Защита персональных данных
advertisement
Защита персональных данных - Часто задаваемые вопросы 1. Типовые вопросы по организации защиты персональных данных 2. Как получить нормативные документы ФСТЭК России по защите персональных данных? 3. В каком случае необходимо получать лицензию ФСТЭК России на деятельность по технической защите информации? 4. Реальная, а не декларируемая процедура и стоимость получения лицензии. Что для этого необходимо? 5. Чем отличаются требования по защите АС класса 1Г и требования по защите персональных данных? 6. Что такое модель угроз? 7. Что такое аттестация, а что - оценка соответствия? В чем разница? 8. Какой объект подлежит оценке соответствия - объект информатизации или прикладная система, обрабатывающая ПДн? 9. Что такое сертификация? Речь идет о сертификации СЗИ или информационной системы, обрабатывающей ПДн? 10. Вопросы по классификации. Чем отличаются классы защищённости ИС ПДн К1 и К2? 11. Насколько дороже и сложнее построить систему защиты для класса К1, чем для класса К2? 12. Последовательность шагов оператора ПДн по выполнению требований Федерального закона 2006 г. № 152 «О персональных данных»? 13. Каков общий порядок действий компании по организации соответствия своей правовой деятельности требованиям документов ФСТЭК по защите ПДн, правовые, юридические вопросы, в частности: порядок перезаключения договоров на использование ПДн сотрудников? 14. Как правильно передавать ПДн 3-ей стороне из компании, какие документы должны регламентировать этот порядок? 15. Кто ответственен за разглашение переданных ПДн 3-ей стороне, Оператор ПДн или 3-я сторона, где и как это должно быть определено? 16. Каков должен быть уровень внедрения защиты ПДн, к примеру на рабочие станции - средства доверенной загрузки, аутентификации, доступа непосредственно к приложениям, чем определяется данный уровень (моделью угроз, классом ИС ПДн)? 17. Как можно оптимизировать затраты на построение СЗПДн, исходя из задачи закрытия требований документов ФСТЭК и аттестации ИС ПДн, в частности, как можно аттестовать ядро ИС ПДн, без аттестации отдельно каждого удаленного рабочего места (если их, например, тысячи), использование технологий без непосредственной обработки ПДн на удаленных АРМ, использование корпоративного портала? 1 18. Какие общие требования по защите правильно закладывать для только проектируемых ИС ПДн, в каких документах это прописано (до проведения этапов обследования и тех.проектирования СЗПДн)? 19. Если ИС ПДн содержит ПО иностранных производителей (не проходивших сертификацию в РФ), при аттестации подобной ИС ПДн не потребуется сертификация данного иностранного ПО? Если потребуется, то какая, каковы ориентировочные временные затраты на сертификацию? Нужно ли будет предоставлять исходные коды ПО? 20. Как определяется необходимость получения лицензий ФСБ на разные виды деятельности, в том числе на использование ПО криптографической защиты передаваемых данных? 21. Каков порядок действий компании (организации) при проведении проверки уполномоченным органом на соответствие требованиям по защите ПДн, возможные варианты развития событий? Ответы на вопросы 1. Как получить нормативные документы ФСТЭК России по защите персональных данных? Распространение нормативных документов ФСТЭК России по защите персональных данных будет осуществляться региональными управлениями ФСТЭК России по федеральным округам по заявкам операторов персональных данных после того, как эти документы будут изданы типографским способом. Для организаций с негосударственной формой собственности документы будут предоставляться за плату. Так как нормативные документы ФСТЭК России по защите персональных данных имеют пометку «Для служебного пользования» (т.е. содержат сведения, составляющие служебную тайну) в заявке о их предоставлении необходимо указывать, что организация – оператор персональных данных обязуется обеспечить их сохранность в соответствии с «Положением о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти», утверждённым постановлением Правительства Российской Федерации 1994 г. № 1233. В настоящее время центральный аппарат ФСТЭК России осуществляет подготовку к изданию исправленной и дополненной редакции нормативных документов по защите персональных данных. Ориентировочные сроки выпуска типографского издания этой редакции – 34 кварталы 2008 г. 2. В каком случае необходимо получать лицензию ФСТЭК России на деятельность по технической защите информации? В соответствии с п. 3.14 «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, 2 обрабатываемых в информационных системах персональных данных» (утверждены