29 30 2009
Download
1 / 30

Национальный форум информационной безопасности «Инфофорум» 29-30 января 2009 г. - PowerPoint PPT Presentation


  • 133 Views
  • Uploaded on

Национальный форум информационной безопасности «Инфофорум» 29-30 января 2009 г. Некоторые правовые проблемы применения ФЗ «О персональных данных» Волчинская Елена Константиновна, Ведущий советник аппарата Комитета Государственной Думы по безопасности. Законодательство о персональных данных.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' Национальный форум информационной безопасности «Инфофорум» 29-30 января 2009 г.' - miyoko


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
29 30 2009

Национальный форум информационной безопасности «Инфофорум»29-30 января 2009 г.

Некоторые правовые проблемы применения ФЗ «О персональных данных»

Волчинская Елена Константиновна,

Ведущий советник аппарата

Комитета Государственной Думы по безопасности


Законодательство о персональных данных

  • ФЗ «Об информации, информационных технологиях и о защите информации» №149-ФЗ от 27 июля 2006 года

  • ФЗ «О персональных данных» №152-ФЗ от 27 июля 2006 года

  • ФЗ «О лицензировании отдельных видов деятельности» №128-ФЗ от 8 августа 2001 года

  • Трудовой кодекс Российской Федерации № 197-ФЗ от 30 декабря 2001 года (глава 14)

  • Кодекс Российской Федерации об административных правонарушениях № 195-ФЗ от 30 декабря 2001 года (Статья 13.11.)

  • ФЗ «О государственной гражданской службе Российской Федерации» № 79-ФЗ от 27 июля 2004 года (Глава 7)

  • ФЗ «О муниципальной службе в Российской Федерации» № 25-ФЗ от 2 марта 2007 года (Статья 29)


Проблемы реализация Закона: данных правовые, организационные и финансовые

Проблемы правового характера возникли в связи с неоднозначностью положений Закона, которые по разному трактуются государственными регуляторами и операторами, требуют конкретизации, уточнений и разъяснений.

Организационные проблемы связаны с ограниченным ресурсом уполномоченного органа по защите прав субъектов ПД, что не позволяет выполнять функции надзора в полном объеме. Кроме того, нормативные правовые и методические акты уполномоченных ведомств, содержащие требования к операторам информационных систем ПД, были выпущены с большим опозданием, а некоторые еще не зарегистрированы в Минюсте, поэтому не все операторы имеют возможность заложить затраты на реализацию этих требований в бюджеты 2009 года и, соответственно, могут не уложиться в срок, установленный Законом – 1 января 2010 года.


Проблемы данных (продолжение)

Финансовые проблемы связаны, прежде всего, с тем, что при внесении Правительством РФ в Государственную Думу проекта федерального закона «О персональных данных» затраты на реализацию Закона из средств федерального бюджета не предусматривались. Тем не менее, выполнение органами государственной власти, органами местного самоуправления, бюджетными организациями требований основных регуляторов (ФСТЭК и ФСБ) по обеспечению безопасности обработки персональных данных требует резкого увеличения расходов из бюджетов всех уровней, которые не планировались.


Противоречия между федеральными законами и неточности их положений, допускающие неоднозначное толкование:

1. Позиция Роскомсвязьнадзора и ФСТЭК России в отношении персональных данных как самостоятельного объекта защиты наряду с государственной тайной, коммерческой тайной, профессиональной тайной и т.п.

ПД являются составной частью информации, охраняемой в любом режиме ограничения доступа, а иногда ПД просто составляют тайну, например, врачебную, банковскую, тайну страхования (в отношении физических лиц).


ФЗ «Об информации, информационных технологиях и о защите информации»Статья 9. Ограничение доступа к информации

2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

3. Защита информации, составляющей государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.

4. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

6. Информация, составляющая профессиональную тайну, может быть предоставлена третьим лицам в соответствии с федеральными законами и (или) по решению суда.

9. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных.


Для сравнения информационных технологиях и о защите информации»ФЗ «О персональных данных» (ст. 3)

1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;


Противоречия между федеральными законами

2. Понятие «конфиденциальность информации» в Федеральном законе «Об информации, информационных технологиях и о защите информации» и понятие «конфиденциальность персональных данных» в Федеральном законе «О персональных данных» концептуально не согласуются.

Концепция Федерального закона «О персональных данных» представляется более точной


ФЗ «Об информации, информационных технологиях и о защите информации»(ст. 2)

7) конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;


Для сравнения информационных технологиях и о защите информации»ФЗ «О персональных данных» (ст. 3)

10) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;


Противоречия между федеральными законами

3. Содержание понятия «конфиденциальная информация» в наименовании лицензируемых видов деятельности, определенных Федеральным законом «О лицензировании отдельных видов деятельности» (пункты 10 и 11 ч. 1 ст. 17), и содержание лицензируемого вида деятельности (п. 11) требует уточнения

(в ФЗ «Об информации, информационных технологиях и о защите информации» термин «конфиденциаль-ная информация» - не используется, а требование «конфиденциальности информации» распространяется на все режимы, включая режим секретности (государственная тайна))


ФЗ законами«О лицензировании отдельных видов деятельности»

10) деятельность по разработке и (или) производству средств защиты конфиденциальной информации;

11) деятельность по технической защите конфиденциальной информации;


Положения ФЗ «О персональных данных», требующие разъяснений

Статья 22. Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;


Положения ФЗ «О персональных данных», требующие разъяснений

персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных)

Можно ли, исходя из определения, выделить ПД, позволяющие идентифицировать субъекта ПД?


