Реализация закона о защите персональных данных в Тамбовской области

30 августа в 10-00 в Управления Роскомнадзора по Тамбовской области состоялось интернет-интервью с руководителем отдела контроля (надзора) в сфере массовых коммуникаций, защиты персональных данных и надзора в сфере информационных технологий (ОКК) Управления Роскомнадзора по Тамбовской области Олегом Анатольевичем Сивохиным.

Тема интернет-интервью: "Реализация закона о защите персональных данных в Тамбовской области".

Организатор: компания "Плюс Гарантия" г. Тамбов. Ведущая - старший специалист отдела внешних связей Рита Багатурия.

Ведущая: Добрый день, уважаемые дамы и господа! Здравствуйте, уважаемая интернет-аудитория! Мы начинаем наше интернет-интервью. Позвольте представить нашего гостя - руководителя отдела контроля (надзора) в сфере массовых коммуникаций, защиты персональных данных и надзора в сфере информационных технологий (ОКК) Управления Роскомнадзора по Тамбовской области Олега Анатольевича Сивохина.

Сегодня Управление Роскомнадзора по Тамбовской области активно готовится к проведению многочисленных проверок, которые уже начнутся с 1 сентября текущего года. Их результаты станут известны совсем скоро. А пока всем предприятиям предстоит выполнить важнейшую работу по приведению в соответствующий порядок базы данных, с которыми им ежедневно приходится работать. На сайте Управления Роскомнадзора по Тамбовской области http://68.rsoc.ru/ в ближайшее время будет размещена информация по данной теме для всех заинтересованных лиц.

Лица, виновные в нарушении требований Федерального закона "О персональных данных" с 1 июля 2011 года будут нести гражданскую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством Российской Федерации.

Уважаемый Олег Анатольевич, жителей нашей области интересует вопрос: как Вы считаете, в свете реализации федерального закона №152-ФЗ "О защите персональных данных", государственные организации – операторы ПД, имеющие централизованное управление, должны проводить организационные мероприятия по защите персональных данных самостоятельно, т.е. производить инвентаризацию, анализ, классификацию ИСПДн, разрабатывать пакет документов и т.п.? Возможно, эта работа должна проводиться централизованно (т.к. категория, состав и цели обработки ПД одни и те же) и затем распространяться на подчиненные структуры с соответствующей поправкой на местные условия?

Сивохин О.А.: В любом случае, необходимо самостоятельно проводить организационные мероприятия по защите персональных данных, содержащихся в ИСПДн организации – оператора ПД. Если в организации существует несколько ИСПДн, то и аттестовывать придется их все. Если же они будут признаны подсистемами одной единой ИСПДн, то аттестовать необходимо ее одну. В первом случае, работы по классификации, написанию необходимых организационно-распорядительных документов, по описанию каждой системы, подготовке комплекта документов для аттестации, мероприятий по получению аттестата соответствия и затрат на проведение аттестации будет по количеству ИСПДн. При этом необходимо не забывать про средства разграничения друг от друга различных ИСПДн, что влечет за собой закупку и установку дополнительных средств разграничения. А во втором случае не будет необходимости разделения различных ИСПДн внутри организации, и, таким образом, работы по аттестации будут выполнены только один раз.

Ведущая: Как определить границы ИСПДн? Например, если в учреждении имеется много различный баз данных, будет ли каждая база данных - ИСПДн или можно все базы данных в учреждении считать как единую ИСПДн учреждения? Соответственно, если ИСПДн в учреждении много, как определить границы (сетевое оборудование, сервера будут находиться одновременно в нескольких ИСПДн). А если ИСПДн много, аттестовывать придется каждую в отдельности?

Сивохин О.А.: В требованиях по обеспечению безопасности ПД при их обработке в ИСПДн есть четкий регламент – разные ИСПДн должны быть отделены друг от друга межсетевыми экранами. В случае, если все базы данных находятся в одном сегменте сети, то они все будут являться подсистемами единой ИСПДн и будут классифицироваться по максимальному классу ИСПДн, входящей в состав общей. Другими словами, если две базы данных (подсистемы) классифицированы по классу К2 ИСПДн, и одна – классифицирована по классу К1 ИСПДн, то и вся общая единая ИСПДн будет соответствовать классу К1 с соответствующими требованиями по защите.

