Организация защиты персональных данных (С. Сперанская, "Бюджетные учреждения: ревизии и проверки финансово-хозяйственной деятельности", N 5, май 2011 г.)

Организация защиты персональных данных

Обеспечение конфиденциальности при обработке персональных данных гражданина имеет целью защиту прав на неприкосновенность частной жизни, личную и семейную тайну. Деятельность государственных органов в данной сфере общественных отношений поможет оценить статья о создании и действии механизмов защиты сведений персонального характера в территориальном управлении Федеральной службы финансово-бюджетного надзора в Нижегородской области (далее - ТУ Росфиннадзора в Нижегородской области, Управление).

Правовое регулирование вопросов защиты персональных данных

Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и др., является персональными данными. Правовое регулирование института персональных данных осуществляется нормами права, закрепленными:

- в Конституции РФ;

- в Федеральном законе от 27.07.2006 N 152-ФЗ "О защите персональных данных" (далее - Закон о персональных данных);

- в Федеральном законе от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации";

- в Постановлении Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

- в Постановлении Правительства РФ от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".

Все перечисленные выше акты регулируют отношения, связанные с обработкой персональных данных, использованием информации в РФ, и устанавливают требования к обладателям такой информации и обеспечению ее защиты. Следует отметить, что институт персональных данных в российском праве формируется также за счет правовых норм, содержащихся в Трудовом кодексе, Федеральном законе от 27.07.2004 N 79-ФЗ "О государственной гражданской службе" и др.

Конституцией РФ предусмотрены гарантии права на неприкосновенность частной жизни индивида - механизмы, направленные на обеспечение человеку и гражданину реальной возможности реализовать право на невмешательство в его личную и семейную жизнь и защищать его. Среди конституционных гарантий этого естественного, основного права человека - запрет на произвольное вмешательство в частную жизнь каждого, на осуществление сбора, хранения, использования и распространения информации о частной жизни лица без его согласия и др.

Создание действенной системы защиты сведений персонального характера позволяет обеспечить соблюдение, охрану и защиту права человека и гражданина на неприкосновенность частной жизни. Особую актуальность и значимость задаче обеспечения защиты данного права от вмешательства и контроля со стороны как государства, так и других субъектов общества придает глобализация информационных ресурсов и расширение открытости деятельности во всех сферах общественных отношений.

В таких условиях защита персональных данных представляет собой комплекс правовых, организационно-технических, экономических и политических мер, направленных на предотвращение незаконного сбора, хранения, использования и распространения информации о человеке и гражданине.

Законодательством РФ предусмотрен ряд мер государственно-правовой защиты права на неприкосновенность частной жизни, в том числе защиты персональных данных.

С целью реализации правоохранительной функции российским законодательством о персональных данных предусмотрены все виды ответственности за нарушение его требований: гражданская, уголовная, административная, дисциплинарная и др.

Субъект персональных данных, то есть каждый человек и гражданин РФ, обладает широким кругом прав, гарантированных Конституцией РФ и законодательством о персональных данных. А вот в отношении юридических и физических лиц, осуществляющих обработку сведений о субъектах, нормы законодательства о персональных данных носят преимущественно обязывающий и запрещающий характер.

Обязанность принятия мер по обеспечению конфиденциальности и безопасности персональных данных при их обработке (включающих, например, установку и ввод в эксплуатацию средств защиты информации; обучение лиц, использующих средства защиты информации, правилам работы с ними и многое другое) возложена на операторов - органы власти федерального, регионального, местного уровней, организации, осуществляющие обработку персональных данных. Они должны за счет собственных средств обеспечить защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения сведений персонального характера, от иных неправомерных действий, а также приведение используемых ими информационных систем в соответствие с требованиями к обеспечению безопасности персональных данных при их обработке в указанных информационных системах, а материальных носителей биометрических персональных данных и технологий хранения таких данных - в соответствие с требованиями правовых актов Правительства РФ в случае обработки персональных данных вне информационных систем.

Организация работы с персональными данными в ТУ Росфиннадзора в Нижегородской области

ТУ Росфиннадзора в Нижегородской области является территориальным органом Федеральной службы финансово-бюджетного надзора, осуществляющим функции контроля и надзора в финансово-бюджетной сфере, а также функции органа валютного контроля на территории Нижегородской области.

Управление осуществляет контроль и надзор:

- за использованием средств федерального бюджета, государственных внебюджетных фондов, а также материальных ценностей, находящихся в федеральной собственности;

- за соблюдением резидентами и нерезидентами (за исключением кредитных организаций и валютных бирж) валютного законодательства РФ, требований актов органов валютного регулирования и валютного контроля;

- за соблюдением требований бюджетного законодательства РФ получателями финансовой помощи из федерального бюджета, гарантий Правительства РФ, бюджетных кредитов, ссуд и инвестиций;

- за исполнением органами финансового контроля федеральных органов исполнительной власти, органов государственной власти субъектов РФ и органов местного самоуправления законодательства РФ о финансово-бюджетном контроле и надзоре.

