Защита персональных данных курс лекций

2.4. Уровни защищенности персональных данных

3. Анализ Приказа ФСБ № 378

Введение

3.1. Использует ли данный Оператор средства криптозащиты?

3.2. Выбор класса средств криптозащиты

3.3. Меры защиты ПДн, сведенные в таблицу

4. Анализ приказа ФСТЭК № 21

Введение

4.1. Что такое класс средств вычислительной техники

4.2. Что такое класс системы обнаружения вторжений и средства антивирусной защиты

4.2.1. Класс средства антивирусной защиты

4.2.2. Класс системы обнаружения вторжений

4.3. Что такое класс межсетевого экрана

4.4. Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения заданного уровня защищенности персональных данных в информационных системах персональных данных

1. Анализ ФЗ № 152 «О персональных данных»

Введение

Чем к большему кругу лиц относятся некоторые правила, определяющие поведение, взаимоотношение этих лиц, тем более отточенные и недвусмысленные должны быть их формулировки. Слишком велики и масштабны могут быть последствия от неоднозначного толкования одних положений разными лицами. Федеральный закон «О персональных данных» напрямую касается всех физических лиц Российской Федерации от только что родившихся, ныне здравствующих и уже безвременно покинувших нас, живущих. Он также непосредственно касается несколько миллионов предприятий, учреждений и организаций РФ. Поэтому крайне необходимо, чтобы в таких документах использовались не обиходные слова, а четко определенные термины либо в самом документе, либо использовались ссылки на их определения в предшествующих законах и стандартах.

Стоит напомнить, какую «неразбериху» в головах читателей вызывало понятие «типовой информационной системы», действующее в контексте предшествующей редакции закона. Если предприятие обосновывало необходимость обеспечения только конфиденциальности в информационной системе, то данная система относилась к типовой, и требования регуляторов к защите персональных данных значительно облегчались. Однако, вдумайтесь, имеют ли практическую ценность информационные системы, которые не гарантируют получение информационной услуги (доступность) и ее достоверность (целостность).

К сожалению, рассматриваемые здесь правовые акты Российской Федерации разительно отличаются от зарубежных. К примеру, к документу Data Protection Act (аналог российскому ФЗ 152 -Великобритания) официально выпущены руководства типа The Guide to Data Protection, в которых на многочисленных примерах для широкого круга читателей объяснены основные понятия и термины. Отсутствие таких развернутых руководств для анализируемых здесь документов основная причина появления данной лекции.

Не могу утверждать, что анализ закона в данной лекции – истина в последней инстанции, но надеюсь, что комментарии к нему помогут читателю если не избежать неправильного толкования отдельных положений, то хотя бы задуматься над ними.

Анализ закона будет вестись постатейно. Отсутствие комментария означает, что практический опыт автора не находится в противоречии с содержанием статьи и для ее осмысления специальных знаний не требуется.

Глава 1. Общие положения

Статья 1. Сфера действия настоящего Федерального закона.

В пункте 1 определяется, что действие Закона распространяется на автоматизированные информационные системы и не автоматизированные информационные системы, обладающие некими схожими с автоматизированными системами свойствами. Если Закон в п. 4 статьи 3 определяет, что «автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники», то логически следует под неавтоматизированной обработкой понимать обработку без помощи средств вычислительной техники, т.е. без компьютеров, калькуляторов, смартфонов и т.д. Тогда схожесть заключается в механизации процесса обработки, замене части ручной обработки элементами механизированной обработки?

Временно примем за истину это развитие мысли и зададим вопрос: может быть Закон не распространяется на ручную, бумажную технологию? Нет, распространяется. Это следует из п.3 статьи 4: «Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона». Если Закон распространяется на автоматизированные системы, механизированные системы и ручную обработку, то он распространяется на все системы без учета их особенностей.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе.

В п.1 определяется краеугольное фундаментальное понятие «персональные данные», которое для наглядности воспроизведем здесь: «персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных)». Без полноценного и четкого понимания этого определения нельзя даже утверждать подпадает ли конкретное предприятие под действие данного Закона. Поверхностный взгляд на данное определение приводит к следующему умозаключению. Если некоторая информация позволяет идентифицировать, выделить из неопределенного множества людей конкретного человека, то такая информация – персональные данные. Если же эта информация не позволяет идентифицировать конкретного человека, то это не персональные данные. Но кто должен соотносить идентификационную информацию с множеством людей и сказать, вот эта информация относится к данному человеку или на основе вот этой информации однозначно определяется вот этот конкретный субъект:

1) Инспектор отдела кадров предприятия;

2) Регулятор в лице Роскомнадзора;

3) Спецслужбы РФ;

4) Злоумышленник?

