Краткий курс по защищенной обработке персональных данных

Богданов Андрей Петрович Эксперт

Эксперт по защите информации

Краткий курс по защищенной обработке персональных данных для ответственных за информационную безопасность в мастерских тахографического контроля РФ выдающих карты водителей

1. Защита персональных данных в мировой практике

В 1990 году была принята резолюция ООН о защите персональных данных. Есть конвенция Совета Европы 1981 года, ее подписало большинство европейских государств, для них этот документ обязателен и должен приниматься во внимание при разработке внутреннего законодательства. Существует также директива Европейского Сообщества 1995 года, которая касается защиты персональных данных. РФ приняла на себя обязательства по исполнению положений указанных документов.

2. Законодательство о персональных данных в РФ

В Российской Федерации с 1 июля 2011 года вступил в силу закон № 152-ФЗ от 27 июля 2006 года «О персональных данных» (далее — закон). В сферу действия данного закона попадают все Мастерские, которые обрабатывают персональные данные физических лиц. Закон требует, в частности, чтобы каждая Мастерская, обрабатывающая персональные данные, обеспечила их конфиденциальность в соответствии с нормативными требованиями. В случае нарушения положений закона Мастерская может подвергнуться судебному преследованию со стороны граждан, чьи приватные записи были скомпрометированы, и со стороны компетентных органов, уполномоченных государством осуществлять контроль. К компетентным органам относятся Роскомнадзор, ФСБ России, ФСТЭК России. За неисполнение закона предусмотрена гражданская, уголовная, административная, дисциплинарная и иная предусмотренная законодательством РФ ответственность.

3. Защита персональных данных при их обработке в Мастерской

В Мастерской обрабатываются, как минимум, персональные данные работников и их близких родственников, кандидатов на вакантные должности и конечно, персональные данные физических лиц — клиентов Мастерской — водителей, получающих карты тахографического контроля.

Защита персональных данных, в том числе создание системы защиты персональных данных, является прямой обязанностью Мастерской и обусловлена требованиями Федерального Закона Российской Федерации «О персональных данных».

Разделим все требования для простоты на 4 группы. Работая с персональными данными, Мастерская должна:

1. Подготовить и принять пакет внутренней организационно-распорядительной документации.
2. Привести процессы работы с персональными данными в соответствие с законом.
3. Реализовать техническую защиту персональных данных в информационных системах и провести Оценку эффективности принимаемых мер по обеспечению безопасности персональных данных.
4. Хранить базы с персональными данными на территории Российской Федерации.

Требования по подготовке внутренних организационно-распорядительных документов:

Статья 18.1 Федерального закона «О персональных данных» требует от операторов персональных данных (в нашем случае от Мастерских) иметь локальные акты и политику, регламентирующую обработку и защиту персональных данных.

Точного перечня необходимых документов не предполагается и жестких требований о количестве подлежащих разработке локальных актов оператора действующим законодательством не установлено.

Мастерская самостоятельно определяет состав, и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации в области обработки персональных данных. Это меры организационного, правового и технического характера.

Практика реализации этих мер сформировала необходимый минимум документов, который должен быть принят оператором, это:

— общий документ, определяющий политику оператора в отношении обработки персональных данных;

— локальный акт или несколько актов, которые могут включать в себя описание всех процессов обработки персональных данных, включая перечень лиц, имеющих доступ к персональным данным, порядок обеспечения доступа и работы с персональными данными, процесс уничтожения персональных данных. Указанные акты также должны содержать конкретное описание правовых, организационных и технических мер защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

— локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

При подготовке внутренних организационно-распорядительных документов Мастерская может воспользоваться предоставляемыми автоматизированными сервисами.

Требования по приведению процессов работы с персональными данными в соответствие с законом:

Персональные данные необходимо правильно собирать, обрабатывать и передавать.

Со всеми физическими (клиентами) лицами, у которых Мастерская собирает персональные данные, должен быть заключен договор и/или взято согласие на их обработку.

С каждым контрагентом, которому Мастерская передает (например, в ФБУ «Росавтотранс»), предоставляет в доступ или от которого получает персональные данные, необходимо заключить соответствующее соглашение, предусматривающее, в том числе, меры по защите обрабатываемых персональных данных.

