной ответственности лиц, виновных внарушении Федерального закона.

ПОЛОЖЕИЕ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПОЛОЖЕИЕ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В

ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХДАННЫХ

(Постановление Правительства РФ от 17 ноября 2007 г. №781)(Постановление Правительства РФ от 17 ноября 2007 г. №781)

Документ устанавливает требования к обеспечению безопасности ПДн при их обработке в ИСПДн.

ПОЛОЖЕНИЕ ОБ ОСОБЕННОСТЯХ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ

ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ(Постановление Правительства РФ от 15.9.2008 г. №687)

Устанавливает особенности обработки ПДн, осуществляемой без использования средств автоматизации.

ТРЕБОВАНИЯ К МАТЕРИАЛЬНЫМ НОСИТЕЛЯМ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ И ТЕХНОЛОГИЯМ ХРАНЕНИЯ ТАКИХ ДАННЫХ ВНЕ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ

ДАННЫХ(Постановление Правительства РФ от 6.7.2008 г. №512)

Документ устанавливает требования при использовании материалных носителей (машиночитаемых носителей

информации), на которые осуществляется запись биометрических персональных данных, а также при хранении биометрических персональных данных вне информационных

систем персональных данных

БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПД ПРИ БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПД ПРИ ИХ ОБРАБОТКЕ В ИСИХ ОБРАБОТКЕ В ИС

(ФСТЭК России)(ФСТЭК России)

- Содержит общее системное изложение вероятных угроз безопасности ПД при их обработке в ИС.

- Предназначена для использования при разработке моделей угроз для конкретных ИС ПД.

МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ МЕТОДИКА ОПРЕДЕЛЕНИЯ УГРОЗ БЕЗОПАСНОСТИ ПД ПРИ ИХ ОБРАБОТКЕ В ИСПД ПРИ ИХ ОБРАБОТКЕ В ИС

(ФСТЭК России)(ФСТЭК России)

- Определяет порядок моделирования угроз безопасности ПДн при их обработке в ИСПДн и выявления актуальных угроз (на основе экспертного анализа)

- Результаты моделирования служат для формирования обоснованных требований по защите ПДн при их обработке в ИСПДн

ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ОРГАНИЗАЦИИ ИТЕХНИЧЕСКОМУ ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПД,

ОБРАБАТЫВАЕМЫХ В ИС (ФСТЭК России)

Документ определяет мероприятия по организации и техническому обеспечению безопасности персональных (не криптографическими методами) при их обработке в ИСПДн в зависимости от классаИСПДн

РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮБЕЗОПАСНОСТИ ПД ПРИ ИХ ОБРАБОТКЕ В

ИСПДн (ФСТЭК России)

В документе приведены рекомендации и разъяснения требований по вопросам обеспечения безопасности ПДн, оценкиактуальности угроз безопасности ПДн,применения способов, мер и средств защиты ПДн.

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ С ПОМОЩЬЮ КРИПТОСРЕДСТВ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХОБРАБОТКЕ В ИНФОРМАЦИОНН ЫХ СИСТЕМАХ

ПЕРСОНАЛЬНЫХ ДАННЫХ С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ АВТОМАТИЗАЦИИ (ФСБ России)

Документ предназначен для операторов и разработчиков информационных систем персональных данных и определяет

(в случае обеспечения с помощью криптосредств безопасности персональных данных):

• порядок формирования модели угроз безопасности персональных данных;• порядок формирования модели нарушителя;• порядок определения на основе построенной модели нарушителя требуемого уровня криптографической защиты ПДн и, как следствие, определения требуемого класса защиты применяемого криптосредства;• требования к контролю встраивания криптосредств.

РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮБЕЗОПАСНОСТИ ПД ПРИ ИХ ОБРАБОТКЕ В

ИСПДн (ФСТЭК России)

В документе приведены рекомендации и разъяснения требований по вопросам обеспечения безопасности ПДн, оценкиактуальности угроз безопасности ПДн,применения способов, мер и средств защиты ПДн.

