Проблема обработки и защиты персональных данных в Интернете

Размещено на http://www.allbest.ru/

Проблема обработки и защиты персональных данных в Интернете

Гладких Евгений Леонидович главный редактор журнала «Ростовский научный журнал»

Аннотация

В статье рассмотрена проблема обработки персональных данных в сети Интернет, а именно, определение типа обрабатываемых персональных данных, организация работы по их защите:

-- основные моменты и требования, предъявляемые к информационным системам, обрабатывающим общедоступные персональные данные;

-- вопросы установления должного уровня защищенности и законного получения согласия на обработку персональных данных;

-- исключения, снижающие требования законодателя и контролирующих органов к Оператору персональных данных.

Целевой аудиторией статьи являются владельцы сайтов, хостинга, студенты образовательных учреждений.

Ключевые слова: персональные данные, информационные системы персональных данных, согласие на обработку персональных данных, типы актуальных угроз, уровни защищенности, сайт, хостинг, ресурс.

Abstract

The article considers the problem of personal data processing on the Internet, namely, the definition of types of the personal data being processed, and the organization work for their protection:

-- The main points and requirements for information systems processing publicly available personal data;

-- Issues related to establishing a proper level of security and the legal obtaining of consent to the processing of personal data;

-- Exceptions that reduce the legislator's and the regulatory authorities' requirements to the Personal data operator.

The article's target audience includes the owners of sites and hosting services and the students of educational institutions.

Keywords: personal data, personal data information systems, consent to the processing of personal data, types of current threats, security levels, site, hosting, resource.

Информация -- важнейшая часть производства и как ресурс, и как товар. Информация является стратегическим ресурсом, от которого зависит конкурентоспособность организации. Одним из видов информации, и, возможно, самым распространенным являются персональные данные (далее -- ПДн). В данной статье речь пойдет о персональных данных 4- категории, встречающихся на каждом сайте в сети Интернет.

Согласно базовому закону персональными данными является абсолютно любая информация, которая относится к определенному или определяемому (прямо или косвенно) физическому лицу.

Таким образом, п.1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее ФЗ-152) прямо указывает на то, что персональными данными является любая информация о лице. Его имя, фамилия, семейное положение, фотографии, сведения о доходе и прочее.

Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ.

В общедоступные источники персональных данных (адресные книги, списки и другое) с письменного согласия физического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (ст.8 ФЗ-152). Общедоступными так же являются персональные данные, которые в соответствии с законодательством не могут подвергаться сокрытию, то есть не могут быть конфиденциальными, например, сведения о доходах представителей органов государственной и муниципальной власти, информация об авторе публикации и другое. Указанные сведения относятся к 4 виду (категории) персональных данных и являются самым распространенным видом.

Защита персональных данных (ст. 19 ФЗ-152) является обязанностью организации (далее -- Оператора), в которой они обрабатываются. Оператором может быть физическое или юридическое лицо, вне зависимости об формы хозяйственной деятельности. Оператор вправе поручить обработку, в том числе и защиту персональных данных другому лицу на основании договора при условии получения согласия субъектов ПДн. Деятельность по защите ПДн лицензируется.

Основные требования по защите персональных данных установлены:

1. Постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее -- Постановление № 1119).

2. Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

3. Приказом Федеральной службы по техническому и экспортному контролю России (ФСТЭК) от 18.02.2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

В соответствии с законом (ч. 1 ст. 19 ФЗ-152), в отношении персональных данных, обрабатываемых Оператором, необходимо применять технические и организационные меры защиты от несанкционированного (случайного) доступа посторонних лиц, модификации, копирования, распространения, уничтожения, в некоторых случаях необходимо обеспечить защиту доступности и целостности ПДн.

Выбор средств защиты информации для системы защиты персональных данных осуществляется Оператором, самостоятельно, в соответствии с нормативными правовыми актами, принятыми ФСБ и ФСТЭК (п. 4 Постановления № 1119). Персональные данные в электронном виде обрабатываются в информационных системах персональных данных (далее -- ИСПДн).

