Шхагапсоев З.Л. Обеспечение безопасности персональных данных в информационных системах
.pdfОсновные этапы работ по обеспечению безопасности персональных данных в ИСПДн
Обеспечение безопасности персональных данных в информационных системах МВД России – процесс многоэтапный, предусматривающий проведение комплекса организационных и технических мероприятий, направленных на выполнение требований Федерального закона «О персональных данных». В ходе выполнения этих мероприятий или по их результатам разрабатываются локальные нормативные акты, технические и технологические документы на каждую ИСПДн, принятую либо принимаемую в эксплуатацию в подразделении МВД России.
В зависимости от направления и специфики деятельности подразделений МВД России в них могут функционировать информационные системы персональных данных различного уровня и назначения, например кадрового, финансового, дактилоскопического, миграционного и т. д. учета. Федеральным законом от 07 февраля 2011 г. № 3-ФЗ «О полиции» (ст. 17) установлено, что полиция имеет право обрабатывать данные о гражданах, необходимые для выполнения возложенных на нее обязанностей, с последующим внесением полученной информации в банки данных о гражданах. Внесению в банки данных и обработке в информационных системах подлежит следующая информация:
–о лицах, подозреваемых или обвиняемых в совершении преступления;
–о лицах, осужденных за совершение преступления;
–о лицах, которые совершили преступление или общественно опасное деяние и в отношении которых судом применены принудительные меры медицинского характера;
–о лицах, в отношении которых вынесено постановление о прекращении уголовного преследования за истечением срока давности, в связи с примирением сторон, вследствие акта об амнистии, в связи с деятельным раскаянием;
–о несовершеннолетних, освобожденных от уголовной ответственности либо освобожденных судом от наказания с применением принудительных мер воспитательного воздействия; о несовершеннолетних, совершивших правонарушения и (или) ан-
11
тиобщественные действия, об их родителях или иных законных представителях, не исполняющих своих обязанностей по воспитанию, обучению и (или) содержанию детей и (или) отрицательно влияющих на их поведение либо жестоко обращающихся с ними;
–о лицах, в отношении которых до вступления приговора в законную силу был применен акт помилования или акт об амнистии, освобождающие от наказания;
–о лицах, в отношении которых совершено преступление;
–о лицах, совершивших административное правонарушение;
–о лицах, объявленных в розыск;
–о лицах, пропавших без вести;
–о лицах, находящихся в беспомощном состоянии и неспособных по состоянию здоровья или возрасту сообщить сведения о себе;
–о владельцах транспортных средств;
–о лицах, получивших водительское удостоверение;
–о лицах, получивших удостоверение частного охранника;
–о лицах, получивших лицензию на осуществление частной детективной (сыскной) деятельности;
–о лицах, состоящих на профилактическом учете;
–о лицах, в отношении которых заведены дела оперативного учета;
–о лицах, прошедших государственную дактилоскопическую регистрацию;
–о лицах, прошедших государственную геномную регистрацию;
–о лицах, подлежащих государственной защите;
–о лицах, владеющих оружием;
–о лицах, реабилитированных в соответствии с законодательством Российской Федерации;
–об иностранных гражданах и о лицах без гражданства, в отношении которых принято решение о депортации или об административном выдворении.
Ниже приведен перечень нормативных актов МВД России, на основании которых подразделения МВД России осуществляют обработку персональных данных.
1. Приказ МВД России от 26.07.1996. № 446дсп «Об утверждении Инструкции по учету кадров Министерства внутренних
12
дел Российской Федерации и Табеля отчетности по кадрам Министерства внутренних дел Российской Федерации («Инструкция по учету кадров Министерства внутренних дел Российской Федерации»; «Табель отчетности по кадрам Министерства внутренних дел Российской Федерации».)».
2.Приказ МВД России от 30.06.1998. № 395дсп «Об утверждении Инструкции о порядке проверки по учетам органов внутренних дел лиц, переменивших имя».
3.Приказ МВД России от 18.05.1999. № 356 «О мерах по совершенствованию использования централизованных оператив- но-справочных, розыскных и криминалистических учетов подразделениями ГУГИБДД МВД России».
4.Приказ МВД России от 18.06.2002. № 579 «Об организации воинского учета граждан, пребывающих в запасе».
5.Приказ МВД России от 08.07.2005. № 543 «О реализации подпрограммы «Создание системы межрегиональных автоматизированных банков данных дактилоскопической информации федеральных округов и федеральной АДИС-ГИЦ, создание сети программно-технических комплексов АДИС регионального уровня» на базе программно-технических решений АДИС «Папилон».
