Особенности обеспечения безопасности персональных данных в органах государственной власти

    2.3 Способы минимизации затрат на создание системы защиты персональных данных. 

• При классификации  информационной системы ПДн (ИСПДн) как «специальная» возможно снижение затрат на создание системы защиты ПДн. Классификация «специальной»  системы осуществляется на основании разрабатываемой модели угроз безопасности ПДн, что дает возможность в каждом конкретном случае обоснованно выбрать минимальное количество актуальных угроз, от которых требуется защитить персональные данные.
• При разработке требований к системе защиты персональных данных (СЗПДн) проводится логическое структурирование, основанное на анализе возможности сегментирования и (или) объединения ИСПДн. Такой подход позволяет выбрать оптимальное количество ИСПДн в соответствии с процессами обработки ПДн.
• Разработка требований с учётом возможностей инфраструктуры оператора, при этом максимально используются штатные средства ОС, СУБД и механизмов обеспечения ИБ корпоративной информационной системы

    2.4 Подача уведомления в уполномоченный орган 

    Закон «О персональных данных» разрешает вести обработку персональных данных без подачи уведомления в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных в следующих случаях:

• если оператор обрабатывает персональные данные граждан, которых связывают с оператором трудовые отношения;
• при наличии договора с субъектом персональных данных, на основании которого персональные данные не распространяются и не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора;
• если персональные данные относятся к членам общественного объединения или религиозной организации, действующими в соответствии с законодательством РФ, при условии, что персональные данные не будут распространяться без письменного согласия субъектов персональных данных;
• если персональные данные являются общедоступными;
• если персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных;
• если персональные данные необходимы для однократного пропуска на территорию оператора;
• персональные данные включены в информационные системы персональных данных, имеющих статус федеральных автоматизированных информационных систем, а также государственных информационных систем, созданных в целях защиты безопасности государства и общественного порядка;
• персональные данные обрабатываются без использования средств автоматизации.

    Во  всех остальных случаях оператор обязан подать уведомление в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. На основании уведомления госорган регистрируется в реестре операторов, осуществляющих обработку персональных данных.

    Форма уведомления утверждена Приказом Роскомнадзора  № 8 от 17.07.2008 года и содержит следующие  основные положения: наименование и  адрес местонахождения оператора; цель обработки персональных данных; категории персональных данных и  субъектов персональных данных; правовое основание и способы обработки персональных данных. 

      Уведомление должно быть направлено  в письменной форме и подписано  уполномоченным лицом или направлено  в электронной форме и подписано  электронной цифровой подписью  в соответствии с законодательством Российской Федерации. 

    2.5 Организационные меры защиты персональных данных 

    Комплекс  мероприятий по обеспечению защиты персональных данных состоит из организационных и технических мер защиты информации:

    Организационные меры по защите персональных данных включают в себя:

• разработка организационно – распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных (например):
• Положение об обработке персональных данных;
• Положение по защите персональных данных;
• Регламент взаимодействия с субъектами персональных данных;
• Регламент взаимодействия при передаче персональных данных третьим лицам;
• Инструкции администраторов безопасности персональных данных;
• Инструкции пользователей по работе с персональными данными;
• перечень мероприятий по защите персональных данных:
• определение круга лиц, допущенного к обработке персональных данных;
• организация доступа в помещения, где осуществляется обработка ПДн;
• разработка должностных инструкций по работе с персональными данными;
• установление персональной ответственности за нарушения правил обработки ПДн;
• определение продолжительности хранения ПДн и т.д.

    Меры  организационного характера осуществляются на предприятии независимо от того, нужно подавать уведомление в Роскомнадзор или нет, обработка ПДн осуществляется с использованием средств автоматизации или без использования таких средств. Реализация организационных мер защиты информации осуществляется с учетом категорий персональных данных – чем выше категория, тем выше требования их защиты. 

    2.6 Техническая защита персональных данных 

    Технические меры защиты информации предполагают использование программно - аппаратных средств защиты информации. При обработке  ПДн с использованием средств  автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов оператора.

    Технические средства защиты информации делятся  на два основных класса:

• средства защиты информации от несанкционированного доступа (НСД) (системы разграничения доступа к информации; антивирусная защита; межсетевые экраны; средства блокировки устройств ввода-вывода информации, криптографические стредства и т.п.);
• средства защиты информации от утечки по техническим каналам (использование экранированных кабелей; установка высокочастотных фильтров на линии связи; установка активных систем зашумления и т.д.).

    На  основании проведенного обследования осуществляется обоснование требований по обеспечению безопасности ПДн (разработка модели угроз и модели нарушителя безопасности ПДн; определение класса информационных систем ПДн; при необходимости обосновывается использование средств шифрования), далее проводятся работы по проектированию, созданию и вводу в эксплуатацию системы защиты ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн; согласование документов с регуляторами; разработка технического задания на создание системы защиты ПДн; развертывание и ввод в эксплуатацию системы защиты ПДн).  
 