Подзаконные нормативные акты Правительства РФ

  • Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

  • Постановление Правительства РФ от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

  • Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»


Подзаконные нормативные акты ведомств

Приказ Россвязьохранкультуры от 28 марта 2008 г. № 154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»

Приказ Россвязькомнадзора от 17 июля 2008 г. № 08 «Об утверждении образца формы уведомления об обработке персональных данных»

Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»


Методические документы ФСТЭК ведомств («ДСП»)

  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»,

  • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»,

  • «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных»


Методические документы ФСБ ведомств

«Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»

«Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»


Противоречия между законом и нормативным актом Правительства

Требование получения потенциальным оператором ПД лицензии на техническую защиту конфиденциальной информации во всех случаях, включая те, когда обработка персональных данных осуществляется для собственных нужд (например, в рамках трудовых отношений) не вытекает из ФЗ «О персональных данных» и применяется слишком широко

(Постановление Правительства РФ от 15 августа 2006 г. N 504 «О лицензировании деятельности по технической защите конфиденциальной информации»)


Противоречия между законом и нормативным актом Правительства

(1) Классификация информационных систем ПД «в зависимости от объема обрабатываемых ими ПД и угроз безопасности жизненно важным интересам личности, общества и государства»

(2) Требование к операторам ПД обеспечить защиту каналов связи, по которым осуществляется обмен ПД

(Постановление Правительства от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»)


Противоречия между законом и нормативным актом ведомств

(1) выделение персональных данных, идентифицирующих субъекта персональных данных из общего числа персональных данных,

(2) выделение задачи обеспечения конфиденциальности персональных данных из задач обеспечения безопасности персональных данных.

(Совместный Приказ ФСТЭК, ФСБ и Минкомсвязи от 13 февраля 2008 года «Об утверждении Порядка проведения классификации информационных систем персональных данных»)


13 2008 55 86 20
Приказ от 13 февраля 2008 нормативным актом ведомств№ 55/86/20

  • 8. По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.

  • Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

  • Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).


ФЗ «О персональных данных» нормативным актом ведомств

(ст.3) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

(ст. 19) – безопасность - Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.


Соотношение конфиденциальности ПД и безопасности ПД

Конфиденциальность – правовой режим ПД

Безопасность – организационные и технические меры обеспечения прав субъектов ПД, в том числе на конфиденциальность

Конфиденциальность ПД поддерживается безопасностью, поэтому нельзя обеспечить конфиденциальность, не обеспечив безопасность

Безопасность ПД должна обеспечиваться вне зависимости от конфиденциальности (защита открытой информации от модификации, уничтожения и т.п.)


Как будут реализовывать Закон организации бюджетной сферы?(школы, поликлиники, соц. обеспечение…)

Бюджетные затраты на его реализацию Правительством не предусматривались (в том числе на лицензирование и сертификацию по требованиям безопасности информации автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации),

в штатном расписании школ, детских садов, поликлиник и т.п. не предусмотрены соответствующие специалисты,

нет помещений, соответствующих техническим нормам и требованиям по технической защите информации


ПРЕДЛОЖЕНИЯ организации бюджетной сферы?Правительству РФ и Государственной Думе:

  • подготовить предложения по уточнению положений Федерального закона «О персональных данных», исходя из выявленных проблем их применения;

  • ускорить подготовку проекта федерального закона №№ 217355-4 «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных»;

  • внести изменения в пп. 10 и 11 ч. 1 ст. 17 Федерального закона «О лицензировании отдельных видов деятельности» в части уточнения вида лицензируемой деятельности;

  • подготовить предложения по уточнению положений Федерального закона «Об информации, информационных технологиях и о защите информации» в части формулировки понятия «конфиденциальность информации» и соотношения режимов конфиденциальности.


ПРЕДЛОЖЕНИЯ организации бюджетной сферы?Правительству РФ

1) до изменения Федерального закона «О лицензировании отдельных видов деятельности» уточнить положения Постановления Правительства от 15 августа 2006 г. N 504 «О лицензировании деятельности по технической защите конфиденциальной информации» в части ограничения сферы лицензирования;

2) уточнить положения Постановления Правительства от 17 ноября 2007 г. N 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» в части приведения в соответствие с законодательством РФ


ПРЕДЛОЖЕНИЯ организации бюджетной сферы?ФСТЭК, ФСБ, Минкомсвязи России

привести положения Приказа от 13 февраля 2008 года «Об утверждении порядка проведения классификации информационных систем персональных данных» в соответствие в положениями Федерального закона «О персональных данных» и реалиями оборота персональных данных в стране.


ПРЕДЛОЖЕНИЯ организации бюджетной сферы?ФСБ России и ФСТЭК России:

Обеспечить свободный доступ к нормативно-методическим документам, направленным на реализацию Постановления № 781.


Vek@duma gov ru

Рекомендую следить за обсуждением законопроектов, внимательно читать принятые законы, анализировать практику правоприменения, а также:НАДЕЯТЬСЯ НА ЛУЧШЕЕ, А РАССЧИТЫВАТЬ НА ХУДШЕЕ!

Благодарю за внимание и жду предложений!

Искренне Ваша

[email protected]


ad