6.Приказ Генеральной прокуратуры РФ, МВД России, МЧС России, Минюста России, ФСБ России, Минэкономразвития России, ФСКН России от 29.12.2005. № 39/1070/1021/253/780/353/399 «О едином учете преступлений».
7.Приказ МВД России от 10.02.2006. № 70 «Об организации использования экспертно-криминалистических учетов органов внутренних дел Российской Федерации (Инструкция)».
8.Приказ МВД России, МИД России, ФСБ России, Минэкономразвития России, Минсвязи России от 10.03.2006. № 148/2562/ 98/62/25 «О ведении и использовании центрального банка данных по учету иностранных граждан и лиц без гражданства, временно пребывающих и временно или постоянно проживающих в Российской Федерации».
9.Приказ МВД России от 03.07.2006. № 518 «Об утверждении Инструкции по формированию, ведению и использованию центрального банка данных по учету иностранных граждан и лиц без гражданства, временно пребывающих и временно или посто-
13
янно проживающих на территории субъектов Российской Федерации, в территориальных органах ФМС России и МВД, ГУВД, УВД субъектов Российской Федерации».
10.Приказ МВД России от 20.12.2006. № 1049 «О вводе в
эксплуатацию автоматизированной системы «Учет дипломов».
11.Приказ МВД России от 09.07.2007. № 612дсп «Об утверждении Наставления по формированию и ведению централизованных оперативно-справочных, криминалистических и розыскных учетов органов внутренних дел Российской Федерации».
12.Приказ МВД России, ФМС России от 12.03.2008.
№224дсп/53дсп «Об утверждении Инструкции о порядке формирования, хранения и использования адресно-справочных учетов в целях выявления лиц, совершивших преступление, скрывающихся от органов дознания, следствия и суда, уклоняющихся от уголовного наказания, без вести пропавших и иных категорий разыскиваемых лиц».
13.Приказ МВД России от 07.05.2008. «Об утверждении Наставления по формированию и ведению информационной системы оперативно-розыскной информации в органах внутренних дел Российской Федерации».
14.Приказ МИД России, МВД России, ФСБ России, ФМС от 17.11.2008. № 8722/996/562/350 «Об утверждении Положения о порядке информационного взаимодействия Министерства иностранных дел Российской Федерации с Министерства внутренних дел Российской Федерации, Федеральной службы безопасности Российской Федерации, Федеральной миграционной службы с целью выявления наличия обстоятельств, которые могут повлечь временное ограничение права гражданина Российской Федерации на выезд из Российской Федерации и отказ в выдаче паспорта, дипломатического паспорта и служебного паспорта, являющихся основными документами, удостоверяющими личность гражданина Российской Федерации за пределами территории Российской Федерации».
15.Приказ МВД России от 24.11.2008. № 1001 «О порядке регистрации транспортных средств».
16.Приказ МВД России от 16.12.2008. № 1112 «Об утверждении Временной инструкции о порядке функционирования ав-
14
томатизированной информационно-поисковой системы учета оружия «Оружие-МВД».
17.Приказ МВД России от 01.04.2009. № 246 «О внедрении автоматизированных систем и оперативно-справочного банка данных ДЭБ МВД России».
18.Приказ МВД России от 17.06.2009. «Об утверждении Инструкции о порядке проведения оперативно-аналитических мероприятий подразделениями оперативно-розыскной информации криминальной милиции органов внутренних дел Российской Федерации».
19.Приказ МВД России, МО России от 21.09.2009. № 724/881 «О порядке взаимодействия подразделений Государственной инспекции безопасности дорожного движения Министерства внутренних дел Российской Федерации и военных комиссариатов при предоставлении сведений о транспортных средствах, зарегистрированных за гражданами Российской Федерации и подлежащих учету в военных комиссариатах».
20.Приказ МВД России, МЧС Росссии, МО России, Минфин России, Минюст России, Минтранс России, СВР России, ФТС России, ФСБ России, ФСО России, ФСКН России, ФМС России от 27.09.2010. № 688/472/1214/110н/235/205/36/1785/456/ 468/402/299 «Об утверждении Положения о порядке формирования и ведения информационного массива, создаваемого в процессе проведения государственной дактилоскопической регистрации».
21.Приказ МВД России от 05.02.2011. № 56дсп «Об утверждении Инструкции по формированию, ведению и использованию автоматизированных дактилоскопических информационных систем органов внутренних дел Российской Федерации».
22.Приказ МВД России от 19.01.2012. № 35дсп «О ведомственном учете сведений о сотрудниках органов внутренних дел Российской Федерации, федеральных государственных гражданских служащих и работниках системы Министерства внутренних дел Российской Федерации и Федеральной миграционной службы, подвергнутых уголовному преследованию или совершивших дисциплинарные проступки».
