Вопросы - индикаторы для операторов ПДн

Шмелев Павел Владимирович

директор по развитию ООО «НИЦ «ФОРС»

 

Как и любая профессиональная сфера, защита информации – весьма сложная и многогранная деятельность. В прикладном смысле эта деятельность выражается в применении технических знаний и навыков, реализации методик и технологий, внедрении технических средств защиты информации. Применение тех или иных организационных и технических мер защиты базируется на комплексе правовых норм, обуславливающих те или иные требования к обработке и защите информации определенных объектов информатизации.

Правовая и методическая база, определяющая порядок, принципы, методы и способы защиты персональных данных весьма обширна. Помимо федеральных законов – это ряд Указов Президента РФ, Постановлений Правительства РФ, приказов федеральных служб, государственные стандарты, отраслевые и ведомственные стандарты. Всего насчитывается более 100 документов, регулирующих указанную сферу.

Нормативное регулирование этой сферы до настоящего времени далеко от совершенства – имеются противоречия формулировок, предпосылки к правовым коллизиям, конфликты правовых норм. Очевидно, однако, что соответствие оператора персональных данных базовым требованиям, изложенным в нормативно-правовых актах, должно являться первой (но далеко не последней) целью оператора ПДн при построении системы защиты ПДн.

Многие операторы ПДн, особенно те из них, которые не имеют в своем штате специалистов по защите информации, столкнувшись с необходимостью приведения своей деятельности в соответствие с ФЗ «О персональных данных» испытывают затруднения при оценке текущего состояния дел в своей организации. Зачастую руководители операторов слабо знакомы с нормативно-правовым регулированием сферы защиты ПДн, не понимают смысла и целей требований контрольных и надзорных органов, неосмотрительно игнорируют закрепленные в ФЗ №152 права субъекта ПДн, неправильно формулируют цели и правовые основания обработки ПДн, не догадываются о необходимости проведения процедур оценки соответствия и т.п. Как следствие, создаются нежизнеспособные системы защиты персональных данных, которые не только не способны обеспечить надлежащий уровень защиты, но и в большинстве случаев противоречат требованиям нормативных документов в сфере защиты ПДн.

Ниже приведены вопросы-индикаторы, которые позволят оператором понять, действительно ли состояние защиты ПДн в их организациях (после выполнения каких-либо работ по внедрению системы защиты ПДн) соответствует требованиям нормативных документов в области ЗИ. Эти же вопросы позволяют конкретизировать задачи, которые оператор ставит перед интегратором в целях выполнения работ по защите ПДн. Вопросы сопровождаются ссылками на требования действующих нормативно-правовых актов и нормативных документов, а также расширенным разъяснением сути этих вопросов.