Все сотрудники должны под роспись ознакомиться с внутренними документами Мастерской по обработке и защите персональных данных и подписать обязательство о неразглашении.

В случае обработки Мастерской персональных данных своих клиентов в Роскомнадзор должно быть подано уведомление об обработке персональных данных.

Обработка персональных данных в Мастерской должна ограничиваться достижением конкретных, заранее определенных и законных целей. Такие цели, в том числе, в обязательном порядке должны быть отражены в договоре с клиентом.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Например, запрещено объединять базу данных клиентов и работников Мастерской.

Мастерская выдает карточки водителя для тахографа — это пластиковая карта со встроенным микрочипом, она является «ключом», обеспечивающим идентификацию и аутентификацию водителя с использованием шифровальных (криптографических) средств.

Карточки водителя являются материальными носителями биометрических персональных данных, технологически обеспечивающими хранение таких данных вне информационных систем персональных данных. При обращении с ними необходимо руководствоваться постановлением Правительства РФ от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

Требования по технической защите персональных данных в информационных системах:

Если персональные данные обрабатываются с использованием информационных систем (например, в компьютере с доступом к «АИС ТК») состав выполняемых требований значительно расширяется.

Последовательность необходимых мероприятий представлена ниже.

Нужно определить уровень защищенности персональных данных (ПДн), составив соответствующий акт, опираясь на Таблицу 1.

Таблица 1. Пример определения уровня защищенности ПДн в ИСПДн. (Постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»)

От уровня защищенности персональных данных в ИСПДн зависит объем мероприятий по их защите, выбор СКЗИ и сертифицированных средств защиты информации в соответствии с Таблицей 2, Таблицей 3 и Таблицей 4 соответственно.

Таблица 2. Определение минимального перечня мероприятий по ЗИ (Постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»)

Таблица 3. Определение минимального класса СКЗИ. (Приказ ФСБ РФ от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».)

Таблица 4. Определение минимального класса защиты СЗИ. (Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».)

Затем нужно разработать модель угроз и нарушителя безопасности персональных данных при их обработке в информационной системе персональных данных по методике ФСТЭК России и ФСБ России. С учетом сделанных выводов разработанной «Модели угроз и нарушителя», опираясь на Постановление Правительства № 1119, Приказ ФСТЭК России № 21 и приказ ФСБ России № 378 составить техническое задание на создание системы защиты персональных данных с использованием технических средств защиты информации, средств криптографической защиты информации соответствующих классов.

После этого разрабатывается и внедряется техно-рабочий проект системы защиты. Внедрением системы защиты может заняться сама Мастерская или подрядчик, имеющий соответствующую лицензию ФСТЭК России, ФСБ России.

В следующих наших материалах мы рассмотрим вопросы создания системы защиты информации с применением технических средств, а сейчас про заключительный этап при построении систем защиты — оценку эффективности.

После реализации всех необходимых мер Мастерская должна провести Оценку эффективности принимаемых мер по обеспечению безопасности персональных данных. В дальнейшем, данная оценка должны проводиться не менее чем один раз в три года. Оценку эффективности Мастерская может проводить в форме самооценки, привлекая к её проведению специалистов по информационной безопасности, либо проведение оценки эффективности можно поручить лицензиату ФСТЭК России.

В условиях изменяющегося законодательства, высокой интенсивности и больших объемов обработки персональных данных, а также в случае высокорискованных операций с персональными данными (к таким операциям можно отнести операции финансового характера, обработку данных о состоянии здоровья и т.п., которые в случае с Мастерскими не актуальны, но приводятся здесь для большего понимания вопроса) оценку эффективности рекомендуется проводить не реже одного раза в год.

При проведении самооценки эффективности Мастерская может воспользоваться предоставляемыми автоматизированными сервисами.

Требования по хранению баз персональных данных на территории Российской Федерации:

С 1 сентября 2015 года сбор и хранение персональных данных граждан Российской Федерации может осуществляться только на территории Российской Федерации.

О месторасположении баз данных необходимо уведомить Роскомнадзор.

Особенно это касается иностранных и российских компаний, чьи информационные системы полностью или частично располагаются за пределами РФ.

Проверку локализации баз персональных данных Роскомнадзор проводит просто — запрашивает договор с российским хостинг-провайдером.

