защита персональных данных информационное право
Законодательство об информационной безопасности: 5 ФЗ о том, как хранить и защищать информацию
В России действуют законы, где описано, как правильно работать с информацией: кто отвечает за ее сохранность, как ее собирать, обрабатывать, хранить и распространять. Стоит знать их, чтобы случайно что-нибудь не нарушить.
Мы собрали для вас пять основных ФЗ о защите информации и информационной безопасности и кратко рассказали их ключевые моменты.
149-ФЗ «Об информации, информационных технологиях и о защите информации»
149-ФЗ — главный закон об информации в России. Он определяет ключевые термины, например, говорит, что информация — это любые данные, сведения и сообщения, представляемые в любой форме. Также там описано, что такое сайт, электронное сообщение и поисковая система. Именно на этот закон и эти определения нужно ссылаться при составлении документов по информационной безопасности.
В 149-ФЗ сказано, какая информация считается конфиденциальной, а какая — общедоступной, когда и как можно ограничивать доступ к информации, как происходит обмен данными. Также именно здесь прописаны основные требования к защите информации и ответственность за нарушения при работе с ней.
Ключевые моменты закона об информационной безопасности:
152-ФЗ «О персональных данных»
Этот закон регулирует работу с персональными данными — личными данными конкретных людей. Его обязаны соблюдать те, кто собирает и хранит эти данные. Например, компании, которые ведут базу клиентов или сотрудников. Мы подробно рассматривали этот закон в отдельной статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать»
Ключевые моменты закона:
При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.
98-ФЗ «О коммерческой тайне»
Этот закон определяет, что такое коммерческая тайна, как ее охранять и что будет, если передать ее посторонним. В нем сказано, что коммерческой тайной считается информация, которая помогает компании увеличить доходы, избежать расходов или получить любую коммерческую выгоду.
Ключевые моменты закона о защите информации компании:
63-ФЗ «Об электронной подписи»
Этот закон касается электронной подписи — цифрового аналога физической подписи, который помогает подтвердить подлинность информации и избежать ее искажения и подделки. Закон определяет, что такое электронная подпись, какую юридическую силу она имеет и в каких сферах ее можно использовать.
Ключевые моменты закона:
187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
Этот закон касается компаний, которые работают в сферах, критически важных для жизни государства — таких, что сбой в их работе отразится на здоровье, безопасности и комфорте граждан России.
К таким сферам относится здравоохранение, наука, транспорт, связь, энергетика, банки, топливная промышленность, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность и химическая промышленность. Также сюда относят компании, которые обеспечивают работу предприятий из этих сфер, например, предоставляют оборудование в аренду или разрабатывают для них ПО.
Если на предприятии из этой сферы будет простой, это негативно отразится на жизни всего государства. Поэтому к IT-инфраструктуре и безопасности информационных систем на этих предприятиях предъявляют особые требования.
Ключевые моменты закона об информационной безопасности критически важных структур:
Защита персональных данных: обзор последних нововведений
Повсеместная цифровизация обоснованно поднимает вопрос о защите персональных данных граждан. В связи с этим все чаще пользователи сталкиваются с несанкционированным распространением их персональных данных в различных сферах, напоминает председатель Комиссии Общественной палаты РФ по развитию информационного сообщества, СМИ и массовых коммуникаций Рифат Сабитов в ходе круглого стола «Россияне – хозяева своих персональных данных», организованным Общественной Палатой РФ. С целью предотвращения нелегальной обработки персональных данных принимаются законодательные и подзаконные акты, правомочные усилить их защиту, – с каждым годом частота их появления увеличивается, что говорит о заинтересованности государственных органов урегулировать данный вопрос. Разберемся, какие нововведения, регулирующие оборот персональных данных, появились за последнее время, а также выясним мнение экспертного сообщества по вопросам уровня защиты персональных данных на государственном уровне.
