Лицензирование деятельности по защите персональных данных

В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных системах 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.

Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий в целях ее уничтожения, искажения или блокирования доступа к ней.
Лицензирование деятельности по технической защите конфиденциальной информации осуществляет Федеральная служба по техническому и экспортному контролю. Срок действия лицензии составляет 5 лет и по его окончании может быть продлен по заявлению лицензиата.
Условия получения лицензии

Лицензионными требованиями и условиями при осуществлении деятельности по технической защите конфиденциальной информации являются:

· наличие в штате специалистов, имеющих квалификацию по вопросам технической защиты информации (прошедших специализированные курсы ФСТЭК);

· наличие помещений для осуществления обработки ПДн, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации;

· наличие испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;

· использование ИСПДн, а также средств защиты ПДн, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

· использование предназначенных для обработки ПДн программ для электронно-вычислительных машин и баз данных;

· наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным ФСТЭК.

Порядок получения лицензии

Для получения лицензии на деятельность по технической защите ПДн необходимо выполнить следующие работы:

1. Подготовить комплект документов для предоставления в ФСТЭК РФ. К ним относятся:

· Заявление;

· Копии учредительных документов (заверенные нотариусом);

· Копии свидетельства о государственной регистрации соискателя лицензии в качестве юридического лица (нотариально заверенные);

· Копия свидетельства о поставке соискателя лицензии на учет в налоговом органе (нотариально заверенная);

· Пояснительная записка;

· Копии документов, подтверждающих право собственности, право хозяйственного ведения на помещения;

· Копия аттестата соответствия на защищаемое помещение;

· Копии документов на ИСПДн (Технический паспорт, Акт классификации ИСПДн, план размещения ОТСС и ВТСС, аттестат соответствия на ИСПДн, перечень защищаемых ресурсов ИСПДн), описание технологического процесса обработки информации в ИСПДн;

· Копии документов, подтверждающих право на используемые программы для ЭВМ и базы данных (лицензии);

· Сведения о наличии производственного и контрольно-измерительного оборудования, средствах защиты информации, средствах контроля защищенности с приложением копий документов о проверке контрольно-измерительного оборудования;

· Сведения об имеющихся нормативно-правовых актах, нормативно-методических документах по вопросам технической защиты информации.

2. Подготовить не менее двух специалистов, которые будут осуществлять деятельность по защите ПДн (оказывать услуги по защите ПДн) на специализированных курсах ФСТЭК.

3. Подготовить и провести аттестацию испытаний защищаемого помещения, которая включает: обследование, разработку пакета организационно-распорядительных документов, подготовку и проведение аттестационных мероприятий.

4. Получить нормативно-методические документы: «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)» и «Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам».

5. Предоставить документы во ФСТЭК РФ.

Защита ПДн при неавтоматизированной обработке

Защита ПДн при неавтоматизированной обработке осуществляется в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель.

Лица, осуществляющие обработку персональных данных, как сотрудники организации-оператора, так и уполномоченного лица (осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки.

При разработке и использовании типовых форм документов, в которые предполагается включение ПДн, должны соблюдаться определенные условия по их содержанию. Например, они должны содержать сведения о цели обработки, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения ПДн, сроки их обработки, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн, поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку персональных данных и т.п.

При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться условия:

· наличие акта о необходимости ведения такого журнала, содержащего цели, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к ним и ответственных за их ведение и сохранность, сроки обработки персональных данных, а также сведения о порядке пропуска субъекта ПДн на территорию, на которой находится оператор;

· недопустимость копирования содержащейся в таких журналах (реестрах, книгах) информации;

· персональные данные каждого субъекта могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта на территорию.

Должна обеспечиваться раздельная фиксация на материальный носитель ПДн, имеющих различную цель обработки. Если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению их раздельной обработки.

В отношении каждой категории ПДн должны быть определены места хранения персональных данных (материальных носителей) и установлен перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. При этом перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Защита биометрических ПДн

С точки зрения формирования требований к защите персональных данных существует два типа биометрических данных. Первый тип – биометрические данные, которые обрабатываются в ИСПДн. Требования к их защите определены в постановлении Правительства РФ от 17 ноября 2007 г. № 781 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и ничем не отличаются от требований к защите обычных ПДн, которые обрабатываются в информационных системах.

