Изменения в законодательстве в области защиты персональных данных

МИНИСТЕРСТВО  ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

федеральное государственное  бюджетное образовательное учреждение высшего профессионального образования

САНКТ-ПЕТЕРБУРГСКИЙ  НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ  ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ, МЕХАНИКИ И ОПТИКИ

 

 

 

 

 

Магистерский  корпоративный факультет

 

Кафедра управления государственными информационными  системами

 

 

 

 

 

 

Реферат на тему: «Изменения в законодательстве в области защиты персональных данных»

по  дисциплине «Информационное право и электронное государство»

 

 

 

 

 

 

 

Выполнила:        Сивкова Е.В.

        группа 5901

Проверил:         Савельев Д.А.

 

 

 

 

 

 

 

 

 

 

 

Санкт-Петербург

2012 г.

1 ноября 2012 года  Правительством РФ было принято  постановление № 1119 «Об утверждении  требований к защите персональных данных при их обработке в информационных системах персональных данных». Вступление данного постановления в законную силу повлекло отмену другого постановления Правительства РФ от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Целью данной работы является выявление изменений по защите персональных данных путем сравнительного анализа  утратившего свою легитимность и  нового утвержденного постановлений Правительства РФ.

Оба положения были разработаны  в соответствии условиям статьи 19  «Меры по обеспечению безопасности персональных данных при их обработке» ФЗ-152 «О персональных данных». В 781 Постановлении устанавливались требования по обеспечению безопасности ПДн при их обработке средствами автоматизации, а Постановление №1119 – устанавливает требования к защите ПДн, менее конкретизированные, по сравнению с 781 Постановлением,  вводит 4 уровня защищенности таких данных и дает определение актуальности угроз трёх типов (но не самих типов угроз). С утверждением последнего Постановления исчезает такое понятие как «информационные системы персональных данных» (ИСПДн) заменой которому фигурируют различные понятия «информационных систем», в зависимости от обрабатываемой в них информации и с учётом обрабатываются ли в тех системах персональные данные о сотрудниках оператора. С вступлением в силу Постановления № 1119, также утрачиваются категории ИСПДн, что влечет за собой в скором времени отмену Приказа ФСТЭК России № 58 от 5 февраля 2010 года «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных», а также ряда документов по защите персональных данных, а именно: 2 документа ФСТЭК России – «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» и «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»; 2 документа ФСБ России – «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» и «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»; приказа Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

Можем предположить, что  выход Постановления Правительства  РФ № 1119 от 01.11.2012 г. является исполнением непосредственных требований пунктов 1 и 2 части 3 статьи 19 новой редакции закона «О персональных данных» (от 25.07.2011 г.). Но в свою очередь, Постановление не в полной мере соответствует закону. Закон предписывал определить уровни защищенности и требования к ним в зависимости от пяти факторов: 1) возможного вреда субъекту персональных данных; 2) объема обрабатываемых персональных данных; 3) содержания обрабатываемых персональных данных; 4) вида деятельности, при осуществлении которого обрабатываются персональные данные; 5) актуальности угроз безопасности персональных данных. В принятом документе отсутствуют виды деятельности и вред субъекту, как квалифицирующие признаки. Также Постановление вводит отсутствующее в законе понятие «информационной системы, обрабатывающей общедоступные персональные данные, и считает таковыми полученные только из общедоступных источников персональных данных, созданных в соответствии со статьёй 8 ФЗ-152». На самом деле ФЗ-152 предусматривает 2 варианта попадания к оператору общедоступных ПДн: непосредственно от субъекта и из общедоступных источников, а данное Постановление № 1119 предусматривает только один вариант получения общедоступных ПДн.

Аспектом Постановления  № 1119, с которым нельзя  согласиться, является то, что на оператора персональных данных возлагаются чрезмерно высокие  полномочия. Нелогичность и нецелесообразность заключается в предписании оператору, производящему обработку персональных данных обеспечить безопасность персональных данных при их обработке; самостоятельно осуществить выбор средств защиты информации, руководствуясь несуществующими пока документами ФСБ и ФСТЭК; определить тип угроз безопасности персональных данных, актуальных для информационной системы; оценить возможный вред от реализации; обеспечить уровень защищенности ПДн, выполняя прописанные в Постановлении требования; осуществить контроль за выполнением требований Постановления, где оператору предоставляется возможность либо заниматься этим самостоятельно, либо прибегнуть к помощи организаций, осуществляющих деятельность по  технической защите конфиденциальной  информации с соответствующими лицензиями. Исходя из этого, напрашивается вопрос – зачем в дальнейшем будут необходимы такие организации, если часть их деятельности перекладывается на операторов персональных данных. Если перенести это в реальность, взяв в качестве наглядного примера школу, где лицом, ответственным за обработку и безопасность персональных данных является директор школы или же учитель информатики, то операторам персональных данных остаётся лишь посочувствовать.

Главной проблемой вышедшего  документа является его методология.  Недекларированные (недокументированные) возможности в системном и прикладном программном обеспечении объявляются угрозами, неминуемо ведущими к установлению высших уровней защищенности, но никаких методов и способов по их  нейтрализации. Как же предотвратить воздействие ОС или ПО на обрабатываемые персональные данные, используя сертифицированные средства защиты и назначая ответственного лица (подразделения) за обеспечение безопасности персональных данных – вопрос остается открытым.

Из всего описанного выше, можно сделать вывод, что отмена Постановления Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и вступление вместо него нового Постановления Правительства Российской  Федерации № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» не внесли ясности в деятельность по защите персональных данных, обрабатываемых в информационных системах, а лишь добавили дополнительные вопросы. Остаётся лишь ждать появления новых документов от ФСТЭК и ФСБ России, которые должны отрегулировать сложившуюся ситуацию, пока предыдущие документы на некоторое время стали неприменимыми и фактически невозможными в исполнении, а оперировать только на основании принятого Постановления не предоставляется возможным.

 

Список  используемой литературы

 

1. Федеральный Закон 152- ФЗ «О персональных данных» от 27 июля 2006 года (в редакции от 25.07.2011). Первоначальный текст документа опубликован в издании «Российская газета», № 165, 29.07.2006 г.
2. Постановление Правительства Российской Федерации № 781 от 17 ноября 2007 года «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Первоначальный текст документа опубликован в издании «Российская газета»,      № 4523, 21.11.2007 г.
3. Постановления Правительства Российской  Федерации № 1119 от 1 ноября 2012 года «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Первоначальный текст документа опубликован в издании «Российская газета» №5929, 07.11.2012 г.