Доверие граждан по вопросу защиты персональных данных – что говорит статистика
Новое в регулировании защиты персональных данных
Как утверждает заместитель руководителя Роскомнадзора Вагнер Милош, появление новых законодательных инициатив в первую очередь связано со стремлением усилить защиту прав граждан – субъектов персональных данных. Одним из наиболее важных нововведений в этом году стало принятие поправок в закон о персональных данных в части общедоступных данных. Напомним, 1 марта вступили в силу изменения в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Ранее ГАРАНТ.РУ писал – появились нормы, регламентирующие новый порядок удаления персональных данных из общего доступа. Теперь субъект персональных данных может обратиться к любому оператору персональных данных с требованием удалить их из общего доступа без дополнительных условий доказывания факта неправомерной обработки его персональных данных.
1 сентября вступил в силу Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 февраля 2021 г. № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Документ регламентирует содержание согласия, а именно – перечень сведений о субъекте персональных данных (Ф.И.О. и контактную информацию) и об операторе (включая сведения об информационных ресурсах, с помощью которых будет осуществляться действия с персональными данными). Также согласие должно содержать цели обработки персональных данных, категории и перечень персональных данных, на обработку которых дается согласие или устанавливаются запреты со стороны субъекта персональных данных. При этом согласие должно содержать условия, при которых данные могут передаваться оператором. Новое согласие также должно включать срок действия.
Автор мартовских поправок в отношении общедоступных персональных данных, депутат Госдумы Антон Горелкин, объяснил, что основной смысл нововведений состоял в том, чтобы дать гражданам возможность принимать решение о том, какую информацию о себе и на каких условиях следует предоставить интернет-платформам. По мнению депутата, до принятия поправок возникали сложности с удалением персональных данных с сайтов и агрегаторов. По его словам, платформы использовали персональные данные интернет-пользователей для дальнейшей монетизации, что представляло собой выгодный бизнес.
Антон Горелкин, депутат Госдумы :
«С 1 марта у пользователей интернет-ресурсов должны спрашивать отдельное согласие на распространение личной информации. При регистрации теперь недостаточно проставление галочки под пользовательским соглашением, должен быть отдельный вопрос с возможностью прямого ответа на него. Недопустимо применение шаблона «подразумевается по умолчанию» и прочего «юридического камуфляжа» – только прямое согласие по форме, утвержденным новым приказом Роскомнадзора. Это переход к новому ответственному стилю отношений между интернет-бизнесом и пользователями».
Принятие новых законов позволяет расширить возможности граждан предпринимать самостоятельные действия по регулированию оборота их персональных данных, считает Вагнер Милош. Теперь граждане могут требовать от операторов персональных данных восстановления своих прав только по причине того, что данные относятся к субъектам, без соблюдения дополнительных условий. При этом такие требования могут удовлетворяться быстрее, чем раньше. Выражая позицию Роскомнадзора эксперт заметил, что новые законодательные инициативы перекладывают бремя доказывания о правомерности или неправомерности обработки персональных данных с субъекта на оператора. При этом оператор обязан прекратить их передачу (то есть распространение, предоставление и доступ) в течение трех рабочих дней с момента получения требования субъекта персональных данных.
По мнению первого заместителя председателя Комитета Совета Федерации по конституционному законодательству и государственному строительству Ирины Рукавшиниковой на данный момент рано подводить итоги об эффективности нововведений, должно пройти время для оценки их применения. Однако уже можно сделать промежуточные выводы о том, что на практике граждане все-таки сталкиваются с проблемными ситуациями. Эксперт приводит в пример ситуацию, при которой пользователь обращается к интернет-платформе с требованием удалить персональные данные. При этом в лучшем случае между ними происходит спор по переписке, в результате которого выясняется, что платформа не считает персональными данными определенную личную информацию о гражданине. А чаще всего платформы не отвечают на запросы пользователей. Фактически, на такое обращение пользователь получает отказ, с которым обращается в Роскомнадзор, у которого, по мнению эксперта, недостаточно полномочий пресечь нарушение и прекратить распространение персональных данных. В связи с этим субъект персональных данных должен обращаться в суд за защитой своих прав. Иными словами, регламентированная законом о персональных данных процедура на практике не оказывается такой эффективной, резюмировала Ирина Рукавшиникова.
