Средств защиты персональных данных

Средств защиты персональных данных

средств защиты персональных данных
Методы и средства защиты персональных данных

Нормативно-правовая база

В Российской Федерации долгое время политике в области защиты персональных данных не уделялось должного внимания. Одним из немногих законодательных актов, ранее регулирующих процесс обработки персональных данных, являлся Указ Президента Российской Федерации от6 марта1997 г. N188 «Об утверждении перечня сведений конфиденциального характера». И только после подписания Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных в2001 году были изданы основные законодательные акты, которые регулируют организацию процессов, связанных с защитой персональных данных на современном этапе.

Сейчас список документов в данной области достаточно обширен, но пробелов в обеспечении защиты персональных все равно достаточно. К таким законодательным актам относят:

  • — Указ Президента Российской Федерации от6 марта1997 г. №188 «Об утверждении перечня сведений конфиденциального характера»;
  • — Федеральный закон Российской Федерации30 декабря2001 г. №197-ФЗ «Трудовой кодекс Российской Федерации (14 глава)»;
  • — Федеральный закон от19 декабря2005 г. №160-ФЗ»О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
  • — Федеральный закон Российской Федерации от27 июля2006 г. №152-ФЗ «О персональных данных»;
  • — Федеральный закон Российской Федерации от3 декабря2008 г. №242-ФЗ»O государственной геномной регистрации в Российской Федерации»;
  • — Постановление Правительства Российской Федерации от15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • — Постановление Правительства Российской Федерации от6 июля2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
  • — Постановление Правительства Российской Федерации2 июня2008 г. №419 «О федеральной службе по надзору в сфере связи и массовых коммуникаций»;
  • — Приказ ФСТЭК России от11 февраля2013 №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
  • — Приказ ФСТЭК России от18 февраля2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • — Приказ Роскомнадзора от05 сентября2013 №996 «Об утверждении требований и методов по обезличиванию персональных данных»;
  • — Постановление Правительства Российской Федерации от21 марта2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
  • — Постановление Правительства Российской Федерации от01 ноября 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • — Постановление Правительства Российской Федерации от15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • — Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год;
  • — Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год;
  • — Приказ ФСТЭК России от31 августа2010 г. №416/489 «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования»;
  • — «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утв. ФСБ РФ21.02.2008 №149/54-144);
  • — «Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в типовых информационных системах персональных данных отрасли» (утв. ФСБ России от10.08.2010 г. №149/7/2/6-1203);
  • — «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСБ РФ 21.02.2008 №149/6/6-622).

В Федеральном законе Российской Федерации №197-ФЗ «Трудовом кодексе Российской Федерации» в14 статье рассматривается защита персональных данных работника, в частности:

  • — общие требования при обработке персональных данных работника и гарантии их защиты;
  • — хранение и использование персональных данных работников;
  • — передача персональных данных работника;
  • — права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя;
  • — ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.

Федеральный закон от27.07.2006 №152-ФЗ «О персональных данных» является основным законодательным актом, которым должны руководствоваться операторы персональных данных при осуществлении своей деятельности, в нем регламентирован ряд условий, обязательных для обеспечения должного уровня безопасности информации конфиденциального характера, в частности персональных данных. Также в нем указаны права субъектов персональных данных и ответственность за нарушение порядка обработки персональных данных.

Федеральный закон Российской Федерации от3.12.2008 г. №242-ФЗ «O государственной геномной регистрации в Российской Федерации» также регламентирует порядок обработки персональных данных. Согласно данному законодательству, государственная геномная регистрация — деятельность, осуществляемая указанными в настоящем Федеральном законе государственными органами и учреждениями по получению, учету, хранению, использованию, передаче и уничтожению биологического материала и обработке геномной информации, где биологический материал — содержащие геномную информацию ткани и выделения человека или тела(останков) умершего человека, а геномная информация — персональные данные, включающие кодированную информацию об определенных фрагментах дезоксирибонуклеиновой кислоты физического лица или неопознанного трупа, не характеризующих их физиологические особенности. Такая государственная геномная регистрация должна проводится с соблюдением общепризнанных прав и свобод человека и гражданина в соответствии с принципами законности, гуманизма, конфиденциальности, сочетания добровольности и обязательности.

В постановлении Правительства Российской Федерации от15.09.2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» указаны требования к обработке персональных данных, осуществляемой без использования средств автоматизации, которые должны применятся в устанавливаемых нормативных правовых актах федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальных актах организации.

Постановление Правительства Российской Федерации от6.07.2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» устанавливает требования, которые применяются при использовании материальных носителей, на которые осуществляется запись биометрических персональных данных, а также при хранении биометрических персональных данных вне информационных систем персональных данных, где под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека и на основе которых можно установить его личность. Настоящие требования не распространяются на отношения, возникающие при:

  • — использовании оператором информационной системы персональных данных (далее — оператор) материальных носителей для организации функционирования информационной системы персональных данных, оператором которой он является;
  • — использовании бумажных носителей для записи и хранения биометрических персональных данных.

