1 июля 2011 года закончится отсрочка по вступлению в силу санкций за неисполнение Федерального закона Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных». К этому сроку все юридические и физические лица, использующие в своей деятельности персональные данные в электронном виде, должны осуществить необходимые мероприятия по их защите в соответствии с Федеральным Законом.
Практически все информационные системы хранят и обрабатывают данные о людях, такие как: фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, информация о доходах и другие сведения о персоне.
В соответствии с Федеральным Законом № 152-ФЗ «О персональных данных», такая информация отнесена к категории Персональных данных (ПДн). Закон определяет и понятие «Оператор персональных данных»: «… - государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание такой обработки».
Все информационные системы, в которых обрабатываются персональные данные, должны быть приведены в соответствие с требованиями Закона «О персональных данных» к 1 июля 2011 г.
Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении положения об обеспечении безопасности ПДн при их обработке в ИС персональных данных», нормативные и методические документы ФСТЭК России ФСБ России регламентирует порядок реализации Оператором обязательных мер по обеспечение безопасности ПДн.
Согласно этим документам, обеспечение безопасности ПДн является неотъемлемой частью работ по созданию и поддержке информационных систем. Закон обязывает Оператора ПДн принимать организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Для обеспечения безопасности ПДн нормативными документами определен комплекс мер, включающий:
- определение угроз безопасности ПДн и формирование модели угроз;
- разработку, на основе модели угроз, системы защиты ПДн;
- проверку готовности средств защиты информации к использованию;
- обучение персонала правилам работы со средствами защиты;
- учет применяемых средств защиты информации и носителей ПДн;
- учет лиц, допущенных к работе с ПДн;
- контроль соблюдения условий эксплуатации средств защиты информации;
- реагирование на нарушение режима защиты ПДн.
Защита персональных данных в среднем и малом бизнесе
Предприятия малого и среднего бизнеса постоянно вынуждены работать с персональными данными своих сотрудников и клиентов. Особенно остра эта проблема в следующих сферах:
Деятельность муниципальных учреждений
Медицина и рекреация
ЖКХ и бытовое обслуживание
Образование и юридические услуги
Почтовые рассылки и электронная коммерция
Строительство и недвижимость
Автосервис и автотрейдинг
Инвестиции и финансы
Консалтинг и аудит
Издательство и печать
При этом, у небольших компаний зачастую нет ни IT-департаментов, ни выделенного штатного сотрудника, занимающегося информационной безопасностью. Но субъекта персональных данных не интересует, крупное или малое предприятие занято обработкой его данных. При противоправных действиях с такой информацией и в том, и в другом случае ему может быть причинен ущерб. Да и Закон ориентируется на защиту интересов субъекта, а не на размер бизнеса оператора Персональных данных.
Классификация персональных данных и информационных систем
Информационные системы, обрабатывающие ПДн (ИСПДн), в зависимости от категории и объема обрабатываемых персональных данных, а также угроз безопасности жизненно важным интересам личности (то есть от потенциального ущерба (негативных последствий), который может быть нанесён гражданам (субъектам персональных данных) делятся на классы от К1 до К4. Чем выше класс ИСПДн, тем более жёсткие требования предъявляются к обеспечению безопасности обрабатываемых в них ПДн.
Категория персональных данных определяется в соответствии с таблицей:
категория 1 ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 ПД, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1;
категория 3 персональные данные, позволяющие идентифицировать субъекта ПДн;
категория 4 обезличенные и (или) общедоступные ПДн.
Класс ИСПДн определяется в соответствии с таблицей:
|
Количество субъектов ПД Категории ПД |
< 1000 |
от 1000 – до 100 000 |
> 100 000 |
|
категория 4 |
К4 |
К4 |
К4 |
|
категория 3 |
К3 |
К3 |
К2 |
|
категория 2 |
К3 |
К2 |
К1 |
|
категория 1 |
К1 |
К1 |
К1 |
Работы по созданию системы защиты персональных данных (СЗПДн) обычно включают:
- комплексное обследование (аудит) ИСПДн, разработку модели угроз в соответствии с регламентирующими документами;
- разработку предложений по классификации ИСПДн (проекта акта классификации ИСПД);
- разработку требований к СЗПДн для конкретной ИСПДн, с учетом присвоенного класса защиты;
- разработку и внедрение СЗПДн в соответствии с требованиями нормативных документов;
- аттестацию ИСПДн на соответствие требованиям по защите ПДн;
- консультирование по вопросам применения требований по защите персональных данных.
Законом и соответствующими нормативными актами предусмотрена необходимость разработки комплекта организационно-распорядительных документов, регламентирующих работу системы защиты ПДн, и определяющих организационные меры защиты. Оператор персональных данных может разработать их самостоятельно, используя комплект шаблонов таких документов, либо может заказать разработку в специализированной организации.
Ответственность
Для лиц, виновных в нарушении или ненадлежащем выполнении требований по защите персональных данных, законодательством РФ предусмотрены различные виды ответственности. Ниже приведены некоторые примеры.
|
Статья |
Нормативно-правовой акт |
Название статьи |
Максимальная мера наказания |
|
5.27 |
КоАП |
Нарушение законодательства о труде |
50.000 руб. + приостановление деятельности на срок до 90 суток + дисквалификация должностного лица до 3-х лет |
|
13.11 |
КоАП |
Нарушение порядка сбора, хранения, использования и распространения ПДн |
10.000 руб |
|
13.12 |
КоАП |
Нарушение правил защиты или использование не сертифицированных средств; нарушение условий лицензии ФСТЭК / ФСБ |
20.000 руб. + конфискация + приостановление деятельности на срок до 90 суток |
|
13.13 |
КоАП |
Деятельность в области защиты ПДн без лицензии ФСТЭК / ФСБ |
20.000 руб. + конфискация |
|
13.14 |
КоАП |
Разглашение персональных данных |
5.000 руб. |
|
19.4 |
КоАП |
Невыполнение требований или воспрепятствование исполнению обязанностей ФСТЭК |
10.000 руб. |
|
19.5 |
КоАП |
Невыполнение в срок требований надзорного органа или ФСТЭК |
500.000 руб. + дисквалификация должностного лица до 3-х лет |
|
19.6 |
КоАП |
Непринятие мер по устранению нарушений |
500 руб. |
|
19.7 |
КоАП |
Непредставление или представление в неполном или искаженном виде в Россвязькомнадзор сведений об операторе ПДн |
5.000 руб. |
|
19.20 |
КоАП |
Осуществление деятельности без лицензии или с нарушением ее условий |
20.000 руб. + приостановление деятельности на срок до 90 суток |
|
137 |
УК |
Нарушение неприкосновенности частной жизни |
300.000 руб. + исправительные работы на срок до 240 часов + арест до 6-ти месяцев |
|
171 |
УК |
Незаконное предпринимательство |
300.000 руб. + обязательные работы на срок до 1-го года + арест до 6-ти месяцев + лишение права занимать должность на срок до 5-ти лет |
|
90 |
ТК |
Нарушение норм получения, обработки и защиты ПДн |
увольнение |
Информация предоставлена Департаментом поддержки и развития малого и среднего предпринимательства г. Москвы
Журнал «Мир и безопасность», май-июнь 2011