Ранее, до 2014 г. приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20 было утверждено требование о классификации ИСПДн, в настоящее время данное требование совместным приказом ФСТЭК, ФСБ России и Министерства связи и массовых коммуникаций РФ от 31.12.2013 г. № 151/786/461 отменено.

В отношении ИСПДн законодатель определи, что оно делится по следующим типам (п. 5 Постановления № 1119):

Таблица № 1 Типы ИСПДн

№	Тип ИСПДн	Характер обрабатываемой информации	Субъект ПДн
			Работник	Клиент
1	Специальная	Специальные категории ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн.	+/- или +/+	-/+ или +/+
2	Биометрическая	Биометрические Пдн, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность.	+/- или +/+	-/+ или +/+
3	Общедоступная	ПДн полученные только из общедоступных источников персональных данных.	+/- или +/+	-/+ или +/+
4	Иная	Содержит ПДн, не указанные в первых пунктах.	+/- или +/+	-/+ или +/+

Для организации защиты ИСПДн законодатель предусмотрел базовые угрозы, сведенные им в «Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденную Заместителем директора ФСТЭК России 15.02.2008 г.

Под актуальными угрозами безопасности ПДн понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПДн при их обработке в информационной системе. В результате наступления угроз может последовать уничтожение, изменение, блокирование, копирование, распространение персональных данных (п.6 Постановления № 1119).

Определение типа угроз безопасности ПДн, актуальных для информационной системы, производится Оператором самостоятельно. При определении угроз и оценки возможного вреда учитываются требования указанные в п. 5 ч. 1 ст. 18.1, ч. 5 ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

Таблица № 2 Типы угроз ИСПДн

Типы угроз	Характер угроз
1 тип.	Угрозы, связанные с наличием недокументированных (не декларированных) возможностей в системном программном обеспечении (операционная система).
2 тип.	Угрозы, связанные с наличием недокументированных (не декларированных) возможностей в прикладном программном обеспечении (программы обработки ПДн).
3 тип.	Угрозы, не связанные с наличием недокументированных (не декларированных) возможностей в системном и прикладном программном обеспечении.

Определение типов угроз актуальных осуществляется на основании «Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» утвержденной ФСТЭК России 14.02.2008 г. Данный нормативный документ планировался к отмене в мае 2015 г. и на его место должна была утверждена новая Методика, согласно которой вводились термины косвенных угроз и косвенного вреда. Однако по настоящее время это не сделано.

Согласно действующей Методике расчет актуальных угроз для системы осуществляется математически. Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.

Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в таблице (таблица № 1 Методики):

Таблица № 3 Показатели исходной защищенности ИСПДн

Технические и эксплуатационные характеристики ИСПДн	Уровень защищенности (ui)
	Высокий	Средний	Низкий
1. По территориальному размещению:
распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом;	-	-	+
городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка);	-	-	+
корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации;	-	+	-
локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий;	-	+	-
2. По наличию соединения с сетями общего пользования:
ИСПДн, имеющая многоточечный выход в сеть общего пользования;	-	-	+
ИСПДн, имеющая одноточечный выход в сеть общего пользования;	-	+	-
ИСПДн, физически отделенная от сети общего пользования	+	-	-
3. По встроенным (легальным) операциям с записями баз персональных данных:
чтение, поиск;	+	-	-
запись, удаление, сортировка;	-	+	-
модификация, передача	-	-	+
4.По разграничению доступа к персональным данным:
ИСПДн, к которой имеют доступ определенные перечнем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн;	-	+	-
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн;	-	-	+
ИСПДн с открытым доступом	-	-	+
5. По наличию соединений с другими базами ПДн иных ИСПДн:
интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн);	-	-	+
ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн	+	-	-
6. По уровню обобщения (обезличивания) ПДн:
ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.);	+	-	-
ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации;	-	+	-
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)	-	-	+
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:
ИСПДн, предоставляющая всю базу данных с ПДн;	-	-	+
ИСПДн, предоставляющая часть ПДн;	-	+	-
ИСПДн, не предоставляющая никакой информации.	+	-	-

Исходная степень защищенности определяется следующим образом.

1. ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности, Y -- высокий).

2. ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений, Y -- средний).

3. ИСПДн имеет низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2 (Y -- низкий).

При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициент (), а именно:

0 - для высокой степени исходной защищенности (Yⁱ_z);

5 - для средней степени исходной защищенности (Yⁱ_z);

10 - для низкой степени исходной защищенности (Yⁱ_z).

Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки. Вводятся четыре вербальных градации этого показателя:

С учетом изложенного коэффициент реализуемости угрозы Y будет определяться соотношением или Yⁱ=(Yⁱ_z + Yⁱ) / 20.

Таблица № 4 Градации вербальных показателей

№	Градация (pi)	Показатель	Коэф. Реализуемости угрозы ()
1	Маловероятно	отсутствуют объективные предпосылки для осуществления угрозы	0
2	Низкая вероятность	объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию	2
3	Средняя вероятность	объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны	5
4	Высокая вероятность	объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты	10

По значению коэффициента реализуемости угрозы Y (Yⁱ) формируется вербальная интерпретация реализуемости (Z_i=Z(Yⁱ), где Y=Yⁱ) угрозы следующим образом:

если , то возможность реализации угрозы признается низкой;

если , то возможность реализации угрозы признается средней;

если , то возможность реализации угрозы признается высокой;

если , то возможность реализации угрозы признается очень высокой.

Далее оценивается опасность каждой угрозы. При оценке опасности на основе опроса экспертов определяется показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения:

низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;

средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;

высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

Затем осуществляется выбор из общего (предварительного) перечня угроз безопасности тех, которые относятся к актуальным для данной ИСПДн, в соответствии с правилами, приведенными в таблице 2 Методики.

Таблица № 5 Правила отнесения угрозы безопасности ПДн к актуальной

Возможность реализации угрозы Zi	Показатель опасности угрозы Xi
	Низкая	Средняя	Высокая
Низкая	неактуальная	неактуальная	актуальная
Средняя	неактуальная	актуальная	актуальная
Высокая	актуальная	актуальная	актуальная
Очень высокая	актуальная	актуальная	актуальная

Согласно действующего законодательства при обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных (п.8 Постановления № 1119).

В зависимости от выбранного уровня защищенности ПДн (в таблице № 6 уровни защищенности указаны условными сокращениями 1УЗ-4УЗ), определен ряд требований по защите персональных данных, которые организуются и проводятся оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Контроль за выполнением требований должен проводиться не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

Таблица № 6 Уровни защищенности ИСПДн

№	Требования	Уровни защищенности
		1УЗ	2УЗ	3УЗ	4УЗ
1	Организация режима обеспечения безопасности помещений, в которых размещена информационная система.	+	+	+	+
2	Обеспечение сохранности носителей персональных данных.	+	+	+	+
3	Утверждение перечня лиц, имеющих доступ ПДн, обрабатываемым в ИСПДн, для выполнения ими служебных (трудовых) обязанностей.	+	+	+	+
4	Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации ( при необходимости для нейтрализации актуальных угроз).	+	+	+	+
5	Назначение должностного лица, ответственного за обеспечение безопасности персональных данных в ИСПДн	+	+	+	--
6	Ограничение доступа к содержанию электронного журнала сообщений	+	+	--	--
7	Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе	+	--	--	--
8	Создание структурного подразделения, либо возложение на кого либо функций по обеспечению безопасности ПДн.	+	--	--	--

Согласно законодательству для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований (п. 13 Постановления № 1119):

а) защита помещений с размещенными информационными системами от неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных;

в) утверждение внутреннего регламента, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Изложенная выше информация о типах ИСПДн, актуальных угрозах, уровнях защищенности и их взаимодействии может быть обобщена в таблицу:

Таблица № 7 Категории и типы угроз

Категории ПДн

Специальные

Биометрические

Иные

Общедоступные

Работники Оператора

+

в.з.