заместителем директора ФСТЭК России 15 февраля 2008 г.) операторы ИС персональных данных для проведения мероприятий по обеспечению безопасности ПДн при их обработке в ИС 1, 2 классов и в распределённых информационных системах 3 класса должны получать лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке. Настоящее время порядок лицензирования деятельности по технической защите конфиденциальной информации (в том числе лицензионные требования и условия, предъявляемые к соискателям лицензий) установлен следующими нормативными документами: Федеральный закон от 8.08.2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности»; Постановление Правительства Российской Федерации от 26.01.2006 г. № 45 «Об организации лицензирования отдельных видов деятельности»; Постановление Правительства Российской Федерации от 15.08.2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»; Приказ ФСТЭК России от 28.08.2007 г. № 181 «Об утверждении административного регламента федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности по технической защите конфиденциальной информации» (зарегистрирован в Минюсте РФ 3 октября 2007 № 10232). 3. Реальная, а не декларируемая процедура и стоимость получения лицензии. Что для этого необходимо? Процедура лицензирования определена документами, перечисленными в ответе ко 2-му вопросу. Согласно ст. 9 Федерального закона от 8.08.2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности» для получения лицензии соискатель представляет в лицензирующий орган (ФСТЭК России) пакет документов, подтверждающих выполнение им соответствующих лицензионных требований и условий. На основании рассмотрения и анализа представленных документов лицензирующий орган принимает решение о предоставлении или об отказе в предоставлении лицензии в течение 45 дней со дня поступления заявления о предоставлении лицензии со всеми необходимыми документами. Соответствующее решение оформляется приказом лицензирующего органа. Подробно лицензионные требования и условия для получения лицензии на деятельность по технической защите конфиденциальной информации установлены постановлением Правительства Российской Федерации от 15.08.2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации». Порядок (процедура) лицензирования определён «Административным регламентом федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности по технической защите конфиденциальной информации» 3 (приказ ФСТЭК России от 28.08.2007 г. № 181). За рассмотрение лицензирующим органом заявлений о предоставлении лицензий и за предоставление лицензий уплачивается государственная пошлина в размерах и порядке, которые установлены законодательством Российской Федерации о налогах и сборах. В настоящее время размер государственной пошлины составляет: за рассмотрение заявления о выдаче лицензии - 300 руб.; за предоставление лицензии - 1000 руб. 4. Чем отличаются требования по защите АС класса 1Г и требования по защите персональных данных? Требования по защите персональных данных в значительной мере базируются на требованиях, изложенных в ранее принятых нормативных документах ФСТЭК России по защите информации конфиденциального характера, к основным из которых относятся: Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). (приказ Гостехкомиссии России от 30.08.2002 г. № 282); Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (Гостехкомиссия России, 1992 г.). Вместе с тем РД «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены заместителем директора ФСТЭК России 15 февраля 2008 г.) предъявляет более жёсткие требования по защите ИС ПДн, чем требования к АС класса 1Г. Мероприятия по защите ПДн должны быть реализованы в рамках следующих подсистем СОБИ: управления доступом; регистрации и учёта; обеспечения целостности; криптографической защиты; антивирусной защиты; обнаружения вторжений; защиты от утечки за счёт ПЭМИН (для ИС 1 и 2 классов). Конкретный состав мероприятий по защите ПДн определяется в зависимости от класса ИС и результатов моделирования угроз. 5. Что такое модель угроз? Модель угроз - это документ, определяющий перечень и характеристики основных (актуальных) угроз безопасности ПДн и уязвимостей при их обработке в ИС ПДн, которые должны учитываться в процессе организации защиты информации, проектирования и разработки систем защиты информации, проведения проверок (контроля) защищенности ПДн. 4 Цель разработки модели угроз – определение актуальных для конкретной ИС ПДн угроз безопасности, источников угроз и уязвимостей. Результаты моделирования должны использоваться для классификации ИС ПДн, а также в качестве исходных данных для построения (проектирования) обоснованной и эффективной системы защиты персональных данных. 