Организационные вопросы защиты персональных данных ("БУХ.1С", N 12, декабрь 2009 г.)

Организационные вопросы защиты персональных данных

Приближается 1 января 2010 года - дата окончательного вступления в силу Федерального закона от 27.06.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ). В том, что персональные данные защищать необходимо, уже никто не сомневается, но дискуссии об организации такой защиты не стихают. И причин для возникновения споров, связанных с реализацией требований Федерального закона N 152-ФЗ, предостаточно: неоднозначность требований законодательства, существенные финансовые расходы, которые не предусмотрены бюджетами организаций, и др. Специалисты фирмы "1С" знакомят с основными положениями Федерального закона N 152-ФЗ, подзаконными актами и дают некоторые рекомендации по организации защиты персональных данных при осуществлении обработки данных с использованием средств автоматизации.

Несомненно, что комплекс требуемых мер по защите персональных данных (далее - ПДн) будет отличен для различных организаций и учреждений в зависимости от вида обрабатываемой информации, объема персональных данных, структуры информационной системы, предъявляемых требований безопасности, а также ряда иных факторов. Вместе с тем все организации едины в своем желании "обойтись малой кровью", оптимизировать тем или иным образом затраты на проведение комплекса мероприятий по защите ПДн.

Например, для одних организаций при обработке "стандартных" сведений (о работниках и клиентах), в случае если их объем незначительный, можно обойтись собственными силами, без привлечения дополнительных ресурсов, для других при обработке существенного объема ПДн основной задачей будет выявление "излишней" информации, что в результате позволит снизить требования, предъявляемые к защите ПДн и, как следствие, затраты по их защите.

Нетрудно предположить, что в небольших организациях, в которых нет ни IT-отдела, ни службы безопасности, часть работы (если не вся), по реализации требований настоящего закона "ляжет на плечи" бухгалтера. В связи с этим, попытаемся познакомить наших читателей с основными положениями Федерального закона N 152-ФЗ, подзаконных актов и дать некоторые рекомендации по организации защиты персональных данных при осуществлении их обработки с использованием средств автоматизации.

Основы законодательства РФ по защите ПДн

Напомним, что данный закон был принят в соответствии с Конвенцией Совета Европы "О защите физических лиц при автоматизированной обработке персональных данных" (ETS N 108, 1981 г.). Основной целью закона является защита прав и свобод человека при обработке его личной информации, в том числе право на неприкосновенность частной жизни, личную и семейную тайну.

Однако, как известно, предоставление права с одной стороны всегда порождает обязанность с другой. Данный закон также не явился исключением, и уже сегодня некоторые организации в полной мере на себе ощутили новые требования и обязанности, возникающие в связи с необходимостью организации и проведения мероприятий по защите персональных данных.

Напомним, что в соответствии со статьей 3 Федерального закона N 152-ФЗ оператором информационной системы ПДн признается государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Исходя из данного определения любая организация или предприниматель признается оператором информационной системы ПДн.

Причем требования законодательства о защите ПДн предусматривают не только необходимость создания системы защиты ПДн с учетом технических решений с последующей аттестаций или декларированием соответствия информационной системы ПДн требованиям безопасности информации, но и разработку системы документооборота, предусматривающую возможность получения согласия у субъектов ПДн на обработку ПДн, уведомление Роскомнадзора о своем намерении осуществлять обработку ПДн, разработку документов, регламентирующих обработку ПДн, и т.п.

Для организации и проведения работ по защите ПДн следует познакомиться не только с нормами Федерального закона N 152-ФЗ, Положением об обеспечении персональных данных при их обработке в информационных системах персональных данных, утвержденного Постановлением Правительства РФ от 17.11.2007 N 781 (далее - Положение), но и нормативными правовыми актами, разработанными "регуляторами" исполнения данного закона:

- приказ ФСТЭК РФ, ФСБ РФ, Роскомнадзора от 13.02.2008 N 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных";

- приказ Роскомнадзора от 28.03.2008 N 154 "Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных";