4. Уполномоченные, контролирующие и надзорные органы

Правом проводить контрольно-надзорные мероприятия (проверки) на предмет соблюдения законодательства о персональных данных обладают три федеральных органа исполнительной власти (регуляторы):

• Федеральная служба по надзору в сфере связи, массовых коммуникаций и информационных технологий (Роскомнадзор);
• Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
• Федеральная служба безопасности Российской Федерации (ФСБ России).

Каждый из регуляторов может проводить проверки операторов персональных данных в пределах своих полномочий.

Роскомнадзор, как главный регулятор в этом вопросе, осуществляет контроль и надзор за выполнением требований Федерального закона «О персональных данных», в ведении ФСТЭК России находятся вопросы технической защиты информации, применение средств криптографической защиты информации в информационных системах персональных данных находится под надзором ФСБ России. Причем ФСБ России и ФСТЭК России при осуществлении контроля и надзора не имеют права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

Плановая проверка не может проводиться чаще, чем один раз в три года.

Внеплановая проверка может проводиться по заявлениям третьих лиц, в соответствии с действующим порядком.

Примерный перечень документов, представление которых проверяемым лицом необходимо для достижения целей и задач проведения проверки Роскомнадзора (взято из приказа Роскомнадзора о проведении плановой проверки организации, обрабатывающей персональные данные):

• копия документа о назначении должностного лица или уполномоченного представителя, которое обязано представлять интересы юридического лица, индивидуального предпринимателя при проведении проверки;
• организационно — штатная структурная схема юридического лица (до структурного подразделения);
• журнал учета проверок юридического лица, индивидуального предпринимателя, проводимых органами государственного контроля (надзора), органами муниципального контроля;
• уведомление об обработке персональных данных;
• письмо о внесении изменений в уведомление об обработке персональных данных (в случае возникновения изменений должно быть отправлено не позднее 10 рабочих дней с даты их возникновения);
• документы, подтверждающие обработку заявленных оператором персональных данных: снимок экрана (скриншот) — в случае осуществления автоматизированной обработки персональных данных; локальные акты, устанавливающие перечень обрабатываемых оператором персональных данных;
• письменное согласие субъектов персональных данных (в том числе работников) на обработку их персональных данных, составленное в соответствии с требованиями ст. 9 Федерального закона № 152-ФЗ от 27.07.2006г. «Об обработке персональных данных»;
• документы (согласие субъектов персональных данных на обработку их данных, нормативные правовые акты), подтверждающие наличие полномочий у оператора на обработку специальных категорий персональных данных (состояние здоровья, расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние интимной жизни) и биометрических персональных данных, а также документы (локальные акты оператора), подтверждающие соблюдение требований законодательства Российской Федерации при обработке указанных категорий персональных данных;
• локальные акты, регламентирующие порядок и условия обработки персональных данных, (положения, инструкции об автоматизированной и (или) неавтоматизированной обработке персональных данных работников оператора, иных субъектов персональных данных; листы ознакомления сотрудников, допущенных к обработке персональных данных без использования средств автоматизации, о факте обработке ими персональных данных и иных обстоятельствах, предусмотренных п.6 Постановления Правительства РФ № 687 от 15.09.2008г.);
• локальные акты, устанавливающие порядок уничтожения, а также подтверждающие уничтожение оператором персональных данных субъектов персональных данных по достижении цели обработки (например, акты об уничтожении материальных носителей персональных данных);
• описание помещений, в которых осуществляется обработка персональных данных: расположение, номера помещений; наличие охраны, режима обеспечения безопасности, оборудование помещений; общее количество рабочих мест, количество рабочих мест, на которых обрабатываются персональные данные; описание ЭВМ, носителей, на которых производится обработка персональных данных наименование, заводской, инвентарный номер (ЭВМ, носителей персональных данных); наличие средств шифрования (криптозащиты); средств имитозащиты (аппаратные, программные, аппаратно-программные средства, системы и комплексы) — наименование, заводской, инвентарный номер;
• локальные акты, определяющие список лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
• локальные акты, устанавливающие лиц, ответственных за обработку перс. данных;
• договоры оператора с третьими лицами, в случае, если оператор на основании такого договора поручает им обработку персональных данных (договор обязательного медицинского страхования работающих граждан; договоры, о зачислении денежных средств на счета физических лиц (работников оператора) в соответствии с реестрами, предоставляемыми на электронных носителях; договоры с медицинским учреждением о прохождении обязательного медицинского осмотра работающих граждан);
• документы, подтверждающие выполнение оператором мер, предусмотренных статьями 18.1 и 19 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных»; документы, подтверждающие выполнение оператором при обработке персональных данных необходимых организационных мер для защиты персональных данных от неправомерного или случайного доступа к ним;
• журналы (книги) учёта применяемых средств защиты информации, носителей персональных данных (ЭВМ, дискеты и т.п.); сертификат (ФСТЭК России, ФСБ РОссии) о возможности эксплуатации средств защиты информации; приказ о составе комиссии по классификации информационных систем персональных данных; документальное оформление присвоения информационной системе соответствующего класса (Акт об определении уровня защищенности ПДн в ИСПДн); электронный журнал обращений пользователей информационной системы на получение персональных данных; журнал учета периодических проверок информационной системы соответствующими должностными лицами (работниками) оператора или уполномоченного лица; соответствующие документы организации охраны, режима обеспечения безопасности (приказы, другие документы);
• журнал обращений граждан, локальный нормативный акт, утверждающий форму и порядок ведения журнала обращений граждан;
• типовые формы документов, предполагающие или допускающие содержание персональных данных (заявления, анкеты и др.);
• локальные акты оператора, регламентирующие порядок хранения материальных носителей персональных данных;
• журнал (реестр, книга) для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор (при наличии).