6. Что такое аттестация, а что - оценка соответствия? В чем разница? Согласно ст. 2 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» оценка соответствия – это прямое или косвенное определение соблюдения требований, предъявляемых к объекту. В нашем случае объектом оценки будет являться ИС ПДн и её СОБИ. В соответствии с РД ФСТЭК России «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» оценка соответствия ИС ПДн (как объекта информатизации) требованиям безопасности информации может осуществляться в следующей форме: для ИС ПДн 1 и 2 классов – обязательная сертификация (аттестация) по требованиям безопасности информации; для ИС ПДн 3 класса – декларирование соответствия требованиям безопасности информации; для ИС ПДн 3 класса – оценка соответствия проводится по решению оператора. Таким образом, аттестация – это одна из форм оценки соответствия ИС ПДн требованиям безопасности информации. В настоящее время общий порядок аттестации определён руководящим документом «Положением по аттестации объектов информатизации по требованиям безопасности информации» (утверждено председателем Гостехкомиссии России 25 ноября 1994 г.). Под аттестацией объекта информатизации по требованиям безопасности информации понимается комплекс организационнотехнических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативных документов по защите информации, утвержденных ФСТЭК России. Цель проведения аттестации (как и других методов оценки соответствия) – официальное подтверждение эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации. 7. Какой объект подлежит оценке соответствия - объект информатизации или прикладная система, обрабатывающая ПДн? Согласно действующим нормативным документам ФСТЭК России оценке соответствия подлежит объект информатизации, представляющий собой (по ГОСТ Р 51275-2006) совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с 5 заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров, отсюда следует, что оценке соответствия требованиям безопасности подлежит ИС ПДн, а не прикладная подсистема. Это же определено и п. 3.11 РД «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных». 8. Что такое сертификация? Речь идет о сертификации СЗИ или информационной системы, обрабатывающей ПДн? Согласно ст. 2 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» сертификация – это форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров (а также требованиям, устанавливаемых уполномоченными органами государственной власти). В соответствии с п. 5 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781) средства защиты информации (СЗИ), применяемые в информационных системах обработки персональных данных, в должны проходить в установленном порядке процедуру оценки соответствия. Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» установлены два метода оценки соответствия: сертификация и декларирование соответствия. В настоящее время порядок сертификации СЗИ в системе сертификации ФСТЭК России установлен «Положением о сертификации средств защиты информации по требованиям безопасности информации» (утверждено приказом Гостехкомиссии России от 27 октября 1995 г. № 199). Процедура оценки соответствия методом декларирования ФСТЭК России будет разработана и введена в действие ориентировочно в конце 2008 г. В РД по защите персональных данных речь идёт о: оценке соответствия СЗИ (или путём сертификации или декларирования о соответствии); сертификации системы защиты информационной системы, обрабатывающей ПДн, на соответствие заданию по безопасности или профилю защиты (в случае если ЗБ или ПЗ для ИС разрабатывались в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-2002 и соответствующих РД ФСТЭК России). 6 9. Вопросы по классификации. Чем отличаются классы защищённости ИС ПДн К1 и К2? Отличие состоит в более высоком уровне защиты. Для ИС ПДн класса К1 должны быть дополнительно (относительно ИС ПДн класса К2) реализованы: более жёсткие требования в подсистемах управления доступом, регистрации и учёта, обеспечения целостности; соответствующий уровень контроля НДВ для ПО СЗИ; программно-аппаратные средства (системы) анализа защищённости; в значительно большем объёме мероприятия по защите ПДн от утечки по каналам ПЭМИН; мероприятия по защите акустической (речевой) информации (в случае использования функции голосового ввода или воспроизведения информации акустическими средствами). 10 Насколько дороже и сложнее построить систему защиты для класса К1, чем для класса К2? Так как система защиты для ИС класса К1 должна реализовывать необходимые меры защиты ПДн в большем объёме (см. ответ по п. 9) (т.