+

+

Клиенты Оператора

+

+

в.з.

+

+

+

+

Кол-во записей

100 т.

в.з.

+

в.з.

в.з.

+

в.з.

+

100 т.

в.з.

+

в.з.

в.з.

+

в.з.

+

Тип актуальных угроз

1

1УЗ

1УЗ

1УЗ

1УЗ

2УЗ

1УЗ

2УЗ

2УЗ

2УЗ

2УЗ

2

2УЗ

1УЗ

2УЗ

2УЗ

3УЗ

2УЗ

3УЗ

3УЗ

2УЗ

3УЗ

3

3УЗ

2УЗ

3УЗ

3УЗ

4УЗ

3УЗ

4УЗ

4УЗ

4УЗ

4УЗ

в.з. - вне зависимости

Для лучшего усвоения информации предлагаю рассмотреть среднестатистический сайт, обрабатывающий персональные данные, к примеру «сетевое СМИ».

Для сайта «сетевого СМИ» признаются актуальными угрозы 3-го типа на основании следующей совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак:

· недокументированные (недекларированные) возможности (далее - НДВ) могут быть внесены в системное и прикладное программное обеспечение информационных систем его производителем (разработчиком);

· производитель (разработчик) прикладного программного обеспечения, а также иные лица, располагающие знаниями о внесенных в него НДВ, не допускаются к ИСПДн «Сетевого СМИ» и не могут использовать эти НДВ для причинения вреда субъектам персональных данных;

· лица, допускаемые к сопровождению ИСПДн «Сетевого СМИ», не обладают знаниями о внесенных в их системное и прикладное программное обеспечение НДВ, и не могут использовать эти НДВ для причинения вреда субъектам персональных данных.

Персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов (специальные категории персональных данных) в ИСПДн «Сетевого СМИ» не обрабатываются.

Сведения, характеризующие физиологические и биологические особенности человека (биометрические персональные данные) в ИСПДн «Сетевого СМИ» не обрабатываются.

В ИСПДн «Сетевого СМИ» обрабатываются сведения о менее чем 100000 субъектов, не являющихся работниками «Сетевого СМИ».

С учетом вышеизложенных исходных данных, согласно п.12 «Требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных Постановлением Правительства Российской Федерации № 1119 от 01.11.2012, устанавливается необходимость обеспечения 4-го уровня защищенности персональных данных ИСПДн «Сетевого СМИ».

Для расчета уровня защищенности применяется нижеприведенная таблица:

Таблица № 8 Результат обследования «Сетевого СМИ»

Технические и эксплуатационные характеристики ИСПДн	Уровень защищенности
	Высокий	Средний	Низкий
1. По территориальному размещению:
локальная ИСПДн, развернутая в пределах одного здания (рассматривается физическое место расположения системы)	1
2. По наличию соединения с сетями общего пользования
ИСПДн, имеющая многоточечный выход в сеть общего пользования;			1
3. По встроенным (легальным) операциям с записями баз персональных данных:
чтение, поиск;	1
4.По разграничению доступа к персональным данным:
ИСПДн с открытым доступом			1
5. По наличию соединений с другими базами ПДн иных ИСПДн:
ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн	1
6. По уровню обобщения (обезличивания) ПДн:
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)			1
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:
ИСПДн, предоставляющая всю базу данных с ПДн;			1

В результате обследования сайта «Сетевого СМИ» установлено, что:

Исходная защищенность ресурса низкая =4

Вероятность наступления угрозы маловероятная =0

Коэффициент реализуемости угрозы Y=(0+4)/20 = 0,2 низкий.

