Защита персональных данных: кто виноват и что делать?

Источник: компания «ГЭНДАЛЬФ»

1 января 2010 года закончился срок, отведенный 152-ФЗ на выполнение требований, предъявляемых законом к работе с персональными данными, обеспечивающему защиту интересов субъектов этих персональных данных. Вкратце разобраться в двух сакральных вопросах – «Кто виноват?» и «Что делать?» мы попробуем при помощи данной статьи.

КТО ВИНОВАТ?
Вопрос о конфиденциальных данных впервые возник в Указе Президента РФ 6.03.1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера». Там впервые персональные данные физических лиц были идентифицированы как конфиденциальные данные на законодательном уровне.
Закон 152 ФЗ «О персональных данных» был принят в 2006 году. В нем оговорены основные позиции государства насчет вопросов персональных данных и их защиты. Основные моменты этого закона:

• Персональные данные – это любая информация, относящаяся к конкретному физическому лицу.
• Любая организация или физическое лицо, имеющее дело с персональными данными в процессе профессиональной деятельности является оператором персональных данных. Т. е., если по-русски, ВСЕ организации и индивидуальные предприниматели в той или иной степени затрагиваются этим законом.
• Всем операторам нужно предпринять меры по юридическому оформлению и технической защите обрабатываемых персональных данных до 2010 года.

Законом также обозначаются регуляторы – государственные органы, которые уполномочены контролировать выполнение положений 152-ФЗ, этими регуляторами стали следующие органы:

• РОСКОМНАДЗОР. СФЕРА ОТВЕТСТВЕННОСТИ – ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ В ЦЕЛОМ.

Роскомнадзор отвечает за выполнение операторами юридических требований законодательных актов:

• Регистрацию оператора в специальном реестре операторов персональных данных.
• Создание «Положения об обработке персональных данных» – основного документа, определяющего, какие персональные данные, с какими целями и в течение какого срока обрабатывает оператор.
• Создание административно – распорядительных документов, определяющих права и обязанности сотрудников или подразделений по работе с персональными данными.
• Наличие бумажных разрешений субъектов персональных данных на их обработку в виде конкретных прописанных действий с их данными.

• ФСТЭК. СФЕРА ОТВЕТСТВЕННОСТИ – ТЕХНИЧЕСКИЕ СРЕДСТВА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ЗА ИСКЛЮЧЕНИЕМ КРИПТОГРАФИЧЕСКИХ СРЕДСТВ

ФСТЭК отвечает за выполнение операторами требований по технической защите данных:

• Классификацию информационных систем, обрабатывающих персональные данные в зависимости от полноты данных и количества субъектов.
• Использование сертифицированных средств защиты информации.
• Сертификацию информационных систем операторов в случае потенциально опасных для субъектов и технологически сложных информационных систем.
• Физическую защиту информации, в том числе, защиту от кражи информации при помощи считывания злоумышленниками электромагнитных наводок и звуковых колебаний.

• ФСБ

Федеральная служба безопасности отвечает за использование сертифицированных средств шифрования в случаях, когда информационная система содержит большое количество потенциально опасной информации о людях, например, информации о состоянии здоровья.

ПОЛНОМОЧИЯ И ТРЕБОВАНИЯ РЕГУЛЯТОРОВ ОПИСАНЫ В СЛЕДУЮЩИХ НОРМАТИВНЫХ ДОКУМЕНТАХ:

• Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
• Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

РУКОВОДЯЩИЕ И МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ ФСТЭК РОССИИ:

• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

РУКОВОДЯЩИЕ И МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ ФСБ РОССИИ

• Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не составляющей государственной тайны, в случае их использования в информационных системах персональных данных с использованием средств автоматизации.
• Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации.

ЧТО ДЕЛАТЬ?
Начинать следует с выполнения требований Роскомнадзора по юридическому оформлению обработки персональных данных. Действовать будем по алгоритму:

1. ПРОВЕДЕНИЕ АУДИТА ДАННЫХ, ХРАНИМЫХ О СОТРУДНИКАХ, КЛИЕНТАХ, ПОСЕТИТЕЛЯХ, ПАРТНЕРАХ И ДРУГИХ ФИЗИЧЕСКИХ ЛИЦАХ
Без жалости убрать все данные, обработка которых не является необходимой! Например, хранение характеристики на сотрудников, содержащих сведения о политических, религиозных взглядах, возможно, следует упразднить, если нет реальной бизнес–ценности в этих данных. По итогам аудита необходимо документировать перечень персональных данных, цели и сроки обработки и хранения персональных данных. Аудит поможет определить способы обработки персональных данных, от которых зависят дальнейшие действия.