  1. Являются ли законными цели и способы обработки ПДн? (ст.5 ФЗ152). В каком документе оператора указаны эти цели и способы, кто их сформулировал (профессиональный уровень)? Понимает ли оператор правой смысл термина «цели обработки»? Какими законами обоснована цель обработки? В отношении каждой ли категории субъектов ПДн определены цели и способы обработки?
  2. Соответствуют ли цели обработки ПДн заранее заявленным и определенным при сборе персональных данных? Соответствуют ли цели обработки полномочиям оператора? (ст5 Фз152). Соответствуют ли фактически реализуемые цели обработки тем целям, которые «заранее заявлены»? В каком документе оператора закреплены (определены) заранее (до начала обработки) эти цели?
  3. Соответствует ли объем и характер обрабатываемых ПДн и способов обработки целям обработки? Достаточны или избыточны обрабатываемые ПДн по отношению к заявленным целям? (ст.5 ФЗ152). Проведен ли анализ такого соответствия? Кто осуществлял этот анализ (профессиональный уровень)? В каком документе оператора закреплены критерии достаточности или избыточности ПДн? Определены ли категории подлежащих обработке ПДн по отношению к каждой категории субъектов ПДн?
  4. Превышают ли сроки хранения ПДн сроки, обусловленные целями обработки ПДн? Уничтожаются ли ПДн по достижению целей обработки? (ст.5 ФЗ152, п. 64.1.6 АР Роскомнадзора). Хранятся ли у оператора те ПДн, относительно которых цели обработки уже достигнуты (ПДн работников, клиентов, третьих лиц)? Определены ли сроки обработки ПДн для каждой категории субъектов ПДн? Определен ли порядок уничтожения ПДн? В каком документе оператора закреплены сроки обработки и хранения? В каком документе оператора фиксируется факт уничтожения ПДн в отношении каждого субъекта ПДн?
  5. Получено ли согласие субъекта ПДн на обработку ПДн (ст.6 ФЗ152, п. 64.1.4 АР Роскомнадзора)? Готов ли оператор выполнить свою обязанность по подтверждению наличия согласия субъекта ПДн? (ст.9 Фз152). Включает ли в себя письменное согласие субъекта все обязательные сведения? (ст. 9 ФЗ152). Многие операторы, ссылаясь на исключение (п.2 ч.2 ст6 ФЗ) считают, что не нужно получать согласие субъекта ПДн на обработку ПДн, если субъект – работник оператора. Это так, но только в отношении целей обработки, связанных с трудовыми отношениями, а не в отношении любых иных целей (например, добровольного медицинского страхования работника, оздоровления детей работника и т.п.).
  6. Имеется ли в договорах, на основании которых ПДн передаются третьим лицам, существенное условие об обеспечении безопасности и конфиденциальности ПДн? (ст. 6 ФЗ 152, п.10 ПП 781). Такими договорами в большинстве компаний являются сопровождение IT–инфраструктуры, медобслуживание, бухгалтерский учет, доступ посетителей на объект и т.п. Знает ли оператор о правовых последствиях отсутствия существенного условия договора в случаях, когда такое условие обязательно в силу закона?
  7. Обрабатываются оператором специальные категории ПДн? (п.1 ст.10 ФЗ152)? Есть ли для этого правовые основания? (п.2 ст.10 ФЗ152, п. 64.1.5 АР Роскомнадзора)? Кто (профессиональная компетенция) проводил такой анализ? действительно ли у оператора отсутствуют в обработке специальные категории ПДн (например, справки о состоянии здоровья в связи с требованиями по допуску к определенным работам)?
  8. Если специальные категории ПДн обрабатываются, то нашло ли это отражение в классификации ИСПДн?(Приказ N 55/86/20).
  9. Проведена ли классификация ИСПДн? (Приказ N 55/86/20).
  10. Осуществляется ли трансграничная передача ПДн? Соблюдены ли до начала обработки требования по проверке адекватности защиты прав субъектов ПДн адекватной защите прав субъекта ПДн? (ст.12 ФЗ152). Соблюдаются ли требования по безопасности ПДн при такой передаче? (Указ Президента РФ от 17 марта 2008 г. N 351, п.п.2.4, 2.6, 2.7, 28 Пр ФСТЭК 58). Получено ли согласие субъекта на такую передачу (ст12 ФЗ152)? Кто (профессиональный уровень) оценивал эту деятельность оператора, знаком ли оператор с перечнем стран, обеспечивающих защиту ПДн в соответствии с международными нормами?
  11. Готов ли оператор в необходимых объемах, в установленных сроках и порядке реализовать права субъекта ПДн по предоставлению субъекту ПДн необходимых сведений? (ст. 14 Фз152) Согласуются ли эти сведения (цели обработки, способы, условия, сроки обработки и хранения, правовые основания обработки, сведения о лицах, перечни ПДн и источники их получения, юридические последствия и т.п.) с аналогичными сведениями, закрепленными в документах оператора (уведомление, Положение и т.п.)?
  12. Каким документом оператора закреплены обязанности и порядок действий оператора при поступлении жалоб субъекта ПДн? (п. 64.1.2 АР Роскомнадзора)?
  13. Предоставляет ли оператор до начала обработки необходимую информацию субъекту ПДн, если ПДн были получены не от самого субъекта, а от третьих лиц? (ст. 18 ФЗ152).
  14. Предпринял ли оператор необходимые организационные и технические меры для защиты ПДн? (ст.19 Фз152). В полном ли объеме эти меры соответствуют требованиям ФЗ 152 и иных нормативных документов? А именно:
    • 14.1. Создана ли система защиты персональных данных, обеспечивающая нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн? (п.2, п.11 ПП 781)? Какими документами это подтверждается?
    • 14.2. Удовлетворяют ли технические средства защиты установленным требованиям? (п.2 ПП 781). Какими документами это подтверждается?
    • 14.3. Соответствуют ли методы и способы защиты информации требованиям ФСТЭК России и ФСБ РФ? (п.3 ПП 781, Пр. ФСТЭК 58)? Какими документами это подтверждается?
    • 14.4. Прошли ли средства защиты информации, применяемые в ИСПДн, процедуру оценки соответствия в установленном порядке? (п.5 ПП 781, СТ. 2,7 Фз184). Какими документами это подтверждается?
    • 14.5. Обеспечена ли сохранность носителей ПДн и средств защиты, исключено ли неконтролируемое проникновение посторонних лиц? (п.8 ПП 781). Какими документами это подтверждается?
    • 14.6. Проведены ли мероприятия, направленные на предотвращение несанкционированного доступа к ПДн? (п.11 ПП781). Какими документами это подтверждается?
    • 14.7. Обеспечено ли своевременное обнаружение фактов НСД к ПДн? (П.11 ПП 781). Какими документами это подтверждается?
    • 14.8. Обеспечены ли возможность незамедлительного восстановления ПДн, уничтоженных или модифицированных в результате НСД, а также постоянный контроль за обеспечением уровня защищенности ПДн? (п.11 ПП781) Какими документами это подтверждается?
    • 14.9. Определены ли угрозы безопасности ПДн и разработаны ли модели угроз? (п.12 ПП781)? Какими документами это подтверждается?
    • 14.10. Проведена ли установка и ввод в эксплуатацию СЗИ? (п.12 ПП781). Какими документами это подтверждается?
    • 14.11. Проведено ли обучение лиц, использующих средства защиты информации? (п.12 ПП781). Какими документами это подтверждается?
    • 14.12. Осуществляется ли учет СЗИ, учет эксплуатационной и технической документации на СЗИ, учет носителей ПДн? (п.12 ПП781). Какими документами это подтверждается?
    • 14.13. Осуществляется ли учет лиц, допущенных к работе с ПДн в ИСПДн? (п.12 ПП781)? Какими документами это подтверждается?
    • 14.14. Обеспечивается ли контроль за соблюдением условий использования СЗИ? (п.12 ПП781). Какими документами это подтверждается?
    • 14.15. Обеспечено ли разбирательство по нарушениям, приводящим к снижению уровня защищенности? (п.12 ПП781). Какими документами это подтверждается?
    • 14.16. Существует ли описание системы защиты? (п.12 ПП781) Какими документами это подтверждается?
    • 14.17. Проведено ли обследование ИСПДн? ( п.64.2 АР Роскомнадзора).
    • 14.18. Проведена ли аттестация ИСПД? (п.5.3. ГОСТ Р 51583-2000).
    • 14.19. Имеется ли в Вашей ИСПДн доступ к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования)? Если да, то используются способы защиты от НСД? (п.п. 2.4-2.8 приказ №58)
  15. Направлено ли в уполномоченный орган по защите прав субъекта ПДн (Роскомнадзор) уведомление об обработке ПДн? (ст. 22 ФЗ152, п. 64.1.1. АР Роскомнадзора). Если нет, и оператор ссылается на исключения, установленные ФЗ152 (например, происходит обработка ПДн субъектов, которые связывают с оператором трудовые отношения), то уверен ли он, что не обрабатывает (помимо указанных ПДн) иные ПДн? Таковыми могут быть лица, получающие алименты по решению суда или в добровольном порядке (супруги, дети, родители работников). Оператор также может обрабатывать ПДн в целях предоставления работникам стандартных налоговых вычетов на детей и (или) социальных налоговых вычетов в связи с обучением или лечением детей или иных родственников; несовершеннолетних детей работников в целях их оздоровления (направление детей в оздоровительные лагеря) и т.п. Наконец, оператор обрабатывает ПДн физических лиц в целях их трудоустройства (резюме кандидатов), при этом обработка ПДн этих лиц происходит до установления трудовых отношений
  16. Внедрены ли в деятельность оператора локальные акты, регламентирующие порядок и условия обработки ПДн? (п. 64.1.7 АР Роскомнадзора).
      Нормативно-правововая база
    1. ФЗ 152 - Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (в ред. Федеральных законов от 25.11.2009 N 266-ФЗ, от 27.12.2009 N 363-ФЗ, от 28.06.2010 N 123-ФЗ)
    2. ПП 781 - Постановление Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
    3. Приказ N 55/86/20 - Приказ ФСТЭК РФ N 55, ФСБ РФ N 86, Мининформсвязи РФ N 20 от 13.02.2008 "Об утверждении Порядка проведения классификации информационных систем персональных данных" (Зарегистрировано в Минюсте РФ 03.04.2008 N 11462)
    4. Приказ ФСТЭК №58 – Приказ ФСТЭК РФ от 05.02.2010 N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" (Зарегистрировано в Минюсте РФ 19.02.2010 N 16456).
    5. ГОСТ Р 51583-2000 - Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. 30.06.2000
    6. ФЗ184 - Федеральный закон от 27.12.2002 N 184-ФЗ (ред. от 30.12.2009) "О техническом регулировании" (ст.2,7.)
    7. АР Роскомнадзора - Приказ от 30 января 2010 г. N 18 «Об утверждении административного регламента федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции ведения реестра операторов, осуществляющих обработку персональных данных».
  17.  

    Адрес статьи в интернете www.fz152.ru