- приказ Федеральной службы по надзору в сфере связи и массовых коммуникаций от 17.07.2008 N 08 "Об утверждении образца формы уведомления об обработке персональных данных". Документ размещен на сайте - http://www.rsoc.ru/docs/20080905163059ZE.pdf;

- "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных", утв. заместителем директора ФСТЭК России 15.02.2008 (ДСП);

- "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных", утв. Заместителем директора ФСТЭК России 14.02.2008 (ДСП);

- "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в ИСПДн" от 15.02.2008 (ДСП) - http://www.fstec.ru/_razd/_ispo.htm, размещены на сайте в сокращенном виде;

- "Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", утв. Заместителем директора ФСТЭК России 15.02.2008 (ДСП) - http://www.fstec.ru/_razd/_ispo.htm, размещены на сайте в сокращенном виде;

- "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации", утв. руководством 8 Центра ФСБ России 21.02.2008 N 149/5-144. Документ размещен на сайте - http://www.rsoc.ru/docs/20081218101410o1.doc;

- "Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных", утв. руководством 8 Центра ФСБ России 21.02.2008 N 149/6/6-622. Документ размещен на сайте - http://www.rsoc.ru/docs/20081218101535n8.doc.

Хочется обратить внимание, что организации, имеющие лицензию ФСТЭК РФ на организацию работы по защите конфиденциальной информации, имеют возможность заказать полные копии поименованных выше документов ФСТЭК РФ с грифом "Для служебного пользования".

Рассмотрим, какие же мероприятия необходимо попытаться успеть провести всем организациям и учреждениям до 1 января 2010 года.

Получение согласие у субъекта ПДн на обработку его данных

Статьей 9 Федерального закона N 152-ФЗ предусмотрено, что субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.

Часто ли мы можем столкнуться с предоставлением своих персональных данных? Ответ может удивить: практически ежедневно. Например, совершая покупку в магазине, вам предлагают оформить дисконтную карту, для заполнения которой необходимо указать определенные сведения, в том числе фамилию, имя, отчество, дату рождения, а также адрес места жительства, адрес электронной почты, телефон и т.д. В другом месте у вас могут потребовать паспорт и внести сведения в компьютер. Необходимо ли в этих случаях получать ваше согласие на их обработку? Постараемся ответить на эти вопросы.

В первую очередь, следует напомнить, что следует понимать под персональными данными.

В соответствии со статьей 3 Федерального закона N 152-ФЗ персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Как видим, перечень такой информации является открытым.

Во вторую очередь необходимо учитывать, что предоставление данных может быть обязательным и добровольным. Например, обязательное предоставление данных предусмотрено пунктом 2 статьи 9 Федерального закона N 152-ФЗ в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. В большинстве же случаев мы предоставляем персональные данные в добровольном порядке. При этом в ряде случаев получение согласия субъектов ПДн на обработку ПДн не требуется.

Когда согласие не требуется?

Например, без получения согласия субъекта ПДн может осуществляться обработка персональных данных в целях исполнения договора, одной из сторон которого является субъект ПДн либо в случае, если обработка ПДн необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи и т.п. Полный перечень таких исключений приведен в пункте 2 статьи 6 Федерального закона N 152-ФЗ.

Кроме того, следует принимать во внимание, что обеспечение конфиденциальности ПДн не требуется в отношении общедоступных ПДн. Общедоступные источники ПДн (в том числе справочники, адресные книги и т.п.) могут создаваться в целях информационного обеспечения. В такие источники могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом ПДн.

Вместе с тем применять приведенные выше исключения необходимо с "должной степенью осмотрительности", так как на оператора возлагается обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными.

Форма согласия

В соответствии с пунктом 4 статьи 9 Федерального закона N 152-ФЗ письменное согласие субъекта ПДн на обработку своих персональных данных должно включать в себя:

1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2. наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3. цель обработки персональных данных;

4. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

5. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6. срок, в течение которого действует согласие, а также порядок его отзыва.

Таким образом, к 1 января 2010 года при организации документооборота необходимо предусмотреть получение разрешения у субъектов ПДн на обработку данных.

Ответственность

Каковы могут быть последствия, если оператор ПДн игнорирует данное требование?

Федеральным законом 152-ФЗ предусмотрено, что субъект ПДн имеет право на получение сведений об операторе и информации, касающейся обработки его ПДн, на доступ к своим ПДн, а также на обжалование действий или бездействия оператора.

Кроме того, субъект ПДн может обратиться за защитой своих прав и законных интересов, в том числе за возмещением убытков и (или) компенсацией морального вреда в судебном порядке.

Также не стоит забывать, что отказ в предоставлении требуемой субъектом ПДн информации или нарушение порядка обработки предоставленных сведений может явиться основанием для проведения внеплановой проверки Роскомнадзора.

Уведомление Роскомнадзора

С 1 января 2008 операторы, осуществляющие обработку персональных данных, обязаны направлять уведомление в уполномоченный орган по защите прав субъектов персональных данных. Такое уведомление в соответствии с требованием пункта 1 статьи 22 Федерального закона N 152-ФЗ оператор должен направлять до начала обработки персональных данных. Положение о ведении реестра операторов, осуществляющих обработку ПДн, было утверждено приказом Роскомнадзора от 28.03.2008 N 154.

По состоянию на 1 ноября 2009 года в реестре зарегистрировано около 68 тыс. операторов ПДн. Вместе с тем в качестве оператора ПДн может быть рассмотрено практически любое юридическое лицо, а в ряде случаев и физические лица. Регистрация в реестре осуществляется в территориальных подразделениях Роскомнадзора, которые созданы практически во всех субъектах Российской Федерации.

Пункт 2 статьи 22 Федерального закона N 152-ФЗ предусматривает ряд исключений. Операторы без уведомления Роскомнадзора вправе осуществлять обработку персональных данных:

1. относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2. полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных (например, такая ситуация может иметь место при заключении договора бытового подряда);

3. относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4. являющихся общедоступными персональными данными;

5. включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6. необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7. включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8. обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами РФ, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

Форма уведомления утверждена приказом Федеральной службы по надзору в сфере связи и массовых коммуникаций Министерства связи и массовых коммуникаций РФ от 17.07.2008 N 08. В уведомлении необходимо указать следующие основные положения: наименование и адрес местонахождения предприятия, цель обработки персональных данных, категории персональных данных и субъектов персональных данных, правовое основание и способы обработки ПДн. Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством РФ. Далее Роскомнадзор в течение 30 дней вносит предоставленные оператором сведения в реестр.

Следует помнить, что в случае изменения предоставленных сведений оператор обязан уведомить об изменениях уполномоченный орган в течение 10 дней с даты возникновения таких изменений.

Соответственно до 1 января 2010 года надо принять решение:

- о необходимости направления уведомления в Роскомнадзор;

- о внесении изменений в перечень обрабатываемых ПДн с целью "попадания в перечень исключений".

Проведение классификации и присвоение класса информационной системе

Еще одним обязательным мероприятием, которое обязаны осуществить все без исключения операторы информационных систем является проведение классификации и присвоение класса информационной системе.

В соответствии с определением, приведенным в статье 3 Федерального закона N 152-ФЗ, под информационной системой персональных данных понимается информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. Таким образом, при проведении классификации необходимо исходить в первую очередь из перечня сведений, подлежащих обработке в информационной системе, а уже затем учитывать применяемые технические средства, прикладные программы, средства антивирусной защиты, сетевые экраны и т.п.

Основной целью проведения классификации является установление методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.

Классификация информационных систем может проводиться как на этапе создания информационных систем, так и в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем).

В соответствии с пунктом 2 Порядка проведения классификации информационных систем, утвержденного совместным Приказом ФСТЭК РФ (Федеральной службы по техническому и экспортному контролю), ФСБ РФ и Министерства информационных технологий и связи РФ от 13.02.2008 N 55/86/20 классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных, т.е. классификация проводится самой организацией. Несомненно, если организация "сомневается в своих силах", то для проведения классификации следует привлечь стороннюю организацию, специализирующуюся на оказании данных видов услуг.