23.Приказ МВД России от 30.03.2012. № 205 «Об утверждении Концепции создания единой системы информационно-
15
аналитического обеспечения деятельности МВД России в 2012– 2014 годах».
24. Приказ МВД России от 30.08.2012. № 825дсп «Об утверждении Порядка формирования и ведения базы данных о лицах, состоящих на учете для получения единовременной социальной выплаты для приобретения и строительства жилого помещения, а также снятых с данного учета, в отношении штатных негласных сотрудников оперативно-поисковых и оперативнотехнических подразделений органов внутренних дел».
Однако следует иметь в виду, что положения Федерального закона «О персональных данных», в соответствии с п. 4 ч. 2 ст. 1, не распространяются на информационные системы органов внутренних дел, в которых обрабатываются сведения, составляющие государственную тайну и подлежащие засекречиванию9, а именно:
–сведения о лицах, сотрудничающих (оказывающих содействие) или ранее сотрудничавших (оказывавших содействие) на конфиденциальной основе с органами внутренних дел;
–сведения о штатных негласных сотрудниках, осуществляющих оперативно-розыскную деятельность, а также о лицах, выполняющих (выполнявших) специальные задания в организованных преступных группах, сообществах, организациях;
–установочные данные10 содержателей конспиративных квартир и явочных помещений;
–сведения о разрабатываемых (разрабатывавшихся) лицах по делам оперативного учета;
9 Об утверждении развернутых перечней сведений, подлежащих засекречиванию, Министерства внутренних дел Российской Федерации (с приложением № 1): приказ МВД России от 25.08.2007.
10 Установочные данные – совокупность биографических и других данных, характеризующих личность. Различают краткие и полные установочные данные. Краткие установочные данные составляют: фамилия, имя, отчество; дата, месяц, год и место рождения; принадлежность к политическим партиям и общественным организациям; специальность; семейное положение; местожительство (место регистрации). Полные установочные данные состоят из кратких установочных данных, дополненных биографическими подробностями (о прежних местах работы, жительства, занимаемых должностях, близких и дальних родственниках и их положении в обществе, о материальном положении и его соответствии реальным доходам, поведении по месту жительства и работы, о свойствах характера, моральном, психическом и физическом состоянии, приметах), видовой и голосовой информацией. Полнота установочных данных определяется конкретными потребностями детализировать определенные аспекты деятельности человека, его деловые и личные качества.
16
–сведения, раскрывающие принадлежность конкретных лиц
ккадровому составу оперативных подразделений, представляемые в налоговые органы;
–сведения, раскрывающие персональные данные сотрудников органов внутренних дел, участвующих (участвовавших) в проведении контртеррористических или специальных операций.
Обеспечение безопасности информации в таких информационных системах регламентируется законодательством Российской Федерации о государственной тайне, нормативными, руководящими и методическими документами ФСБ России и ФСТЭК России по защите информации, составляющей государственную тайну. В системе МВД России проведение работ по технической защите информации регламентируется Наставлением, утвержденным приказом МВД России от 6 марта 2013 г.
Кратко рассмотрим основные этапы работ, направленных на обеспечение персональных данных, обрабатываемых в информационных системах подразделений МВД России.
В соответствии с Инструкцией11 по организации защиты персональных данных, содержащихся в автоматизированных информационных системах органов внутренних дел Российской Федерации, руководители подразделений МВД России, являющихся операторами персональных данных, организуют выполнение мероприятий по обеспечению безопасности персональных данных. Указанные мероприятия должны быть включены в соответствующие разделы плана работы подразделения МВД России.
Очевидно, что на первоначальном этапе работ по обеспечению безопасности персональных данных должны быть определены структурные подразделения подразделений МВД России, в которых эксплуатируются или планируется эксплуатация информационных систем персональных данных; помещения, в которых размещаются или будут размещаться указанные ИСПДн с указанием лиц, доступ которым в данные помещения разрешен; перечень ИСПДн и состав персональных данных, обрабатываемых в них, цели и условия обработки, сроки хранения персональных
11 Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации: приказ МВД России от 06.07.2012. № 678 (Зарегистрировано в Минюсте России 18.09.2012. № 25488).
