Информационных системах персональных данных что это
Персональные данные (Классификация ИСПДн)
Как же классифицировать специальную ИСПДн?
Если в Вашей ИСПДн содержатся персональные данные, касающиеся расовой, национальной принадлежности,
политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, то тут все просто:
класс вашей системы К1. И не важно, 10 это записей или 100 000. Далее Вы или защищаете систему по К1 в соответствии с требованиями приказа ФСТЭК №58, или понижаете класс, ну например, путем обезличивания таких данных.
Теперь представим себе некую ИСПДн, которую нам необходимо классифицировать. Пусть это будет большое предприятие, которое оказывает услуги своим Клиентам.
Исходные данные нашей системы:
1. Объем персональных данных — более 100 000.
2. Категория персональных данных — 2( т.е. это персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию).
3. Структура информационной системы — распределенная;
4. Наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена — есть;
5. Режим обработки персональных данных — многопользовательский;
6. Режим разграничения прав доступа пользователей информационной системы — с разграничением прав доступа;
7. Местонахождение технических средств информационной системы — в пределах Российской Федерации.
Но классифицировать такую систему по табличке из приказа № 55\86\20 мы не можем, т.к. «По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов». Не расстраиваемся, читаем приказ дальше и видим такой пункт:
16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
Поэтому, проанализировав исходные данные, состав обрабатываемых ПДн, определив структуру ИСПДн и технологические процессы, мы можем придти к обоснованному выводу, что негативные последствия может нанести нарушение конфиденциальности сведений (например распространение сведений об ивалидности сотрудника). Реализация всех остальных угроз приведут к незначительным негативным последствиям, потому как приняты (или будут приняты в дальнейшем в ходе создания системы защиты ИСПДн) достаточные технические меры защиты для их нейтрализации. Отразив эти сведения в модели угроз, специальная ИСПДн с указанными характеристиками может быть преспокойно классифицирована нами как К2.
Персональные данные (Краткий FAQ)
Что такое персональные данные?
Что такое оператор и субъект персональных данных?
Как классифицировать информационную систему персональных данных?
Судный день отсрочен до 1 января 2011 года
ДОПОЛНЕНИЕ :
Но как всегда случается, операторы персональных данных особо не шевелились, и мало кто успел сделать все, что требуется. 16 декабря 2009 г. Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год – до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.
Обязательные требования по защите информационных систем персональных данных
Основные обязательные требования к организации системы защиты информации в зависимости от класса типовой ИСПДн:
Для ИСПДн класса 4:
Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)
Для ИСПДн класса 3:
• декларирование соответствия или обязательная аттестация по требованиям безопасности информации
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (для распределенных систем ИСПДн К3)
Для ИСПДн класса 2:
• обязательная аттестация по требованиям безопасности информации
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем
Для ИСПДн класса 1:
• обязательная аттестация по требованиям безопасности информации
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации
Порядок действий по защите информационной системы персональных данных
Последовательность действий при выполнении требований законодательства по обработке персональных данных:
1) Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации;
2) Предпроектное обследование информационной системы — сбор исходных данных;
3) Классификация системы обработки персональных данных;
4) Построение частной модели угроз с целью определения их актуальности для информационной системы;
5) Разработка частного технического задания на систему защиты персональных данных;
6) Проектирование системы защиты персональных данных;
7) Реализация и внедрение системы защиты персональных данных;
8) Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований;
9) Аттестация (сертификация) по требованиям безопасности информации;
10) Повышение квалификации сотрудников в области защиты персональных данных;
11) Сопровождение (аутсорсинг) системы защиты персональных данных.
Когда аттестация и сертификация обязательна?
Аттестация информационных систем по требованиям безопасности информации обязательна:
— для ИСПДн, в случае отнесения персональных данных к государственному информационному ресурсу (см.«Специальные требования и рекомендации по технической защите конфиденциальной информации», Гостехкомиссия России, 2001 г.) ;
— в остальных случаях — для ИСПДн 1, 2 и 3 классов.
Для ИСПДн 3 класса по решению оператора процедура обязательной аттестации может быть заменена процедурой декларирования соответствия (см. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», ФСТЭК России, 2008 г., п.3.11). К сожалению, в настоящее время процесс декларации соответствия не регламентирован.
Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия (см. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п.5), включая сертификацию на соответствие требованиям по безопасности информации (см. «Основные мероприятия по организации. », п. 3.3).
При этом, для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение), должна быть проведена в том числе сертификация на отсутствие недекларированных возможностей (см. «Основные мероприятия по организации. », пп. 4.2, 4.3).
Примечание:
1) Операторы ИСПДн при проведении мероприятий по обеспечению безопасности персональных данных (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.
2) Заявители на сертификацию средств защиты информации (разработчики СЗИ, ИСПДн или операторы персональных данных) должны иметь лицензию на осуществление деятельности по разработке и/или производству средств защиты конфиденциальной информации.
ДОПОЛНЕНИЕ :
В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.
Ответственность за нарушения по обработке персональных данных
Лица, виновные в нарушении требований Федерального закона 152-ФЗ «О персональных данных», несут:
— гражданскую,
— уголовную (см. Уголовный кодекс Российской Федерации, ст.137, 140, 155, 183, 272, 273, 274, 292, 293),
— административную (см. Кодекс Российской Федерации об административных правонарушениях, ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2),
— дисциплинарную (см. Трудовой кодекс Российской Федерации, ст.81; ст.90; ст.195; ст.237; ст.391)
и иную предусмотренную законодательством РФ ответственность (см. подзаконные акты по работе с персональными данными, которые издаются в субъектах РФ, ведомствах и организациях).
Аббревиатуры используемые в статье:
ФСТЭК — Федеральная служба по техническому и экспортному контролю.
ПЭМИН — Побочные Электромагнитные Излучения и Наводки
Информационные системы персональных данных
«Бюджетные организации: бухгалтерский учет и налогообложение», 2009, N 12
Федеральный закон от 27.07.2006 N 152-ФЗ.
Согласно ст. 1 Закона «О персональных данных» настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими и физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
Такое внимание к вопросам автоматизации обработки персональных данных влечет необходимость выполнения специальных норм законодательства, касающихся использования информационных технологий. При этом нужно внимательно изучить нормативно-правовую базу, которая в настоящее время может толковаться весьма неоднозначно, особенно в части предъявления требований к информационным системам.
Понятие «информационная система» в действующем законодательстве
Федеральный закон от 27.07.2006 N 149-ФЗ.
Однако в ст. 3 Закона «О персональных данных» приведено более широкое определение информационной системы: это совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Разберем составляющие этого определения, дефиниции которых можно найти в Федеральном законе «Об информации, информационных технологиях и защите информации», других законах и в нормативных актах Правительства РФ.
Под базой данных понимается совокупность организованных взаимосвязанных данных на машиночитаемых носителях (Временное положение о государственном учете и регистрации баз и банков данных ). Однако в части четвертой ГК РФ (абз. 2 п. 2 ст. 1260) дано более развернутое определение базы данных: это представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ).
Утверждено Постановлением Правительства РФ от 28.02.1996 N 226.
Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и тому подобное), средства защиты информации, применяемые в информационных системах (Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных ).
Утверждено Постановлением Правительства РФ от 17.11.2007 N 781.
Таким образом, в состав технических средств входят и копировальные устройства, и программное обеспечение, однако ключевым в определении информационной системы персональных данных является понятие «база данных». Из этого определения следует, что обработка базы данных осуществляется с помощью компьютера (носители должны быть машиночитаемыми). Если же обработка ведется без использования компьютера и базы данных (машиночитаемых носителей), то формально информационная система отсутствует. Кроме того, без технических средств, позволяющих осуществлять обработку персональных данных, база данных также не может быть признана информационной системой. К тому же информационные системы не просто являются совокупностью компьютерной техники и неких программ, обрабатывающих информацию из баз данных, они могут использовать при этом средства автоматизации, а могут их и не использовать.
Что понимается под средствами автоматизации?
Существует точка зрения, согласно которой под использованием средств автоматизации подразумевается любая компьютерная обработка или обработка с помощью электронных устройств. Если база данных хранится в компьютере (например, в электронной таблице или бухгалтерской программе) или, например, в записной книжке сотового телефона, то это уже является автоматизированной обработкой персональных данных и подлежит уведомлению Роскомнадзора. Кроме того, некоторые специалисты полагают, что обработка без использования средств автоматизации может вестись лишь на бумаге (в журналах, заполняемых от руки, в рукописных списках).
