Ростелеком ТВ 

Закрыть документ горячие клавиши. Сочетание клавиш для сохранения документа ворд. Предварительный просмотр, печать

Одним из первоочередных мероприятий, которое требуется осуществить при создании информационной системы обработки персональных данных (ИСПДн) является классификация ИСПДн.

Это необходимо для того, чтобы определить класс системы и соответствующие требования, предъявляемые ФСТЭК и ФСБ при обработке персональных данных (ПДн). В этой статья я опишу общую процедуру проведения классификации ИСПДн.

В соответствии с Приказом ФСТЭК/ФСБ/Мининформсвязи от 13.02.2008 № 55/86/20 о «Порядке проведения классификации информационной системы персональных данных», который можно скачать здесь, требуется проведение классификации включает в себя следующие этапы:

  • Сбор и анализ исходных данных по информационной системе;
  • Присвоение информационной системе соответствующего класса и его документальное оформление.

При проведении классификации информационной системы необходимо ответить на следующие вопросы:

  1. 1К какой категории принадлежат персональные данные обрабатываемые в информационной системе – Xпд ?
  2. Какой объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) – Xнпд ?
  3. Какие заданы характеристики безопасности персональных данных, обрабатываемых в информационной системе?
  4. Какая структура информационной системы?
  5. Имеется ли подключение информационной системы к сетям связи общего пользования и/или сети Internet?
  6. Какой режим обработки персональных данных?
  7. Какой режим разграничения прав доступа пользователей информационной системы?
  8. Местонахождение технических средств информационной системы?

Исходные данные и вспомогательная информация

Определяются следующие категории обрабатываемых в информационной системе персональных данных (Xпд):

  1. категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
  2. категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 ;
  3. категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
  4. категория 4 - обезличенные и (или) общедоступные персональные данные.

Xнпд может принимать следующие значения:

  • 1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
  • 2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
  • 3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

Характеристики безопасности персональных данных

Для ИСПДн определяют характеристики безопасности персональных данных, которые делятся на основные и дополнительные:

ОСНОВНЫЕ:

  • конфиденциальность
  • целостность
  • доступность

ДОПОЛНИТЕЛЬНЫЕ:

  • неотказуемость
  • учетность (подконтрольность)
  • аутентичность (достоверность)
  • адекватность

Структура информационной системы подразделяется на:

  • автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
  • комплекс автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
  • комплекс автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

Режим обработки

При организации ИСПДн определяют следующие режимы обработки:

  • однопользовательский ;
  • многопользовательский .

Режим разграничения прав доступа

В ИСПДн система разграничения доступа подразумевается:

  • без разграничения прав доступа;
  • с разграничением прав доступа.

Информационные системы делятся на типовую и специальную .
К типовой информационной системе относятся системы, которые требуют только конфиденциальность ПДн.

К специальной информационной системе относятся системы, которые помимо конфиденциальности требуют:

  • Информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
  • Информационные системы, в которых на основании исключительно автоматизированной обработки персональных данных предусмотрено принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Классификация информационной системы

Согласно Приказа ФСТЭК/ФСБ/Мининформсвязи № 55/86/20, ИСПДн может принимать один из четырех классов, определенных в данном приказе:

  1. класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
  2. класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
  3. класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
  4. класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Акт классификации ИСПДн, как правило, является конфиденциальным документом, и должен иметь гриф конфиденциальности («Конфиденциально», «ДСП», «Коммерческая тайна») и учетный номер.

Для проведения классификации на предприятии должна быть создана комиссия. В состав комиссии обязательно должен входить ответственный за защиту персональных данных. Комиссия должна быть назначена приказом руководителя и осуществлять свою деятельность на основании Положения о комиссии по классификации. По результатам классификации должен быть оформлен акт. Акт классификации ИСПДн должен утверждаться председателем комиссии и подписываться всеми членами комиссии.