Вообразим конкретного субъекта Иванова Петра Сидоровича, который купил в мебельном магазине тумбочку под телевизор, и продавец занес в текстовый файл следующие данные:16 апреля 2016 года Иванов Петр Сидорович тумбочка под телевизор цена 3000 руб. Давайте зададим себе вопрос, в соответствии с вышеприведенным определением это персональные данные или нет?

С позиции соседки по лестничной площадке, с которой Петр Сидорович поделился своей радостью и сообщил, что он купил 16 апреля тумбочку под телевизор за 3000 рублей, это персональные данные. Вся эта информация для нее прямо относится к конкретному субъекту, ее соседу.

Какое заключение даст представитель Роскомнадзора, осуществляющий плановую проверку в магазине и обнаруживший в компьютере продавца этот файл, который содержит 150 аналогичных записей. Эта информация для него не соотносится с определенным лицом и вряд ли по ней можно «вычислить» (идентифицировать) конкретного человека. С позиции представителя эта информация – не персональные данные.

И та же информация для опытного следователя вполне достаточна, чтобы не только соотнести с конкретным Ивановым, но и определить его местонахождение. С позиции следователя – это персональные данные.

В данном примере у соседки был контекст, дополнительная информация, ограничивающая интерпретацию информации до единственного человека. Этим контекстом не обладал представитель Роскомнадзора. Следователь нашел отсутствующий первоначально контекст, просмотрев видеозапись в магазине за 16 апреля. Как говорится, есть над чем задуматься.

Теперь зайдем к вопросу о персональных данных, с другой стороны. Являются ли персональными данными фамилия, имя и отчество, например, Иванов Петр Сидорович. Если слепо следовать определению, то нет. В России найдется не один десяток, а может и более субъектов, являющихся обладателем данной информации. Если это не персональные данные, то, следовательно, информационная система, содержащая такую информацию, не подпадает под действие Закона. Вновь вообразим не очень-то выдуманную ситуацию. Совершено преступление, важный свидетель которого взят под защиту государства по программе защиты свидетелей. Сообщники арестованного преступника получили доступ к компьютеру следователя и узнали ФИО свидетеля. Подумайте сами, какой здесь контекст, и, вообще, так ли хорошо определение персональных данных в Законе.

Вывод. Одна и та же информация может быть признана персональными данными или не признана персональными данными в зависимости от контекста, которым обладает интерпретатор этой информации. Но в Законе, в данном определении, ничего не говорится о контексте.

В п. 2 определяется субъект информационных отношений – оператор, на который распространяется действие данного закона. В соответствии с Законом «оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными». Очень непростое определение, но придется досконально проанализировать его, чтобы понять, кто является оператором и можно ли обрабатывать персональные данные, не будучи оператором. В первую очередь, каждое предприятие интересуется, подпадает ли оно под действие данного закона, является ли оно оператором или может быть очередная напасть минует его.

Вначале осмыслим первую часть предложения до предлога «а». Из нее следует, что некто:

1) может организовывать и осуществлять нечто (предлог «и»);

2) может организовывать, но не осуществлять (предлог «или») нечто;

3) может не организовывать, но осуществлять (предлог «или») нечто.

Из первого варианта следует, что предприятие организует обработку и само же обрабатывает персональные данные. Организует, т.е. подбирает кадры и обучает их, закупает средства обработки и осуществляет их монтаж и т.д. Обрабатывает, значит, собирает персональные данные, накапливает, использует и т.д. (см. след пункт 3).

Второй вариант предлагает, что предприятие организует обработку, но само не обрабатывает персональные данные. Видимо, подразумевается возможность передачи в аренду помещений и средств обработки.

Третий вариант подразумевает отсутствие организации (уже все организовано), только собственно обработку персональных данных.

После анализа первой части предложения «появляется» два типа предприятий, так сказать «организаторы» и «обработчики» персональных данных.

Осмысление второй части предложения, находящейся после предлога «а», не требует таких чрезвычайных мыслительных способностей. И что в итоге?

Важно: Государственный орган, муниципальный орган, юридическое или физическое лицо, которое определяет цель обработки, перечень персональных данных и операции над ними – это Оператор. Предприятие, которое не определяет цель обработки, перечень персональных данных и операции над ними, но обрабатывает их по поручению Оператора – это не Оператор именно этих персональных данных. Он может быть Оператором, но других персональных данных, для которых он определяет цель, перечень и операции.

