49 Требования к порядку создания и эксплуатации информационных систем персональных данных.

Требования к порядку создания и эксплуатации информационных систем персональных данных основаны на Законе о персональных данных и подзаконных нормативных актах²⁷ и заключаются, главным образом, в соблюдении законности целей создания этих информационных систем и выполнении в процессе их эксплуатации требований безопасности (конфиденциальности, целостности и доступности) персональных данных при их обработке.

К конкретным требованиям следует отнести, в частности:

- выполнение установленной процедуры оценки соответствия²⁸ средств защиты информации, применяемых в информационных системах²⁹;

- классификация информационных систем операторами в зависимости от объёма обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства. Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введённых в эксплуатацию и (или) модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных³⁰;

- обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путём реализации соответствующих организационных мер и (или) путём применения технических средств;

- размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц;

- возможные каналы утечки информации при обработке персональных данных в информационных системах определяются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

Кроме того, особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных предусмотрены ст. 13 Закона о персональных данных и состоят, в частности, в возможностях создания и эксплуатации этих систем в соответствии с иными федеральными законами (например, при создании государственного регистра населения), а также в особенностях учёта персональных данных.

50 Защита информации как составляющая информационной безопасности предприятия.

Информационная безопасность предприятия – это со­стояние защищённости жизненно важных интересов предприятия в информационной сфере от внутренних и внешних угроз.

Необходимо отметить, что проблема информационной безо­пасности (личности, предприятия, общества, государства) очень многогранна. В ней можно выделить следующие два основных аспекта (направления):

• во-первых, собственно информационный аспект, связанный с защитой информации и информационных ресурсов³¹;

• во-вторых, защиту интересов субъекта от негативного инфор­мационного воздействия (информационного оружия), в том числе защиту от диффамации³², защиту деловой репута­ции юридического лица, защиту чести, достоинства и доброго имени гражданина (обеспечение психологической безопасности личности от информационного воздействия).

Деятельность по организации и осуществлению зашиты ин­формации, обладателем которой является предприятие (юридиче­ское лицо), должна соответствовать общим требованиям, обу­словленными правовым режимом конкретных сведений (см. Главу 2), и установленными законами и подзаконными актами (см. Главу 4).

Законодательные и подзаконные акты, регулирующие от­ношения в сфере защиты информации на предприятиях, в учреж­дениях и организациях различных организационно-правовых форм и различной ведомственной (отраслевой) принадлежности, основаны на Конституции РФ, международных соглашениях, ба­зовом Законе об информации, иных федеральных законах, указах Президента РФ, постановлениях Правительства РФ, актах орга­нов государственной власти и местного самоуправления. Эти нормативные правовые акты рассматривались ранее, в предыду­щих главах.

Кроме того, на локальном уровне необходимо наличие нор­мативных актов по защите информации, утверждённых в по­рядке, предусмотренном учредительными документами органи­зации. К таким локальным нормативным актам, как правило, от­носятся следующие:

• Перечни сведений, составляющих конфиденциальную инфор­мацию (сведений конфиденциального характера);

• Положение о мерах по защите конфиденциальной информа­ции организации;

• Положение по обеспечению безопасности информации при ра­боте в информационных системах организации;

• Положение об обработке персональных данных в организа­ции;

• Положение о структурном подразделении по защите информа­ции;

• другие локальные акты (в зависимости от отраслевой принад­лежности предприятия и видов информации ограниченного доступа).

В перечисленных локальных актах закрепляются примени­тельно к специфике предприятия требования о защите информа­ции, обладателем которой является предприятие, установленные законами и подзаконными нормативными актами (Правительст­вом Российской Федерации, органами государственной власти, федеральным органом исполнительной власти в области обеспе­чения безопасности, федеральным органом исполнительной вла­сти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, федеральным ор­ганом исполнительной власти, осуществляющим функции по контролю и надзору в сфере информационных технологий и связи).

1 Органы (учреждения), уполномоченные совершать нотариальные действия, и нотариусы, занимающиеся частной практикой, обязаны сообщать о выдаче свидетельств о праве на наследство и о нотариальном удостоверении договоров дарения в налоговые органы соответственно по месту своего нахождения, месту жительства не позднее пяти дней со дня соответствующего нотариального удостоверения, если иное не предусмотрено настоящим Кодексом. При этом информация об удостоверении договоров дарения должна содержать сведения о степени родства между дарителем и одаряемым (п. 6 ст. ст.85 Налогового Кодекса РФ).

2 Функции указанных органов выполняют соответственно Министерство финансов РФ и Федеральная служба финансово-бюджетного надзора (Росфиннадзор).

3 Оператор связи – юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии. Услуга связи – деятельность по приему, обработке, хранению, передаче, доставке сообщений электросвязи или почтовых отправлений.

4 См.: Постановление Правительства РФ от 27.08.2005 г. № 538 (ред. от 13.10.2008) «Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность».