Как составить акт классификации ИСПДн

Акт классификации составляется для каждой выявленной ИСПДн. На основании полученных данных каждой ИСПДн определяется необходимый уровень защищенности персональных данных. Это нужно для того, чтобы установить требования для обеспечения защиты информационной системы персональных данных. Определение уровня защищенности персональных данных проводится в соответствии с Постановлением Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

В акте указывается:

  • обрабатываемые в системе персональные данные;
  • объем обрабатываемых персональных данных;
  • тип актуальных угроз для ИСПДн;
  • структура информационной системы;
  • наличие подключений к сетям связи общего пользования и (или) сетям международного информационного обмена;
  • режим обработки персональных данных в системе;
  • разграничение прав доступа пользователей;
  • местонахождение ИСПДн;
  • уровень защищенности ПДн.

В акт классификации ИСПДн могут входить системы, в которых хранятся такие данные:

  • специальные категории персональных данных – сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;
  • биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
  • общедоступные персональные данные – сведения, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных».

Довольно редко встречаются системы, в которых обрабатываются персональные данные 3 категории. Это связано с тем, что для реальных задач нужны не только данные идентифицирующие субъекта (ФИО, паспортные данные), но и дополнительная информация о нем (например, сведения о зарплате).

Наиболее часто встречаются информационные системы, в которых обрабатываются персональные данные 2 категории. Например, системы расчета заработной платы сотрудников.

Объем обрабатываемых ПДн определяет количество субъектов, персональные данные которых обрабатываются в системе. Применяется следующая градация:

  • более чем 100 000 субъектов ПДн;
  • менее чем 100 000 субъектов ПДн.

Виды угроз безопасности персональных данных

Тип актуальных угроз для ИСПДн:

  • угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;
  • угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;
  • угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

По типу информационные системы персональных данных, описываемые в акте классификации ИСПДн, делятся на типовые и специальные. Типовые ИСПДн – информационные системы, в которых требуется обеспечить только конфиденциальность ПДн. Специальные ИСПДн – информационные системы, в которых, кроме конфиденциальности, необходимо обеспечить еще хотя бы одну характеристику безопасности персональных данных (целостность, доступность).

Кроме того, к специальным системам относятся все ИСПДн, обрабатывающие данные о здоровье субъектов, и ИСПДн, в которых предусмотрено принятие решений порождающих для субъекта юридические последствия на основании автоматизированной обработки.

Большинство существующих ИСПДн – специальные. Это связано с тем, что кроме конфиденциальности также важно, чтобы ПДн были всегда доступны для обработки, целостны и достоверны. Для всех специальных систем необходимо разработать «Частную модель актуальных угроз».

Классификация информационных системы персональных данных по структуре:

  • Автономные. Представляет собой одно автоматизированное рабочее место (компьютер).
  • Локальные. Автоматизированные рабочие места (АРМ), объединенные в локальную сетью.
  • Распределенные. Автоматизированные рабочие места или локальные сети, связанные между собой при помощи технологий удаленного доступа.

По режиму обработки персональных данных в системе ИСПДн делятся на однопользовательские и многопользовательские. Однопользовательские системы – большая редкость. Как правило, даже за одним автономным рабочим местом работают минимум два человека (на случай отпусков и болезней).

Классификация многопользовательских ИСПДн делятся на:

  • Без разграничения прав доступа. В таких системах все пользователи имеют доступ ко всей информации.
  • С разграничением прав доступа. Каждый пользователь имеет доступ к строго определенной части информации в системе.

По месту нахождения ИСПДн делятся на.

Информационные системы персональных данных (ИСПДн) используют в своей работе многие предприятия и организации. Давайте разберемся, что это такое, и какие нюансы нужно учитывать тем, кто работает с ИСПДн.

Что такое ИСПДН?

Если говорить просто, информационная система ИСПДн используется для хранения и обработки персональных данных. В ее составе выделяют следующие составляющие:

  • Собственно, совокупность персональных данных, хранящихся в системе, в базе данных.
  • Технические средства, использующиеся для работы с этими данными.
  • Средства автоматизации процессов учета и обработки сведений, хранящихся в ИСПДн (могут быть не во всех системах).