Необходимо оговориться, что класс информационной системы ПДн варьируется от К4 до К1, при этом наименьшие требования к защите ПДн предъявляются к классу К4, а максимальные - к классу К1, т.е. говоря о повышении класса информационной системы подразумеваем снижение требований по защите информации.

Особо важно ответить на вопрос: "Какие факторы следует учитывать при проведении классификации?" Рассмотрим некоторые из них.

Объем обрабатываемых персональных данных

Данная характеристика на первой взгляд кажется относительно простой. При определении класса информационной системы ПДн необходимо определить в какой диапазон попадает ИСПДн вашей организации исходя из объема обрабатываемых данных:

- менее 1 000 субъектов;

- от 1 000 до 100 000 субъектов;

- более 100 000 субъектов.

При расчете данного показателя стоит учитывать содержащуюся в базе информацию о работниках, бывших работниках, акционерах (учредителях), клиентах, контактных лицах в различных организациях (поставщиках, покупателях) и т.п. При этом при обработке данных в рамках одной организации (независимо от численности) следует исходить из порядка, предусмотренного для ИСПДн, в которой обрабатываются ПДн не более чем 1 000 субъектов. Таким образом, в особую "группу риска" попадают те лица, в информационных базах которых содержится информация о деятельности нескольких организаций и соответственно сведения о субъектах ПДн, имеющих отношения к нескольким операторам ПДн.

Таким образом, исходя из данных двух факторов, можно попытаться предварительно определить класс информационной системы в соответствии со следующей таблицей.

Задачей следующего определение типа информационной системы - типовая или специальная. Напомним, что в соответствии с пунктом 8 рассматриваемого Порядка типовыми признаются те информационные системы, в которых требуется обеспечение только конфиденциальности ПДн. Если же в информационной системе вне зависимости от необходимости обеспечения конфиденциальности ПДн требуется обеспечить хотя бы одну из характеристик безопасности ПДн, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий), то такая система является специальной.

В случае если рассматриваемую информационную систему ПДн можно признать типовой, то такой системе присваивается один из следующих классов:

- класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

- класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

- класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

- класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Вид персональных данных	В информационной системе одновременно обрабатываются данные
	менее чем 1000 субъектов ПДн или ПДн субъектов ПДн в пределах конкретной организации	от 1000 до 100 000 субъектов ПДн или ПДн субъектов ПДн, работающих в отрасли экономики РФ, в органе гос. власти, проживающих в пределах муниципального образования	более чем 100 000 субъектов ПДн или ПДн субъектов ПДн в пределах субъекта РФ или РФ в целом
Обезличенные и (или) общедоступные данные	К4	К4	К4
ПДн, позволяющие идентифицировать субъекта ПДн	К3	К3	К2
ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1	К3	К2	К1
ПДн, касающиеся состояния здоровья, расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни	К1	К1	К1

Присвоение системе соответствующего класса подтверждается актом, утверждаемым руководителем организации. Как видно из представленной таблице у подавляющего большинства организаций, информационной системе может быть присвоен класс 3, так как мы говорим о наличии информации, позволяющей идентифицировать субъекта, а также дополнительной информации в отношении данного субъекта (адрес, должность, сумма заработной платы и т.п.), за исключением данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.

В случае, если созданная в организации/организациях информационная система ПДн не может быть признана типовой, необходимо обратить пристальное внимание на заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе.

В отношении данного фактора следует принимать во внимание, какие характеристики безопасности будут более важны в том или ином случае. Например, в отношении платежной системы наибольшую опасность представляет искажение информации, чем ее утечки (денежные средства могут быть перечислены не тому лицу). В отношении же информационных систем, содержащих сведения о субъектах воинского учета основные усилия должны быть направлены на предотвращение потерь и сохранность данных от вирусов или "сбоя железа" (призывник - может только радоваться, если данные о нем потеряются).

Кроме того среди факторов, подлежащих анализу необходимо учитывать:

- структуру информационной системы (автономные, локальные вычислительные системы без удаленного доступа, локальные вычислительные системы с удаленным доступом);

- наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;

- режим обработки персональных данных (однопользовательский или многопользовательский);

- системы с разграничением прав доступа пользователей информационной системы или без;

- местонахождение технических средств информационной системы - целиком в России или нет.