Второй тип – это биометрические данные, обрабатываемые вне информационных систем персональных данных. Требования по защите таких ПДн сформулированы в Постановлении от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

При этом под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека, и на основе которых можно установить его личность.

Материальный носитель таких ПДн должен обеспечивать:

· защиту от несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных;

· возможность доступа к записанным на материальный носитель биометрическим персональным данным, осуществляемого оператором и лицами, уполномоченными в соответствии с законодательством Российской Федерации на работу с биометрическими ПДн;

· возможность идентификации информационной системы персональных данных, в которую была осуществлена запись биометрических ПДн, а также оператора, осуществившего такую запись;

· невозможность несанкционированного доступа к биометрическим персональным данным, содержащимся на материальном носителе.

Оператор биометрических данных, используемых вне ИСПДн, обязан:

· осуществлять учет количества экземпляров материальных носителей;

· осуществлять присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель.

Технологии хранения биометрических персональных данных вне ИСПДн должны обеспечивать доступ к информации, содержащейся на материальном носителе, применение средств электронной цифровой подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических ПДн, записанных на материальный носитель, а также проверку наличия письменного согласия субъекта ПДн на обработку его биометрических персональных данных.

При хранении биометрических персональных данных вне ИСПДн должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных.

Защита ПДн при трансграничной передаче

В законодательстве особое внимание уделено безопасности ПДн при их передаче за пределы Российской Федерации. Такая передача называется трансграничной.

До начала осуществления трансграничной передачи персональных данных оператор ПДн обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов ПДн. Министерство связи и массовых коммуникаций РФ (Минкомсвязи) в своем письме № ДС-П11-2502 от 13.05.2009 определило «адекватную защиту» как защиту, при которой «обеспечивается уровень защищенности прав субъектов персональных данных не ниже, чем в Российской Федерации».

Одним из критериев оценки государства в данном аспекте может выступать факт ратификации им «Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных» от 28 января 1981 г., ETS № 108. На сегодняшний день в число стран, подписавших и ратифицировавших указанную Конвенцию, входят: Австрия, Андорра, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Израиль, Ирландия, Исландия, Испания, Италия, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сербия, Словакия, Словения, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония.

Специфика защиты ПДн для различных вертикальных рынков

Компания «Инфосистемы Джет» учитывает специфику исполнения Закона организациями из разных отраслей. К сожалению, многие поставщики решений по защите персональных данных применяют типовой подход как с точки зрения этапности и состава работ, так и подбора средств защиты. Наши специалисты стараются избежать такой «уравниловки». К примеру, при разработке решений по защите персональных данных в телекоммуникационных организациях специалисты компании «Инфосистемы Джет» учитывают специфику работы с абонентскими базами и биллинговыми системами операторов связи. В случае с кредитно-финансовыми организациями многие компании большое внимание уделяют стандарту СТО БР, поэтому важно при проведении работ по защите персональных данных подбирать такие решения, которые могли бы одновременно закрывать требования и законодательства, и стандарта.

В каких случаях не надо обеспечивать «адекватную защиту» ПДн при трансграничной передаче?..

Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

• наличия согласия в письменной форме субъекта персональных данных. То есть субъект ПДн как минимум должен письменно заверить оператора, что «он разрешает организации, которая обрабатывает его персональные данные, не защищать их при передаче за границу». Автор данной статьи скептически относится к такой возможности;
• предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
• предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
• исполнения договора, стороной которого является субъект персональных данных;
• защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

В своей деятельности компания «Инфосистемы Джет» также ориентируется на российское законодательство. В таблице №2 представлены нормативные акты, которые устанавливают требования в данной области для организации различных отраслей.

Компания «Инфосистемы Джет» имеет большой опыт проведения проектов в кредитно-финансовых организациях. В частности, в следующем разделе статьи приводится пример одного из решений, которое было реализовано в одном из крупных российских банков.

Таб. 2. Нормативно-правовые акты, устанавливающие требования по защите ПДн для различных вертикальных рынков