С коллегой согласен другой эксперт, Александр Журавлев, председатель Комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России. Он отмечает, что регламентируемые в законе способы защиты прав граждан – обращение к Роскомнадзору или в суд (взыскание морального ущерба или убытков) – не являются эффективными. Так, взыскание морального вреда является достаточно сложным по доказыванию процессом, так как для этого нужно делать медицинские справки и освидетельствования, объясняет эксперт. Размер компенсаций составляет от 5 тыс. до 15 тыс. руб. Взыскание убытков за счет необходимости доказывать причинно-следственную связь между действиями или бездействием оператора, нарушением прав субъектов персональных данных – на сегодняшний день эта процедура представляется практически невозможной, уверен Александр Журавлев. Таким образом из-за сложности доказывания и отсутствие дополнительных возможностей, которые помогали бы субъекту персональных данных защищать свои права, случаев обращения в суд за взысканием убытков нет.
Проблема соблюдения требования о локализации
Одной из наиболее актуальных проблем в области соблюдения закона о персональных данных является невыполнение требований о локализации. Напомним, что в соответствии с законом при обработке персональных данных оператор обязан использовать базы данных, находящиеся на территории России (в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных»). В особенности это касается крупных интернет-компаний, в отношении которых за последнее полугодие число административных протоколов, составленных Роскомнадзором, увеличилось – такие заявления периодически появляются в СМИ. Так, например, 26 августа Таганский районный суд Москвы оштрафовал WhatsApp (принадлежит Facebook Inc) за нарушение требования о локализации (в соответствии с ч. 8 ст. 13.11 КоАП РФ), а также Facebook (Facebook Inc) и Twitter (Twitter Inc) за повторные нарушения (в соответствии с ч. 9 ст. 13.11 КоАП РФ) 4
Необходимость наличия требования о локализации персональных данных Вагнер Милош объясняет тем, что интернет-площадки являются одними из крупнейших операторов персональных данных. Эксперт напомнил, что крупные операторы персональных данных, ведущие свою деятельность в Интернете, зачастую не исполняют такое требование и не платят штрафы. Он считает, что основная проблема заключается в том, что размеры штрафов, предусмотренные КоАП РФ, не представляются значительными для транснациональных компаний. Напомним, что невыполнение юридическими лицами требования о локализации влечет наложение штрафа в размере от 1 млн до 6 млн руб. (ч. 8 ст. 13.11 КоАП РФ), при повторном нарушении – от 16 млн до 18 млн руб. (ч. 9 ст. 13.11 КоАП РФ). Милош Вагнер считает, что сложившая ситуация может выступить направлением для дальнейшего изменения законодательства, например, для корректировки размера штрафа в соответствии с размером компаний. С экспертом согласен Александр Журавлев: он напомнил, что в сравнении с другими правопорядками, в России такие штрафы за подобные правонарушения значительно ниже штрафов, применяемых во многих странах мира.
Какие проблемы не охватывает текущее законодательное регулирование?
Представители государственных органов обратили внимание, что значительную часть актуальных проблемных моментов нововведения все еще не охватывают. По мнению Ирины Рукавшиниковой, одним из наиболее важных для обсуждения вопросов является требование чрезмерного количества персональных данных, которые не нужны для оказания определенной услуги. Так, например, для того, чтобы взять велосипед на прокат в Москве требуется предъявить не только номер банковской карты, но и скан паспорта. Эксперт считает такие требования избыточными. Действительно, такие требования могут нарушать один из принципов обработки персональных данных, согласно которому содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки (ч. 5 ст. 3 закона о персональных данных). Законом определено, что обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. При этом при отказе предоставлять требуемые оператором персональные данные субъекту отказывают в предоставлении услуги. Ирина Рукавшиникова считает, что избежать данную проблему поможет законодательное ограничение для запрета неправомерного и необоснованного сбора персональных данных, когда это не обусловлено характером деятельности или услуг оператора.
1 С текстом исследования и материалами к нему можно ознакомиться на официальном сайте Института статистических исследований и экономики знаний НИУ ВШЭ.
2 С текстом исследования и материалами к нему можно ознакомиться на официальном сайте ВЦИОМ.
3 С текстом проекта постановления Минцифры РФ «Об утверждении порядка уничтожения персональных данных, полученных в результате обезличивания, субъектом экспериментального правового режима в сфере цифровых инноваций в случае прекращения статуса субъекта экспериментального правового режима» и материалами к нему можно ознакомиться на федеральном портале проектов нормативных правовых актов (ID: 01/02/09-21/00119927).
