- •41 Виды профессиональной тайны и нормативные требования по её защите.
- •9.2. Охрана конфиденциальности информации, составляющей отдельные виды профессиональной тайны
- •45 Обеспечение конфиденциальности и безопасности персональных данных при их обработке.
- •48 Обязанности оператора персональных данных.
- •49 Требования к порядку создания и эксплуатации информационных систем персональных данных.
- •50 Защита информации как составляющая информационной безопасности предприятия.
49 Требования к порядку создания и эксплуатации информационных систем персональных данных.
Требования к порядку создания и эксплуатации информационных систем персональных данных основаны на Законе о персональных данных и подзаконных нормативных актах27 и заключаются, главным образом, в соблюдении законности целей создания этих информационных систем и выполнении в процессе их эксплуатации требований безопасности (конфиденциальности, целостности и доступности) персональных данных при их обработке.
К конкретным требованиям следует отнести, в частности:
- выполнение установленной процедуры оценки соответствия28 средств защиты информации, применяемых в информационных системах29;
- классификация информационных систем операторами в зависимости от объёма обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства. Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введённых в эксплуатацию и (или) модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных30;
- обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путём реализации соответствующих организационных мер и (или) путём применения технических средств;
- размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц;
- возможные каналы утечки информации при обработке персональных данных в информационных системах определяются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Кроме того, особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных предусмотрены ст. 13 Закона о персональных данных и состоят, в частности, в возможностях создания и эксплуатации этих систем в соответствии с иными федеральными законами (например, при создании государственного регистра населения), а также в особенностях учёта персональных данных.
50 Защита информации как составляющая информационной безопасности предприятия.
Информационная безопасность предприятия – это состояние защищённости жизненно важных интересов предприятия в информационной сфере от внутренних и внешних угроз.
Необходимо отметить, что проблема информационной безопасности (личности, предприятия, общества, государства) очень многогранна. В ней можно выделить следующие два основных аспекта (направления):
во-первых, собственно информационный аспект, связанный с защитой информации и информационных ресурсов31;
во-вторых, защиту интересов субъекта от негативного информационного воздействия (информационного оружия), в том числе защиту от диффамации32, защиту деловой репутации юридического лица, защиту чести, достоинства и доброго имени гражданина (обеспечение психологической безопасности личности от информационного воздействия).
Деятельность по организации и осуществлению зашиты информации, обладателем которой является предприятие (юридическое лицо), должна соответствовать общим требованиям, обусловленными правовым режимом конкретных сведений (см. Главу 2), и установленными законами и подзаконными актами (см. Главу 4).
Законодательные и подзаконные акты, регулирующие отношения в сфере защиты информации на предприятиях, в учреждениях и организациях различных организационно-правовых форм и различной ведомственной (отраслевой) принадлежности, основаны на Конституции РФ, международных соглашениях, базовом Законе об информации, иных федеральных законах, указах Президента РФ, постановлениях Правительства РФ, актах органов государственной власти и местного самоуправления. Эти нормативные правовые акты рассматривались ранее, в предыдущих главах.
Кроме того, на локальном уровне необходимо наличие нормативных актов по защите информации, утверждённых в порядке, предусмотренном учредительными документами организации. К таким локальным нормативным актам, как правило, относятся следующие:
Перечни сведений, составляющих конфиденциальную информацию (сведений конфиденциального характера);
Положение о мерах по защите конфиденциальной информации организации;
Положение по обеспечению безопасности информации при работе в информационных системах организации;
Положение об обработке персональных данных в организации;
Положение о структурном подразделении по защите информации;
другие локальные акты (в зависимости от отраслевой принадлежности предприятия и видов информации ограниченного доступа).
В перечисленных локальных актах закрепляются применительно к специфике предприятия требования о защите информации, обладателем которой является предприятие, установленные законами и подзаконными нормативными актами (Правительством Российской Федерации, органами государственной власти, федеральным органом исполнительной власти в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере информационных технологий и связи).
1 Органы (учреждения), уполномоченные совершать нотариальные действия, и нотариусы, занимающиеся частной практикой, обязаны сообщать о выдаче свидетельств о праве на наследство и о нотариальном удостоверении договоров дарения в налоговые органы соответственно по месту своего нахождения, месту жительства не позднее пяти дней со дня соответствующего нотариального удостоверения, если иное не предусмотрено настоящим Кодексом. При этом информация об удостоверении договоров дарения должна содержать сведения о степени родства между дарителем и одаряемым (п. 6 ст. ст.85 Налогового Кодекса РФ).
2 Функции указанных органов выполняют соответственно Министерство финансов РФ и Федеральная служба финансово-бюджетного надзора (Росфиннадзор).
3 Оператор связи – юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии. Услуга связи – деятельность по приему, обработке, хранению, передаче, доставке сообщений электросвязи или почтовых отправлений.