5 Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением двух случаев: 1) в случае обезличивания персональных данных; 2) в отношении общедоступных персональных данных.

6 Сведения личного характера, ставшие известными работникам учреждения социального обслуживания при оказании социальных услуг, составляют профессиональную тайну. Работники учреждений социального обслуживания, виновные в разглашении профессиональной тайны, несут ответственность в порядке, установленном законодательством РФ.

7 К информации, составляющей профессиональную тайну при осуществлении ломбардом своей деятельности, относится информация, полученная ломбардом от заёмщика или поклажедателя в связи с заключением договора займа или договора хранения, за исключением наименования, описания технических, технологических и качественных характеристик невостребованной вещи, на которую в порядке, установленном законом, обращено взыскание. Ломбард и его работники обязаны соблюдать конфиденциальность информации, составляющей профессиональную тайну, и в случае её разглашения несут ответственность в порядке, установленном законодательством РФ.

8 Третейский судья не вправе разглашать сведения, ставшие известными ему в ходе третейского разбирательства, без согласия сторон или их правопреемников. Третейский судья не может быть допрошен в качестве свидетеля о сведениях, ставших ему известными в ходе третейского разбирательства.

9 Определения терминов «распространение», «использование», «блокирование», «уничтожение», «обезличивание», «трансграничная передача» применительно к персональным данным приведены в ст. 3 Закона о персональных данных.

10 Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

11 Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

12 Случаи обязательного предоставления субъектом своих персональных данных установлены законом в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

13 См. ст. 8 (Общедоступные источники персональных данных) Закона о персональных данных.

14 Реадмиссия (от англ. to readmit - принимать назад) касается внешней для государств миграции. Вопросы реадмиссии могут быть решены только совместными усилиями всех заинтересованных стран посредством заключения международных соглашений. Сущность соглашений о реадмиссии составляют взаимные обязательства государств принять обратно своих граждан, граждан третьих стран или лиц без гражданства, незаконно прибывших на территорию одной договаривающейся стороны или остающихся там без законных оснований, если данные лица прибыли с территории другой договаривающейся стороны. В международных соглашениях реадмиссия обычно определяется следующим образом: передача запрашивающим государством и принятие запрашиваемым государством лиц (граждан запрашиваемого государства, граждан третьих государств или лиц без гражданства), чей въезд, пребывание или проживание в запрашивающем государстве признаны незаконными.

15 Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

16 См.: нормативно-методические документы «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК России 15.02.2008 г.); «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСТЭК России 14.02.2008 г.); «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утв. ФСБ России 21.02.2008 г. № 149/54-144). – СПС «КонсультантПлюс», 2010.

17 См., например: Постановление Правительства РФ от 06.07.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

18 Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц (ст. 3 Закона о персональных данных).

19 См. п. 2 ст. 8 Закона о персональных данных.

20 См., например, способы защиты гражданских прав (ст. 12 ГК РФ).

21 Функции указанного органа в настоящее время выполняет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) – см.: Постановление Правительства РФ от 16.03.2009 г. № 228 (ред. от 27.12.2010) «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций».

22 Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц (ст. 3 Закона о персональных данных).

23 См. п. 2 ст. 8 Закона о персональных данных.

24 См., например, способы защиты гражданских прав (ст. 12 ГК РФ).

25 Функции указанного органа в настоящее время выполняет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) – см.: Постановление Правительства РФ от 16.03.2009 г. № 228 (ред. от 27.12.2010) «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций».

26 Приказ Роскомнадзора от 16.07.2010 г. № 482 «Об утверждении образца формы уведомления об обработке персональных данных» (вместе с «Рекомендациями по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных»). – СПС «КонсультантПлюс», 2010.

27 См.: Постановление Правительства РФ от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

28 Оценка соответствия – прямое или косвенное определение соблюдения требований, предъявляемых к объекту (ст. 2 Федерального закона от 27.12.2002 г. № 184-ФЗ (ред. от 28.09.2010) «О техническом регулировании».

29 Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой ФСТЭК России и ФСБ России в пределах их полномочий.

30 Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации. – См.: Приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13.02.2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных».

31 Многие действующие нормативные правовые акты рассматривают информационную безопасность именно в этом контексте, оставляя в стороне иные аспекты этой проблемы. Исключение составляют отдельные нормативные правовые акты, в том числе, Федеральный закон от 29.12.2010 г. № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию», согласно которому информационная безопасность детей – состояние защищённости детей, при котором отсутствует риск, связанный с причинением информацией вреда их здоровью и (или) физическому, психическому, духовному, нравственному развитию, а также Доктрина информационной безопасности РФ (утверждена Президентом РФ 09.09.2000 г. № Пр-1895), согласно которой информационная безопасность РФ – состояние защищённости её национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

32 Диффамация – распространение не соответствующих действительности порочащих сведений.