ИСПДН – это серьезно

При использовании рассматриваемых систем важно обеспечить защиту персональных данных от несанкционированного доступа, утери и прочих нештатных ситуаций. Это прописано даже на законодательном уровне. А для того, чтобы принять советующие меры по ограничению доступа к сведениями и по их защите, проводится аудит ИСПДн (подробнее можно узнать, например, у специалистов компании «Rentacloud»: http://rentacloud.su/services/zashchita-personalnykh-dannykh/audit/). По его результатам составляется акт, содержащий следующую информацию:

  • Категория персональных данных, которые хранятся и обрабатываются в обследованной системе.
  • Их класс и тип (об этом — ниже).
  • Параметры и структура исследуемой системы.
  • Объемы ПДн (количество записей и пр.), хранящихся и обрабатываемых в ИСПДн.
  • Сведения о местонахождении системы.
  • Информация о возможности доступа к базе данных посредствам сетей, доступных для общего пользования (ЛВС, интернет и пр.).

Аудит проводится в точном соответствии с совместным документом, подготовленным Министерством связи, ФСТЭК и ФСБ. Он весьма объемный и требует досконального изучения. В связи с этим аудит системы и составление рекомендаций, на которых будет основываться защита ИСПДн, необходимо доверять специалистам. Их услугами можно воспользоваться, например, обратившись в компанию «Rentacloud»: (http://rentacloud.su).

Типы, классы ИСПДн, и что еще нужно знать про такие системы

Информационные системы персональных данных (ПДн) подразделяются на 4 класса и 2 типа. Разделение на классы осуществляется на основе таких признаков, как категория обрабатываемых ПДн, и их объемы.

Классы

Разобраться с этим вам поможет таблица:

Пояснения к таблице.

К категории под номером 4 относятся обезличенные ПДн, по которым невозможно идентифицировать конкретного субъекта (пример – статистические данные). К Кат 3 отнесены ПДн, на основе которых возможна только идентификация человека (встречаются довольно редко). Категория 2 включает данные, на основе которых можно провести идентификацию человека, и получить о нем некоторые дополнительные сведения (пример – системы начисления заработной платы в организациях и на предприятиях). К первой категории отнесены данные, содержащие сведения о национальности, состоянии здоровья и другие социальные сведения, и информация иного характера (пример – базы данных учреждений здравоохранения).

Что касается классов, указанных в таблице, отнесение ИСПДН к ним осуществляется на основе возможного ущерба для субъектов при нарушении условий безопасности:

  • Кл 4. Какие-либо негативные последствия для субъекта исключены.
  • Кл 3. Могут иметь место незначительные негативные последствия.
  • Кл 2. Возникновение таких последствий.
  • Кл 1. Возможны весьма серьезные негативные последствия.

Типы ИСПДн

К первому типу отнесены системы, где функции защиты ИСПДн сводятся только к достижению нужных показателей ее конфиденциальности. Если же, помимо конфиденциальности, есть необходимость обеспечении еще хотя бы одного дополнительного показателя безопасности (аутентичность, доступность, целостность данных и пр.), речь идет о втором типе.

Стоит отметить, что большинство используемых сегодня систем отнесены ко второму типу.

Видно, что разработка ИСПДн, их классификация и обеспечение надежной, эффективной защиты – весьма сложные и многогранные процессы. И чтобы не допустить ошибок, целесообразно доверить это специалистам. Обратиться для этого можно, к примеру, в компанию «Rentacloud», занимающую на этом рынке одну из лидирующих позиций.

"Бюджетные организации: бухгалтерский учет и налогообложение", 2009, N 12

С 1 января 2010 г. информационные системы персональных данных во всех организациях, включая бюджетные учреждения, должны быть приведены в соответствие с требованиями Закона "О персональных данных" <1>. К этому Закону был принят ряд подзаконных нормативных актов, и в результате сейчас существуют различные трактовки обязанностей государственных и муниципальных учреждений в отношении имеющихся в них информационных систем. В настоящей статье проанализированы положения действующего законодательства и выделены требования, обязательные для выполнения.