По результатам проведенного анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности ПДн в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 14.02.2008.

С учетом проведенного обследования информационной системы и присвоения класса следует определить перечень необходимых мер.

Пунктом 1 статьи 19 Федерального закона N 152-ФЗ предусмотрено, что оператор при обработке ПДн обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий.

В соответствии с пунктом 12 Положения об обеспечении безопасности ПДн при их обработке в информационных системах ПДн, утвержденного Постановлением Правительства РФ от 17.11.2007 N 781 мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

ж) учет лиц, допущенных к работе с персональными данными в информационной системе;

з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

к) описание системы защиты персональных данных.

Как отмечалось, в целях организации защиты ПДн необходимо предпринять организационные и технические меры, к которым могут быть отнесены:

- разработка документов, регламентирующих обработку персональных данных в организации (положение по обработке персональных данных, регламенты, положения по защите персональных данных);

- создание системы защиты персональных данных, в том числе разработка мер по защите информации от несанкционированного доступа (система разграничения доступа к информации; регистрация и учет; обеспечение целостности; контроль отсутствия недекларируемых возможностей; антивирусная защита; межсетевые экраны; средства блокировки устройств ввода-вывода информации, анализ защищенности; криптографические средства; обнаружение вторжений) и меры по защите информации от утечки по техническим каналам (организация режима и контроля доступа в помещения; защита от ПЭМИН (экранирование, зашумление, заземление, контролируемые зоны); защита от утечки акустической и видовой информации);

- аттестация или декларирование соответствия информационной системы персональных данных требованиям безопасности информации.

В соответствии с пунктом 3.11 Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденных ФСТЭК России 15.02.2008, предусмотрено, что на стадии ввода ИСПДн в действие необходимо осуществить оценку соответствия ИСПДн требованиям безопасности ПДн.

Оценка соответствия ИСПДн требованиям безопасности ПДн проводится в виде:

- для ИСПДн 1 и 2 классов - обязательной сертификации (аттестации) по требованиям безопасности информации;

- для ИСПДн 3 класса - декларирование соответствия требованиям безопасности информации;

- для ИСПДн 4 класса оценка соответствия проводится по решению оператора.

Деятельность по обязательной сертификации (аттестации) по требованиям безопасности информации может осуществляться исключительно организациями, имеющими соответствующую лицензию ФСТЭК РФ. Особо стоит подчеркнуть, что для обеспечения требования по защите ПДн при эксплуатации ИСПДн класса 1 и 2 операторы ПД также должны получить лицензию на деятельность по технической защите конфиденциальной информации или заключить соответствующий договор с организацией, имеющей такую лицензию.

Организационно-распорядительная документация

Особое внимание необходимо уделить разработке соответствующих документов по защите ПДн, в которых необходимо отразить перечень обрабатываемых данных, перечень ИСПДн, перечень сотрудников, имеющих право доступа и вид доступа, используемое оборудование, средства защиты, антивирусные программы и т.п.

Основными документами, подлежащими разработке, являются:

- Положение о персональных данных и их защите;

- Инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные;

- Приказы о возложении персональной ответственности за защиту ПДн;

- Регламент допуска сотрудников к обработке персональных данных;

- Регламент допуска сотрудников к обработке персональных данных;

- Перечень допущенных сотрудников к обработке персональных данных;

- Регламент допуска сотрудников к обработке персональных данных;

- Должностные инструкции сотрудников, имеющих отношение к обработке ПДн и т.д.

Категория обрабатываемых в информационной системе персональных данных

К перечню обрабатываемой информации необходимо подойти с особой тщательностью, ведь от этого напрямую зависит класс информационной систем и, соответственно, сумма расходов на проведение мероприятий по защите ПДн.

Ведь в случае внесения в информационную систему и обработки данных о состоянии здоровья класс информационной системы будет К1, а требования, предъявляемые по защите таких данных максимальными.