По мнению автора, данная точка зрения ошибочна и не соответствует действующей в России нормативно-правовой базе.
В соответствии с ч. 3 ст. 4 Закона «О персональных данных» особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
Обратим особое внимание на то, что согласно п. 2 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что они содержатся в информационной системе либо были извлечены из нее.
Таким образом, можно констатировать, что с точки зрения определений, имеющихся в действующем законодательстве, подавляющее большинство информационных систем в государственных и муниципальных учреждениях формально можно рассматривать как осуществляемые без использования средств автоматизации (включая значительную часть бухгалтерского программного обеспечения). Ведь все лицевые карточки в этих системах правятся в соответствующих окнах вручную. Для уничтожения лицевых карточек также необходимо их выделение в списке оператором и нажатие специальной клавиши для удаления данных. Даже архивация осуществляется специальной программой, которая запускается человеком.
А вот различные программы, позволяющие переформатировать данные (в том числе из формата бухгалтерской программы в формат, например, программы Пенсионного фонда) и осуществляющие их автоматический ввод и дальнейшую передачу без обращения к каждой конкретной записи о работнике, могут быть отнесены к автоматизированной обработке данных. При этом обработка персональных данных (включая фамилию, имя, отчество, номер пенсионного свидетельства и тому подобное) является неотъемлемой частью таких программ.
В то же время если передача данных в другие программы (в том числе для целей налогового учета) производится не полностью автоматически, а с помощью человека, участвующего в обработке персональных данных, то такую обработку также нельзя признать автоматизированной.
В этой связи рекомендации Рособразования, изложенные в Письме от 29.07.2009 N 17-110 «Об обеспечении защиты персональных данных», имеют довольно ограниченное применение на практике. В целях автоматизации обработки персональных данных в анкетах Рособразованием рекомендуется дополнительно указывать внутренний идентификационный номер (личный код) субъекта персональных данных, присваиваемый на весь период обучения или работы. Это позволяет обезличить базы данных, если в них не содержатся иные персональные данные, и существенно сократить затраты на защиту информации.
Однако для автоматизации управленческой деятельности в государственном или муниципальном учреждении необходимы как минимум фамилии, имена, отчества сотрудников, обучающихся, студентов и так далее, а также ряд других персональных данных (для сотрудников, например, информация об их доходах в целях бухгалтерского и налогового учета). Обращение же к личным кодам, содержащимся в листочках (анкетах), при остальной обработке данных с помощью программного обеспечения будет выглядеть по крайней мере странно, снижая эффективность внедрения современных информационных технологий. При этом в зависимости от формы используемых анкет их можно будет признать частью информационной системы (как являющихся составной частью базы данных), что полностью лишит смысла дополнительную кодировку (такая кодировка требуется в случае целесообразности обезличивания данных, например для проведения статистических исследований).
Обработка персональных данных без использования средств автоматизации
Утверждено Постановлением Правительства РФ от 15.09.2008 N 687.
Лица, проводящие такую обработку (в том числе сотрудники организации-оператора или лица, работающие по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации и локальными актами образовательного учреждения.
Содержание Положения свидетельствует, что оно ориентировано прежде всего на обработку персональных данных без использования компьютера, хотя из п. п. 1 и 2 явно следует, что возможна и неавтоматизированная обработка с использованием программного обеспечения.
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).
При этом не допускается фиксация персональных данных на одном материальном носителе, если цели их обработки заведомо несовместимы. В этом случае для каждой категории персональных данных должен использоваться отдельный материальный носитель.
И следовательно, обработка должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных были:
Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются образовательным учреждением в соответствии с требованиями, предъявляемыми нормативными правовыми актами по защите персональных данных.
При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если он не позволяет осуществлять их обработку отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки, в частности:
Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
Обработка персональных данных с использованием средств автоматизации
Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств.
Как следует из п. 1 данного Положения, под термином «информационные системы» понимаются только информационные системы, позволяющие осуществлять обработку персональных данных с использованием средств автоматизации, поэтому на информационные системы, в которых обработка данных осуществляется без использования средств автоматизации, требования этого Положения не распространяются.