4 С новостью можно ознакомиться на официальном сайте Роскомнадзора.
Российское и международное законодательство в области защиты персональных данных
В предыдущей публикации мы рассмотрели основные понятия и парадигму информационной безопасности, а сейчас перейдем к анализу российского и международного законодательства, регулирующего различные аспекты защиты данных, поскольку без знания законодательных норм, регулирующих соответствующие области деятельности компании, корректно выстроить систему управления риск- и бизнес-ориентированной информационной безопасностью невозможно. Штрафные санкции, а также репутационный ущерб от несоответствия законодательным нормам могут внести существенную коррективу в планы функционирования и развития организации: мы знаем, что, например, невыполнение норм защиты информации в национальной платежной системе может обернуться отзывом лицензии у финансовой организации, а несоответствие требованиям по месту первичного сбора и обработки персональных данных может привести к блокировке доступа к веб-сайту компании. Невыполнение же норм безопасности критической информационной инфраструктуры вообще может обернуться лишением свободы на срок до 10 лет. Разумеется, применимых законов и норм – огромное количество, поэтому в этой и двух последующих статьях сосредоточимся на защите персональных данных, защите объектов критической информационной инфраструктуры и информационной безопасности финансовых организаций.
Итак, в сегодняшней серии – персональные данные, поехали!
Прежде всего, надо рассказать об основополагающем документе, который регламентирует порядок работы с различной информацией в РФ, в т.ч. и с персональными данными — речь идет о Федеральном Законе №149 «Об информации, информационных технологиях и о защите информации» от 27.07.2006. Данный документ содержит в себе базовые понятия и определения, которые используются во всех нормативных правовых актах, касающихся защиты информации, а также, помимо прочего, вводит понятие категории информации (общедоступная информация и информация ограниченного распространения) и типа информации (свободно распространяемая, предоставляемая на основании договора, подлежащая распространению в соответствии с законодательством, информация ограниченного доступа/распространения и запрещенная к распространению). В частности, персональные данные классифицируются как информация ограниченного доступа, и в соответствии со ст.9 п.2 данного Закона соблюдение конфиденциальности такой информации является обязательным, вследствие чего государство устанавливает обязательные нормы и правила её обработки. К сожалению, не со всеми видами информации ограниченного распространения есть подобная определенность — например, по сей день отсутствует законодательный классификатор видов тайн, можно выделить лишь некоторые из них: государственная, коммерческая, налоговая, банковская, аудиторская, врачебная, нотариальная, адвокатская тайна, тайна связи, следствия, судопроизводства, инсайдерская информация и т.д. Кроме информации ограниченного распространения в 149-ФЗ (ст.8 п.4) есть также классификатор видов информации, доступ к которой, напротив, не может быть ограничен — например, нормативные правовые акты, информация о деятельности государственных органов, состоянии окружающей среды и т.д.
Российские нормы по защите персональных данных
Переходя к рассмотрению вопросов защиты персональных данных, следует отметить, что они остаются неизменно острыми на протяжении последних лет и поднимаются в самых высоких кабинетах как в России, так и за рубежом, поскольку касаются каждого из нас, вне зависимости от гражданства и должности.
Безопасность персональных данных, в зарубежной интерпретации privacy, уходит корнями в обеспечение неотъемлемых прав и свобод граждан развитых стран — например, в некоторых европейских странах достаточно спорным был вопрос указания имени и фамилии проживающих рядом с почтовыми ящиками и дверными звонками. С приходом информационных технологий защита личных данных стала еще более актуальной. Так появилась «Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», подписанная в 1981 году и ратифицированная Российской Федерацией в 2001 году. Уже на тот момент в ней были заложены международные основы законной обработки персональных данных, применяемые и по сей день: использование персональных данных только для определенных целей и в пределах определенных сроков, неизбыточность и актуальность обрабатываемых персональных данных и особенности их трансграничной передачи, защита данных, гарантированные права гражданина — обладателя личных данных. В этом же документе дано и само определение персональных данных, которое затем «перекочует» в первую редакцию отечественного Федерального закона №152 «О персональных данных» от 27.07.2006: «персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице. Целью ратификации данной Конвенции было выполнение международных нормативных требований при вступлении России в ВТО (Всемирная Торговая Организация), которое состоялось в 2012 году.