В п.3 приводится определение понятия обработки персональных данных: «обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных». Законодатель в данном случае использовал прием определения понятия через перечисление его объема. Это вполне согласуется с (формальной) логикой, только есть одно противоречие. В объем понятия «обработка» включено понятие «блокирование», которое определено в п.7 как «временное прекращение обработки персональных данных». Подставив определение из п.7 в определение из п.3 получим: «обработка персональных данных -…это «временное прекращение обработки персональных данных» или, чуть перефразировав, получаем, что обработка персональных данных – это отсутствие обработки персональных данных.

Закон при определении понятий должен быть подобен (аксиоматической) математической системе, для которой требуется обязательное выполнение свойства непротиворечивости (и еще других, например, полноты). В противном случае логически, опираясь на закон, можно будет вывести одновременно как некоторое утверждение, так и его отрицание.

Например, субъект Вася Пупкин узнав, что ОАО «Рога и копыта» незаконно обрабатывает его персональные данные, направляет в ОАО запрос с требованием прекратить обработку его персональных данных. В ответ ОАО «Рога и копыта» письменно уведомляет Пупкина, что его данные заблокированы. До предела возмущенный Пупкин подает в суд на ОАО с просьбой возместить моральный ущерб и доказывает в суде, что на основании п. 2 статьи 3 ФЗ «О персональных данных» ОАО «Рога и копыта» обрабатывает его персональные данные. Аналогично, на основании п.7 той же статьи ОАО доказывает, что истец неправ. Интересно, как поступит суд?

Обратите внимание на формулировку понятия обработка информация в ГОСТ Р 51275: «Обработка информации – совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения информации». Государственный стандарт обошелся без противоречий.

Вывод. Думается, что законодатель нарушил законы не только формальной (нельзя включать в объем понятия отрицание этого понятия), но и житейской логики, когда под блокированием чего-либо обычно понимают прекращение чего-либо.

В п. 10 дается определение информационной системы персональных данных: «информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств». Это определение почти дословно совпадает с определением информационной системы, которое дано в ФЗ «Об информации, информационных технологиях и о защите информации»: «информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств». Но в обоих ФЗ не определено, что же такое «база данных». Более того оказывается не существует общепринятого определения базы данных. Например, так трактует понятие базы данных документ ГОСТ Р ИСО МЭК ТО 10032-2007: Эталонная модель управления данными (идентичен ISO/IEC TR 10032:2003 Information technology – Reference model of data management): «база данных – совокупность данных, хранимых в соответствии со схемой данных, манипулирование которыми выполняют в соответствии с правилами средств моделирования данных»

Как в таком терминологическом разнообразии решить в отношении некоторой совокупности информационных технологий, технических средств является эта система информационной системой обработки персональных данных или нет.

Задайте вопрос компьютерному сообществу и самому себе, является ли базой данных файл текстового редактора Word (или аналогичного), является ли базой данных файл электронной таблицы Excel (или аналогичной)? В результате компьютерное сообщество, по меньшей мере, разделится на два лагеря.

Таким образом, один и тот же объект (совокупность информационных технологий, технических средств и данных) одним лицом может быть признан информационной системой обработки персональных данных, а другим, который придерживается другого определения базы данных, лицом будет не признан. И оба будут правы. Только «правее» может оказаться Роскомнадзор, который будет придерживаться собственного понимания информационной системы.

Если национальные нормативные акты вызывают неоднозначность в толковании одного из основных понятий, то необходимо обратиться к международному нормативному акту, который ратифицирован Российской Федерацией. В Конвенции Совета Европы о защите личности в связи с автоматической обработкой персональных данных дано следующее определение: «автоматизированная база данных» означает любой набор данных, к которым применяется автоматическая обработка».

Вывод. Форма представления персональных данных не имеет никакого значения, будь это текстовый файл, электронная таблица, база данных, управляемая системой управления базами данных, или нечто другое. Истина в том, что это должно быть защищено.

Глава 2. Принципы и условия обработки персональных данныхСтатья 5. Принципы обработки персональных данных

В п. 2 провозглашен принцип, что «Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных».

Конец ознакомительного фрагмента.

Текст предоставлен ООО «Литрес».

Прочитайте эту книгу целиком, купив полную легальную версию на Литрес.

Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.