3. Ответственность за разглашение персональных данных

    Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут юридическую  ответственность (ст. 90 ТК РФ). Юридическая ответственность указанных лиц предусмотрена за виновное поведение, которое проявляется в их действиях или бездействии.

    Так, в соответствии с п. 3 ст. 24 Федерального закона от 20 февраля 1995 г. № 24-ФЗ «Об  информации, информатизации и защите информации» ответственность за незаконное ограничение доступа к информации и нарушение режима защиты информации несут руководители и другие служащие органов государственной власти, организаций при наличии их вины в соответствии с уголовным, гражданским законодательством и законодательством об административных правонарушениях.

    Дисциплинарная  ответственность устанавливается  в связи с совершением работником (в том числе руководителями, служащими, должностными лицами) дисциплинарного  проступка, по правилам, установленным ТК РФ (а для отдельных категорий работников федеральными законами, уставами и положениями о дисциплине).

    В соответствии со ст. 14 Федерального закона от 31 июля 1995 г. «Об основах государственной  службы в Российской Федерации» на государственного служащего возложена обязанность соблюдать установленный порядок работы со служебной информацией, хранить государственную и иную охраняемую законом тайну, а также не разглашать ставшие ему известными в связи с исполнением должностных обязанностей сведения, затрагивающие частную жизнь, честь и достоинство граждан. За неисполнение (ненадлежащее исполнение) государственным служащим возложенных на него обязанностей к нему могут применяться дисциплинарные взыскания, несколько отличные от видов дисциплинарных взысканий, установленных ст. 192 ТК РФ. К ним, в частности, относятся: замечание, выговор, строгий выговор, предупреждение о неполном служебном соответствии, увольнение. Помимо этого, за разглашение конфиденциальных сведений, содержащихся в личных делах лиц, замещающих государственные должности РФ в порядке назначения и государственные должности федеральной государственной службы, а также за иные нарушения порядка ведения личных дел, установленного п. 7 Указом Президента РФ от 1 июня 1998 г. «О порядке ведения личных дел лиц, замещающих государственные должности Российской Федерации в порядке назначения и государственные должности федеральной государственной службы», виновные в этом федеральные государственные служащие, уполномоченные на ведение и хранение личных дел (формирование их копий) указанных выше лиц, могут привлекаться к дисциплинарной или иной ответственности.

    Наряду  с дисциплинарной ответственностью работники, виновные в разглашении  сведений, составляющих служебную, коммерческую или иную тайну, могут привлекаться к материальной ответственности. Одним из оснований наступления полной материальной ответственности работника, предусмотренных федеральными законами, является разглашение им сведений, составляющих охраняемую законом служебную, коммерческую или иную тайну (ст. 90 ТК РФ).

    Гражданско-правовая ответственность в соответствии с требованием п. 2 ст. 139 ГК РФ установлена  за причинение убытков в результате получения незаконными методами информации, составляющей служебную  и коммерческую тайну. Виновные в этом лица обязаны возместить причиненные убытки по правилам, определяемым гражданским законодательством. Аналогичная ответственность предусмотрена в отношении работников, виновных в разглашении служебной или коммерческой тайны, если трудовым договором предусмотрена соответствующая обязанность о неразглашении определенных сведений, вопреки трудовому договору.

    Административная  ответственность за нарушение норм, регулирующих порядок получения, обработки  и защиты персональных данных работника, установлена Кодексом Российской Федерации  об административных правонарушениях, принятым Государственной Думой 20 декабря 2001 г., одобренным Советом Федерации 26 декабря 2001 г.

    В силу ст. 13.11 КоАП РФ за нарушение установленного законом порядка сбора, хранения и использования или распространения  информации о гражданах (персональных данных) предусмотрена административная ответственность в виде предупреждения или наложения административного штрафа в размере от трех до пяти минимальных размеров оплаты труда в отношении граждан;

    — в отношении совершения аналогичных  виновных действий должностными лицами размер административного штрафа составляет от пяти до десяти минимальных размеров оплаты труда;

    — юридические лица несут административную ответственность в размере от пятидесяти до ста минимальных размеров оплаты труда.

    В соответствии со ст. 13.14 КоАП РФ разглашение  информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда; на должностных лиц — от сорока до пятидесяти минимальных размеров оплаты труда. Такая ответственность наступает за разглашение информации, доступ к которой ограничен только федеральным законом. Поэтому за разглашение информации, доступ к которой ограничен иными нормативными правовыми актами, например локальными нормативными актами, административная ответственность, установленная требованием ст. 13.14 КоАП РФ, не может быть применена.