ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНАХ ГМУ: ПРОБЛЕМЫ И ПУТИ ИХ РЕШЕНИЯ Терещенко С.Н., Осипов А.Л., Рапоцевич Е.А. НГУЭУ, СИБАГС В январе 2007г. вступил в силу федеральный закон № 152 «О персональных данных» (далее закон), а последние поправки к нему определили контрольную дату приведения информационных систем в соответствие с требованиями закона - не позднее 1 января 2011 года. В самом тексте закона были сформулированы лишь общие положения по защите персональных данных, а пакет документов с более детальными техническими требованиями был утвержден ФСТЭК (Федеральной службой по техническому и экспортному контролю) и ФСБ (Федеральной службой безопасности). В законе сформировано определение персональных данных (ПДн). Это «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация». Определено «государственный понятие орган, оператора ПДн. муниципальный Им орган, может являеться юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных». Это включает под действие этого закона практически любую организация, в том числе и органы государственного и муниципального управления (ГМУ). Понятие обработки персональных данных в законе, представлено как «действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных». Очевидно, что под это определение попадает широкий набор действий над ПДн в органах ГМУ. В законе указано, что «оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». Важным моментом является то, что обработку ПДн можно производить только после согласия их владельца, причем в письменной форме (или электронной цифровой подписи). Согласно закону, оператор до начала обработки ПДн обязан уведомить уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн. В качестве уполномоченного органа выступает Роскомнадзор. Однако если организация обрабатывает только ПДн своих работников, то в этом случае она может вести обработку без уведомления уполномоченного органа. В соответствии со статьей 24 федерального закона «лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность». В случае нарушения закона, к организации могут быть применены следующие меры: Приостановление или прекращение обработки осуществляемой с нарушением требований закона. ПДн, Приостановка действия или лишение лицензий, без которых деятельность по обработке ПДн становится нелегитимной. Конфискация несертифицированных средств защиты информации. Привлечение к уголовной и (или) административной ответственности нарушителей закона. В случае выявления неправомерных действий с ПДн оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения этих нарушений в положенный срок, оператор обязан уничтожить ПДн. Для персональных данных имеется классификация, которая основана на приказе ФСТЭК, ФСБ и Мининформсвязи от 13 февраля 2008 г. №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных». Классификация осуществляется по двум основным критериям: категории и объему обрабатываемых данных. Категории персональных данных. Категория 1 – персональные данные, касающиеся расовой принадлежности, политических взглядов, религиозных философских убеждений, состояния здоровья. Категория 2 – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1. Категория 3 – персональные данные, позволяющие идентифицировать субъекта персональных данных. Категория 4 – обезличенные персональные данные. С точки зрения объема обрабатываемых данных выделяются следующие виды систем: Категория 1 – в информационной системе одновременно обрабатываются персональные данные о более 100 000 субъектов. Категория 2 – в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов. Категория 3 – в информационной системе одновременно обрабатываются персональные данные менее чем 1000 субъектов. На основе установленного класса информационной системы определяются требования, которым эта система должна соответствовать. Чем ниже категория, тем выше требования к безопасности системы. Для решения вышеперечисленных проблем, связанных с защитой персональных данных, требуется создание комплексной системы информационной безопасности. Процесс создания такой системы включает в себя следующие этапы: проведение обследования информационной системы с целью оценки соответствия организации требованиям закона; разработка модели угроз безопасности ПДн; разработка модели нарушителя (в случае использования каналов связи для передачи ПДн); проектирование системы защиты ПДн в составе информационной системы, обрабатывающей персональные данные; разработка комплекта организационно-распорядительных документов по защите персональных данных; внедрение системы защиты ПДн; аттестация информационной системы ПДн по требованиям безопасности информации. Работы по созданию системы защиты ПДн могут выполняться как силами самой организации, так и сторонними компаниями.