17
данных различных категорий; структурные подразделения и должностные лица подразделения МВД России, ответственные за обеспечение безопасности персональных данных при их обработке и за разработку, проведение мероприятий, направленных на выполнение требований по защите информации; список должностных лиц, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения служебных обязанностей; перечень разрешенного к использованию в ИСПДн программного обеспечения. В результате выполнения мероприятий на этом этапе разрабатываются и утверждаются руководителем подразделения МВД России соответствующие организационные и распорядительные документы для каждой информационной системы персональных данных. Также на первоначальном этапе устанавливается необходимый уровень правоотношений между подразделением МВД России, являющимся оператором персональных данных, и субъектом персональных данных. При необходимости должно быть получено, в том числе и в письменной форме, согласие субъекта на обработку его персональных данных. В целях обеспечения максимальной юридической чистоты в вопросах соблюдения прав субъектов персональных данных и во избежание инцидентов, связанных с нарушением этих прав, порядок реагирования на запросы со стороны субъектов персональных данных, внесения изменений в персональные данные, а также условия прекращения обработки персональных данных должны быть также определены документально в соответствующих приказах, инструкциях и процедурах, определяющих степень участия должностных лиц подразделения МВД России в обработке персональных данных и характер их взаимодействия между собой.
Следующий этап выполнения работ – классификация каждой ИСПДн, эксплуатируемой в подразделении МВД России. ИСПДн, подлежащие защите, должны быть однозначно идентифицированы как совокупности конкретных технических средств, размещенных внутри конкретных контролируемых зон и предназначенных для обработки конкретных категорий персональных данных с конкретными целями. Для проведения классификации приказом руководителя подразделения МВД России создается комиссия, в состав которой входят должностные лица, ответ-
18
ственные за обработку персональных данных и за обеспечение их безопасности. На каждую ИСПДн должен быть составлен отдельный акт классификации, который утверждается руководителем подразделения МВД России.
После проведения классификации информационных систем персональных данных на каждую из них разрабатывается модель угроз безопасности и модель нарушителя, а также формулируются требования к системе защиты персональных данных. Разработка модели угроз и модели нарушителя осуществляется в соответствии с методическими документами ФСТЭК России и ФСБ России и является обязательной мерой для специальных ИСПДн. В зависимости от характеристик конкретной ИСПДн применяются документы либо одного, либо обоих ведомств. Требования к системе защиты персональных данных разрабатываются на основе модели угроз и модели нарушителя с учетом установленного класса ИСПДн и включаются в техническое (частное техническое) задание на разработку СЗПДн.
Проектирование и реализация системы защиты персональных данных в информационных системах являются достаточно затратными этапами с интеллектуальной и финансовой точек зрения. В каждой информационной системе, предназначенной для обработки персональных данных, должна быть спроектирована и создана система защиты персональных данных, соответствующая требованиям руководящих и нормативнометодических документов ФСТЭК России и ФСБ России по защите информации. Порядок проектирования определяется рядом государственных стандартов и руководящих документов ФСТЭК России.
Подтверждение соответствия ИСПДн требованиям безопасности персональных данных или аттестация ИСПДн проводится в соответствии с Положением по аттестации объектов информатизации по требованиям безопасности информации, утвержденным председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г. Предусматриваются различные способы оценки соответствия в зависимости от характеристик объекта оценки (техническое средство, программное обеспечение, средство защиты информации, система в целом) и целей проведения оценки.
19
После проведения оценки соответствия и ввода в эксплуатацию ИСПДн с внедренной в ее состав системой защиты персональных данных должно быть обеспечено выполнение всех требований по защите при ее эксплуатации. С этой целью в подразделении МВД России организуется и проводится периодический контроль эффективности применяемых мер защиты, в том числе с применением специальных сертифицированных средств контроля в соответствии с Руководящими документами ФСТЭК России (Гостехкомиссии при Президенте Российской Федерации).
Выполнив все установленные требования к СЗПДн в информационной системе, оператор-подразделение МВД России получает право начать обработку персональных данных. До начала обработки подразделение МВД России обязано уведомить об этом уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор). Порядок уведомления, содержание представляемых материалов регламентированы следующими нормативными правовыми актами:
1)Приказом Минкомсвязи России от 21 декабря 2011 г. № 346 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных»;
2)Приказом Роскомнадзора от 19 августа 2011 г. № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных».
Разрешается осуществлять обработку персональных данных без уведомления уполномоченного органа (Роскомнадзора). Эти случаи определены в п. 2 ст. 22 Федерального закона «О персональных данных». ИСПДн, в отношении которых уведомление в Роскомнадзор не направляется, подлежат учету в Реестре информационных систем МВД России12.
В ряде предусмотренных федеральным законодательством случаев подразделение МВД России, осуществляющее деятель-
12 По порядку регистрации информационных систем МВД России в Реестре информационныхсистемМВДРоссии:методическиерекомендацииот29.06.2012.№ 9/3441.
20