Совместная работа стран-участников Конвенции продолжается и по сей день. Так, в конце 2018 года Российская Федерация совместно с другими странами-участницами подписала «Протокол №223 о внесении изменений в Конвенцию Совета Европы о защите персональных данных», который актуализирует Конвенцию в части соответствия вызовам текущего времени: защита биометрических и генетических данных, новые права физических лиц в контексте алгоритмического принятия решений искусственным интеллектом, требования защиты данных уже на этапе проектирования информационных систем, обязанность уведомлять уполномоченный надзорный орган об утечках данных. Граждане отныне имеют возможность получать квалифицированную защиту по вопросам их персональных данных со стороны надзорного органа, а российские компании, вынужденные соответствовать требованиям европейских норм GDPR (General Data Protection Regulation, мы поговорим о них далее), не будут вынуждены применять дополнительные меры по защите, поскольку соответствие нормам Конвенции означает, что страна-участник обеспечивает адекватный правовой режим обработки персональных данных.
Итак, в 2006 году был принят 152-ФЗ «О персональных данных», который не только во многом повторял требования Конвенции, но и вносил дополнительные определения и требования, касающиеся обработки персональных данных (далее — ПДн). Со временем в Федеральный Закон вносились изменения, основные из которых были введены 261-ФЗ от 25.07.2011 и 242-ФЗ от 21.07.2014. Первый закон внес существенные изменения в базовые постулаты защиты ПДн, а второй запретил первичную обработку ПДн за пределами территории РФ. Отметим, что уполномоченным государственным органом по защите прав субъектов ПДн является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), подчиняющаяся Министерству цифрового развития, связи и массовых коммуникаций Российской Федерации.
В 152-ФЗ мерам по обеспечению безопасности ПДн посвящена статья 19, в которой в том числе указывается, что операторам следует обеспечить установленные Постановлением Правительства №1119 от 01.11.2012 уровни защищенности ПДн, под которыми понимается набор требований, нейтрализующий определенные угрозы безопасности. Для моделирования этих угроз, т.е. построения модели угроз (далее — МУ) и модели нарушителя, следует опираться на следующие нормативные правовые акты:
Статья 5 в 152-ФЗ говорит об обязанности государственных органов разрабатывать отраслевые МУ в зоне их ответственности. Такие МУ были разработаны, например, в ЦБ РФ (сначала в виде РС БР ИББС-2.4, затем в виде Указания Банка России №3889-У), Министерством связи и массовых коммуникаций РФ («Модель угроз и нарушителя безопасности ПДн, обрабатываемых в типовых ИСПДн отрасли» и «Модель угроз и нарушителя безопасности ПДн, обрабатываемых в специальных ИСПДн отрасли»), Министерством здравоохранения РФ («Модель угроз типовой медицинской ИС типового лечебно-профилактического учреждения»).
В 152-ФЗ обязанность по обеспечению безопасности ПДн возлагается на оператора информационной системы ПДн (далее — ИСПДн) или на лицо, которое обрабатывает ПДн по поручению оператора (т.н. «обработчик»). В ПП-1119 приведены конкретные организационные и технические меры защиты, которые следует выполнять оператору (или обработчику) для обеспечения соответствующего уровня защищенности ПДн, при этом выбор уровня зависит от категории обрабатываемых ПДн (т.е. типа ИСПДн), категории и количества субъектов ПДн и типа актуальных угроз.
Категории ПДн могут быть специальными (обработка информации о критичных аспектах жизни субъекта ПДн, таких как состояние здоровья, национальная/расовая принадлежность, политические и религиозные убеждения), биометрическими (обработка ПДн, характеризующих физиологические и биологические особенности), общедоступными (ПДн получены из общедоступных источников), иными.
Актуальные угрозы могут быть 1-го типа (для ИСПДн актуальны угрозы использования недекларированных возможностей в системном ПО), 2-го типа (актуальны угрозы использования недекларированных возможностей в прикладном ПО), 3-го типа (вышеприведенные угрозы не актуальны).
