Зашита прав и свобод человека и гражданина определяет смысл, содержание и применение законов, деятельность законодательной и исполнительной власти, местного самоуправления и обеспечиваются правосудием. Все нормативно-правовые акты России служат этой цели, в частности и законодательство, регулирующее оборот персональных данных (далее ПДн). Таким образом, операторы информационных систем персональных данных, в рамках своего правового статуса, для реализации прав субъектов ПДн обязаны защитить переданные им ПДн от угроз, реализация которых может повлечь за собой ущерб субъектам, то есть владельцам этих данных.
Интеграторы руководствуются логикой, основным принципом которой является защита информационных систем от реализации угроз могущих повлечь за собой нанесение ущерба оператору – подменяют требование закона защищать права субъектов ПДн на мнимое требование защищать сами ПДн. Исходя из этой логики мы должны защитить не только такую характеристику ПДн как конфиденциальность, но и целостность и доступность в рамках данной ИСПДн.
Защищая персональные данные – мы непосредственно защищаем права и свободы людей. Это и есть наша цель и наша святая обязанность. К сожалению, многие специалисты в области информационной безопасности склонны рассматривать данную проблематику только со стороны выполнения бесконечных нормативов и руководящих документов, а смыслу этого не предается должного внимания. То есть истинная цель подменяются целью во что бы то ни стало исполнить букву закона. И в этом кроется ловушка невыполнимости требований – они предъявляются к любой ИСПДн.
«Статья 2. Цель настоящего Федерального закона Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.»
И так что же такое «права и свободы человека и гражданина при обработке его персональных данных»? Права субъекта персональных данных устанавливаются Главой 3 Закона, они определены достаточно конкретно и полно, и список прав закрытый – это не позволяет нам расширить их до бесконечности. Из основных прав можно выделить несколько групп:
Право на доступ к своим персональным данным – ознакомление, уточнение, блокирование и уничтожение.
Право на информацию об условиях обработки ПДн оператором и лицах, допущенных им для ознакомления с ПДн.
Права возникающие при обработке персональных данных субъектов в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации.
Права возникающие при принятии юридически значимых решений на основании исключительно автоматизированной обработки персональных данных субъектов.
Право на обжалование действий или бездействия оператора.
Кроме того фундаментальное право человека и гражданина на неприкосновенность частной жизни, личную и семейную тайну охраняется Конституцией РФ – читай: право на конфиденциальность персональных данных. В целях реализации этих прав, законодатель определяет обязанности контрагентов – операторов персональных данных. Он выделяет такие группы обязанностей:
Обязанности оператора при сборе персональных данных.
Обязанность принимать меры по обеспечению безопасности персональных данных при их обработке.
Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных.
Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных.
Обязанность уведомлять субъекта и уполномоченный орган об обработке персональных данных.
Разберемся подробнее с обязанностью принимать меры по обеспечению безопасности персональных данных при их обработке.
Статья 19 Федерального Закона «О персональных данных» устанавливает необходимость принятия мер по обеспечению безопасности персональных данных при их обработке оператором персональных данных, а именно:
«Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.»
Таким образом, законодатель подчеркивает необходимость обеспечения безопасности персональных данных оператором в целях недопущения нанесения ущерба субъекту (читай: нарушения Конституционных и Законных прав, описанных выше) при нарушении заданных характеристик безопасности ПДн. Однако, в законе прямо не указываются конкретные средства и методы обеспечения безопасности ПДн. То есть законодатель предлагает определить необходимые меры оператору персональных данных самостоятельно, либо руководствоваться другими нормативными актами.
Правительство Российской Федерации в своих Постановлениях N 687, N 781 и N 512 возлагает на оператора обязанность использовать средства и методы по обеспечению безопасности персональных данных, которые конкретизируются соответствующими Положениями и Требованиями, утвержденными этими Постановлениями, а также иными подчиненными им нормативными актами, такими как Руководящие Документы ФСБ и ФСТЭК.
Обеспечивая безопасность персональных данных оператор обязан руководствоваться вышеописанными постановлениями, но он волен самостоятельно определять методы и способы обработки ПДн. Таким образом, он может создавать несколько информационных систем персональных данных, содержащих данные одних и тех же субъектов – иными словами, может для удобства обработки копировать персональные данные из одной ИСПДн в другую, принадлежащую ему же. Для каждой такой ИСПДн требуется создать систему защиты в соответствии с Постановлениями Правительства. Однако, защита от нарушения описанных в статье 19 Федерального Закона «О персональных данных» характеристик безопасности персональных данных, должна быть обеспечена с целью недопущения нанесения ущерба субъекту. Следовательно, для хотя бы одной ИСПДн, содержащей все обрабатываемые оператором ПДн, должна быть реализована защита обеспечивающая безопасность всех указанных характеристик. В таком случае, для остальных ИСПДн, содержащих некоторое подмножество всех ПДн оператора, нарушение любой из характеристик безопасности, кроме конфиденциальности, не повлечет за собой ущерб субъекту ПДн в смысле Закона.
Согласно совместному приказу ФСТЭК, ФСБ и Мининформсвязи от 13 февраля 2008 года N 55/86/20 по заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.
Типовые информационные системы персональных данных – информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
Специальные информационные системы персональных данных – информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
К специальным информационным системам должны быть отнесены:
информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
Таким образом, в соответствии с Законом обеспечив безопасность персональных данных для наиболее полной ИСПДн, для всех остальных ИСПДн, содержащих некоторое подмножество ПДн, оператор обязан обеспечить лишь конфиденциальность обрабатываемых данных – то есть в случае, если эти ИСПДн будут автоматизированными и не попадать под два названых выше исключения, то их можно классифицировать как типовые ИСПДн.
Такой прием при реализации системы делопроизводства, как создание неавтоматизированной ИСПДн, содержащей все обрабатываемые оператором ПДн, позволяет обеспечить защиту прав и свобод субъекта персональных данных в смысле Закона руководствуясь Постановлением Правительства N 687.
В случае необходимости создания автоматизированной обработки ПДн это позволяет создать автоматизированную ИСПДн и классифицировать ее как типовую. Для такой ИСПДн создаваемая на основании ПП N 781 система защиты должна будет обеспечить лишь конфиденциальность обрабатываемых ПДн и требования к такой системе защиты будут заметно мягче, чем для аналогичной специальной ИСПДн, так как мы не обязаны руководствоваться требованиями руководящих документов в части подсистемы целостности и доступности. Следовательно, мы можем использовать средства обеспечения целостности и доступности на свой вкус и кошелек. Нам не придется создавать СЗИ индивидуально для каждой ИСПДн на основании модели угроз. Таким образом, затраты на разработку и внедрение существенно ниже – так как возможно разработать типовую систему защиты конфиденциальности ПДн и растиражировать ее.
И все это при сохранении приемлемого уровня защищенности прав субъектов персональных данных.
И так, зачем все это нужно. То есть какие ИСПДн можно отнести к типовым:
системы CRM;
системы ДОУ (в том числе 1С, Парус и т.п.);
биллинговые системы
другие…
P.S. Хочу подчеркнуть - описанные методы могут применяться лишь там, где смогут быть эффективными - они не претендуют на универсальность для всех классов