2. НУЖНО ЛИ ПОДАВАТЬ УВЕДОМЛЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В РОСКОМНАДЗОР?
Закон «О персональных данных» разрешает обработку без уведомления, если обрабатываются только данные сотрудников и данные по договорным отношениям с юрлицами, если данные являются общедоступными и обрабатываются без использования средств автоматизации, а также еще в ряде случаев. Однако нужно понимать, что организация, работающая только с внутренними данными,  закрытая от внешнего мира – это, все-таки, абстракция. Следует еще раз все оценить, если Вы приходите к такому выводу. Во всех остальных случаях предприятие обязано подать уведомление на внесение в реестр операторов персональных данных. Форма уведомления доступна в Интернете. Уведомление должно быть направлено в письменной форме с подписью уполномоченного лица или в электронном виде с цифровой подписью.

3. КОМПЛЕКС МЕРОПРИЯТИЙ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Необходимо разработать организационно-распорядительные документы, которые будут регламентировать работу с персональными данными на Вашем предприятии.
Среди них:

• положение о персональных данных (инструкции администраторов и пользователей, регламенты взаимодействия с субъектами персональных данных и передаче данных третьим лицам и т.д.),
• приказ об утверждении списка лиц, обрабатывающих ПД,
• приказ о назначении лица, ответственного за организацию мер по защите ПД,
• приказ об утверждении мест хранения материальных носителей ПД,
• доверенность на физ.лицо, представляющее интересы организации при проверке.

Также должны быть в наличие:

• книга учета обращений субъектов ПД об обработке их ПД,
• журнал учета проверок.

Перечень документов можно продолжить. Здесь представлено только самое необходимое. Примеры таких документов доступны в Интернете. Напомним, что данный этап обязателен для всех организаций без исключений!

4. ДЛЯ ОРГАНИЗАЦИИ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ПД НУЖНО ПРИСТУПИТЬ К РАБОТЕ С ИНФОРМАЦИОННЫМИ СИСТЕМАМИ
Начать нужно с понимания, доступ к персональным данным с каких компьютеров является необходимым для целей бизнеса? Если есть возможность упразднить доступ к данным для всей сети или для большей ее части, то это стоит сделать – чем более простой будет информационная система, в которой производится обработка, тем более надежной она будет и тем меньше требований регуляторов, удовлетворение которых стоит больших денег, к системе будет предъявляться.
На этом этапе стоит оценить свои силы – способна ли ваша организация самостоятельно удовлетворить всем техническим требованиям или стоит привлечь стороннюю организацию, специализирующуюся на предоставлении услуг такого типа. Этот выбор может быть не всегда очевидным и стоит оценивать и соотносить риски и затраты очень ответственно.
Если Вы решили выполнять работы самостоятельно – стоит вооружиться методическими документами ФСТЭК и ФСБ для более полного понимания требований и процессов. Работы и затрат на этом этапе будет много, но это тема для отдельной статьи.

СВЕТ В КОНЦЕ ТОННЕЛЯ ИЛИ ОТСРОЧКА?
На момент написания статьи Государственная Дума практически единогласно приняла поправки к закону об отсрочке некоторых требований закона и смягчении некоторых положений. Единство взглядов, продемонстрированное депутатами, позволяет надеяться на то, что закон пройдет дальнейшие этапы согласования и будет принят. Что он меняет? Он дает всем еще один год, чтобы все привести в порядок. Но это не повод вздохнуть с облегчением и забыть про все до 2011 года!

Заниматься обеспечением безопасности персональной информации необходимо уже сегодня, так как, во-первых, отсрочиваются только требования по технической защите, юридические требования будут проверяться по все строгости. Во–вторых, требований к техническим средствам довольно много и год позволит распределить финансовые затраты более–менее равномерно и успеть подготовиться к встрече с регуляторами без финансовых и репутационных потерь. Поэтапная работа по реализации закона «О персональных данных» поможет сделать все необходимые действия в назначенный срок и будет залогом стабильного и уверенного бизнеса.