Если в государственном или муниципальном учреждении производится автоматизированная обработка персональных данных, то необходимо выполнять следующие требования.
Согласно Положению об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных безопасность персональных данных достигается:
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей:
Средства защиты информации включают в себя:
Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления данных по этим запросам должны регистрироваться автоматизированными средствами информационной системы в электронном журнале обращений. При этом содержание электронного журнала обращений должно периодически проверяться соответствующими должностными лицами (работниками) оператора или уполномоченного лица.
При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления и устранения причин нарушений.
Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством РФ требованиям, обеспечивающим защиту информации. При этом методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю (ФСТЭК) и Федеральной службой безопасности (ФСБ) в пределах их полномочий.
Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом. Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность и безопасность персональных данных при их обработке в информационной системе.
Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.
При этом информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных, в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.
Кроме того, обозначены требования к помещениям и их охране. Согласно п. 8 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) учет лиц, допущенных к работе с персональными данными в информационной системе;
з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут повлечь нарушение конфиденциальности персональных данных или другие нарушения, приводящие к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
к) описание системы защиты персональных данных.
Лица, которые имеют доступ к информационным базам с персональными данными, подписывают обязательства о неразглашении конфиденциальных сведений (такое обязательство может быть включено и в трудовой договор). Только после этого образовательное учреждение допускает их к обработке персональных данных.
При обработке персональных данных в информационной системе образовательным учреждением должно быть обеспечено:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности персональных данных.
Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности персональных данных.
Следует также обратить особое внимание на то, что согласно п. 17 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков.
Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.
Классификация информационных систем персональных данных
Установлены следующие четыре категории персональных данных:
В любом вузе на общедоступных стендах можно встретить различные списки студентов, включающие в себя сочетание Ф.И.О. студента, курса, группы, которые позволяют однозначно определить студента. В результате такая комбинация персональных данных заставляет отнести их к персональным данным третьей категории; на размещение этих данных в общедоступном месте формально требуется согласие студента.
Личная карточка работника (ф. Т-2), личное дело учащегося (студента) относятся ко второй категории, так как это персональные данные, позволяющие не только идентифицировать субъекта персональных данных, но и получить о нем дополнительную информацию.
Информационные системы персональных данных подразделяются на типовые и специальные. К типовым относятся системы, в которых требуется обеспечить только конфиденциальность персональных данных. Все остальные системы относятся к специальным.
К специальным информационным системам также должны быть отнесены:
Исходя из приведенной классификации, можно констатировать, что любые медицинские данные, а также кадровый учет, содержащий графу «национальность» (а таковы почти все действующие анкеты и личные листки по учету кадров, используемые в настоящее время), необходимо относить к первой категории.
По результатам анализа имеющихся данных типовой информационной системе присваивается один из четырех классов, указанных в Порядке проведения классификации информационных систем персональных данных.
Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных по результатам анализа исходных данных в соответствии с методическими документами ФСТЭК.
ФСТЭК издала следующие документы ДСП, которые можно получить, только обратившись в этот орган:
В этих методических документах содержатся многочисленные требования, выполнить которые для большинства государственных или муниципальных учреждений крайне сложно по причинам как организационного, так и финансового характера.
Декларирование, сертификация (аттестация) и лицензирование деятельности по защите персональных данных
В перечисленных выше методических документах ФСТЭК устанавливается следующий порядок оценки соответствия степени защищенности информационных систем требованиям безопасности:
Декларирование соответствия может осуществляться на основе собственных доказательств или доказательств, полученных с участием привлеченных организаций, имеющих необходимые лицензии. Перечень органов (организаций) по аттестации системы сертификации средств защиты информации по требованиям безопасности информации, в которые могут обращаться образовательные учреждения и органы управления образованием, не имеющие необходимых специалистов и лицензий, а также Государственный реестр сертифицированных средств защиты информации размещены на сайте ФСТЭК. Стоимость проведения таких процедур достаточно велика и измеряется сотнями тысяч рублей.
В случае проведения декларирования на основе собственных доказательств оператор самостоятельно формирует комплект документов, таких как: техническая документация, другие документы и результаты собственных исследований, послужившие мотивированным основанием для подтверждения соответствия информационной системы персональных данных всем необходимым требованиям, предъявляемым к третьему классу.