Перечень представляемых документов может быть уточнён в ходе проверки.

Как показывает практика, в ходе проверки может быть запрошено гораздо большее количество документов по сравнению с тем, что требовалось изначально. По результатам проверки Роскомнадзор выдает акт с указанием выявленных нарушений, если таковые были обнаружены, справку о результатах плановой выездной проверки, а также предписание об устранении в установленный срок выявленных несоответствий.

Предписание Роскомнадзора должно быть выполнено точно в срок. В противном случае организацию ждет повторная проверка или возбуждение дела об административном правонарушении.

Типичные нарушения при проверке Роскомнадзора

Типичными нарушениями, выявленными при проверке организаций, является следующее:

• отсутствие в организации распорядительных документов, регламентирующих порядок обработки персональных данных;
• обработка персональных данных осуществляется без соответствующего согласия субъекта персональных данных;
• предоставление организацией неполных или недостоверных сведений, содержащихся в уведомлении Роскомнадзора об обработке персональных данных;
• нарушение требований конфиденциальности, допущенное при обработке персональных данных;
• несоответствие содержания письменного согласия субъекта персональных данных перечню, установленному Федеральным законом «О персональных данных»;
• отсутствует соблюдение требований законодательства в области персональных данных при передаче персональных данных без соответствующего согласия субъекта персональных данных;
• отсутствие в агентских договорах условий обеспечения безопасности персональных данных при их обработке;
• отсутствуют перечень ИСПДн, модель угроз, проект по созданию защиты персональных данных, сертификаты на средства защиты информации;
• не проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных (ИСПДн);
• отсутствует документ подтверждающий соответствие ИСПДн Оператора требованиям действующего законодательства по защите персональных данных (например, Аттестат или Заключение об оценке эффективности).

За нарушение требований законодательства в области защиты персональных данных предусмотрена административная и уголовная ответственность.

Проверка ФСБ России

Кратко рассмотрим положения, представленные на портале ранее.

Регулярный контроль использования шифровальных средств, применяемых для обеспечения безопасности персональных данных (далее ПДн), проводится на основании требований следующих нормативно-методических документов ФСБ России:

• приказ ФСБ России от 10 июля 2014 года № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
• приказ ФСБ России от 9 февраля 2005 года № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»;
• «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 года № 152;
• «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (№ 149/7/2/6-432 от 31.03.2015).

ФСБ России интересуют средства криптографической защиты. Здесь кроется масса нюансов: учет и хранение средств шифрования, допуски к СКЗИ, регламент их использования должны проводиться в строгом соответствии с требованиями законодательства.

Нарушение правил защиты информации, согласно статье 13.12 КоАП РФ, может повлечь ряд санкций: штрафы для должностных лиц и организации, а также конфискацию самих средств криптозащиты.

Для того чтобы подготовиться к проверке ФСБ, необходимо провести ряд организационных мер, разработать и утвердить документы, связанные с работой с СКЗИ.