Рассматривая полученные данные согласно правил отнесения угрозы безопасности ПДн к актуальной (таблица № 5) устанавливаем, что возможность реализации низкой угрозы для обследуемой системы не актуальна.

Для Общедоступных ИСПДн, при их обработке в сети Интернет по моему мнению актуальны угрозы 3-го типа -- не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе (п.6 Постановления № 1119).

Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении для общедоступных ИСПДн не актуальны в связи с тем, что целью обработки данных видов ПДн является организация их общедоступности неограниченному кругу лиц, что исключает смысл хищения ПДн из систем. ИСПДн обрабатывающие общедоступные ПДн не представляют экономического интереса для других организаций в связи со своей мало значимостью.

Следующей не маловажной задачей в области защиты ПДн является разработка модели угроз безопасности. Для того чтобы разработать модель угроз безопасности конкретной ИСПДн, необходимо составить перечень всевозможных угроз безопасности для ПДн, которым может быть подвержена исследуемая ИС, с учетом анализа информационных процессов организации и особенностей реализации ИСПДн.

Следующим шагом на пути решения поставленной задачи является выбор наиболее актуальных угроз из общего списка. Для этого необходимо ввести следующие понятия и определения.

Систему защиты ИСПДн можно описать с помощью кортежа <O,A,B> где:

O = {Oh} множество объектов защиты персональных данных, образующих информационную систему;

A = {ai} множество угроз для информационной системы;

B = {bi} множество средств противодействия угрозам.

Актуальной считается угроза ai, которая может быть реализована в информационной системе и представляет опасность для ПДн.

Для оценки возможности реализации угрозы применяются два показателя уровень исходной защищенности ИСПДн Y и частота (вероятность) реализации рассматриваемой угрозы p_i. Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от уровня защищенности технических и эксплуатационных характеристик ИСПДн u_i, приведенных в таблице № 3.

Под частотой (вероятностью) реализации угрозы p_i понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ИСПДн в складывающихся условиях обстановки (таблица 5) .

Математическую модель анализа и оценки уровня угроз безопасности персональных данных в информационных системах можно представить в виде блок-схемы, изображенной на рисунке 1 и формулы:

Vⁱ = V(Xⁱ,Zⁱ).

Представленную математическую модель анализа и оценки уровня угроз безопасности персональных данных необходимо использовать уже на этапах проектирования и внедрения ИС в организации с целью уменьшения расходов и повышения уровня безопасности при последующем ее функционировании.

Предлагаемая расширенная математическая модель для анализа и оценки уровня угроз безопасности ИСПДн основана на базовой системной модели ИС и применении формализованных экспертных знаний. Применение данной модели уже на этапах проектирования и внедрения ИСПДн в организации повлечет уменьшение расходов и повышения уровня безопасности при последующем ее функционировании.

Подводя промежуточный итог можно сделать вывод о том, что Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» государство обязует все организации и всех своих жителей организовать защиту персональных данных. При этом Операторами указанные органы и лица являются независимо от включения в реестр Операторов, осуществляющих обработку ПДн, который ведет Роскомнадзор (п.2 ст. 3 ФЗ-152).

Одним из ключевых моментов обработки ПДн является получение согласия на обработку персональных данных (далее -- Согласие). Владелец (субъект) персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным (п.1 ст. 9 ФЗ-152).

Согласие на обработку персональных данных отбирается в письменной форме. Равнозначным документом признается согласие в форме электронного документа, подписанное электронной подписью (п.4 ст. 9 ФЗ-152). Согласие на обработку персональных данных является самостоятельным отдельным документом и может быть приложением к договору, но не его частью.

Согласие должно содержать конкретные категории персональных данных. Не следует просто перечислять обобщенные категории (например: биометрические, специальные персональные данные). Недопустимо использовать слова «и т.д.», «и т.п.», «и другие», «анкетные данные», «другая информация». В Согласии должен быть исчерпывающий (закрытый) перечень категорий ПДн. При этом важно понимать, что под «категориями персональных данных» понимается «информация, относящаяся к физическому лицу», соответственно, документы (паспорт, водительские права, фотография и т.п.), принадлежащие физическому лицу, не могут быть категориями персональных данных, так как являются материальными носителями персональных данных.