ТУ Росфиннадзора в Нижегородской области как орган финансового и валютного контроля уполномочено не только осуществлять контроль в установленных сферах деятельности, но и возбуждать и рассматривать дела об административных правонарушениях за нарушение требований бюджетного и валютного законодательства РФ.

Штат сотрудников Управления состоит из федеральных государственных гражданских служащих и младшего обслуживающего персонала.

Соответственно можно выделить несколько групп субъектов персональных данных, в отношении которых ТУ Росфиннадзора в Нижегородской области как оператор осуществляет обработку:

1. Государственные гражданские служащие Управления.

2. Младший обеспечивающий персонал.

3. Должностные лица проверяемых организаций, в которых сотрудниками Управления проводятся ревизии и проверки.

4. Должностные лица юридических лиц и физические лица, которые привлекаются к административной ответственности за совершение нарушений бюджетного и валютного законодательства РФ.

Обработка персональных данных 1-й и 2-й групп субъектов осуществляется в ТУ Росфиннадзора в Нижегородской области с применением следующих автоматизированных систем:

- информационной системы персональных данных "1С:Зарплата и кадры", предназначенной для ведения учета по изменению данных госслужащих и работников Управления;

- информационной подсистемы "АКСИОК-Кадры", предназначенной для работы с документами по личному составу, ведения картотеки сотрудников, подготовки информации для начисления зарплаты;

- информационной системы персональных данных "1С:Бухгалтерия", предназначенной для выполнения расчетных задач по начислению заработной платы сотрудников, отчислений в социальные, налоговые органы.

Для обработки персональных данных субъектов 3-й и 4-й групп в Управлении используются информационные системы "Ревизор" и "Контроль-3", предназначенные для учета результатов контрольно-надзорной деятельности в сфере соответственно финансово-бюджетного и валютного контроля, и система для обработки персональных данных в рамках возбуждения дел об административных правонарушениях, выявленных проверками в установленных сферах деятельности.

В перечень обрабатываемых ТУ Росфиннадзора в Нижегородской области персональных данных входят как общедоступные, так и конфиденциальные сведения, например персональные данные сотрудников. Работа с указанными данными требует приведения используемых в Управлении информационных систем в соответствие с законодательными и нормативными правовыми актами о защите персональных данных.

С этой целью в ТУ Росфиннадзора в Нижегородской области приняты следующие меры по защите персональных данных при их обработке в используемых информационных системах:

1. Проведена классификация информационных систем персональных данных (далее - ИСПД) согласно Порядку проведения классификации информационных систем персональных данных, утвержденному Приказом ФСТЭК РФ, ФСБ РФ и Мининформсвязи РФ от 13.02.2008 N 55/86/20. Локальным правовым актом ТУ Росфиннадзора в Нижегородской области, применяемым в Управлении ИСПД, присвоен 3-й класс.

2. После проведения классификации разработана модель угроз ИСПД в соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в ИСПД и Методикой определения угроз безопасности ИСПД, утвержденными заместителем директора ФСТЭК РФ от 15.02.2008;

3. Для защиты персональных данных от несанкционированного доступа (НСД) использованы методы и способы защиты информации, установленные п. 2.3 приложения к Положению о методах и способах защиты информации в информационных системах персональных данных, утвержденному Приказом ФСТЭК РФ от 05.02.2010 N 58:

- установлена разрешительная система допуска пользователей к информационным ресурсам, информационным системам и связанным с их использованием работам, программным средствам и документам (составлена матрица доступа к информационной системе персональных данных, где указывается, к каким ресурсам кому разрешен доступ. Матрица доступа реализуется на ПЭВМ (сервере), где находится база данных);

- ограничен доступ пользователей в помещения, где размещены технические средства, а также хранятся носители информации (приказами ТУ Росфиннадзора в Нижегородской области сотрудник управления по информатизации назначен администратором информационной безопасности, ответственным за администрирование и эксплуатацию системы защиты информации на автоматизированных системах, а также утвержден список лиц, допущенных к работе на объектах информатизации);

- реализована регистрация действий пользователей, контроль несанкционированного доступа и действий пользователей;

- используются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия (используются сертифицированные Управлением ФСТЭК программы защиты данных от НСД типа Secret Net);

- организованы учет и хранение съемных носителей информации и их обращение в целях исключения хищения, подмены и уничтожения (для этих целей заведен журнал учета магнитных носите лей);

- используются защищенные каналы связи (применяются межсетевые экраны или средства криптозащиты);

- организована физическая защита помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных, а также размещение технических средств в пределах охраняемой территории Управления (помещения сдаются под охрану, составлен список лиц, имеющих право вскрывать помещения);

- приняты меры по предотвращению внедрения в информационные системы вредоносных программ и программных закладок (установлены сертифицированные Управлением ФСТЭК антивирусные программы, разработана инструкция по антивирусной защите).