Ответы на следующие вопросы помогут систематизировать работу в Мастерской по подготовке к проверке и сосредоточиться на необходимых мерах:

— Есть ли документы на СКЗИ, ведется ли их учет? Какими документами регламентируется передача карт водителя, тахографов с блоком СКЗИ?

— Кто в Мастерской отвечает за работу с СКЗИ, а именно: составление заключений о возможности эксплуатации СКЗИ, разработку мероприятий по обеспечению функционирования и безопасности применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, поэкземплярный учет передаваемых карт водителя, используемых СКЗИ, эксплуатационной и технической документации к ним, учет обслуживаемых обладателей конфиденциальной информации, контроль за соблюдением условий использования СКЗИ, расследование и составление заключений по фактам нарушения условий использования СКЗИ, разработку схемы организации криптографической защиты конфиденциальной информации?

— Какими документами регламентируется назначение обозначенного выше ответственного?

— Выработан ли регламент учета и хранения СКЗИ?

— Утверждены ли формы журналов учета СКЗИ? Как они ведутся?

— Определен ли круг ответственных лиц и ответственность в случае нарушения правил работы с СКЗИ?

— Каким образом производится хранение и предоставление доступа к СЗКИ?

Типичные нарушения при проверке ФСБ России

Нарушения и недостатки, выявленные в ходе проверок, можно разделить на 4 категории:

1. Нарушения, связанные с разработкой ведомственных нормативных документов:
   • не определен уровень защищенности ПДн в ИСПДн;
   • отсутствуют или требуют доработки модели угроз персональных данных при обработке в ИСПДн;
   • отсутствует инструкция о порядке действий при компрометации ключей.
2. Нарушения, связанные с порядком эксплуатации средств криптографической защиты информации (далее — СКЗИ):
   • использование СКЗИ, не прошедших сертификацию ФСБ России;
   • использование СКЗИ с истекшими сроками действия сертификатов;
   • использование ключей с истекшими сроками их действия;
   • отсутствие формуляров, эксплуатационной и технической документации;
   • аппаратные средства, совместно с которыми эксплуатируется СКЗИ, не оборудованы средствами контроля за их вскрытием, т.е. не опечатаны.
3. Нарушения, связанные с подготовкой и назначением пользователей криптосредств:
   • не назначен ответственный пользователь;
   • отсутствует список лиц, допущенных к работе с СКЗИ;
   • лица, допущенные к работе с СКЗИ, не проходят обучение и не ознакомлены с действующими нормативными и методическими документами.
4. Нарушения, связанные с учетом и хранением СКЗИ и ключевой документации к ним:
   • не ведется учет карт водителя, СКЗИ, ключевых документов, эксплуатационной и технической документации;
   • хранилища и помещения с СКЗИ не оборудуются приспособлениями для опечатывания, либо личные печати отсутствуют;
   • не пронумерованы и не учтены ключи от помещений с СКЗИ.

Риски

В этом разделе кратко напомним о рисках, представленных в прошлых наших статьях и ответах на вопросы. В январе 2017 года Госдума РФ во втором чтении одобрила законопроект об ужесточении административной ответственности за нарушения при хранении и обработке персональных данных. Так, согласно документу, максимальный штраф за нарушения при обработки персональных данных для граждан составит 5 тысяч рублей, для должностных лиц — 20 тысяч рублей, а для индивидуальных предпринимателей (ИП) и юр. лиц по 20 тысяч рублей и 75 тысяч рублей соответственно. При этом, максимальный штраф по-прежнему предусмотрен за нарушение требований к порядку использования СКЗИ, до 300 000 рублей.

5. Почему стоит решить вопрос с выполнением требований закона «О персональных данных» именно сейчас

Это не только обязанность каждой частной или государственной компании, обрабатывающей персональные данные сотрудников и клиентов.

Заказчики и клиенты стали запрашивать не только учредительные документы, но и документы по персональным данным, чтобы подтвердить выполнение закона.

Закон стали использовать в качестве рычага давления не только органы исполнительной власти, но и конкуренты.

Какую причину Вы бы ни выбрали, важно в итоге выполнить требования закона, снизив риски для компании и должностных лиц.

Богданов Андрей Петрович Эксперт

Эксперт по защите информации