Выбор уровня защищенности (далее — УЗ) персональных данных зависит от перечисленных выше характеристик ИСПДн (категории обрабатываемых ПДн и тип актуальных для ИСПДн угроз), а также от категории субъектов (сотрудники оператора или иные лица) и количества субъектов, чьи ПДн обрабатываются (больше или меньше 100000 записей). Максимальным УЗ является 1-ый, минимальным – 4-ый.
Рассмотрим сначала Приказ №21. Данный документ посвящен мерам защиты ПДн для негосударственных ИС и содержит перечень конкретных мер для обеспечения того или иного УЗ ПДн. В п.4 операторам негосударственных ИС дается послабление в виде разрешения не использовать сертифицированные СЗИ в случае отсутствия закрываемых ими актуальных угроз, а п.6 документа устанавливает трехлетний интервал проведения оценки эффективности реализованных мер. Приказ №21, равно как и Приказ №17, предлагает одинаковый алгоритм выбора и применения мер для обеспечения безопасности: сначала осуществляется выбор базовых мер на основании положений соответствующего Приказа, далее производится адаптация выбранного базового набора мер, предполагающая исключение нерелевантных «базовых» мер в зависимости от особенностей информационных систем и использующихся технологий. Затем адаптированный базовый набор мер уточняется для нейтрализации актуальных угроз не выбранными ранее мерами, и наконец осуществляется дополнение уточненного адаптированного базового набора мерами, установленными иными применимыми нормативными правовыми документами.
Приказ №21 в п.10 содержит важное замечание о возможности оператора применять компенсирующие меры при невозможности технической реализации или экономической нецелесообразности применения мер из базового набора, что дает определенную гибкость при выборе новых и обосновании использования уже внедренных средств защиты в целях обеспечения безопасности ПДн. В случае, если оператор использует сертифицированные СЗИ, регулятор в п.12 Приказа предъявляет требования к классам применяемых СЗИ и к средствам вычислительной техники (далее — СВТ).
Сертифицированные межсетевые экраны, системы обнаружения вторжений, средства антивирусной защиты информации, средства доверенной загрузки, средства контроля съемных машинных носителей, операционные системы в соответствии с недавно (в 2011-2016 гг.) введенными классификаторами ФСТЭК России могут иметь классы от 1 (максимальный уровень обеспечения защиты) до 6 (минимальный уровень). СВТ могут быть классифицированы по семи уровням в соответствии с руководящим документом ФСТЭК России. Требования предъявляются и к контролю отсутствия недекларированных возможностей в ПО СЗИ — существует четыре уровня контроля. Актуальный список сертифицированных СЗИ содержится в государственном реестре сертифицированных средств защиты информации.
В Приказе №21 указаны следующие группы мер по обеспечению безопасности ПДн, которые должны быть применены в зависимости от требуемого уровня защищенности ПДн:
• Идентификация и аутентификация субъектов доступа и объектов доступа
• Управление доступом субъектов доступа к объектам доступа
• Ограничение программной среды
• Защита машинных носителей ПДн
• Регистрация событий безопасности
• Антивирусная защита
• Обнаружение вторжений
• Контроль (анализ) защищенности ПДн
• Обеспечение целостности ИС и ПДн
• Обеспечение доступности ПДн
• Защита среды виртуализации
• Защита технических средств
• Защита ИС, ее средств, систем связи и передачи данных
• Выявление инцидентов и реагирование на них
• Управление конфигурацией ИС и системы защиты ПДн.
Приказ №17 устанавливает требования к обеспечению безопасности информации ограниченного доступа в ГосИС, при этом в п.5 подчеркивается, что при обработке ПДн в ГосИС следует руководствоваться и ПП-1119. Приказ обязывает операторов ГосИС использовать только сертифицированные СЗИ и получать пятилетний аттестат соответствия требованиям по защите информации. Данный документ предполагает выполнение операторами следующих мероприятий для обеспечения защиты информации (далее — ЗИ): формирование требований к ЗИ; разработка, внедрение и аттестация системы ЗИ ИС; обеспечение ЗИ в ходе эксплуатации и при выводе из эксплуатации. Пункт 14.3 Приказа говорит о необходимости создания модели угроз и предлагает использовать Банк данных угроз безопасности информации (БДУ) ФСТЭК России, о котором мы говорили в предыдущей публикации. Для ГосИС устанавливается класс защищенности (от максимального 1-го до минимального 3-го), который зависит от уровня значимости обрабатываемой информации и масштаба системы, где уровень значимости зависит от степени возможного ущерба свойствам безопасности (конфиденциальность, целостность, доступность) обрабатываемой в ГосИС информации, а масштаб системы может быть федеральным, региональным или объектовым.