е. система защиты будет более сложной), то и её стоимость будет выше. Конкретную стоимость работ можно обосновать только после проведения обследования состояния защищённости ИС и моделирования угроз. 11. Последовательность шагов оператора ПДн по выполнению требований Федерального закона 2006 г. № 152 «О персональных данных»? Для выполнения требований Федерального закона 2006 г. № 152 «О персональных данных» оператор персональных данных должен выполнить следующие мероприятия: провести инвентаризацию ИР, обрабатываемых в ИС, и определить перечень ПДн; урегулировать правовые вопросы обработки (использования) ПДн (уточнение правовых оснований обработки ПДн, получение согласия субъектов на обработку, пересмотр (при необходимости) договоров с субъектами, установление сроков обработки ПДн и др.); оформить и направить в территориальный орган уполномоченного органа по защите прав субъектов ПДн уведомление об обработке ПДн; разработать модель угроз (на основании результатов обследования ИС); провести классификацию ИС с оформлением соответствующего акта; получить (при необходимости) лицензию на деятельность по ТЗИ (согласно постановлению Правительства РФ 2006 г. № 504); определить требования по защите ПДн при их обработке в ИС ПДн в соответствии с присвоенным классом и результатами моделирования; 7 осуществить проектирование СОБИ; реализовать проект на создание СОБИ; провести оценку соответствия ИС ПДн требованиям безопасности согласно присвоенному классу. организовать эксплуатацию ИС в соответствии с требованиями безопасности и контроль соблюдения условий использования СЗИ. 12. Каков общий порядок действий компании по организации соответствия своей правовой деятельности требованиям документов ФСТЭК по защите ПДн, правовые, юридические вопросы, в частности: порядок перезаключения договоров на использование ПДн сотрудников? Руководящие документы ФСТЭК России распространяются только на вопросы технической защиты персональных данных при их автоматизированной обработке в ИСПДн. Поэтому правовые вопросы порядка получения и использования персональных данных должны решаться в соответствии с Федеральным законом 2006 г. № 152 ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, другими нормативными правовыми актами по этому вопросу. 13. Как правильно передавать ПДн 3-ей стороне из компании, какие документы должны регламентировать этот порядок? Согласно ч. 4 ст. 6 ФЗ «О персональных данных» оператор имеет право на основании договора передать персональные данные для обработки другому (третьему) лицу. В этом случае существенным условием договора должна являться обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. В договоре должны быть определены цели обработки персональных данных третьим лицом, требование обеспечения им конфиденциальности и безопасности персональных данных при их обработке, а также ответственность третьего лица в случае нарушения им требований законодательства. 14. Кто ответственен за разглашение переданных ПДн 3-ей стороне, Оператор ПДн или 3-я сторона, где и как это должно быть определено? Как указано в ответе на 2-й вопрос, передача персональных данных третьим лицам согласно ч. 4 ст. 6 ФЗ «О персональных данных» может осуществляться только на основании договора, в котором в том числе должна быть предусмотрена ответственность за нарушение требований законодательства по обеспечению безопасности персональных данных. В этом случае ответственность за разглашение переданных 3-му лицу персональных данных будет нести это лицо. 8 15. Каков должен быть уровень внедрения защиты ПДн, к примеру на рабочие станции - средства доверенной загрузки, аутентификации, доступа непосредственно к приложениям, чем определяется данный уровень (моделью угроз, классом ИС ПДн)? В соответствии с руководящими документами ФСТЭК России уровень требований, предъявляемых по обеспечению безопасности персональных данных, обрабатываемых в конкретной ИСПДн, зависит от состава актуальных угроз, определяемого по результатам моделирования угроз, и класса ИСПДн . Для обеспечения безопасности персональных данных при их обработке в ИСПДн операторы должны создавать систему защиты персональных данных (СЗПДн), которая должна включать следующие подсистемы: управления доступом; регистрации и учёта; обеспечения целостности; криптографической защиты; антивирусной защиты; обнаружения вторжений; защиты от утечки за счёт ПЭМИН (только для ИСПДн 1 и 2 классов). Требования, предъявляемые к каждой подсистеме СЗПДн, определяются дифференцированно, по результатам обследования ИСПДн, моделирования угроз и на основании присвоенного класса ИСПДн. В случае применения средств криптографической защиты, требования к необходимому уровню криптографической защиты персональных данных определяются в зависимости от типа возможного нарушителя, который определяется по результатам моделирования угроз на основании нормативных документов ФСБ России. 