Rambler's Top100
Блоги Михаил ЕМЕЛЬЯННИКОВ

О гражданской инициативе, персональных данных и ЗАГСах. Часть 2. Про техническую защиту и дорожную карту

  12 января 2014 Страница персоны

Это продолжение поста, опубликованного на прошлой неделе. Лучше чтение начинать с него.

Итак, мы остановились на том, что наличие сведений о национальности меняет уровень защищенности информационной системы персональных данных ЗАГСа, повышая ее при наличии записей о более чем 100 тысяч субъектов с минимального третьего уровня до минимального второго. А если признаны актуальными угрозы первого или второго типа, будет необходимо обеспечить первый уровень защищенности. Как уже отмечалось в предыдущем посте, ИСПДп в ЗАГСе должна быть обязательно, поскольку в соответствии с п.52 «Административного регламента предоставления государственной услуги по государственной регистрации актов гражданского состояния органами, осуществляющими государственную регистрацию актов гражданского состояния на территории Российской Федерации», «каждое рабочее место специалиста оборудуется персональным компьютером с возможностью доступа к необходимым информационным базам данных, печатающим устройством».

Кстати, поскольку в соответствии с законом об актах записи гражданского состояния органы ЗАГС образуются органами государственной власти субъектов Российской Федерации, эти самые органы власти субъектов обязаны в соответствии с частью 5 ст.19 принять в пределах своих полномочий нормативные правовые акты, в которых определят «угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки». Для ЗАГСов в том числе. Однако что-то таких актов пока особо не видно. В этих условиях каждый руководитель соответствующего управления или отдела записи актов гражданского состояния будет самостоятельно принимать решение об актуальности для ЗАГСа угроз, связанных с наличием недекларированных возможностей системного и прикладного программного обеспечения, а также обеспечивать нейтрализацию соответствующих классов угроз. Если, конечно, понимает, что написано выше. Тут нет никакой иронии или сарказма. Я априори с глубоким уважением отношусь ко всем незнакомым людям, но совершенно не понимаю, как и почему руководитель ЗАГСа может и должен все это понимать.

Далее, кто-то в ЗАГСе (приходящий раз в неделю сисадмин?) должен оформить в виде документа оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения в ЗАГСе требований 152-ФЗ, и сформировать частную модель актуальных угроз безопасности персональных данных при их автоматизированной обработке. Соотнося оцененный вред субъекту с актуальными угрозами, этот самый сисадмин готовит руководителю ЗАГСа предложения по составу и содержанию правовых, организационных и технических мер, направленных на обеспечение выполнения обязанностей, возложенных на ЗАГС как оператора персональных данных соответствующим законом, Постановлениями Правительства №№ 687, 211 (мы же говорим об органе власти!) и 1119.

Не забудьте, что для второго уровня защищенности (статистика хочет знать все!) необходимо будет принять 67 базовых мер безопасности (приказ ФСТЭК № 21), среди которых, при наличии подключения к интернету – сертифицированные межсетевой экран ни ниже 3-го класса и системы обнаружения вторжений и антивирусной защиты не ниже 4-го. Да, не забудьте, их кто-то должен эксплуатировать.

Попутно кто-то неведомый (тот же сисадмин или другой назначенный крайним служащий) рисует ЗАГСу пакет документов в составе которых:

●      политика в отношении обработки персональных данных и сведения о реализуемых ЗАГСом требованиях к защите персональных данных;

●      правила обработки персональных данных, определяющие для каждой цели обработки персональных данных (не забудьте их определить!) содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

●      правила рассмотрения запросов субъектов персональных данных или их представителей;

●      правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним документами ЗАГСа;

●      правила работы с обезличенными данными;

●      перечень информационных систем персональных данных;

●      перечни персональных данных, обрабатываемых ЗАГСе в связи с реализацией трудовых отношений, а также в связи с оказанием государственных и муниципальных услуг и осуществлением государственных и муниципальных функций;

●      перечень должностей служащих ЗАГСа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных (обязательно, см. приказ и методичку РКН);

●      перечень должностей служащих ЗАГСа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, как и использованием средств автоматизации, так и без таковых (интересно, чем занимаются все остальные?);

●      должностная инструкция ответственного за организацию обработки персональных данных в ЗАГСе (не забудьте назначить приказом!);

●      типовое обязательство служащего ЗАГСа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного или муниципального контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;

●      типовая форма согласия на обработку персональных данных служащих ЗАГСа, иных субъектов персональных данных (хоть убейте, не понимаю, зачем и на сновании чего, кроме ПП-211), а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;

●      порядок доступа служащих ЗАГСа в помещения, в которых ведется обработка персональных данных.

Политика в отношении обработки персональных данных и сведения о реализуемых ЗАГСом требованиях к защите персональных данных должна быть доступна любому человеку, приходящему в ЗАГС, а поскольку некоторые из них громко объявили о приеме заявлений на регистрацию актов через веб-сайт, политику и сведения необходимо разместить и на таком веб-сайте.

Далее всех служащих ЗАГСа необходимо ознакомить под роспись с документами, устанавливающими порядок обработки их персональных данных, а также с их правами и обязанностями в этой области, а служащих, осуществляющих обработку персональных данных (т.е. осуществляющих запись актов гражданского состояния, принимающих заявления о выдающих свидетельства о записях), - также и с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, всеми документами ЗАГСа по вопросам обработки персональных данных. Необходимо также организовать обучение указанных служащих.

Да, не забудьте, что руководитель отдела ЗАГС должен доказать, что все служащие, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть были проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами ЗАГСа (при их наличии).

В ЗАГСе надо также определить места хранения персональных данных (их материальных носителей), организовать учет машинных носителей и резервное копирование.

Я нисколько не преувеличиваю привожу лишь краткую выписку из требований закона и принятых в его исполнение нормативных правовых актов.

Из всего этого есть простой и очевидный выход, законом же предусмотренный. В соответствии с частью 2 ст.4 152-ФЗ, государственные органы и органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты по отдельным вопросам, касающимся обработки персональных данных. Такие акты подлежат официальному опубликованию.

Казалось бы, что проще – создать одну (ОДНУ!) методичку для ЗАГСов, где все это расписать в цветах и красках, заодно рассказав про обязательность использования сертифицированных средств защиты и порядок их приобретения. Можно еще и бюджет на реализацию всех этих требований выделить.

Но у нас не ищут легких путей.

К чему все это? На простом примере скромного ЗАГСа виден колоссальный объем работы, который должен выполнить любой оператор персональных данных. Когда принимаются законы, очень было бы неплохо примерить их сначала на госорганы, а потом добиться выполнения установленных требований там же. И только после этого требовать этого от бизнеса и разворачивать систему контроля и надзора в сегменте предпринимательства.

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.