Ведущая: Относятся ли к ПД база клиентов организации, в которой хранится информация о клиентах, заказах, ФИО представителей заказчиков и их рабочие телефоны (исходные данные взяты с сайтов компаний и общедоступных телефонных справочников). Если да, то к какому классу надо относить такую базу?

Сивохин О.А.: Такие данные можно отнести к персональным данным, если кроме Ф.И.О. представителя есть еще хоть какие-нибудь данные, позволяющие его идентифицировать. Если Вы сможете доказать, что данные общедоступные (а обязанность доказывать это лежит на операторе ПД), то такая система будет классифицироваться как К4.

Ведущая: Требуются ли какие-либо специальные мероприятия, если ПД в организации являются только данные работников (менее 10 человек), и все эти данные обрабатываются в целях ТК РФ (зарплата и налоги) на домашнем ПК руководителя?

Сивохин О.А.: Такая система относится к ИСПДн класса К3 и требует точно такого же обращения, как и все остальные. Необходимо будет разработать нормативные документы, а также выполнить требования ФСТЭК по защите однопользовательской ИСПДн класса К3. Плюс, домашний компьютер директора наверняка имеет выход в Интернет, что требует также дополнительной защиты.

Ведущая: В организации используется ИС, в которой содержатся № телефона, ФИО лица, подавшего заявку на выяснение технической возможности подключения к Интрнет. Объем обрабатываем ПД от 1000 до 100.000. К какой категории обрабатываемых ПД правильно отнести данную ИС?

Сивохин О.А.: К К3. Это классическая типовая система, где категория (Хпд)=3, поскольку данные только идентифицируют личность, а объем (Хнпд)=2, т.к. количество обрабатываемых записей – от 1000 до 100000. Согласно таблице из пункта 15 приказа о классификации получается К3.

Ведущая: На каком основании персональные данные относятся к 2 или 3 категории? Какие данные позволяют получить дополнительную информацию о субъекте, а какие просто его идентифицировать?

Сивохин О.А.: Разница определена в приказе ФСБ/ФСТЭК/Минсвязи от 13 февраля 2008 года N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных". Например, идентифицировать субъекта можно по его ФИО + паспортные данные, или по ФИО+ адрес и год рождения (тогда это категория 3 ПД). Все остальное: сведения об образовании, о местах работы, о размерах заработка, номера телефонов, других документов – все это дополнительная информация о субъекте (категория 2 ПД). Иными словами, мы подходим к вопросу категорирования данных, с точки зрения необходимости и достаточности. Если каких-то данных достаточно для идентификации субъекта и они остро необходимы для такой идентификации = категория 3. Всё, что идет сверху – дополнительная информация и соответственно категория 2.

Ведущая: К какой категории данных Вы бы отнесли ФИО+ИНН (или вместо ИНН № пенсионного полиса, или серия-номер паспорта, или номер вод. удостоверения, или т.п.)? Смущает то, что любой из этих номеров уникален и идентифицирует личность даже без ФИО.

Сивохин О.А.: Любую комбинацию типа ФИО + номер одного из указанных документов, следует отнести к категории 3, поскольку такая комбинация, во-первых - уникальна, а во-вторых – однозначно идентифицирует субъекта. Любой из этих номеров, конечно же, уникален, но без ФИО никак человека не идентифицирует. Для идентификации понадобится база данных, содержащая список таких номеров и привязанные к ним ФИО.

Ведущая: Относятся ли данные о группе инвалидности, заключение о результатах профосмотра (годен, годен с какими-либо ограничениями) к сведениям о состоянии здоровья? А следовательно и ИСПДн, обрабатывающие их к первому классу?

Сивохин О.А.: На мой взгляд, сведения об инвалидности, годности к работам и т.п. не могут быть отнесены к данным о состоянии здоровья, поскольку не раскрывают диагноза, который и характеризует состояние здоровья. Причиной инвалидности может быть состояние зрения, слуха, опорно-двигательной системы, последствия заболевания и т.д. Запись "инвалид 2-1 группы" этой информации не дает. Подобные сведения являются сведениями об ограничении трудоспособности, а не о состоянии здоровья.

Ведущая: Олег Анатольевич, мы благодарим Вас за содержательную беседу. Сегодня, к сожалению, далеко не все компании, осознают необходимость защиты персональных данных и до конца понимают реальность и масштаб рисков невыполнения закона. Будем надеяться, что благодаря полученной сегодня информации, организации смогут хорошо подготовиться к предстоящим проверкам.