В ГосИС 1-го класса защищенности должна быть обеспечена защита от действий нарушителей с высоким потенциалом, в ГосИС 2-го класса — от нарушителей с потенциалом не ниже усиленного базового (в БДУ их потенциал называется «средним», а в проекте Методики определения угроз безопасности информации в ИС — «базовым повышенным»), в ГосИС 3-го класса — от нарушителей с потенциалом не ниже базового (в БДУ этот потенциал называется «низким»). Поскольку для обеспечения ИБ в ГосИС допустимо применять только сертифицированные СЗИ, в п.26 Приказа №17 описаны допустимые классы СЗИ, СВТ и уровни контроля отсутствия НДВ, в зависимости от класса ГосИС. В п.27 проводится связь между классом защищенности ГосИС и уровнями защищенности ПДн, обрабатываемыми в ней: выполнение требований мер ЗИ для ГосИС 1-го класса обеспечивают 1, 2, 3 и 4 уровни защищенности ПДн, для 2-го класса — 2, 3 и 4 УЗ, для 3-го класса — 3 и 4 УЗ.
Меры защиты информации в ГосИС почти полностью совпадают с мерами из Приказа №21, описанными выше, за исключением отсутствия указаний на выявление инцидентов и управление конфигурацией. Эти действия выполняются уже после построения системы защиты, на этапе эксплуатации аттестованной ГосИС, наряду с управлением самой системой защиты информации и контролем за обеспечением уровня защищенности информации в ГосИС.
Кроме Приказа №17 при реализации соответствующих мер ЗИ можно также руководствоваться и методическим документом ФСТЭК России «Меры защиты информации в государственных информационных системах», в котором более детально раскрываются состав и содержание всех мер.
Международные нормы по защите персональных данных
Если в России не утихают споры относительно правоприменения 152-ФЗ и соответствующих подзаконных актов, то в Европейском Союзе последние 3 года ведется работа по внедрению и соответствию нормам GDPR (General Data Protection Regulation, Общий регламент по защите персональных данных). Данный документ, с момента его принятия в апреле 2016 года и до момента вступления в силу 25 мая 2018 года, а также и в настоящий момент, вызывает множество вопросов и споров, поскольку он касается большого количества граждан и компаний по всему миру.
Предшественником GDPR в Европейском Союзе была Директива Европейского Парламента и Совета Европейского Союза 95/46/ЕС от 24 октября 1995 года «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных». После принятия GDPR права субъектов ПДн существенно расширились, а обязанности операторов и штрафы за их неисполнение существенно возросли.
Само определение ПДн в GDPR не сильно отличается от того, что было принято в Конвенции Совета Европы и от аналогичного определения в отечественном 152-ФЗ: под персональными данными в рамках GDPR понимается любая информация, относящаяся к идентифицированному или идентифицируемому лицу (субъекту персональных данных). Под идентифицируемым лицом понимается то лицо, которое может быть идентифицировано, прямо или косвенно, в частности с использованием таких идентификаторов, как имя, идентификационный номер, данные о местоположении, онлайн-идентификатор или при помощи одного или нескольких факторов, специфичных для физического, физиологического, генетического, умственного, экономического, культурного или социального статуса этого лица. Таким образом, под определение ПДн подпадают не только привычные нам характеристики, но и IP-адрес, установленные пользователю cookie-идентификаторы, данные о геолокации пользователя и иные технические атрибуты.
Новым важным термином в GDPR является «профилирование» (англ. profiling), под которым понимается любая форма автоматизированной обработки персональных данных в целях оценки определенных аспектов личности, в частности для анализа или предсказания работоспособности человека, его материального положения, здоровья, личных предпочтений, интересов, поведения, местоположения или передвижений.
Как и в 152-ФЗ, в GDPR используются такие понятия, как «обработка персональных данных», «обработчик», «оператор» (англ. controller), «трансграничная обработка», «псевдонимизация» (обезличивание) и подобные универсальные термины.