4 См.: Постановление Правительства РФ от 27.08.2005 г. № 538 (ред. от 13.10.2008) «Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность».
5 Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением двух случаев: 1) в случае обезличивания персональных данных; 2) в отношении общедоступных персональных данных.
6 Сведения личного характера, ставшие известными работникам учреждения социального обслуживания при оказании социальных услуг, составляют профессиональную тайну. Работники учреждений социального обслуживания, виновные в разглашении профессиональной тайны, несут ответственность в порядке, установленном законодательством РФ.
7 К информации, составляющей профессиональную тайну при осуществлении ломбардом своей деятельности, относится информация, полученная ломбардом от заёмщика или поклажедателя в связи с заключением договора займа или договора хранения, за исключением наименования, описания технических, технологических и качественных характеристик невостребованной вещи, на которую в порядке, установленном законом, обращено взыскание. Ломбард и его работники обязаны соблюдать конфиденциальность информации, составляющей профессиональную тайну, и в случае её разглашения несут ответственность в порядке, установленном законодательством РФ.
8 Третейский судья не вправе разглашать сведения, ставшие известными ему в ходе третейского разбирательства, без согласия сторон или их правопреемников. Третейский судья не может быть допрошен в качестве свидетеля о сведениях, ставших ему известными в ходе третейского разбирательства.
9 Определения терминов «распространение», «использование», «блокирование», «уничтожение», «обезличивание», «трансграничная передача» применительно к персональным данным приведены в ст. 3 Закона о персональных данных.
10 Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
11 Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
12 Случаи обязательного предоставления субъектом своих персональных данных установлены законом в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
13 См. ст. 8 (Общедоступные источники персональных данных) Закона о персональных данных.
14 Реадмиссия (от англ. to readmit - принимать назад) касается внешней для государств миграции. Вопросы реадмиссии могут быть решены только совместными усилиями всех заинтересованных стран посредством заключения международных соглашений. Сущность соглашений о реадмиссии составляют взаимные обязательства государств принять обратно своих граждан, граждан третьих стран или лиц без гражданства, незаконно прибывших на территорию одной договаривающейся стороны или остающихся там без законных оснований, если данные лица прибыли с территории другой договаривающейся стороны. В международных соглашениях реадмиссия обычно определяется следующим образом: передача запрашивающим государством и принятие запрашиваемым государством лиц (граждан запрашиваемого государства, граждан третьих государств или лиц без гражданства), чей въезд, пребывание или проживание в запрашивающем государстве признаны незаконными.
15 Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
16 См.: нормативно-методические документы «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК России 15.02.2008 г.); «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСТЭК России 14.02.2008 г.); «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утв. ФСБ России 21.02.2008 г. № 149/54-144). – СПС «КонсультантПлюс», 2010.
17 См., например: Постановление Правительства РФ от 06.07.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
18 Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц (ст. 3 Закона о персональных данных).
19 См. п. 2 ст. 8 Закона о персональных данных.
20 См., например, способы защиты гражданских прав (ст. 12 ГК РФ).
21 Функции указанного органа в настоящее время выполняет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) – см.: Постановление Правительства РФ от 16.03.2009 г. № 228 (ред. от 27.12.2010) «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций».
22 Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц (ст. 3 Закона о персональных данных).
23 См. п. 2 ст. 8 Закона о персональных данных.
24 См., например, способы защиты гражданских прав (ст. 12 ГК РФ).
25 Функции указанного органа в настоящее время выполняет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) – см.: Постановление Правительства РФ от 16.03.2009 г. № 228 (ред. от 27.12.2010) «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций».
26 Приказ Роскомнадзора от 16.07.2010 г. № 482 «Об утверждении образца формы уведомления об обработке персональных данных» (вместе с «Рекомендациями по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных»). – СПС «КонсультантПлюс», 2010.
27 См.: Постановление Правительства РФ от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
28 Оценка соответствия – прямое или косвенное определение соблюдения требований, предъявляемых к объекту (ст. 2 Федерального закона от 27.12.2002 г. № 184-ФЗ (ред. от 28.09.2010) «О техническом регулировании».
29 Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой ФСТЭК России и ФСБ России в пределах их полномочий.
30 Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации. – См.: Приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13.02.2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных».
31 Многие действующие нормативные правовые акты рассматривают информационную безопасность именно в этом контексте, оставляя в стороне иные аспекты этой проблемы. Исключение составляют отдельные нормативные правовые акты, в том числе, Федеральный закон от 29.12.2010 г. № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию», согласно которому информационная безопасность детей – состояние защищённости детей, при котором отсутствует риск, связанный с причинением информацией вреда их здоровью и (или) физическому, психическому, духовному, нравственному развитию, а также Доктрина информационной безопасности РФ (утверждена Президентом РФ 09.09.2000 г. № Пр-1895), согласно которой информационная безопасность РФ – состояние защищённости её национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
32 Диффамация – распространение не соответствующих действительности порочащих сведений.