Данные мероприятия проводятся в соответствии с требованиями законодательства, нормативных правовых актов Правительства РФ и уполномоченных им органов исполнительной власти, а также методическими рекомендациями Росфиннадзора о методах и способах защиты информации в информационных системах персональных данных, изданными в августе 2010 года.

* * *

До настоящего времени остаются нерешенными вопросы использования данных, получаемых Управлением при осуществлении функции финансово-бюджетного контроля и подлежащих указанию в документах о назначении и проведении проверок в соответствии с нормативными правовыми актами, регламентирующими деятельность территориальных органов Росфиннадзора, например указание в удостоверениях на проведение проверок и актах проверок данных о составе ревизионной группы - фамилии, должности, присвоенного классного чина каждого ревизора, отражение в актах проверок данных о руководителе, главном бухгалтере, фамилий, имен, отчеств, должностей сотрудников проверенных организаций, допустивших нарушения, и обработка этих персональных данных в информационных системах.

Решение указанных вопросов затрудняется тем, что в системе органов Росфиннадзора не существует единого прикладного программного продукта, решающего проблемы учета результатов и отчетности по контрольно-надзорной деятельности в сфере финансово-бюджетного контроля, ввиду чего в территориальных управлениях Росфиннадзора применяются разные информационные системы, позволяющие решать указанные проблемы. Приведение этих информационных систем в соответствие с требованиями законодательства РФ о персональных данных требует значительных финансовых затрат при условии финансирования таких мероприятий за счет средств федерального бюджета и отсутствия в территориальных управлениях Росфиннадзора других источников финансирования.

Кроме экономической и финансовой, указанная проблема имеет еще одну составляющую - законодательную неурегулированность деятельности органов государственного финансового контроля. В действующем законодательстве РФ отсутствует единое понятие "государственный финансовый контроль".

В Бюджетном кодексе нет определения ни государственного, ни бюджетного контроля. Между тем сфера государственного финансового контроля много шире бюджетного контроля, она не ограничивается бюджетными правоотношениями и распространяется на другие государственно-правовые отношения - в налоговой, валютной, банковской сферах. Урегулировать эту ситуацию помогло бы издание федерального закона о государственном финансовом контроле, который определившего цели, задачи, структуру органов госфинконтроля и порядок их взаимодействия, формы и механизмы контроля. Такой закон позволил бы решить и указанные выше вопросы обработки персональных данных органами государственного финансового контроля при осуществлении ими контрольной деятельности.

По смыслу действующего в настоящее время законодательства о персональных данных обработка указанных выше сведений должна осуществляться только с согласия субъекта персональных данных. Это означает, что, например, при выявлении и описании нарушения в акте проверки ревизор (или оператор - орган госфинконтроля, который он представляет) должен получить согласие допустившего нарушение должностного материально ответственного лица проверенной организации на указание сведений о нем в акте проверки, что противоречит смыслу и принципам контроля. Издание же закона о государственном финансовом контроле, устанавливающего цель обработки персональных данных, условия их получения и круг субъектов контроля, персональные данные которых подлежат обработке при осуществлении контрольной деятельности, а также определяющего полномочия оператора - органа государственного финансового контроля, позволило бы урегулировать обозначенные проблемы в рамках законодательства о персональных данных, поскольку при установлении подобных норм в соответствии с п. 1 ч. 2 ст. 6 Закона о персональных данных органу государственного финансового контроля не потребуется получать согласие субъекта персональных данных на обработку сведений о нем.

Проведенное на примере ТУ Росфиннадзора в Нижегородской области исследование вопроса реализации конституционной гарантии защиты персональных данных позволяет сделать вывод о том, что за достаточно небольшой промежуток времени в России издано множество законодательных и нормативных правовых актов, приказов и нормативно-методических документов государственных органов, уполномоченных решать и контролировать те или иные вопросы обработки персональных данных, а также локальных правовых актов и инструкций на уровне операторов, нацеленных на приведение работы, связанной с обработкой информации о субъектах персональных данных, в соответствие с установленными требованиями. Вместе с тем указанные документы нацелены прежде всего на поддержание должного уровня технической защиты персональных данных при их обработке в информационных системах, а не на создание условий, обеспечивающих реальную защиту прав граждан при обработке этой категории сведений. Остаются неурегулированными положения закона о персональных данных, ставящие многие ежедневные действия операторов фактически вне закона, меры ответственности за нарушения законодательства, регламентирующего использование данной категории сведений, а также экономические вопросы реализации мероприятий, позволяющих обеспечить защиту персональных данных субъектов.

С. Сперанская,

заместитель руководителя ТУ Росфиннадзора

в Нижегородской области

"Бюджетные учреждения: ревизии и проверки финансово-хозяйственной деятельности", N 5, май 2011 г.