В Постановлении Правительства Российской Федерации2.06.2008 г. №419 «О федеральной службе по надзору в сфере связи и массовых коммуникаций» рассмотрены полномочия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций(Роскомнадзор), а также организация ее деятельности. Данная служба является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, а также функции по организации деятельности радиочастотной службы.

В приказах ФСТЭК России от11.02.2013 №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и ФСТЭК России от18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» рассмотрены меры по обеспечению безопасности персональных данных, которые должны приниматься для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения такой информации, а также от иных неправомерных. И в зависимости от того, является ли организация, осуществляющая работу с информацией конфиденциального характера, в том числе и персональными данными, государственной или негосударственной, меры соблюдаемые при организации процесса работы с персональными данными, будут различаться. Органы государственной власти при осуществлении своей деятельности должны руководствоваться приказом ФСТЭК России от11.02.2013 №17. Негосударственные организации — приказом ФСТЭК России от18.02.2013 №21.

В приказе ФСТЭК России от31.08.2010 г. №416/489 «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования» рассматриваются требования, которые распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет, определяемые Правительством Российской Федерации, и являющиеся обязательными для операторов информационных систем общего пользования при разработке и эксплуатации информационных систем общего пользования.

Еще одним нормативным документом в области защиты персональных данных являются «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утв. ФСБ РФ21.02.2008 №149/54-144). Данными методическими рекомендациями необходимо руководствоваться в случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств (за исключением случая, когда оператором является физическое лицо, использующее персональные данные исключительно для личных и семейных нужд), а также при обеспечении безопасности персональных данных при обработке в информационных системах, отнесенных к компетенции ФСБ России. В частности, методическими рекомендациями необходимо руководствоваться:

  • — при обеспечении с использованием криптосредств безопасности персональных данных при их обработке в государственных информационных системах персональных данных (часть5 Федерального закона от27.07.2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации»);
  • — при использовании криптосредств для обеспечения персональных данных в случаях, предусмотренных п. 3 Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005).

Данные методические рекомендации не распространяются на информационные системы персональных данных, в которых:

  • — персональные данные обрабатываются без использования средств автоматизации;
  • — обрабатываются персональные данные, отнесенные в установленном порядке к сведениям, составляющим государственную тайну;
  • — технические средства частично или целиком находятся за пределами

Российской Федерации.

Согласно постановлению Правительства Российской Федерации от 02.06.2008 года №418 «О Министерстве связи и массовых коммуникаций Российской Федерации» Министерство связи и массовых коммуникаций Российской Федерации является федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в следующих сферах:

  • — информационные технологии (включая использование информационных технологий при формировании государственных информационных ресурсов и обеспечение доступа к ним);
  • — электросвязи (включая использование и конверсию радиочастотного спектра) и почтовой связи;
  • — массовых коммуникаций и средств массовой информации (в том числе электронных), печати, издательской и полиграфической деятельности;
  • — обработки персональных данных.

Выделенный функционал с позиции отраслевого нормативного регулирования можно отнести к федеральным законам, формирующим правоотношения для сфер деятельности вышеназванного министерства:

  • — Федеральный закон от27.07.2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • — Федеральный закон от07 июля2003 года №126-ФЗ «О связи»;
  • — Закон Российской Федерации от27.12.1991 года №2124-1 «О средствах массовой информации»;
  • — Федеральный закон от27.07.2006 года №152-ФЗ «О персональных данных».

Таким образом, часть законов, регулирующих деятельность вышеуказанного министерства, относятся к области защиты информации, в том числе и персональных данных.

Еще одним законодательным актом, которым руководствуется Минкомсвязь при осуществлении своей деятельности, является «Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в типовых информационных системах персональных данных отрасли» (утв. ФСБ России от 10.08.2010 г. №149/7/2/6-1203). Данная модель угроз безопасности персональных данных содержит систематизированный перечень угроз безопасности персональных данных при их обработке в типовых информационных системах персональных данных организации. Указанные угрозы могут исходить от источников, имеющих антропогенный, техногенный и стихийный характер и воздействующих на уязвимости, характерные для данной информационной системы персональных данных, реализуя тем самым угрозы информационной безопасности.

Говоря о нормативных правовых актах в области обеспечения защиты персональных данных, стоит упомянуть о таком документе, как «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСБ РФ 21.02.2008 №149/6/6-622).

Данным документом устанавливаются требования, которые:

  • — являются обязательными для оператора, осуществляющего обработку персональных данных, а также лица, которому на основании договора оператор поручает обработку персональных данных и (или) лица, которому на основании договора оператор поручает оказание услуг по организации и обеспечению безопасности защиты персональных данных при их обработке в информационной системе с использованием криптосредств. При этом существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе в случаях, предусмотренных действующим законодательством;
  • — распространяются на криптосредства, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, все технические средства которых находятся в пределах Российской Федерации, а также в системах, технические средства которых частично или целиком находятся за пределами Российской Федерации.
  • — не отменяют требования иных документов, регламентирующих порядок обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *