Работа с персональными данными. Методические рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных () Требования к по для обработки персональных данных

Классификация ИСПДн осуществляется непосредственно операто-ром на основании следующих руководящих и методических документов, подлежащих исполнению при проведении работ:

Классификация ИСПДн проводится на этапе создания ИСПДн или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) мо-дернизируемых ИСПДн) с целью установления методов и способов защи-ты информации, необходимых для обеспечения безопасности ПДн.

Проведение классификации ИСПДн включает в себя следующие этапы:

• сбор и анализ исходных данных по информационной системе;
• присвоение информационной системе соответствующего клас-са и его документальное оформление.

Для проведения классификации оператор создает комиссию по клас-сификации ИСПДн, состав комиссии утверждается руководителем опера-тора (Проект приказа).

На первом этапе комиссия проводит сбор и анализ исходных данных по каждой информационной системе, обрабатывающей сведения, указан-ные в Перечне персональных данных, подлежащих защите, а именно:

Состав и структура ПДн	Перечислить какие ПДн обрабатываются в ИСПДн
	Хпд: 1 / 2 / 3 / 4
Объем ПДн, обрабатываемых в ИСПДн	Хнпд: 1 / 2 / 3
Количество рабочих станций, входящих в состав ИСПДн
Структура ИСПДн	Автоматизированное рабочее место/Локальная ИСПДн / Распределенная ИСПДн
Количество пользователей, допущенных к работе в ИСПДн
Режим обработки ПДн в ИСПДн	Однопользовательская ИСПДн / многопользовательская ИСПДн с равными правами доступа/ многопользовательская ИСПДн с разными правами доступа
Подключение ИСПДн к локальным (распределенным) сетям общего пользования	Имеется / не имеется
Подключение ИСПДн к сетям международного информационного обмена	Имеется / не имеется
Тип ИСПДн	Типовая / специальная
Местонахождение технических средств ИСПДн	Все технические средства ИСПДн находятся в пределах Российской Федерации / технические средства ИСПДн частично или целиком находятся за пределами Российской Федерации

1. ПДн обрабатываемые в ИСПДн. Должен быть определен пере-чень ПДн, обработка которых ведется в ИСПДн.
2. Категория ПДн, обрабатываемых в ИСПДн (Х п д). Исходя из особенностей ПДн определяются следующие категории обрабатываемых в информационной системе ПДн:

• категория 1 - ПДн, касающиеся расовой, национальной при-надлежности, политических взглядов, религиозных и философских убеж-дений, состояния здоровья, интимной жизни;
• категория 2 - ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением ПДн, относящихся к категории 1;
• категория 3 - ПДн, позволяющие идентифицировать субъекта

• категория 4 - обезличенные и (или) общедоступные ПДн.

К ПДн позволяющим идентифицировать человека относятся такие данные, которые позволяют установить личность человека.

Например, на основании только фамилии, имени и отчества нельзя точно установить личность, т.к. существуют полные однофамильцы. Но если в ИСПДн помимо ФИО обрабатываются также данные об адресе проживания, биометрические данные (фотографическое изображение), данные о месте работы и т.д., то уже на основании их можно выделить конкретного человека.

Обезличенными данными являются данные, на основании которых нельзя идентифицировать субъекта ПДн.

1. Объем ПДн, обрабатываемых в ИСПДн (Хнцд). Должен быть определен объем записей ПДн в ИСПДн, может принимать значение:

• 1 - в информационной системе одновременно обрабатываются ПДн более чем 100 000 субъектов ПДн или ПДн субъектов ПДн в пределах субъекта Российской Федерации или Российской Федерации в целом;
• 2 - в информационной системе одновременно обрабатываются ПДн от 1000 до 100 000 субъектов ПДн или ПДн субъектов ПДн, рабо-тающих в отрасли экономики Российской Федерации, в органе государст-венной власти, проживающих в пределах муниципального образования;
• 3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов ПДн или ПДн субъектов ПДн в пределах конкретной организации.

1. Количество рабочих станций, входящих в состав ИСПДн. Должен быть определен перечень рабочих станций, задействованных в ка-ком-либо качестве в обработке ПДн в ИСПДн и (или) имеющих незащи-щенное физическое подключение к ИСПДн.
2. Структура ИСПДн. ИСПДн является:

• АРМ, если вся обработка ПДн производится в рамках одного рабочего места;
• локальной информационной системой, если вся обработка ПДн производится в рамках одной ЛВС;
• распределенной информационной системой, если обработка ПДн производится в рамках комплекса АРМ и (или) локальных информа-ционных систем, объединенных в единую информационную систему сред-ствами связи с использованием технологии удаленного доступа, т.е. эле-менты ИСПДн разнесены территориально, например, в ИСПДн включена сеть филиала, и связь между территориально удаленными элементами осуществляется по каналам сетей общего пользования и (или) междуна-родного обмена.

1. Количество пользователей, допущенных к работе в ИСПДн. Дол-жен быть определен перечень пользователей, допущенных к ПДн в ИСПДн.
2. Режим обработки ПДн в ИСПДн. ИСПДн является однопользо-вательской, если сотрудник обрабатывающий ПДн совмещает в себе функции администратора (осуществляет настройка и поддержку техниче-ских и программных средств) и оператора. Во всех других случаях ИСПДн является многопользовательской.

Если в ИСПДн все пользователи (администраторы, операторы, раз-работчики) обладают одинаковым набором прав доступа или осуществля-ют вход под единой учетной записью и вход под другими учетными запи-сями не осуществляется, то эта ИСПДн с равными правами доступа (пол-номочиями) ко всей информации ИСПДн разных пользователей, в против-ном случае с разными правами доступа (полномочиями) ко всей информа-ции ИСПДн разных пользователей.

1. Подключение ИСПДн к локальным (распределенным) сетям общего пользования. Если ИСПДн или ее элементы имеет подключение к локальным (распределенным) сетям общего пользования, вне зависимости обусловлено ли это служебной необходимостью или нет, то ИСПДн имеет подключение.
2. Подключение ИСПДн к сетям международного информацион-ного обмена. Если ИСПДн или ее элементы имеет подключение к сети Интернет или другим сетям международного информационного обмена, вне зависимости обусловлено ли это служебной необходимостью или нет, то ИСПДн имеет подключение.
3. Тип ИСПДн. Все ИСПДн подразделяются на типовые и специ-альные. К типовым системам относятся системы, в которых требуется обеспечить только свойство конфиденциальности ПДн. Специальные ИСПДн - ИСПДн, в которых вне зависимости от необходимости обеспе-чения конфиденциальности ПДн требуется обеспечить хотя бы одну из ха-рактеристик безопасности ПДн, отличную от конфиденциальности (защи-щенность от уничтожения, изменения, блокирования, а также иных не-санкционированных действий). Характеристики безопасности задаются по решению оператора.

К специальным ИСПДн должны быть отнесены:

• ИСПДн, в которых обрабатываются ПДн, касающиеся состоя-ния здоровья субъектов ПДн;
• ИСПДн, в которых предусмотрено принятие на основании ис-ключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.

1. Местонахождение технических средств ИСПДн. Все техниче-ские средства ИСПДн находятся в пределах Российской Федерации или технические средства ИСПДн частично или целиком находятся за преде-лами Российской Федерации.

На втором этапе комиссия по результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов:

• класс 1 (К1) - информационные системы, для которых нару-шение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к значительным негативным последствиям для субъ-ектов ПДн;
• класс 2 (К2) - информационные системы, для которых нару-шение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к негативным последствиям для субъектов ПДн;
• класс 3 (К3) - информационные системы, для которых нару-шение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПДн;
• класс 4 (К4) - информационные системы, для которых нару-шение заданной характеристики безопасности ПДн, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПДн.

Класс типовой ИСПДн определяется в соответствии с таблицей:

По результатам исходных данных класс специальной ИСПДн определяется на основе частной модели угроз безопасности ПДн.

Как в случае с типовыми ИСПДн, для специальных систем, необхо-димо определить класс. Классификация специальных систем по аналогии с типовыми нужна для того, чтобы в дальнейшем можно было спроектиро-вать систему защиты ИСПДн, поскольку в документах ФСТЭК России за-щита для любых систем строится с учетом их класса и модели угроз.

В случае выделения в составе ИСПДн подсистем, каждая из которых является ИСПДн, ИСПДн в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.

Результаты классификации оформляются соответствующим актом оператора для каждой выявленной ИСПДн (Проект акта).

Акт классификации ИСПДн утверждается председателем комиссии по классификации и подписывается всеми членами комиссии.

Пример присвоения класса:

В соответствии с Порядком проведения классификации информа-ционных систем персональных данных утвержденного приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20, на основании категории и объема обрабатываемых персональных данных и в соответствии с моделью угроз безопасности персональ-ных данных (в случае ее разработки) информационная система персональ-ных данных (наименование ИСПДн) классифицируется, как типо-вая/специальная ИСПДн класса_______________________________ .

Класс ИСПДн может быть пересмотрен:

• по решению оператора на основе проведенных им анализа и оцен-ки УБПДн с учетом особенностей и (или) изменений конкретной ИСПДн;
• по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности ПДн при их обработке в ИСПДн.

В процессе классификации для снижения затрат на создание СЗПДн и оптимизации класса ИСПДн необходимо рассмотреть и по возможности ис-пользовать следующие инструменты:

1. Сегментация. Физическая или логическая сегментация ИСПДн по классам обрабатываемой информации, выделение сегментов сети, в ко-торых происходит автоматизированная обработка ПДн. Данные работы можно провести с помощью внедрения в ЛВС оператора сертифицирован-ных по требованиям ФСТЭК России МЭ.
2. Обезличивание. Введение в процесс обработки ПДн процедуры обезличивания существенно упростит задачи по защите ПДн. После вы-полнения обезличивания защите будет подлежать лишь справочник, по-зволяющий выполнить обратное преобразование.
3. Разделение ПДн на части. В этом случае возможно уменьшение количества субъектов ПДн, обрабатываемых в ИСПДн. Это может быть достигнуто, например, за счет использования таблиц перекрестных ссылок в базах данных.
4. Постановка требований поставщикам и разработчикам систем обработки ПДн. Включение требований наличия в составе закупаемых информационных систем средств, обеспечивающих защиту ПДн в соответ-ствии с действующим законодательством, позволит снизить затраты на приобретение дополнительных СЗИ.

Иски, направленные на защиту интересов большой группы лиц, персональный состав которой неизвестен в момент возбуждения дела, это

1. Иски в защиту публичных интересов;
2. Иски в защиту интересов других лиц;
3. Иски о защите неопределенного круга лиц;
4. Иски о защите неопределенной группы.

8. Самостоятельная стадия арбитражного процесса, сущность которой заключается в проверке федеральными арбитражными судами округов законности вступивших в законную силу решений, постановлений, определений арбитражных судов субъектов – это

1. Апелляционное производство;
2. Кассационное производство;
3. Исполнительное производство;
4. Надзорное производство.

9. Срок кассационного обжалования составляет :

1. 2 месяца со дня вступления в законную силу обжалованного судебного акта;
2. 1 месяц со дня вступления в законную силу обжалованного судебного акта;
3. 2 недели со дня вступления в законную силу обжалованного судебного акта;
4. 7 дней со дня вступления в законную силу обжалованного судебного акта;

10. Постановление Президиума ВАС РФ не должно отражать :

1. Возражения, приведенные в отзывы;
2. Субъективное решение суда;
3. Объяснения, данные участвующими в деле лицами в ходе заседания Президиума;
4. Доводы, приведенные в заявлении.

ВАРИАНТ - 8

1. Паритетный трибунал во Франции рассматривает дела:

1. Связанные с арендой с/х земель;
2. Связанные с трудовыми спорами;
3. Связанные с куплей-продажей ценных бумаг;
4. Гражданские дела.

2. Экономический суд стран СНГ находится в городах:

1. Москва;
2. Киев;
3. Минск;
4. Ташкент.

3. Хозяйственные споры в Австрии рассматривают:

1. Торговый суд;
2. Патентный суд;
3. Высший Арбитражный суд;
4. Финансовый суд.

4. Порядок апелляционного обжалования не включает:

1. Предмет апелляционного обжалования;
2. Сроки подачи апелляционной жалобы;
3. Порядок подачи и направления апелляционной жалобы;
4. Дату вступления судебного акта в законную силу.

5. Срок обжалования решения арбитражного суда первой инстанции РФ:

1. 1 месяц;
2. 2 месяца;
3. 3 месяца;
4. 10дней.

6.Инициирующим документом в апелляционном производстве является :

1. Жалоба;
2. Заявление;
3. Определение;
4. Постановление.

7. Постановление арбитражного суда апелляционной инстанции является:

1. Судебным актом;
2. Определением суда;
3. Судебным приказом;
4. Исполнительным листом.

8. Какое решение суд не вправе принять по результатам рассмотрения апелляционной жалобы :

1. Оставленные определения без изменения, а жалобу без удовлетворения;
2. Отмена определения и направление дела на новое рассмотрение в арбитражный суд первой инстанции;
3. Отмена определения (полностью или в части) и разрешение вопроса по существу;
4. Передача дела в ВС РФ без рассмотрения дела по существу.

1. Доказательства;
2. Факты активной легитимности;
3. Факты пассивной легитимности;
4. Реторсии.

1. Доказательства;
2. Факты активной легитимности;
3. Факты пассивной легитимности;
4. Реторсии.

10. Если в удовлетворении заявления арбитражный суд отказывает, выносится соответствующее:

1. Решение;
2. Постановление;
3. Определение;
4. Акт арбитражного суда.

Вопросы к экзамену

1. Понятие арбитражных судов и их системы. Задачи и основные полномочия арбитражных судов

2. Понятие арбитражного процесса и его стадии

3. Источники арбитражного процессуального права

4. Система принципов арбитражного процессуального права. Влияние международно-правовых актов на современную систему принципов

5. Понятие, критерии и виды подведомственности дел арбитражным судам. Основные категории дел, подведомственные арбитражным судам

6. Подсудность дел арбитражным судам

7. Понятие и состав субъектов арбитражного процессуального права. Арбитражный суд как участник арбитражного процесса

8. Стороны в арбитражном процессе

9. Третьи лица в арбитражном процессе

10. Прокурор в арбитражном процессе

11. Участие в арбитражном процессе государственных органов, органов местного самоуправления и иных органов

12. Представительство в арбитражном процессе

13. Судебные извещения участников процесса

14. Понятие доказывания в арбитражном процессе. Понятие и виды доказательств

15. Предмет доказывания. Обязанность доказывания

16. Относимость и допустимость доказательств. Стадии доказывания в арбитражном суде. Оценка доказательств

17. Средства доказывания в арбитражном процессе

18. Понятие и значение обеспечительных мер. Обеспечение иска

19. Предварительные обеспечительные меры. Защита ответчика против обеспечительных мер. Встречное обеспечение

20. Понятие и виды судебных расходов. Государственная пошлина в арбитражном процессе

21. Судебные издержки. Распределение судебных расходов между лицами, участвующими в деле

22. Судебные штрафы

23. Понятие и виды процессуальных сроков. Исчисление процессуальных сроков

24. Приостановление, восстановление, продление процессуальных сроков

25. Понятие иска в арбитражном процессе, его элементы и виды

26. Право на судебную защиту и право на иск в арбитражном процессе

27. Предъявление иска и возбуждение производства по делу в арбитражном суде. Защита ответчика против иска

28. Цель, задачи и значение подготовки дела к судебному разбирательству. Срок подготовки

29. Действия судьи по подготовке дела к судебному разбирательству

30. Действия сторон по подготовке к судебному разбирательству

31. Предварительное судебное заседание

32. Назначение дела к судебному разбирательству

33. Понятие и виды примирительных процедур. Мировое соглашение

34. Понятие и значение стадии судебного разбирательства. Срок рассмотрения дела

35. Подготовительная часть судебного разбирательства

36. Рассмотрение дела по существу

37. Временная остановка судебного разбирательства.Протокол судебного заседания

38. Понятие и виды постановлений арбитражного суда первой инстанции

39. Требования, предъявляемые к решению арбитражного суда. Содержание решения арбитражного суда

40. Вступление решения в законную силу. Направление, исполнение и обжалование решения

41. Устранение недостатков решения арбитражного суда. Индексация присужденных денежных сумм

42. Определения арбитражных судов. Окончание дела без вынесения решения арбитражного суда

43. Понятие административного судопроизводства в арбитражном процессе. Основные мировые системы административной юстиции

44. Особенности рассмотрения дел, возникающих из административных и иных публичных правоотношений

45. Рассмотрение дел об оспаривании нормативных правовых актов. Рассмотрение дел об оспаривании ненормативных правовых актов, решений и действий (бездействия) государственных органов, органов местного самоуправления, иных органов, должностных лиц

46. Рассмотрение дел о привлечении к административной ответственности. Рассмотрение дел об оспаривании решений административных органов о привлечении к административной ответственности

47. Рассмотрение дел о взыскании обязательных платежей и санкций

48. Возбуждение арбитражным судом дел об установлении фактов, имеющих юридическое значение. Рассмотрение дел об установлении фактов, имеющих юридическое значение

49. Понятие и стадии рассмотрения дел о несостоятельности в арбитражном процессе. Разбирательство дел о несостоятельности в арбитражном суде. Общие положения

50. Возбуждение дела о несостоятельности. Подготовка дела к судебному разбирательству. Судебное разбирательство и судебные акты по делам о несостоятельности

51. Сущность и значение упрощенного производства. Рассмотрение дел в порядке упрощенного производства

52. Понятие, принципы международного гражданского (арбитражного) процесса и его источники

53. Правовое положение иностранных лиц в арбитражном процессе

54. Компетенция арбитражных судов по рассмотрению дел с иностранным элементом

55. Судебный иммунитет

56. Исполнение судебных поручений

57. Особенности рассмотрения дел с участием иностранных лиц. Признание и приведение в исполнение решений иностранных судов

58. Понятие апелляционного производства в арбитражном процессе

59. Право апелляционного обжалования и его реализация

60. Порядок рассмотрения дела в апелляционной инстанции. Полномочия арбитражного суда апелляционной инстанции

61. Апелляционное обжалование определений арбитражного суда первой инстанции

62. Понятие кассационного пересмотра и его место в системе пересмотра судебных актов

63. Судебное разбирательство в суде кассационной инстанции. Постановление кассационной инстанции

64. Пределы кассационного пересмотра в арбитражном процессе. Полномочия арбитражного суда кассационной инстанции при рассмотрении дела. Основания к изменению или отмене обжалованных актов

65. Сущность надзорного пересмотра. Возбуждение надзорного производства

66. Стадии надзорного производства. Основания надзорного пересмотра

67. Полномочия и постановление Президиума Высшего Арбитражного Суда России

68. Сущность и основания пересмотра судебных актов по вновь открывшимся обстоятельствам

69. Возбуждение стадии пересмотра судебного акта по вновь открывшимся обстоятельствам

70. Порядок пересмотра судебных актов по вновь открывшимся обстоятельствам

71. Понятие исполнительного производства. Источники исполнительного законодательства Органы принудительного исполнения

72. Арбитражный суд в исполнительном производстве. Участники исполнительного производства

73. Исполнительный лист арбитражного суда. Стадии исполнительного производства и его общие правила

74. Особенности принудительного исполнения в отношении организаций и граждан, имеющих статус индивидуальных предпринимателей

75. Правовая природа, понятие и способы заключения соглашения о передаче спора на рассмотрение третейского суда. Процессуальное значение заключения третейского соглашения

76. Общий подход. Принципы третейского разбирательства

77. Общая характеристика производства по делам об оспаривании и об исполнении решений третейских судов. Процессуальные правила обращения в арбитражный суд с заявлением об отмене или об исполнении решения третейского суда

78. Основания для отмены или отказа в исполнении решения третейского суда

Тема доказательства является одной из самых широких и сложных в уголовном процессе. На основе вещественных доказательств строится доказывание в уголовном деле, правила которого регулируется уголовно-процессуальными нормами. Эти правила настолько существенно затрагивают права и свободы человека и гражданина, что их принципиальные основы регулируют нормы Конституции Российской Федерации. Статья 49 Конституции устанавливает, что доказывание виновности в преступлении должно производиться в порядке, предусмотренном Федеральным законом. Обвиняемый не обязан доказывать свою невиновность. Неустранимые сомнения в виновности лица толкуются в пользу обвиняемого. В соответствии со ст. 50 Конституции при осуществлении правосудия не допускается использование доказательств, полученных с нарушением Федерального закона. На основании ст. 51 Конституции никто не обязан свидетельствовать против себя самого, своего супруга и близких родственников.

Нормы о доказательствах и доказывании неразрывно связаны со всеми нормами уголовно-процессуального права, определяющими задачи судопроизводства и его принципы, полномочия государственных органов, права, обязанности и гарантии прав участников процесса, порядок производства следственных и судебных действий, требования, которым должны отвечать решения, принимаемые в уголовном процессе. В науке о доказывании в уголовном процессе используются достижения различных наук, в том числе логики, психологии, криминалистики, судебной медицины, психиатрии и другие. Важную роль в развитии теории доказательств играет изучение следственной и судебной практики.

Цель состоит в том, чтобы исследовать и проанализировать правовую природу доказательств в уголовном процессе. Дать общую характеристику доказательствам в уголовном процессе. Рассмотрим теорию доказательств, основываясь на научных публикациях российских ученых, изучим источники и свойства доказательств. Классификация доказательств будет рассмотрена по наиболее существенным признакам, распространенным в научной литературе и имеющая значение в практической деятельности.

Глава 1. Общая характеристика доказательств в уголовном процессе

Часть 1. Понятие доказательств в уголовном процессе

Понятие доказательств определено в ст. 74 УПК РФ: Доказательствами по уголовному делу являются любые сведения, на основе которых суд, прокурор, следователь, дознаватель, в порядке, определённом УПК, устанавливает наличие или отсутствие обстоятельств, подлежащих доказыванию при производстве по уголовному делу, а также иных обстоятельств, имеющих значение по уголовному делу.

Факты, с которыми закон связывает доказательства, образуют две относительно самостоятельные группы:

обстоятельства, которые составляют в своей совокупности предмет доказывания по уголовному делу;

факты, не входящие в предмет доказывания (промежуточные, вспомогательные, побочные).

Предмет доказывания в уголовном судопроизводстве - это юридически значимые фактические обстоятельства, которые предусмотрены в уголовно-процессуальном законе и подлежат доказыванию для принятия решений по делу в целом или по отдельным правовым вопросам.

В ст. 73 УПК РФ перечислены те фактические обстоятельства, которые при разрешении любого дела имеют правовое значение. Этообстоятельства, характеризующие событие преступления (время, место, способ и другие обстоятельства совершения преступления); виновности обвиняемого в совершении преступления и мотивы преступления; обстоятельства, характеризующие личность обвиняемого; характер и размер вреда, причиненного преступлением; обстоятельства, смягчающие и отягчающие наказание; обстоятельства, способствовавшие совершению преступления.

Таким образом, доказательства это:

а) фактические данные, под которыми необходимо понимать сведения об имевшем место в прошлом событии преступления;

б) фактические данные, на основании которых устанавливаются наличие или отсутствие общественно опасного деяния, виновного лица, совершившего это деяние, и иные обстоятельства, имеющие значение для правильного разрешения дела;

в) фактические данные, которые устанавливаются только показаниями свидетеля, показаниями потерпевшего, показаниями подозреваемого, показаниями обвиняемого, заключением эксперта, вещественными доказательствами, протоколами следственных и судебных действий и иными документами;

г) фактические данные, собранные в установленном законом порядке. Ст. 70 УПК определяет способы собирания доказательств, а соответствующие нормы - порядок производства различных следственных действий;

д) фактические данные, проверенные и оцененные по внутреннему убеждению.

Доказательствами могут быть любые фактические данные, все, что служит установлению истины, если соблюдены законные правила доказывания.

Некоторые ученые (М.С. Строгович, П.С. Элькинд, В.Д. Арсеньев, И.М. Гуткин) под доказательствами, о которых говорится в ст. 74 УПК РФ, понимают не информацию, сведения о тех или иных обстоятельствах, а сами факты объективной реальности, которые устанавливаются при доказывании по уголовному делу, а иногда и то и другое.

Но это не соответствует смыслу закона и природе доказывания. Сами факты, представляющие интерес для органов расследования и суда, не могут быть познаны иначе, как путем доказывания, с помощью доказательств.

Доказательства - это не сами факты, подлежащие установлению по делу, а сведения об этих фактах, информация о них, их отображения.

Только отдельные обстоятельства, факты, могут быть восприняты следователем, судьей непосредственно. Это те факты и состояния, которые сохранились ко времени расследования, рассмотрения судом дела.

К этой группе можно отнести:

1) некоторые факты, относящиеся к материальным последствиям совершенного преступления (например, последствия пожара, обезображенное лицо потерпевшего, испорченная вещь)

2) сохранившиеся продукты преступной деятельности (подделанный документ, фальшивая банкнота и другие);

3) найденные предметы преступного посягательства (похищенный костюм, часы и другие);

4) обстановка на месте совершения преступления;

5) некоторые факты, характеризующие внешность преступника (черты лица, рост, цвет волос и другие).

Иногда доказательствами называют факты , установленные по делу, из которых можно сделать вывод о других фактах, существенных для дела, то есть доказательственные факты (побег с места преступления, обладание похищенной вещью и т. п.). Но каждый доказательственный факт, существуя реально, сам может быть установлен лишь с помощью доказательств, доказан, и только после этого он может использоваться для установления обстоятельств, подлежащих доказыванию.

27 июля 2006 г. был принят Федеральный Закон № 152-ФЗ «О персональных данных» для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Одной из причин принятия данного закона послужили многочисленные факты краж баз персональных данных в государственных и коммерческих структурах, их повсеместная продажа.

Что означает термин «персональные данные»?

Определение персональных данных (ПДн) встречалось и до принятия закона, например, в «Перечне сведений конфиденциального характера», утвержденном указом Президента РФ № 188 от 6 марта 1997 г.:

К конфиденциальной информации относятся: сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Однако закон дополнил его. Теперь, согласно ФЗ-152 , персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Таким образом, персональные данные — это, прежде всего, паспортные данные, сведения о семейном положении, сведения об образовании, номера ИНН, страхового свидетельства государственного пенсионного страхования, медицинской страховки, сведения о трудовой деятельности, социальное и имущественное положение, сведения о доходах. Такие данные есть практически в каждой организации.

При поступлении на работу — это данные отдела кадров работодателя, которые работник указывает в личной карточке, автобиографии, других документах, заполняемых при заключении трудового договора.

При поступлении ребенка в детский сад, школу, институт, другие образовательные учреждения также заполняется множество анкет и форм, в которых указываются данные как ребенка (например, данные свидетельства о рождении), так и его родителей (вплоть до места работы, занимаемой должности).

При прохождении лечения в медицинских учреждениях необходимо указать не только паспортные данные, но и сведения о льготах, медицинских страховках, сведения о предыдущих лечениях, результаты анализов. Во многих медицинских учреждениях амбулаторные/стационарные карты дублируются в электронном виде.

И все эти данные, согласно нынешнему законодательству, подлежат защите.

С чего начать защиту, и нужна ли она вообще?

Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания (ФЗ-152 ).

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и(или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных (ФЗ-152 ).

Информационная система персональных данных (ИСПДн) — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств (ФЗ-152 ).

Обработка персональных данных — это действия (операции) с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (ФЗ-152 ).

Оператор при обработке ПДн должен принимать все необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Что же необходимо сделать, чтобы защитить персональные данные?

Прежде всего, необходимо определить, какие информационные системы ПДн есть и какого типа ПДн в них обрабатываются.

Классификация информационной системы персональных данных

Для того чтобы понять, насколько проблема защиты ПДн существенна, а также для выбора необходимых методов и способов защиты ПДн, оператору нужно провести классификацию ИСПДн. Порядок классификации определен приказом ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20 от 13 февраля 2008 г .

Итак, оператор формирует комиссию (приказом руководителя организации), которая после анализа исходных данных принимает решение о присвоении ИСПДн соответствующего класса. В ходе классификации определяются:

• категория обрабатываемых персональных данных;
• объем обрабатываемых персональных данных;
• тип информационной системы;
• структура информационной системы и местоположение ее технических средств;
• режимы обработки персональных данных;
• режимы разграничения прав доступа пользователей;
• наличие подключений к сетям общего пользования и (или) сетям международного информационного обмена.

Согласно приказу № 55/86/20 , все информационные системы (ИС) делятся на типовые и специальные.

Типовые информационные системы — информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

Специальные информационные системы — информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

На практике выходит, что типовых ИС практически нет, поскольку в большинстве случаев помимо конфиденциальности необходимо обеспечить также целостность и доступность информации. Кроме того, в обязательном порядке к специальным системам должны быть отнесены:

• информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
• информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

Итак, по результатам анализа исходных данных комиссия присваивает системе персональных данных соответствующий класс:

класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Результаты классификации оформляются Актом классификации ИСПДн, в котором указываются тип ИСПДн (типовая, специальная), присвоенный ИСПДн класс и условия, на основании которых было принято решение.

Как уже было сказано, классификация необходима для дальнейшего выбора методов и средств защиты ПДн, обрабатываемых в ИСПДн, поскольку в документах ФСТЭК и ФСБ каждому классу устанавливаются свои требования по защите ИСПДн, о которых поговорим чуть позже.

Согласие субъекта ПДн на обработку

Далее необходимо перейти к обработке этих данных, но перед тем, как их обработка будет законной, необходимо получить согласие субъекта персональных данных на обработку (закон тем самым предотвращает незаконный сбор и использование персональных данных):

Статья 6 ФЗ-152:

Обработка персональных данных может осуществляться оператором с согласия субъектов ПДн, за исключением случаев:

1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Итак, если наш случай обработки ПДн предусмотрен частью 2 статьи 6 ФЗ-152, то получение согласия необязательно.

Также необходимо руководствоваться Трудовым Кодексом, Глава 14 . Например, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия (Статья 86 часть 4 ТК ).

В соответствии со статьей 9 ФЗ-152 получать согласие субъекта персональных данных на обработку его персональных данных необходимо в письменной форме. Письменное согласие субъекта персональных данных должно включать:

Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

Наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

Цель обработки персональных данных;

Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

Срок, в течение которого действует согласие, а также порядок его отзыва.

Положение, регламентирующее порядок обработки и защиты ПДн

Итак, оператор получил (если это необходимо) согласие на обработку персональных данных — персональные данные можно обрабатывать. Но, согласно Трудовому кодексу и ФЗ-152 необходимо разработать (если есть, доработать в соответствии с ФЗ) положение, регламентирующее порядок хранения, обработки и защиты персональных данных. Давайте условно назовем его Положение по обеспечению безопасности персональных данных. Положение по обеспечению безопасности персональных данных — это внутренний (локальный) документ организации. Строгой формы данного документа нет, но он должен удовлетворять требованиям ТК и ФЗ-152 , а, следовательно, в нем должно быть указано:

Положение по обеспечению безопасности персональных данных утверждается руководителем организации или уполномоченным им лицом, вводится в действие приказом руководителя. Работодатель обязан ознакомить работника с Положением под подпись.

Список лиц, допущенных к обработке ПДн

Кроме того, необходимо оформить список лиц, допущенных к обработке ПДн, т.е. перечень тех (по должностям), кому доступ к ПДн необходим для выполнения служебных обязанностей. В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, а также сотрудники бухгалтерии. Помимо того, доступ к этим сведениям могут получить руководители структурных подразделений (например, начальники отделов) — и это также необходимо отразить в списке. Однако все они вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев). Поэтому целесообразно прописать перечень информационных ресурсов, к которым пользователи допущены.

Список лиц, допущенных к обработке ПДн можно оформить в виде приложения к Положению по обеспечению безопасности персональных данных или отдельным документом, утвержденным руководителем.

Уведомление Роскомнадзора

Далее в соответствии со статьей 22 ФЗ-152 оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПДн (на сегодняшний день это — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных частью 2 статьи 22 ФЗ-152 :

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

4) являющихся общедоступными персональными данными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных

Требования к уведомлению указаны в части 3 статьи 22 ФЗ-152 . Форму уведомления об обработке (о намерении осуществлять обработку) персональных данных можно заполнить в электронном виде на сайте Роскомнадзора: http://rsoc.ru/personal-data/p181/

Теперь можно приступать к обработке персональных данных, параллельно решая самый сложный и проблемный вопрос — обеспечение безопасности персональных данных при их обработке.

Обеспечение безопасности персональных данных при их обработке

Мероприятия по защите информации трудоемки и могут привести к значительным финансовым затратам, что обусловлено необходимостью:

Получать (по необходимости) лицензию на деятельность по технической защите конфиденциальной информации ФСТЭК России;

Привлекать лицензиата ФСТЭК России для осуществления мероприятий по созданию системы защиты ИСПДн и/или ее аттестации по требованиям безопасности информации;

Отправлять сотрудников, ответственных за обеспечение безопасности информации, на курсы повышения квалификации по вопросам защиты информации и/или нанимать специалистов по защите информации;

Устанавливать сертифицированные по требованиям ФСТЭК средства защиты информации (СрЗИ), сертифицированные ФСБ средства криптографической защиты информации (СКЗИ) в зависимости от класса ИСПДн.

Что-то можно сделать самим, а где-то лучше довериться специалистам. Но защитить персональные данные необходимо, так или иначе.

Статья 19, ФЗ-152 :

Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

• «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утверждено постановлением Правительства РФ № 781 от 17 ноябрям2007 г.
• «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждено постановлением Правительства РФ № 687 от 15 сентября 2008 г.
• «Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», утверждены постановлением Правительства РФ № 512 от 6 июля 2008 г.
• Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утверждены приказом Гостехкомиссии России № 282 от 30 августа 2002 г. (ДСП)
• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (Выписка, при рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа - ДСП)
• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК от 16 ноября 2009 г.)
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК от 11 ноября 2009 г.)
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных от 15 февраля 2008 г. (Пометка «для служебного пользования» снята Решением ФСТЭК от 11 ноября 2009 г.)
• Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ, 21 февраля 2008 г.
• Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. ФСБ, 21 февраля 2008 г.

Мы не будем подробно рассматривать все требования, которые необходимо выполнить для обеспечения безопасности ПДн при их обработке в ИСПДн, — их много, и они сильно зависят от конкретной ИСПДн. Остановимся на основных моментах, часто вызывающих затруднения у операторов.

Лицензия — получать или не получать?

Законодательство, а также документы ФСТЭК говорят нам следующее:

Статья 16, часть 6 ФЗ-149 «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г.:

Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

Статья 17, часть 1, п.11 ФЗ-128 «О лицензировании отдельных видов деятельности» от 8 августа 2001 г.:

В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности: деятельность по технической защите конфиденциальной информации.

Постановление Правительства РФ № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» от 15 августа 2006 г.

Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

Основные мероприятия ФСТЭК

Пункт 3.14

В соответствии с положениями Федерального закона № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1, 2 и 3 (распределенные системы) классов должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.

Так же на вопрос о необходимости лицензии отвечал начальник отдела Управления ФСТЭК России НАЗАРОВ Игорь Григорьевич на круглом столе, проведенном журналом «Connect! Мир связи» (http://www.connect.ru/article.asp?id=9406):

Вопрос: Нужно ли операторам, обрабатывающим персональные данные в ИСПДн, получение лицензии на техническую защиту конфиденциальной информации?

Игорь Назаров: В соответствии с документами ФСТЭК лицензия необходима операторам ПДн, которые самостоятельно проводят такие мероприятия по информационным системам 1, 2 класса и территориально распределенным системам 3 класса, как правило, это большие государственные информационные системы. При этом для поликлиник, детских садов, аптек и т.п., имеющих ИСПДн 3 и 4 классов, получение таких лицензий не требуется.

В соответствии с постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781, если оператор ИСПДн заключает договор на проведение соответствующих мероприятий в части защиты информации (ПДн) с уполномоченным лицом — лицензиатом ФСТЭК России, иметь лицензию ему не обязательно.

Итак, для небольших организаций более экономически-выгодным вместо получения лицензии ФСТЭК по ТЗКИ для проведения мероприятий по обеспечению безопасности ПДн (создание системы защиты ИСПДн, аттестация) будет привлечение лицензиата ФСТЭК, который проведет все необходимые работы.

Для крупных организаций (таких как операторы связи, крупные банки и т.п.) — выгоднее самим получить лицензию и выполнить все необходимые работы.

Порядок предоставления лицензии на осуществление деятельности по технической защите конфиденциальной информации определен «Положением о лицензировании деятельности по технической защите конфиденциальной информации » (утверждено постановлением Правительства РФ от 15 августа 2006 г. № 504). Требования для получения лицензии:

а) наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;

б) наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;

в) наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;

г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

д) использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем;

е) наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю.

Этапы создания СЗПДн

Согласно Основным мероприятиям по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, выпущенными ФСТЭК, создание системы защиты персональных данных (СЗПДн) состоит из следующих этапов:

1 Предпроектная стадия

1.1 обследование объекта информатизации:

• установление необходимости обработки ПДн в ИСПДн;
• определение перечня ПДн, подлежащих защите;
• определение условий расположения ИСПДн относительно границ контролируемой зоны (КЗ);
• определение конфигурации и топологии ИСПДн в целом и ее отдельных компонентов; физических, функциональных и технологических связей как внутри ИСПДн, так и с другими системами различного уровня и назначения;
• определение технических средств и систем, используемых в защищаемой ИСПДн, условий их расположения;
• определение общесистемных, специальных и прикладных программных средств, используемых в защищаемой ИСПДн;
• определение режима обработки информации в ИСПДн в целом и в отдельных компонентах;
• проведение классификации ИСПДн;
• определение степени участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой;
• определение и составление перечня уязвимостей и угроз безопасности информации, оценка актуальности угроз безопасности информации;
• разработка частной модели угроз.

1.2 разработка технического задания на создание СЗПДн, которое должно содержать:

• обоснование необходимости разработки СЗПДн;
• исходные данные ИСПДн в техническом, программном, информационном и организационном аспектах;
• класс ИСПДн;
• ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
• конкретизацию мероприятий и требований к СЗПДн;
• перечень предполагаемых к использованию сертифицированных средств защиты информации;
• обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
• состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

2. Стадия проектирования и реализации СЗПДн

2.1 разработка проекта на создание СЗПДн;

2.2 разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;

2.3 закупка сертифицированных средств защиты информации;

2.4 разработка и реализация разрешительной системы доступа пользователей и персонала к обрабатываемой в ИСПДн информации;

2.5 установка и настройка СрЗИ;

2.6 определение подразделений и лиц, ответственных за эксплуатацию средств защиты информации, обучение назначенных лиц специфике работ по защите ПДн;

2.7 разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно-распорядительной документации по защите информации (положений, приказов, инструкций и других документов);

2.8 выполнение других мероприятий, направленных на защиту информации.

3. Стадия ввода в действие СЗПДн

3.1 опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн;

3.2 приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта;

3.3 оценка соответствия ИСПДн требованиям безопасности информации — аттестация (декларирование) по требованиям безопасности информации.

4. Техническое обслуживание и сопровождение системы защиты информации

Организационно-распорядительная документация по защите ПДн

Помимо технических решений создаваемой системы защиты персональных данных, оператор должен обеспечить разработку организационно-распорядительных документов, которые будут регулировать все возникающие вопросы по обеспечению безопасности ПДн при их обработке в ИСПДн и эксплуатации СЗПДн. Таких документов достаточно много, основные из них:

1. Положение по обеспечению безопасности ПДн — в начале статьи мы уже касались назначения и состава этого документа. На всякий случай повторим — в нем должно быть указано:

Цель и задачи в области защиты персональных данных;

Понятие и состав персональных данных;

В каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;

Как происходит сбор и хранение персональных данных;

Как они обрабатываются и используются;

Кто (по должностям) в пределах фирмы имеет к ним доступ;

Принципы защиты ПДн, в том числе от несанкционированного доступа;

Права работника в целях обеспечения защиты своих персональных данных;

Ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

2. Для организации системы допуска и учета лиц, допущенных к работе с ПДн в ИСПДн, — Список лиц, допущенных к обработке ПДн (перечень по должностям тех, кому доступ к ПДн необходим для выполнения служебных обязанностей) и Матрица доступа (должна отражать полномочия пользователей по выполнению конкретных действий в отношении конкретных информационных ресурсов ИСПДн — чтение, запись, корректировка, удаление). Оба документа утверждаются руководителем.

3. Частная модель угроз (если ИСПДн несколько, то модель угроз разрабатывается на каждую из них) — разрабатывается по результатам предварительного обследования. ФСТЭК России предлагает Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, согласно которой при создании частной модели должны быть рассмотрены:

Угрозы утечки информации по техническим каналам;

Угрозы несанкционированного доступа, связанные с действиями нарушителей, имеющих доступ к ИСПДн, реализующих угрозы непосредственно в ИСПДн. При этом необходимо в качестве потенциальных нарушителей рассматривать легальных пользователей ИСПДн;

Угрозы несанкционированного доступа, связанные с действиями нарушителей, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена.

Разработанная модель угроз утверждается руководителем.

4. На основании утвержденной модели угроз ИСПДн необходимо разработать требования по обеспечению безопасности ПДн при их обработке в ИСПДн. Требования, как и модель угроз, — это самостоятельный документ, который должен быть утвержден руководителем организации.

Для разработки модели угроз и требований оператору целесообразно привлекать специалистов организаций-лицензиатов ФСТЭК.

5. Инструкции в части обеспечения безопасности ПДн при их обработке в ИСПДн.

Кроме того, до проведения всех мероприятий по защите ПДн оператор должен назначить должностное лицо или (если ИСПДн достаточно велика) структурное подразделение, ответственные за обеспечение безопасности ПДн. Решение о назначении оформляется приказом руководителя. Задачи, функции и полномочия должностного лица (подразделения), ответственного за обеспечение безопасности ПДн, определяются внутренними организационно-распорядительными документами (должностными инструкциями, регламентами).

Что обязательно сертифицировать, а что нет?

Часто возникает заблуждение, что все используемое программное обеспечение (ПО), должно быть сертифицировано, а сертификация стоит дорого и занимает много времени.

Однако ни в одном из документов по регулированию вопросов защиты ПДн не сказано, что должно быть сертифицировано все ПО. Сертифицированы по требованиям ФСТЭК России должны быть средства защиты информации, но никак не системное, прикладное или специальное ПО, не участвующее в защите ИСПДн.

Игорь Назаров: …сертификация по контролю отсутствия НДВ касается функционала безопасности, именно средств защиты, а не всего программного обеспечения, которое используется в информационной системе (http://www.connect.ru/article.asp?id=9406).

Сегодня документы ФСТЭК, которые можно посмотреть на сайте Федеральной службы по техническому и экспортному контролю, говорят нам по этому поводу следующее:

В ИСПДн должны использоваться только сертифицированные по требованиям безопасности информации технические средства и системы защиты.

Основные мероприятия…

Пункт 4.2: …в ИСПДн должен проводиться контроль на наличие недекларированных возможностей в программном и программно-аппаратном обеспечении и анализ защищенности системного и прикладного программного обеспечения.

Пункт 4.3: Для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе и встроенных в общесистемное и прикладное программное обеспечение), должен быть обеспечен соответствующий уровень контроля отсутствия в нем НДВ.

Таким образом, сертифицировать системное и прикладное ПО, если оно не участвует в процессе защиты информации, не нужно — это можно делать по желанию оператора.

Практика создания систем защиты ПДн показывает, что необходимо использовать лицензионное программное обеспечение (системное, прикладное и специальное ПО) и сертифицированные средства защиты информации и антивирусной защиты (это могут быть СрЗИ от НСД, антивирусные продукты, межсетевые экраны, средства обнаружения вторжений, средства анализа защищенности, соответствующие определенному классу). Если в ИСПДн устанавливаются криптографические средства защиты информации (СКЗИ), то они также должны быть сертифицированы по требованиям ФСБ России.

Следует отметить, что устанавливать сертифицированные СрЗИ имеет право только лицензиат ФСТЭК, а СКЗИ — лицензиат ФСБ.

Аттестация

Финальным этапом создания системы защиты ИСПДн должна стать аттестация (декларирование соответствия) — комплекс организационно-технических мероприятий, в результате которых посредством специального документа — Аттестата соответствия (Заключения) подтверждается, что ИСПДн соответствует требованиям стандартов или иных нормативно-методических документов по безопасности информации. Наличие действующего Аттестата соответствия дает право обработки информации с соответствующим уровнем конфиденциальности на период времени, установленный в Аттестате соответствия.

Вопрос: Кто может аттестовать рабочие места на соответствие требованиям законодательства и нормативных документов в области персональных данных?

Игорь Назаров: Аттестацию ИСПДн на соответствие требованиям по безопасности информации имеют право проводить лицензиаты ФСТЭК, которые имеют лицензию на деятельность по технической защите конфиденциальной информации (http://www.connect.ru/article.asp?id=9406).

Аттестация предусматривает комплексную проверку (аттестационные испытания) ИСПДн в реальных условиях эксплуатации с целью оценки соответствия принятого комплекса мер защиты требуемому уровню безопасности ПДн.

В общем виде аттестация ИСПДн по требованиям безопасности информации включает в себя следующие этапы:

Анализ исходных данных по аттестуемой ИСПДн;

Проведение экспертного обследования ИСПДн и анализ разработанной документации по обеспечению безопасности ПДн на соответствие требованиям нормативных и методических документов;

Проведение комплексных аттестационных испытаний ИСПДн в реальных условиях эксплуатации с использованием специальной аппаратуры контроля и программных средств контроля защищенности от несанкционированного доступа;

Анализ результатов комплексных аттестационных испытаний, оформление и утверждение Заключения и Аттестата соответствия по результатам аттестации.

Важным моментом является то, что в случае изменения условий и технологии обработки ПДн оператор обязан известить об этом организацию-лицензиата, проводившую аттестацию ИСПДн. После чего организация-лицензиат принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты ИСПДн.

Ответственность и риски за неисполнение требований закона

При неисполнении требований по обеспечению безопасности ПДн у оператора могут возникнуть риски гражданско-правовых исков со стороны клиентов или работников.

Что в свою очередь может повлиять на репутацию компании, а также привести к принудительному приостановлению (прекращению) обработки ПДн, привлечению компании и (или) ее руководителя к административной или иным видам ответственности, а при определенных условиях — к приостановлению действия или аннулированию лицензий. Кроме того, согласно ФЗ, лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность (статья 24 ФЗ-152 ):

Дисциплинарная (Трудовой кодекс Российской Федерации, статьи 81, 90, 195, 237, 391);

Административная (Кодекс Российской Федерации об административных правонарушениях, статьи 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2);

Уголовная (Уголовный кодекс Российской Федерации, статьи 137, 140, 155, 171, 183, 272, 273, 274, 292, 293).