Информационная безопасность. Защита персональных данных

Важнейшим вопросом, который решает Федеральным Законом № 152-ФЗ "О персональных данных", является защита личной информации о каждом из нас, любом человеке и гражданине, обеспечение защиты прав и свобод граждан при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Мы предлагаем решение задачи по защите конфиденциальной информации – персональных данных. Группа компаний "Альянс-БИТ" специализируется на разработке и внедрении документальных процессов в сфере обработки персональных данных, которые полностью соответствуют положениям законодательства и отвечают требованиям контролирующих органов.

Все мы являемся "носителями" конфиденциальной информации – персональных данных. Это, например, фамилия, имя, отчество,  место и дата нашего рождения,  данные документов, удостоверяющих личность (паспорт, свидетельство о рождении, водительское удостоверение и т.д.),  сведения о нашем финансовом состоянии (получаемых доходах, выплачиваемых налогах, имеющихся сбережениях, а также кредитных и долговых обязательствах, так характерных для нашего времени), информация о состоянии здоровья (данные медицинских карт, сведения о диагнозах и пройденном лечении),  и многие другие сведения, которые в соответствии с Федеральным Законом № 152-ФЗ прямо или косвенно определяют любого человека (физическое лицо – субъект персональных данных). Это означает, что под определение персональных данных подпадают любые сведения о сотрудниках, информация о клиентах и контрагентах Вашей организации, содержащиеся как в информационных системах, так и на вполне привычных нам бумажных носителях.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработку персональных данных осуществляют операторы персональных данных. Согласно Федеральному Закону № 152-ФЗ "О персональных данных" оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Таким образом, действие Федерального Закона № 152-ФЗ распространяется на персональную информацию о каждом гражданине нашей страны и охватывает все без исключения учреждения, компании и индивидуальных предпринимателей России.

Операторы персональных данных должны применять надлежащие административные, технические и физические меры по защите персональных данных от случайного или незаконного уничтожения, случайной потери, несанкционированного изменения, несанкционированного разглашения или доступа, неправомерного использования или от любых других противозаконных операций с обрабатываемыми персональными данными.

Федеральный Закон № 152-ФЗ "О персональных данных" поставил перед российскими организациями и учреждениями сложную задачу, решение которой требует незамедлительных действий. Государство с большой серьезностью относится к вопросу обеспечения безопасности в сфере обработки персональных данных: помимо постоянно пополняемой законодательной базы и введения мер ответственности, видна работа по выявлению и профилактике нарушений действующего законодательства контролирующими органами. Если ранее при разработке Конституции нашей страны, законодатели заложили среди основополагающих факторов государственного устройства право любого гражданина на неприкосновенность частной жизни, личную и семейную тайну, то с выходом Федерального Закона № 152-ФЗ были конкретизированы направления деятельности по защите персональной информации, появились подзаконные акты, определяющие порядок и способы защиты персональных данных. Среди тесно связанных с  Федеральным Законом № 152-ФЗ "О персональных данных" нормативных правовых документов необходимо упомянуть Постановление Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановление Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Приказ ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" и многие другие немаловажные документы.

Органом государственной  власти, на который Федеральным законом № 152-ФЗ возлагаются функции по надзору в сфере обработки персональных данных, а также по ведению реестра операторов персональных данных, является Роскомнадзор. Действия Роскомнадзора в вопросе защиты персональных данных зачастую можно охарактеризовать как жесткие и бескомпромиссные. Незнание и невыполнение положений действующего законодательства, регламентирующего обработку персональных данных, нередко приводит к негативным последствиям для осуществления деятельности, регулярным штрафам или даже приостановке деятельности по инициативе контролирующих органов.

Кроме того, отдельные полномочия в части технической защиты конфиденциальной информации и использования для этих целей особых средств шифровальной и криптографической защиты Федеральный закон «О персональных данных» возлагает на Федеральную службу по техническому и экспортному контролю (ФСТЭК России) и Федеральную службу безопасности (ФСБ России). Вместе с тем, полномочия по надзору в сфере обработки и защиты персональных данных также имеются у органов Прокуратуры Российской Федерации, МВД России, Государственной инспекции труда.

Проверки

Действия "контролеров" в этом вопросе зачастую можно охарактеризовать как жесткие и бескомпромиссные. Незнание и невыполнение положений действующего законодательства, регламентирующего обработку персональных данных, нередко приводит к негативным последствиям для развития бизнеса, регулярным штрафам или даже приостановке деятельности по инициативе контролирующих органов.

Плюс ко всему, в современном обществе организации, допускающие нарушения законодательства, могут быстро снискать себе сомнительную славу как среди партнеров или клиентов, так и в рядах собственных работников. А зачастую и того хуже – стать жертвами недобросовестной конкуренции и попасть под внимание контролирующих органов по "наводке" своих соперников по бизнесу.

Согласно ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность, в частности: дисциплинарную, административную, гражданскую, уголовную и другую, предусмотренную нормами действующего законодательства Российской Федерации. Вместе с тем, моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.


Часто задаваемые вопросы

Что такое персональные данные?

Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе:

  • фамилия, имя, отчество;
  • год, месяц, дата и место рождения;
  • адрес, семейное, социальное, имущественное положение, образование, профессия, доходы;
  • другая информация (ст. 3 Федерального Закона № 152-ФЗ "О персональных данных").

Например: паспортные данные, финансовые сведения, медицинские карты, биометрические данные, другая идентификационная информация личного характера.

Обязательные требования по защите информационных систем персональных данных

При обработке персональных данных в информационных системах персональных данных (ИСПДн) необходимо выполнение, в частности, следующих требований:

  • организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

  • обеспечение сохранности носителей персональных данных;

  • утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

  • использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
  • назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе;
  • доступ к содержанию электронного журнала сообщений возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей;
  • автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
  • создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
Указанные требования являются необходимыми, но не достаточными в зависимости от каждого конкретного уровня защищенности персональных данных при их обработке в ИСПДн и должны дополняться соблюдением общих условий обработки персональных данных в соответствии с Федеральным Законом № 152-ФЗ "О персональных данных".
Какая ответственность предусмотрена за нарушение законодательства о персональных данных

Приведем перечень возможных нарушений и основные виды предусмотренной за них ответственности:

  • ст. 137 Уголовного кодекса Российской Федерации (УК РФ) – Нарушение неприкосновенности частной жизни

  • ст. 140 УК РФ – Отказ в предоставлении гражданину информации;

  • ст. 183 УК РФ – Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну;
  • ст. 272 УК РФ – Неправомерный доступ к компьютерной информации;

  • ч. 1 ст. 5.27 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ) – Нарушение трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права;

  • ст. 5.39 КоАП РФ – Отказ в предоставлении информации,

  • ст. 13.11 КоАП РФ – Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных),

  • ст. 13.12 КоАП РФ – Нарушение правил защиты информации,

  • ст. 13.13 КоАП РФ – Незаконная деятельность в области защиты информации,

  • ст. 13.14 КоАП РФ - Разглашение информации с ограниченным доступом,

  • ст. 19.4 КоАП РФ – Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор (контроль), муниципальный контроль,

  • ст. 19.4.1 КоАП РФ – Воспрепятствование законной деятельности должностного лица органа государственного контроля (надзора), органа муниципального контроля,

  • ст. 19.5 КоАП РФ – Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), муниципальный контроль,

  • ст. 19.6 КоАП РФ – Непринятие мер по устранению причин и условий, способствовавших совершению административного правонарушения,

  • ст. 19.7 КоАП РФ – Непредставление сведений (информации);

  • ст. 90 Трудового кодекса Российской Федерации (ТК РФ) – Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.