<1> Федеральный закон от 27.07.2006 N 152-ФЗ.

Согласно ст. 1 Закона "О персональных данных" настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими и физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Такое внимание к вопросам автоматизации обработки персональных данных влечет необходимость выполнения специальных норм законодательства, касающихся использования информационных технологий. При этом нужно внимательно изучить нормативно-правовую базу, которая в настоящее время может толковаться весьма неоднозначно, особенно в части предъявления требований к информационным системам.

Понятие "информационная система" в действующем законодательстве

В соответствии с Федеральным законом "Об информации, информационных технологиях и защите информации" <2> информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Исходя из этого определения, можно сделать вывод о том, что не существуют информационные системы без использования компьютерной техники и соответствующего программного обеспечения.

<2> Федеральный закон от 27.07.2006 N 149-ФЗ.

Однако в ст. 3 Закона "О персональных данных" приведено более широкое определение информационной системы : это совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств .

Разберем составляющие этого определения, дефиниции которых можно найти в Федеральном законе "Об информации, информационных технологиях и защите информации", других законах и в нормативных актах Правительства РФ.

Под базой данных понимается совокупность организованных взаимосвязанных данных на машиночитаемых носителях (Временное положение о государственном учете и регистрации баз и банков данных <3>). Однако в части четвертой ГК РФ (абз. 2 п. 2 ст. 1260) дано более развернутое определение базы данных : это представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ).

<3> Утверждено Постановлением Правительства РФ от 28.02.1996 N 226.

Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов (Федеральный закон "Об информации, информационных технологиях и защите информации").

Под техническими средствами , позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и тому подобное), средства защиты информации, применяемые в информационных системах (Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных <4>).

<4> Утверждено Постановлением Правительства РФ от 17.11.2007 N 781.

Таким образом, в состав технических средств входят и копировальные устройства, и программное обеспечение, однако ключевым в определении информационной системы персональных данных является понятие "база данных". Из этого определения следует, что обработка базы данных осуществляется с помощью компьютера (носители должны быть машиночитаемыми). Если же обработка ведется без использования компьютера и базы данных (машиночитаемых носителей), то формально информационная система отсутствует. Кроме того, без технических средств, позволяющих осуществлять обработку персональных данных, база данных также не может быть признана информационной системой. К тому же информационные системы не просто являются совокупностью компьютерной техники и неких программ, обрабатывающих информацию из баз данных, они могут использовать при этом средства автоматизации, а могут их и не использовать.

Что понимается под средствами автоматизации?

Существует точка зрения, согласно которой под использованием средств автоматизации подразумевается любая компьютерная обработка или обработка с помощью электронных устройств. Если база данных хранится в компьютере (например, в электронной таблице или бухгалтерской программе) или, например, в записной книжке сотового телефона, то это уже является автоматизированной обработкой персональных данных и подлежит уведомлению Роскомнадзора. Кроме того, некоторые специалисты полагают, что обработка без использования средств автоматизации может вестись лишь на бумаге (в журналах, заполняемых от руки, в рукописных списках).

В соответствии с ч. 3 ст. 4 Закона "О персональных данных" особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

Постановлением Правительства РФ от 15.09.2008 N 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Согласно п. 1 указанного Положения обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека .

Обратим особое внимание на то, что согласно п. 2 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что они содержатся в информационной системе либо были извлечены из нее.

Таким образом, можно констатировать, что с точки зрения определений, имеющихся в действующем законодательстве, подавляющее большинство информационных систем в государственных и муниципальных учреждениях формально можно рассматривать как осуществляемые без использования средств автоматизации (включая значительную часть бухгалтерского программного обеспечения). Ведь все лицевые карточки в этих системах правятся в соответствующих окнах вручную. Для уничтожения лицевых карточек также необходимо их выделение в списке оператором и нажатие специальной клавиши для удаления данных. Даже архивация осуществляется специальной программой, которая запускается человеком.

