Федеральный закoн РФ oт 27.07.2006 №152-ФЗ «О перcoнальных данных» регулирует деятельнocть пo oбрабoтке (иcпoльзoванию) индивидуальных данных. Сначала oператoры дoлжны были привеcти cвoи cиcтемы oбрабoтки данных, запущенные дo 1.01.2010, в cooтветcтвие c закoнoм до 1.01.2011. За меcяц до уcтановленного cрока Гоcударcтвенная дума приняла закон «О внеcении изменений в cтатью 25 Федерального закона “О перcональных данных”». Сроки были перенеcены и уcтановлено, что информационные системы персональных данных, созданные до 1.01.2011, должны быть приведены в соответствие с требованиями Федерального закона №152-ФЗ не позднее 1.07.2011.
Прежде всего, напомним, что такое персональные данные. По определению это та совокупность данных, которая позволяет идентифицировать субъект персональных данных. Например, на основании только фамилии, имени и отчества невозможно идентифицировать субъект. Для этого необходимы дополнительные сведения, к примеру: паспортные данные, дата рождения, место рождения, адрес, информация об образовании, номера телефонов, семейное положение и состав семьи, форма допуска, данные о трудовом договоре, информация о заболеваниях и т.п. Кроме того, персональными данными считаются и биометрические данные, т.е. сведения, которые характеризуют физиологические особенности человека. К ним относятся фото, видеонаблюдение и т.п.
После принятия закона №152-ФЗ в России существенно возросли требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, которые занимаются сбором, систематизацией, накоплением, хранением, обновлением и изменением, использованием, распространением, обезличиванием, блокированием и уничтожением персональных данных. Такие компании, организации и физические лица относятся к операторам персональных данных.
Закон определяет в основном цели и принципы, а не устанавливает требования по защите информационных систем персональных данных (ИСПДн). Эти требования содержатся в различных подзаконных актах уполномоченных регуляторов – Роскомнадзора, ФСТЭК и ФСБ России.
Санкции за нарушения закона предусмотрены серьезные – от штрафов до приостановления работы предприятия.
К примеру, штраф за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах составляет 10 тыс. руб. За нарушение правил защиты информации или использование несертифицированных средств защиты – 20 тыс. руб. штраф с конфискацией тех самых несертифицированных средств и приостановлением деятельности предприятия на срок до 90 суток. Нарушение неприкосновенности частной жизни грозит штрафом в 300 тыс. руб. и исправительными работами на срок до 240 ч, плюс арест до шести месяцев.
Обеспечить собранным приватным данным безопасность не так просто. Перечень угроз, уязвимостей и технических каналов утечки информации формируется в соответствии с требованиями руководящих документов ФСТЭК России.
Внутри каждого предприятия, определение реализуемости угроз производится на основании отчета о результатах проведения внутренней проверки. Оценка опасности производится на основе опроса специалистов по защите информации и определяется вербальным показателем.
Низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных. Соответственно, существуют еще средняя и высокая опасность.
Основными видами угроз безопасности информационных систем и информации могут быть: сбои и отказ оборудования информационных систем; последствия ошибок проектирования и разработки компонентов аппаратных средств, технологии обработки информации, программ, структур данных; ошибки пользователей и операторов; преднамеренные действия нарушителей и злоумышленников; стихийные бедствия и аварии.
В ходе проверки должны быть также определено: наличие информационных систем персональных данных или проведение неавтоматизированной обработки; категория обрабатываемых в информационной системе персональных данных; объем и структура информационной системы. Отчет по результатам внутренней проверке должен быть утвержден руководителем подразделения ответственного за обеспечение режима безопасности или специально уполномоченным сотрудником. В нем указывается место и адрес учреждения, где проводилась проверка (если есть филиалы, то это должно быть указано), перечисляются названия всех информационных систем персональных данных. Для каждой такой системы должна быть определена ее структура, для которой определяются ее технические и эксплуатационные характеристики, режимы обработки ПДн и характеристики безопасности.
Безопасность персональных данных достигается путем исключения несанкционированного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Поэтому, согласно ст. 19 ч. 1, оператор «обязан принимать необходимые организационные и технические меры, в т.ч. использовать шифровальные (криптографические) средства для защиты персональных данных» от ряда угроз.
В решениях по защите ПДн используются различные средства. Невозможно построить эффективную систему защиты без учета совместимости средств защиты со штатным программным обеспечением информационной системы персональных данных (ИСПДн), без степени снижения производительности ИСПДн, функционирующей по основному назначению, без возможности наращивания состава средств защиты за счет дополнительных средств без ограничений работоспособности ИСПДн. При учете всех факторов можно добиться того, что созданная в результате проектирования система защиты будет отвечать всем требованиям и при этом не оказывать негативного влияния на работу информационной системы, а значит, и на бизнес-процессы организации.
Серьезный подход к серьезной проблеме требует достаточного времени и основательных материальных вложений. С чисто технической точки зрения, требуемую защиту персональных данных от несанкционированного доступа в изначально объявленные сроки (до 1.07.2011) было сложно реализовать. Особенно это касалось бюджетных организаций в сфере образования, здравоохранения, жилищно-коммунального комплекса, госстрахования и т.д. (необходимы были материальные средства на приобретение и установку сертифицированного ПО и системы защиты, провести их аттестацию, обучение сотрудников).
Кроме того, не состоялось запланированное на 2010 г. внесение изменений в некоторые законодательные акты Российской Федерации, обусловленное принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
Поэтому перенос сроков приведения ИСПД в соответствие требованиям безопасности был необходим, к тому же он позволил Госдуме внести требуемые изменения в соответствующие законодательные акты, а операторам дал возможность еще раз внимательно изучить требования регуляторов и выбрать для себя организационные и технические меры, отвечающие требованиям, с одной стороны, и лежащие в рамках допустимой для организации финансовой нагрузки, с другой.