16. Как можно оптимизировать затраты на построение СЗПДн, исходя из задачи закрытия требований документов ФСТЭК и аттестации ИС ПДн, в частности, как можно аттестовать ядро ИС ПДн, без аттестации отдельно каждого удаленного рабочего места (если их, например, тысячи), использование технологий без непосредственной обработки ПДн на удаленных АРМ, использование корпоративного портала? Затраты на построение СЗПДн можно оптимизировать используя следующие подходы: Оптимизация категорий обрабатываемых ПДн. Оптимизация структуры ИСПДн и процессов обработки ПДн. В том числе локализация ПДн в защищённом сегменте ИСПДн, разделение ИСПДн на сегменты разных классов. Проведение обоснованной классификации ИСПДн. Правильное моделирование угроз безопасности ПДн. Оптимизация состава применяемых организационных и технических мер обеспечения безопасности ПДн. Унификация состава применяемых СЗИ. 9 Другие меры, определяемые на основании результатов обследования ИСПДн. 17. Какие общие требования по защите правильно закладывать для только проектируемых ИС ПДн, в каких документах это прописано (до проведения этапов обследования и тех.проектирования СЗПДн)? Согласно РД ФСТЭК России «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (п. 3.6) для вновь создаваемых (проектируемых) ИСПДн требования по обеспечению безопасности ПДн также определяются в зависимости от класса ИСПДн и результатов моделирования угроз. В этом случае разработка конкретных требований по обеспечению безопасности ПДн, включаемых в техническое (частное техническое) задание на разработку СЗПДн, осуществляется на предпроектной стадии и должна осуществляться с учётом следующих факторов: характера (перечня) ПДн, подлежащих защите; условий расположения ИСПДн относительно границ контролируемой зоны (КЗ); конфигурации и топологии ИСПДн в целом, и её отдельных компонент, физических, функциональных и технологических связей как внутри этих систем, так и с другими системами различного уровня назначения; состава технических средств и систем, предполагаемых к использованию в разрабатываемой ИСПДн, условий их расположения, общесистемных и прикладных программные средств, имеющихся и предлагаемые к разработке; режимов обработки ПДн в ИСПДн в целом и в отдельных компонентах; класса ИСПДн; степени участия персонала в обработке ПДн, характера их взаимодействия между собой; угроз безопасности ПДн. 18. Если ИС ПДн содержит ПО иностранных производителей (не проходивших сертификацию в РФ), при аттестации подобной ИС ПДн не потребуется сертификация данного иностранного ПО? Если потребуется, то какая, каковы ориентировочные временные затраты на сертификацию? Нужно ли будет предоставлять исходные коды ПО? В общем случае используемое в ИСПДн ПО иностранного производства не подлежит сертификации (оценке соответствия). Оператор обязан использовать ПО (как иностранного так и отечественного производства), прошедшее сертификацию (оценку соответствия) только в случае, если механизмы защиты, реализованные в этом ПО, предполагается использовать для обеспечения безопасности персональных данных. В этом случае указанное ПО будет относиться к средствам защиты информации и подлежит в обязательном порядке процедуре сертификации (оценки соответствия). 10 В остальных случаях для обеспечения безопасности персональных данных должны использоваться специализированные программные (программно-аппаратные) средства защиты информации, прошедшие в установленном порядке оценку соответствия (сертификацию) во ФСТЭК России. 19. Как определяется необходимость получения лицензий ФСБ на разные виды деятельности, в том числе на использование ПО криптографической защиты передаваемых данных? Действующая нормативные правовые акты в области обеспечения безопасности персональных данных не обязывают оператора получать какие-либо лицензии ФСБ России. Вместе с тем для обеспечения безопасности персональных данных оператором могут использоваться криптографические средства защиты информации (в основном в случае необходимости передачи персональных данных по открытым (незащищённым) каналам связи). В этом случае порядок применения криптографических средств защиты персональных данных устанавливается следующими нормативными документами ФСБ России: Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. № 149/6/6-622, 2008 г. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. № 149/54-144, 2008 г. В случае необходимости применения криптографических средств защиты персональных данных оператор имеет право воспользоваться услугами специализированных организаций, имеющих лицензии ФСБ России на соответствующие виды деятельности (на право предоставления услуг в области шифрования информации и деятельности по техническому обслуживанию шифровальных (криптографических) средств). Вместе с тем по желанию оператора он имеет право получить лицензии ФСБ России на следующие виды деятельности, связанные с шифровальными (криптографическими) средствами: предоставление услуг в области шифрования информации; деятельность по техническому обслуживанию шифровальных (криптографических) средств; деятельность по распространению шифровальных (криптографических) средств; деятельность по разработке, производству шифровальных (криптографических) средств, защищенных использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем. 11 Порядок лицензирования по этим видам деятельности устанавливается Федеральным законом «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. № 128-ФЗ и Постановлениями Правительство Российской Федерации от 26 января 2006 г. № 45 «Об организации лицензирования отдельных видов деятельности» и от 29 декабря 2007 г. № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами». 20. Каков порядок действий компании (организации) при проведении проверки уполномоченным органом на соответствие требованиям по защите ПДн, возможные варианты развития событий? В настоящее время Уполномоченным органом по защите прав субъектов персональных данных, назначаемым в соответствии со ст. 23 ФЗ «О персональных данных», является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Россвязьинформкомнадзор), преобразованная из Федеральной службы по надзору в сфере связи и массовых коммуникаций в соответствии с указом Президента Российской Федерации от 3 декабря 2008 года № 1715. На эту федеральную службу возлагается задача обеспечения контроля и надзора за соответствием обработки операторами персональных данных требованиям Федерального закона «О персональных данных». Как правило, в настоящее время проверки операторов этим органом планируются и осуществляются на основании обращений (жалоб) субъектов персональных данных (граждан). Цель контроля и надзора - проверка соответствия требованиям законодательства содержания персональных данных и способов их обработки целям их обработки. Уполномоченный орган по защите прав субъектов персональных данных имеет право (ст. 23 ФЗ «О персональных данных»): запрашивать у операторов (физических или юридических лиц) информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию; осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий; требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных; принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований Федерального закона; обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде; направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по 12 приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных; направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью; привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона. Оператор обязан учитывать эти полномочия при проведении мероприятий по контролю и надзору, а также предоставлять информацию, необходимую для реализации надзорному органу предоставленных Законом полномочий. Рекомендуется обязательное участие в мероприятиях по контролю и надзору юридической службы компании. Возможные последствия проверок вытекают из перечисленных полномочий и могут составлять: получение предписаний на устранение выявленных нарушений; наложение административных штрафов; приостановление или прекращение обработки персональных данных, осуществляемой с нарушением требований Федерального закона; принятие мер по приостановлению действия или аннулированию основных лицензий операторов; возбуждение уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных. Задача контроля и надзора за выполнением технических требований по обеспечению безопасности персональных данных возложена на федеральный орган исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России), и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. В настоящее время разрабатывается совместное положение Россвязьинформкомнадзора, ФСТЭК России и ФСБ России, определяющее порядок проведения комплексного контроля и надзора за деятельностью операторов, связанной с обработкой персональных данных. 13