А вот различные программы, позволяющие переформатировать данные (в том числе из формата бухгалтерской программы в формат, например, программы Пенсионного фонда) и осуществляющие их автоматический ввод и дальнейшую передачу без обращения к каждой конкретной записи о работнике, могут быть отнесены к автоматизированной обработке данных. При этом обработка персональных данных (включая фамилию, имя, отчество, номер пенсионного свидетельства и тому подобное) является неотъемлемой частью таких программ.

В то же время если передача данных в другие программы (в том числе для целей налогового учета) производится не полностью автоматически, а с помощью человека, участвующего в обработке персональных данных, то такую обработку также нельзя признать автоматизированной.

В этой связи рекомендации Рособразования, изложенные в Письме от 29.07.2009 N 17-110 "Об обеспечении защиты персональных данных", имеют довольно ограниченное применение на практике. В целях автоматизации обработки персональных данных в анкетах Рособразованием рекомендуется дополнительно указывать внутренний идентификационный номер (личный код) субъекта персональных данных, присваиваемый на весь период обучения или работы. Это позволяет обезличить базы данных, если в них не содержатся иные персональные данные, и существенно сократить затраты на защиту информации.

Однако для автоматизации управленческой деятельности в государственном или муниципальном учреждении необходимы как минимум фамилии, имена, отчества сотрудников, обучающихся, студентов и так далее, а также ряд других персональных данных (для сотрудников, например, информация об их доходах в целях бухгалтерского и налогового учета). Обращение же к личным кодам, содержащимся в листочках (анкетах), при остальной обработке данных с помощью программного обеспечения будет выглядеть по крайней мере странно, снижая эффективность внедрения современных информационных технологий. При этом в зависимости от формы используемых анкет их можно будет признать частью информационной системы (как являющихся составной частью базы данных), что полностью лишит смысла дополнительную кодировку (такая кодировка требуется в случае целесообразности обезличивания данных, например для проведения статистических исследований).

Обработка персональных данных без использования средств автоматизации

Итак, как было рассмотрено выше, несмотря на компьютеризацию деятельности, в большинстве случаев обработка персональных данных в государственных и муниципальных учреждениях осуществляется без использования средств автоматизации (неавтоматизированно) и, соответственно, регламентируется Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации <5>.

<5> Утверждено Постановлением Правительства РФ от 15.09.2008 N 687.

Лица, проводящие такую обработку (в том числе сотрудники организации-оператора или лица, работающие по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации и локальными актами образовательного учреждения.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).

При этом не допускается фиксация персональных данных на одном материальном носителе, если цели их обработки заведомо несовместимы. В этом случае для каждой категории персональных данных должен использоваться отдельный материальный носитель.

И следовательно, обработка должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных были:

  • определены места хранения и установлен перечень лиц, осуществляющих обработку данных либо имеющих к ним доступ;
  • обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
  • соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются образовательным учреждением в соответствии с требованиями, предъявляемыми нормативными правовыми актами по защите персональных данных.

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если он не позволяет осуществлять их обработку отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки, в частности:

  • при необходимости использования или распространения определенных персональных данных отдельно от других, находящихся на том же материальном носителе, осуществляется копирование данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
  • при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

Обработка персональных данных с использованием средств автоматизации

Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств.

Как следует из п. 1 данного Положения, под термином "информационные системы" понимаются только информационные системы, позволяющие осуществлять обработку персональных данных с использованием средств автоматизации, поэтому на информационные системы, в которых обработка данных осуществляется без использования средств автоматизации, требования этого Положения не распространяются.

Если в государственном или муниципальном учреждении производится автоматизированная обработка персональных данных, то необходимо выполнять следующие требования.

Согласно Положению об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных безопасность персональных данных достигается:

  • путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных;
  • путем исключения иных несанкционированных действий.

Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных , включающей:

  • организационные меры;
  • средства защиты информации;
  • информационные технологии.

Средства защиты информации включают в себя:

  • шифровальные (криптографические) средства;
  • средства предотвращения несанкционированного доступа;
  • средства предотвращения утечки информации по техническим каналам;
  • средства предотвращения программно-технических воздействий на технические средства обработки персональных данных.

Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления данных по этим запросам должны регистрироваться автоматизированными средствами информационной системы в электронном журнале обращений. При этом содержание электронного журнала обращений должно периодически проверяться соответствующими должностными лицами (работниками) оператора или уполномоченного лица.

При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления и устранения причин нарушений.

Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством РФ требованиям, обеспечивающим защиту информации. При этом методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю (ФСТЭК) и Федеральной службой безопасности (ФСБ) в пределах их полномочий.

Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом. Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность и безопасность персональных данных при их обработке в информационной системе.

Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.

При этом информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных, в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.

Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности и Министерством информационных технологий и связи. Такой Порядок определен Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20.

Кроме того, обозначены требования к помещениям и их охране. Согласно п. 8 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

Для этого государственные и муниципальные учреждения должны устанавливать дополнительную сигнализацию в указанных помещениях, в дверных проемах - дополнительные замки либо металлические двери.

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

ж) учет лиц, допущенных к работе с персональными данными в информационной системе;

з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут повлечь нарушение конфиденциальности персональных данных или другие нарушения, приводящие к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

к) описание системы защиты персональных данных.

Лица, которые имеют доступ к информационным базам с персональными данными, подписывают обязательства о неразглашении конфиденциальных сведений (такое обязательство может быть включено и в трудовой договор). Только после этого образовательное учреждение допускает их к обработке персональных данных.

При обработке персональных данных в информационной системе образовательным учреждением должно быть обеспечено:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

д) постоянный контроль за обеспечением уровня защищенности персональных данных.

Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности персональных данных.

Следует также обратить особое внимание на то, что согласно п. 17 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков.

Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.

Классификация информационных систем персональных данных

Классификация информационных систем персональных данных, позволяющих производить обработку этих данных с использованием средств автоматизации, осуществляется образовательным учреждением - оператором в соответствии с Порядком проведения классификации информационных систем персональных данных <6> в зависимости от категории обрабатываемых данных и их количества.

<6> Утвержден Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20.

Установлены следующие четыре категории персональных данных:

  1. персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
  2. персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к первой категории;
  3. персональные данные, позволяющие идентифицировать субъекта персональных данных;
  4. обезличенные и (или) общедоступные персональные данные.

В любом вузе на общедоступных стендах можно встретить различные списки студентов, включающие в себя сочетание Ф.И.О. студента, курса, группы, которые позволяют однозначно определить студента. В результате такая комбинация персональных данных заставляет отнести их к персональным данным третьей категории; на размещение этих данных в общедоступном месте формально требуется согласие студента.

Личная карточка работника (ф. Т-2), личное дело учащегося (студента) относятся ко второй категории, так как это персональные данные, позволяющие не только идентифицировать субъекта персональных данных, но и получить о нем дополнительную информацию.

Информационные системы персональных данных подразделяются на типовые и специальные. К типовым относятся системы, в которых требуется обеспечить только конфиденциальность персональных данных. Все остальные системы относятся к специальным.

К специальным информационным системам также должны быть отнесены:

  • информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
  • информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Исходя из приведенной классификации, можно констатировать, что любые медицинские данные, а также кадровый учет, содержащий графу "национальность" (а таковы почти все действующие анкеты и личные листки по учету кадров, используемые в настоящее время), необходимо относить к первой категории.

По результатам анализа имеющихся данных типовой информационной системе присваивается один из четырех классов, указанных в Порядке проведения классификации информационных систем персональных данных.

Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных по результатам анализа исходных данных в соответствии с методическими документами ФСТЭК.

ФСТЭК издала следующие документы ДСП, которые можно получить, только обратившись в этот орган:

  • Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, от 15.02.2008;
  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15.02.2008;
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15.02.2008;
  • Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных от 15.02.2008.

В этих методических документах содержатся многочисленные требования, выполнить которые для большинства государственных или муниципальных учреждений крайне сложно по причинам как организационного, так и финансового характера.

Декларирование, сертификация (аттестация) и лицензирование деятельности по защите персональных данных

В перечисленных выше методических документах ФСТЭК устанавливается следующий порядок оценки соответствия степени защищенности информационных систем требованиям безопасности:

  • для информационных систем первого и второго класса соответствие степени защищенности требованиям безопасности устанавливается путем обязательной сертификации (аттестации);
  • для информационных систем третьего класса соответствие требованиям безопасности подтверждается путем сертификации (аттестации) или (по выбору оператора) декларированием соответствия, проводимым оператором персональных данных;
  • для информационных систем четвертого класса оценка соответствия не регламентируется и осуществляется по решению оператора персональных данных.

Декларирование соответствия - это подтверждение соответствия характеристик информационной системы персональных данных предъявляемым к ней требованиям, установленным законодательством, руководящими и нормативно-методическими документами ФСТЭК и ФСБ.

Декларирование соответствия может осуществляться на основе собственных доказательств или доказательств, полученных с участием привлеченных организаций, имеющих необходимые лицензии. Перечень органов (организаций) по аттестации системы сертификации средств защиты информации по требованиям безопасности информации, в которые могут обращаться образовательные учреждения и органы управления образованием, не имеющие необходимых специалистов и лицензий, а также Государственный реестр сертифицированных средств защиты информации размещены на сайте ФСТЭК. Стоимость проведения таких процедур достаточно велика и измеряется сотнями тысяч рублей.

В случае проведения декларирования на основе собственных доказательств оператор самостоятельно формирует комплект документов, таких как: техническая документация, другие документы и результаты собственных исследований, послужившие мотивированным основанием для подтверждения соответствия информационной системы персональных данных всем необходимым требованиям, предъявляемым к третьему классу.

Аттестационные (сертификационные) испытания проводятся организациями, имеющими необходимые лицензии ФСТЭК. При этом под аттестацией понимают комплекс мер, позволяющих привести информационную систему в соответствие с требованиями по безопасности информации к заявленному классу, изложенными в нормативно-методических документах ФСТЭК.

Аттестационные (сертификационные) испытания содержат в себе анализ уже имеющихся на объекте информационных систем персональных данных, а также вновь принятых решений по обеспечению безопасности информации и включают проверку:

  • организационно-режимных мероприятий по обеспечению защиты информации;
  • защищенности информации от утечек по техническим каналам (ПЭМИН);
  • защищенности информации от несанкционированного доступа.

По результатам аттестационных испытаний принимается решение о выдаче аттестата соответствия информационной системы заявленному классу по требованиям безопасности информации. Аттестат выдается сроком на три года.

В методических документах ФСТЭК установлены также дополнительные требования по наличию лицензий на ведение деятельности по защите персональных данных. Без наличия соответствующих лицензий проведение подобных мероприятий возможно только для информационных систем третьего и четвертого класса.

Для проведения мероприятий по обеспечению безопасности персональных данных для специальных информационных систем, систем первого и второго класса и распределенных (в том числе подключенных к сети Интернет) систем третьего класса операторы обязаны в установленном порядке получить лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации.

Законность требований проведения процедур декларирования, сертификации (аттестации) и лицензирования государственными и муниципальными учреждениями на основании методических документов ФСТЭК вызывает большие сомнения.

Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти <7> (п. 1.2) относит к служебной информации ограниченного распространения несекретную информацию, касающуюся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью. Установление обязанностей по лицензированию деятельности организаций никак не может быть признано информацией ДСП.

<7> Утверждено Постановлением Правительства РФ от 03.11.1994 N 1233.

Обязанности по лицензированию отдельных видов деятельности, включая деятельность по технической защите конфиденциальной информации, определены Федеральным законом "О лицензировании отдельных видов деятельности" <8>. Порядок лицензирования деятельности по технической защите конфиденциальной информации, осуществляемой юридическими лицами и индивидуальными предпринимателями, определен Постановлением Правительства РФ от 15.08.2006 N 504.

<8> Федеральный закон от 08.08.2001 N 128-ФЗ.

Ни Положение о лицензировании деятельности по технической защите конфиденциальной информации, ни Порядок проведения классификации информационных систем персональных данных не устанавливают обязанностей по лицензированию деятельности по технической защите конфиденциальной информации в зависимости от класса информационной системы. Данные требования установлены в документе ДСП - Основных мероприятиях по организации и техническому обеспечению безопасности ПД, обрабатываемых в ИСПД.

Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных определяет лишь, что:

  • средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия (п. 5) - то есть сертификации подлежит не оператор, а средство защиты информации, и ее проводит производитель этого средства (в том числе компьютерной программы по защите информации);
  • результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности в пределах их полномочий.

В соответствии с ч. 3 ст. 15 Конституции РФ все законы, а также любые нормативные акты, затрагивающие права, свободы и обязанности человека и гражданина, должны быть официально опубликованы для всеобщего сведения, то есть обнародованы. Неопубликованные нормативные правовые акты не применяются, не влекут правовых последствий как не вступившие в силу.

С 15 мая 1992 г. Постановлением Правительства РФ от 08.05.1992 N 305 "О государственной регистрации ведомственных нормативных актов" была введена государственная регистрация нормативных актов министерств и ведомств, затрагивающих права и интересы граждан и носящих межведомственный характер.

Вопросы государственной регистрации и вступления в силу ведомственных нормативных правовых актов регулируются Указом Президента РФ N 763 <9> и Постановлением Правительства РФ N 1009 <10>.

<9> Указ Президента РФ от 23.05.1996 N 763 "О порядке опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти".
<10> Постановление Правительства РФ от 13.08.1997 N 1009 "Об утверждении Правил подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации".

Согласно п. 10 Правил подготовки нормативных правовых актов федеральных органов исполнительной власти и их государственной регистрации государственной регистрации подлежат нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, устанавливающие правовой статус организаций, имеющие межведомственный характер, независимо от срока их действия, в том числе акты, содержащие сведения, составляющие государственную тайну, или сведения конфиденциального характера.

Государственная регистрация нормативных правовых актов осуществляется Минюстом, который ведет Государственный реестр нормативных правовых актов федеральных органов исполнительной власти.

Государственная регистрация нормативного правового акта включает в себя:

  • юридическую экспертизу соответствия этого акта законодательству РФ, включая проверку на наличие в нем положений, способствующих созданию условий для проявления коррупции;
  • принятие решения о необходимости государственной регистрации данного акта;
  • присвоение регистрационного номера;
  • занесение в Государственный реестр нормативных правовых актов федеральных органов исполнительной власти.

Нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, устанавливающие правовой статус организаций или имеющие межведомственный характер, подлежат официальному опубликованию в установленном порядке, кроме актов или отдельных их положений, содержащих сведения, составляющие государственную тайну, или сведения конфиденциального характера,

Акт, признанный Минюстом не нуждающимся в государственной регистрации, подлежит опубликованию в порядке, определяемом федеральным органом исполнительной власти, утвердившим акт. При этом порядок вступления данного акта в силу также определяется федеральным органом исполнительной власти, издавшим его.

Поэтому, по мнению автора, государственные и муниципальные учреждения, осуществляющие автоматизированную обработку персональных данных, в случае предъявления требований о получении лицензий, проведении декларирования или сертификации (аттестации) могут обжаловать такие требования в судебном порядке (особенно если используемые средства защиты персональных данных уже были сертифицированы их производителем).

А.Вифлеемский

директор

Нижегородского центра

экономики образования