Возьмем для примера сведения, подлежащие учету в программе "1С:Бухгалтерия 8". Например, при внесении записи в Справочник "Физические лица" подлежат указанию следующие сведения:

- фамилия, имя, отчество;

- дата рождения;

- пол;

- место рождения;

- паспортные данные физического лица;

- гражданство;

- инвалидность;

- страховой номер свидетельства в ПФР;

- ИНН.

Кроме того в базе данных будет также содержаться информация об адресе места жительства физического лица, телефоне, должности и другие сведения, в том числе финансового характера.

Данные сведения не содержат информацию, при обработке которой мы должны были бы присваивать информационной системе класс К1. В ряде случаев могут возникнуть вопросы по поводу таких сведений как гражданство и инвалидность. Но ведь мы понимаем, что гражданство - не является синонимом национальной принадлежности, а вводится только с учетом различных требований по правильному исчислению налогов, которые различных для резидентов РФ и нерезидентов.

Еще больше сомнения вызывает графа инвалидность. Не может ли данное сведение трактоваться как состояние здоровья? Анализ действующего законодательства показывает, что в настоящее время в нормативных правовых актах, принятых на федеральном уровне, отсутствует четкое определение термина "состояние здоровья". По мнению авторов, в качестве определения можно рассматривать статью 31 Закона Российской Федерации от 22.07.1993 N 5487-1 "Основы законодательства Российской Федерации об охране здоровья граждан". В соответствии с рассматриваемой нормой под состоянием здоровья понимаются сведения о результатах обследования, наличии заболевания, его диагнозе и прогнозе, методах лечения, связанном с ними риске, возможных вариантах медицинского вмешательства, их последствиях и результатах проведенного лечения.

Вместе с тем признание гражданина инвалидом согласно соответствующим правилам, утвержденным Постановлением Правительства РФ от 20.02.2006 N 95 "осуществляется при проведении медико-социальной экспертизы исходя из комплексной оценки состояния организма гражданина на основе анализа его клинико-функциональных, социально-бытовых, профессионально-трудовых и психологических данных с использованием классификаций и критериев, утверждаемых Министерством здравоохранения и социального развития Российской Федерации". Таким образом, говорить, что данные два термина синонимичны было бы некорректно. Данные об инвалидности опять же необходимы для правильного применения налогового законодательства. Аналогично можно говорить и в отношении сведений о нетрудоспособности, учитываемых при начислении пособий по временной нетрудоспособности. Таким образом, можно говорить, что персональные данные, вводимые в "1С:Бухгалтерию 8", соответствуют классу К3. Необходимо учитывать, что в случае дополнения базы дополнительными реквизитами, организация рискует понизить класс и соответственно будет обязана повысить требования по защите этой информации.

В настоящее время нет четко разграничения между ПДн, относящимися к категории 2 (ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1) и ПДн категории 1 (персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни).

* * *

В заключении хочется отметить, что в целях снижения расходов на проведение мероприятий по защите ПДн может быть рекомендовано:

- проведение тщательного анализа и возможное сокращение перечня получаемых и обрабатываемых сведений в отношении субъектов ПДн (далеко не каждый реквизит на самом деле будет необходим для осуществления деятельности);

- осуществление обработки некоторых сведений без использования средств автоматизации;

- обезличивание части персональных данных;

- минимизация мест хранения и обработки ПДн, разделение/сегментирование информационных систем, снижение требований к части сегментов;

- сокращение числа сотрудников, имеющих доступ к персональным данным;

- выделение рабочих мест, где используются ПДн в отдельную локальную вычислительную систему и организация защиты только ее;

- передача по каналам связи только обезличенной информации.

В настоящее время на основании решения ФСТЭК России от 05.10.2009 N 2847 проводится сертификация защищенного программно-аппаратного комплекса "1С:Предприятие 8" на соответствие требованиям руководящих документов по защищенности от несанкционированного доступа к информации - по 5 классу, по уровню контроля отсутствия недекларированных возможностей - по 4 уровню контроля, а также в части оценки возможностей использования в автоматизированных системах до класса защищенности 1Г включительно и для защиты информации в информационных системах персональных данных до 2 класса.

"БУХ.1С", N 12, декабрь 2009 г.