Аттестационные (сертификационные) испытания проводятся организациями, имеющими необходимые лицензии ФСТЭК. При этом под аттестацией понимают комплекс мер, позволяющих привести информационную систему в соответствие с требованиями по безопасности информации к заявленному классу, изложенными в нормативно-методических документах ФСТЭК.
Аттестационные (сертификационные) испытания содержат в себе анализ уже имеющихся на объекте информационных систем персональных данных, а также вновь принятых решений по обеспечению безопасности информации и включают проверку:
По результатам аттестационных испытаний принимается решение о выдаче аттестата соответствия информационной системы заявленному классу по требованиям безопасности информации. Аттестат выдается сроком на три года.
В методических документах ФСТЭК установлены также дополнительные требования по наличию лицензий на ведение деятельности по защите персональных данных. Без наличия соответствующих лицензий проведение подобных мероприятий возможно только для информационных систем третьего и четвертого класса.
Для проведения мероприятий по обеспечению безопасности персональных данных для специальных информационных систем, систем первого и второго класса и распределенных (в том числе подключенных к сети Интернет) систем третьего класса операторы обязаны в установленном порядке получить лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации.
Законность требований проведения процедур декларирования, сертификации (аттестации) и лицензирования государственными и муниципальными учреждениями на основании методических документов ФСТЭК вызывает большие сомнения.
Во-первых, документами ДСП, не опубликованными в установленном порядке, не могут быть установлены обязанности для организаций, тем более влекущие за собой значительные финансовые затраты.
Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти (п. 1.2) относит к служебной информации ограниченного распространения несекретную информацию, касающуюся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью. Установление обязанностей по лицензированию деятельности организаций никак не может быть признано информацией ДСП.
Утверждено Постановлением Правительства РФ от 03.11.1994 N 1233.
Федеральный закон от 08.08.2001 N 128-ФЗ.
Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных определяет лишь, что:
Во-вторых, методические документы носят рекомендательный характер и, не являясь нормативными правовыми актами, не могут устанавливать обязательных для выполнения норм права.
В соответствии с ч. 3 ст. 15 Конституции РФ все законы, а также любые нормативные акты, затрагивающие права, свободы и обязанности человека и гражданина, должны быть официально опубликованы для всеобщего сведения, то есть обнародованы. Неопубликованные нормативные правовые акты не применяются, не влекут правовых последствий как не вступившие в силу.
С 15 мая 1992 г. Постановлением Правительства РФ от 08.05.1992 N 305 «О государственной регистрации ведомственных нормативных актов» была введена государственная регистрация нормативных актов министерств и ведомств, затрагивающих права и интересы граждан и носящих межведомственный характер.
Указ Президента РФ от 23.05.1996 N 763 «О порядке опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти».
Постановление Правительства РФ от 13.08.1997 N 1009 «Об утверждении Правил подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации».
Согласно п. 10 Правил подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации государственной регистрации подлежат нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, устанавливающие правовой статус организаций, имеющие межведомственный характер, независимо от срока их действия, в том числе акты, содержащие сведения, составляющие государственную тайну, или сведения конфиденциального характера.
Государственная регистрация нормативных правовых актов осуществляется Минюстом, который ведет Государственный реестр нормативных правовых актов федеральных органов исполнительной власти.
Государственная регистрация нормативного правового акта включает в себя:
Нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, устанавливающие правовой статус организаций или имеющие межведомственный характер, подлежат официальному опубликованию в установленном порядке, кроме актов или отдельных их положений, содержащих сведения, составляющие государственную тайну, или сведения конфиденциального характера,
Акт, признанный Минюстом не нуждающимся в государственной регистрации, подлежит опубликованию в порядке, определяемом федеральным органом исполнительной власти, утвердившим акт. При этом порядок вступления данного акта в силу также определяется федеральным органом исполнительной власти, издавшим его.
Поэтому, по мнению автора, государственные и муниципальные учреждения, осуществляющие автоматизированную обработку персональных данных, в случае предъявления требований о получении лицензий, проведении декларирования или сертификации (аттестации) могут обжаловать такие требования в судебном порядке (особенно если используемые средства защиты персональных данных уже были сертифицированы их производителем).