Как говорилось ранее из наиболее часто используемых средств для обработки ПДн является -- Интернет. Так при регистрации на Интернет-ресурсе пользователь создает свой никнейм (nickname) либо логин. То есть информацию, согласно которой он авторизуется и аутентифицируется -- проходит процедуру идентификации на сайте.

Для разъяснения необходимо пояснить, что:

-- логин -- это имя (идентификатор) учетной записи (или аккаунта) пользователя в какой-либо системе. Используется, например, для получения доступа на сайт или форум. В 90% случаев применяется в паре с паролем.

-- никнейм (ник, nickname) -- в переводе с английского языка означает «кличка, прозвище» -- обозначает сетевое имя, псевдоним, используемый пользователем в Интернете, обычно в местах общения (в блогах, форумах, чатах), для отождествления конкретного пользователя.

Согласно ФЗ-152 и логин и никнейм являются персональными данными, так как их задача установить и отождествить личность на каком сайте, ресурсе или системе.

Сайт -- (от англ. Website: web -- «паутина, сеть» и site -- «место», буквально «место, сегмент, часть в сети») -- компьютерная программа частного лица или организации в компьютерной сети под общим адресом (доменным именем или IP-адресом).

Наличие логина, никнейма на сайте (к примеру блоге, форуме) прямо указывает на необходимость организации защиты ПДн. Логин или никнейм используются практически на каждом сайте.

Исходя из требований законодательства, владелец сайта (физическое или юридическое лицо) обязан уведомить Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций России (Роскомнадзор) о начале обработке персональных данных, получить согласие на обработку персональных данных от зарегистрированных пользователей сайта (в тексте согласия -- предусмотреть перечень ПДн, цели и сроки обработки, их передачу третьим лицам).

Хостинг (от англ. Hosting -- услуга по предоставлению ресурсов для размещения информации на сервере, постоянно находящемся в сети) сайта. В зависимости от него в обработке персональных данных используется или не используется трансграничная передача, он наличия которой так же зависит степень защищенности ПДн.

Сервер (от англ. Server от to serve -- служить -- специализированный компьютер и/или специализированное оборудование для выполнения на нем сервисного программного обеспечения, хранения данных). Владельцы сайтов и владельцы серверов в большинстве случаев разные лица, связанные между собой только договором хостинга и находящиеся друг от друга на неопределенном расстоянии.

К ПДн размещенным на сайте имеют допуск администратор сайта, при этом сами Пдн физически хранятся на сервере и к ним может иметь доступ также администратор сервера. Исходя из этого организация защиты ПДн должна быть на всех уровнях -- программном (защищенность сайта) и аппаратном (устойчивость сервера), а так же организационно-распорядительном (получение Согласия, издание приказов, ведение журналов, разграничение полномочий).

Рассмотрев вышесказанное, перед нами возникает проблема обработки ПДн в Интернете. Данная проблема заключается в завышенных требованиях к владельцам сайтов, на которых возложена обязанность:

а) защита помещений, в которых размещена информационная система, от неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения. Не смотря на то, что к данным помещениям владелец сайта не имеет доступа, так как хранит информации на дисковом пространстве на основании договора по оказанию услуг хостинга и помещения находятся в его владении (аренде);

б) обеспечение сохранности носителей персональных данных. В данном случае ситуация полностью аналогична с п. «а» изложенным выше;

в) утверждение внутреннего регламента, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей. Данное требование легко выполнимо, однако в случае обработки ПДн в целях статистики, научной, журналисткой, публицистической деятельности выполнение данного пункта в части составления исчерпывающего перечня лиц не требуется;

г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз. Полностью возложено на Оператора так же, несмотря на то, что часть работ по защите информации необходимо осуществить на хостинге.