Зона действия норм GDPR распространяется на всех операторов, которые обрабатывают ПДн граждан ЕС и иных граждан, находящихся на территории ЕС. При этом оператор может не иметь представительства на территории ЕС, а его автоматизированные системы могут также находиться за пределами ЕС. Примеры, касающиеся операторов-компаний из РФ:
Кроме вышеописанных принципов, в GDPR также присутствуют следующие нормы:
Практика взаимодействия США и Европы по вопросам обработки личных данных
В июле 2016 года было введено в действие соглашение о защите конфиденциальности между ЕС и США EU-U.S. Privacy Shield. Данное соглашение является фреймворком, который определяет подходы коммерческих компаний к защищенному обмену ПДн между Евросоюзом и Северной Америкой. Цель такого соглашения — привести в соответствие нормы GDPR по защите ПДн в ЕС и методы обеспечения их безопасности в США. Предшественником данного фреймворка было соглашение Safe Harbor Privacy Principles («Принципы Безопасной Гавани для защиты личных данных»), которое действовало с 2000 по 2015 годы и подтверждало, что методы обеспечения безопасности ПДн в США соответствуют нормам Европейской Директивы 95/46/ЕС «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных». Указанное соглашение было подвергнуто критике из-за выявленных фактов целенаправленного постоянного доступа к ПДн европейских граждан со стороны правительства США, в частности, Агентства Национальной Безопасности. Это было учтено Европейским судом, который вынес в октябре 2015 года решение о недействительности Принципов Безопасной Гавани. Таким образом, в настоящее время компании из США, желающие обрабатывать ПДн граждан Евросоюза, должны соответствовать требованиям EU-U.S. Privacy Shield. Подтверждение соответствия осуществляется в виде добровольной самостоятельной сертификации в Министерстве торговли США. Компания-оператор должна выполнять следующие базовые требования, подтверждающие адекватный уровень защиты ею ПДн граждан Евросоюза:
Штрафные санкции за невыполнение требований по защите ПДн в разных странах
1. Штрафы, взимаемые за нарушение российского законодательства о защите персональных данных, регламентируются ст. 13.11 КоАП РФ, в которой предусматриваются семь составов правонарушений, введенных в июле 2017 года. Например, часть 1 ст. 13.11 КоАП РФ предусматривает наказание операторов за обработку ПДн в случаях, не предусмотренных законом, либо обработку, несовместимую с целями сбора ПДн, в размере до 50 тысяч рублей. Часть 2 ст. 13.11 КоАП РФ предусматривает наказание за обработку ПДн без согласия субъекта либо за нарушения в процессе получения такого согласия, в размере до 75 тысяч рублей. Кроме того, невыполнение норм о локализации баз ПДн на территории РФ является нарушением ст.1 242-ФЗ и ст.15.5 149-ФЗ, что грозит блокированием доступа к веб-ресурсу компании-нарушителя на основании вынесенного судебного решения.
Следует учитывать, что штраф может быть наложен за каждый факт нарушения законодательных норм. Более того, недавно в Государственную Думу был внесен законопроект, подразумевающий введение двух новых составов правонарушений в области защиты ПДн — депутаты предлагают накладывать миллионные штрафы за невыполнение норм 242-ФЗ, т.е. за отказ от локализации баз ПДн россиян на территории РФ, а также за повторные нарушения требования по локализации.
2. Штрафы, взимаемые европейскими регуляторами за невыполнение норм GDPR в случае незначительных нарушений составляют до 10 миллионов евро или 2% от мирового годового оборота компании, а в случае существенных — до 20 миллионов евро или 4% от мирового годового оборота. При этом за год действия требований GDPR уже подведена неутешительная статистика: было проведено более 200000 проверок в отношении операторов, а общая сумма штрафов составляет более 56 миллионов евро, при этом 50 миллионов евро составляет сумма штрафа, выставленного интернет-гиганту Google со стороны французского регулятора в области защиты ПДн.
3. Штрафы, взимаемые Федеральной торговой комиссией США с компаний, не соответствующих принципам Privacy Shield, составляют до 40 тысяч долларов за факт нарушения плюс 40 тысяч долларов за каждый последующий день незаконной обработки ПДн после выявления нарушений.