ТИПОВЫЕ ТРЕБОВАНИЯ ПО ОРГАНИЗАЦИИ И ОБЕСПЕЧЕНИЮ ФУНКЦИОНИРОВАНИЯ ШИФРОВАЛЬНЫХ

(КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ, ПРЕДНАЗНАЧЕННЫХ ДЛЯ ЗАЩИТЫ ИНФОРМАЦИИ, НЕ СОДЕРЖАЩЕЙ СВЕДЕНИЙ,

СОСТАВЛЯЮЩИХ ГОСУДАРСТВЕННУЮ ТАЙНУ, В СЛУЧАЕ ИХИСПОЛЬЗОВАНИЯ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

ПДн ПРИ ИХ ОБРАБОТКЕ В ИСПДн (ФСБ России)

Документ определяет порядок организации и обеспечения функционирования шифровальных (криптографических) средств, в том числе:

•организационно-технические меры при развертывании и эксплуатации информационных систем;• порядок обращения с криптосредствами и криптоключами к ним;• мероприятия при компрометации криптоключей;• порядок размещения, специального оборудования, охраны и организации режима в помещениях, где установлены криптосредства или хранятся ключевые документы к ним.

Регуляторы

Сроки реализации требований Федерального закона «О персональных данных» (ст. 25)

После дня вступления в силу Федерального закона (27.01.2007) обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с Федеральным законом.

Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона, должны быть приведены в соответствие с требованиями

настоящего Федерального закона не позднее 1 января 2011 года.

ОБЯЗАННОСТИ ОПЕРАТОРОВ

• провести инвентаризацию ИР, обрабатываемых в ИС и определить перечень обрабатываемых ПДн;

• урегулировать правовые вопросы обработки (использования) ПДн (уточнение правовых оснований

• обработки ПДн, получение согласия субъектов на обработку, пересмотр (при необходимости) договоров с субъектами, установление сроков обработки ПДн и др.);

• оформить и направить в территориальный орган уполномоченного органа по защите прав субъектов ПДн уведомление об обработке ПДн (при необходимости);

• разработать модель угроз (на основании результатов обследования ИСПДн);

• провести классификацию с оформлением акта

ОБЯЗАННОСТИ ОПЕРАТОРОВ

получить при необходимости (для операторов ИСПДн 1 и 2 класса) лицензию на деятельность по ТЗИ (согласно постановлению Правительства РФ 2006 г. № 504);

определить требования по защите ПДн при их обработке вИСПДн в соответствии с присвоенным классом и результатами моделирования угроз;

осуществить проектирование Системы защиты персональных данных (СЗПДн);

реализовать проект на создание СЗПДн;

провести оценку соответствия ИСПДн требованиям безопасности согласно присвоенному классу;

организовать эксплуатацию ИСПДн в соответствии с требованиями безопасности и контроль соблюдения использования СЗИ.

29 декабря опубликован и вступил в силу Федеральный закон РФ от 27.12.2009 г. № 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных».

Срок для приведения информационных систем персональных данных в соответствие с Законом о защите персональных данных перенесен с 2010 на 2011 год.

Перенос сроков связан с существенным увеличением затрат на приведение информационных систем в соответствие с требованиями по безопасности персональных данных, и особенно – затрат на поддержание таких систем, которые сложно осуществимы в условиях финансового кризиса. Следствием этого могло бы стать массовое несоответствие хозяйствующих субъектов требованиям Федерального закона, при том, что с начала 2010 года государственные регуляторы были бы вправе осуществлять проверки исполнения требований закона в отношении информационных систем персональных данных и привлекать к ответственности нарушителей.

Исключено также требование, согласно которому при обработке персональных данных необходимо использовать шифровальные (криптографические) средства. При определенных способах обработки (например, неавтоматическая) защита персональных данных возможна и без указанных средств.

Обработка ПДн, содержащихся в ИСПДн либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн вотношении каждого из субъектов ПДн, осуществляются при непосредственном участии человека.

www. genproc.gov.ru

КОНТАКТЫ

ЗАО «Калуга Астрал»г. Калуга, пер. Теренинский,6, г. Москва, Плеханова, 7тел. (4842) 788999, 57-74-61, 57-74-62,56-42-62, 57-42-62, 56-39-90 www.astralnalog.rue-mail: astral@kaluga.ru

Кухтинов Алексей АнатольевичРуководитель проектов+7 909 251 76 76?