Сайты (блоги, форумы) предназначены для облегчения обмена информацией и используют упрощенную процедуру регистрации. Включение в процедуру регистрации на сайте направление Оператору Согласия в письменном виде приведет к отказу пользователя от регистрации. Направление почтой Согласия усложняет процедуру. Использование электронной подписи в данном случае так же не даст выхода из ситуации, так как она довольно редко используется гражданами.

В настоящее время большинство сайтов при регистрации на них ставит условие обязательного ознакомления и согласия с условиями и правилами пользования. Принимая по внимание, что по закону возможна обработка ПДн в целях продвижения товаров, работ, услуг на рынке, путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи (п. 1 ст. 15 ФЗ-152), указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта ПДн (если оператор не докажет, что такое согласие было получено). Исходя из этого возможно получение Согласия субъекта ПДн, как обязательного условия при регистрации на сайте.

Кроме того, если Оператор осуществляет обработку ПДн для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста, либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта ПДн (ч.4 п. 4 ст. 18 ФЗ-152), Оператор освобождается от части обязанностей по защите ПДн, в частности как говорилось ранее от обязанности составления и ведения точного реестра лиц допущенных к ПДн.

Следующим основным требованием к Оператору является издание и публикация (предоставление неограниченного доступа) Политики Оператора в отношении обработки персональных данных (ч.2 п. 1 ст. 18.1. ФЗ-152 и п. 2 ст. 152 ФЗ-152) и организация технической защиты ИПДн (ст. 19 ФЗ-152).

Политика обработки персональных данных определяет порядок обработки ПДн, а так же меры по обеспечению безопасности ПДн применяемые Оператором с целью защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Подводя итог сказанному, можно сделать вывод, что обработка и защита ПДн в сети Интернет имеет свои нюансы, связанные с отсутствием прямого (личного) контакта оператора и субъекта. Основной проблемой является законное получение Согласия на обработку ПДн. Часть обязанностей Оператора может быть снята при осуществлении им определенной деятельности (статистической, научной и пр.).

Для организации защиты ПДн оператору, работающему в сети Интернет необходимо тесно контактировать с владельцем хостинга. Вероятно, данное взаимодействие повлечет увеличение стоимости услуг хостинга, так как организация физической защиты дискового пространства является затратным мероприятием, проводимым исключительно сертифицируемыми программными и аппаратными средствами.

В целях качественного исполнения законодательства России в сфере обработки и защиты ПДн целесообразно было бы разработать методические рекомендации по работе и организации защиты ПДн включающие в себя основные положения ФЗ-152, постановлений Правительства России, а так же примеры их практической реализации. Распространение данных методических рекомендаций возможно легко организовать через регистраторов доменных имен, при регистрации их на владельца. Данные действия не только повысили грамотность населения, но уменьшили риск нарушения законодательства Операторами.

персональный данные интернет безопасность

Список литературы

1. Федеральный Закон Российской Федерации «О персональных данных» от 27.07.2006 № 152-ФЗ // Российская газета.

2. Постановление правительства Российской Федерации «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 № 1119 // Российская газета.

3. Постановление правительства Российской Федерации «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 N 687 // Российская газета.

4. Российская Федерация. Приказы. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» [Приказ ФСЭК России N 21, издан ФСЭК России 18.02.2013] -- 1-е изд. -- М., 2013. -- С.20.

5. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Методический документ ФСТЭК России от 14.02.2008 г.

6. Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в специальных информационных системах персональных данных отрасли. Методический документ Министерства связи и массовых коммуникаций Российской Федерации [«Научно-техническое и стратегическое развитие отрасли» 21.04.2010.] -1-е изд. - М., 2010 . - С.50.

7. Васильев В.И., Бакиров A.A., Бабиков А.Ю. Математическая модель для анализа защищенности взаимосвязанных информационных объектов // Проблемы информационной безопасности. Компьютерные системы. 2000. №1. С. 13-19.

Размещено на Allbest.ru

...