CC BY
267
ЮРИДИЧЕСКИЕ НАУКИ
X
Е.Ф. Стукалина
канд. техн. наук, доцент, кафедра «Вычислительная техника», ФГБОУ ВПО «Ижевский государственный технический университет имени М. Т. Калашникова»
Л.М. Опоева ассистент,
кафедра «Вычислительная техника», ФГБОУ ВПО «Ижевский государственный технический университет имени М. Т. Калашникова»
АНАЛИЗ ЗАКОНОДАТЕЛЬСТВА ПО ПЕРСОНАЛЬНЫМ ДАННЫМ
Аннотация. В статье описана актуальность защиты персональных данных, представлен анализ законодательной основы по персональным данным и приведена хронология ее изменений.
Ключевые слова: персональные данные, информационная безопасность, риск, конфиденциальность, обеспечение безопасности.
E.F. Stukalina, Kalashnikov Izhevsk State Technical University
L.M. Opoeva, Kalashnikov Izhevsk State Technical University
ANALYSIS OF THE LAW ON PERSONAL DATA
Abstract. The article describes the relevance of the protection of personal data, an analysis of the legislative framework for personal data, and a chronology of its changes.
Keywords: personal data, information Security, risk, confidentiality, security.
В настоящее время обеспечение защиты информации и персональных данных является одной из серьезных проблем и важнейшей задачей в обеспечении информационной безопасности любой организации или предприятия. Несоблюдение требований законодательства в области защиты персональных данных может нанести существенный ущерб организации, что может грозить наложением штрафа, приостановлением деятельности организации или вплоть до уголовной ответственности. Необходимость обеспечения безопасности персональных данных вызвана быстрым развитием современных информационных технологий, возможностью копирования и распространения информации, электронного информационного обмена и электронного документооборота организаций, свободного доступа к средствам массовых информации.
Можно сказать, что срок законодательной базы по персональным данным в нашей стране является небольшим, в то время как, например, первый закон о защите персональных данных, определяющий правила хранения и предоставления информации о гражданах, был принят в федеральной земле Гессен Германии в 1970 г., а в Швеции первый закон о защите данных на национальном уровне был принят в 1973 г.
Изучив и проанализировав законодательство в Российской Федерации по персональным данным, можно сделать вывод о том, что периодически вносятся законодательные поправки, и некоторые законы утрачивают силу в связи с изданием новых законов.
Все законотворчество в России в области персональных данных можно условно разделить на 2 этапа:
• Первый этап: с 2005 по 2011 гг. (табл. 1).
• Второй этап: с 2012 г. и далее (табл. 2).
Первоочередная задача, стоящая перед предприятиями и организациями в области защиты персональных данных, заключается в оптимальном и эффективном выполнении комплексных требований по защите персональных данных, предъявляемых регулирующими органами.
Таблица 1 - Хронология первого этапа законотворчества в области персональных данных
Год Закон Примечание
2005 Федеральный закон от 19.12.2005 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» Является действующим
2006 Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» Является действующим
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» Является действующим
2007 Постановление Правительства РФ № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 17.11.2007. Утратил силу с выходом Постановления Правительства РФ от 01.11.2012 № 1119
2008 Приказ трех: Приказ ФСТЭК РФ, ФСБ РФ и Минкомсвязи РФ № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» от 13.02.2008. Утратил силу с выходом приказов ФСТЭК РФ № 151, ФСБ РФ № 786, Минкомсвязи РФ № 461 от 31.12.2013
Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных Утратил силу в связи с выходом приказа ФСТЭК России от 05.02.2010 № 58
Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Утратил силу в связи с выходом приказа ФСТЭК России от 05.02.2010 № 58
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных Не выходил в публикацию
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка) Не выходил в публикацию
«Методические рекомендации по обеспечению с помощью криптос-редств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» от 21.02.2008 № 149/54-144 Не выходил в публикацию
«Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» от 21.02.2008 № 149/6/6-622 Не выходил в публикацию
Постановление Правительства РФ № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» от 06.07.2008 Является действующим
Постановление Правительства РФ № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 Является действующим
2010 Приказ ФСТЭК № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» от 05.02.2010г. Утратил силу в связи с выходом приказа ФСТЭК России от 18.02.2013 № 21
2011 Приказ Роскомнадзора № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» от 19.08.2011 Не выходил в публикацию
Приказ Министерства связи и массовых коммуникаций РФ № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» от 14.11.2011 Является действующим
Таблица 2 - Хронология второго этапа законотворчества в области персональных данных
Год Закон Примечание
2012 Постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 Является действующим
Постановление Правительства РФ № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных» от 21.03.2012 Является действующим
Разъяснения Роскомнадзора по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве от 14.12.2012
2013 Приказ ФСТЭК России № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 11.02.2013 Является действующим
Приказ ФСТЭК России № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013 Является действующим
Федеральный закон № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных» от 07.05.2013 Является действующим
Разъяснения Роскомнадзора по вопросам отнесения фото-, видеоизображений, дактилоскопических данных к биометрическим персональным данным 30.08.2013 Является действующим
Приказ Роскомнадзора № 996 «Об утверждении требований и методов по обезличиванию персональных данных» от 05.09.2013 Является действующим
Методические рекомендации по применению приказа Роскомнадзора № 996 «Об утверждении требований и методов по обезличиванию персональных данных» от 05.09.2013 Является действующим
2014 Методический документ ФСТЭК РФ «Меры защиты информации в государственных информационных системах» от 11.02.2014г. Не выходил в публикацию
Приказ Роскомнадзора № 37 «О внесении изменений в Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утвержденные приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 г. № 706» от 14.03.2014 Не выходил в публикацию
Приказ ФСБ РФ № 378. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» от 10.07.2014г. Является действующим
Постановление Правительства РФ № 911 «О внесении изменений в перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» от 06.09.2014 Является действующим
Специфика, цели и методы обработки персональных данных у предприятий сильно отличается. Так, одни организации действуют самостоятельно, регламентируя работу с персональными данными своими внутренними документами. Другим организациям приходится взаимодействовать друг с другом по вопросу передачи информации, в том числе и по передаче ин-
формации, содержащей персональные данные граждан. Поэтому нельзя сформировать единые меры, предприняв которые предприятие будет соответствовать требованиям закона «О персональных данных».
В связи со значительными изменениями в законодательстве в области персональных данных, документация, которую обязан разрабатывать оператор, должна быть существенно переработана. Так, например, уведомление по обработке персональных данных утратило свою актуальность, но нет однозначной инструкции и свода правил от регулирующих органов.
Частная модель угроз требует существенных изменений, в связи с преобразованиями в законодательстве, согласно которым классы персональных данных заменяются уровнями защищенности [2].
Согласно Постановлению Правительства Российской Федерации от 1 ноября 2012 г. № 1119 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», к концу 2015 года должна быть произведена процедура оценки и пересмотра существующей в организации системы защиты персональных данных, что требует переработок [1].
Изучив и проанализировав список организационно-распорядительных документов, можно сделать вывод, что в переработке нуждаются, по крайней мере, следующие документы:
• частные модели угроз безопасности;
• приказ о проведении классификации информационной системы персональных данных;
• акты проведения классификации информационной системы персональных данных;
• уведомление о начале обработки персональных данных [3].
Но, несмотря на все преобразования законодательной и правовой основы персональных данных, остаются противоречия между законами, которые однозначно разрешить в конкретной ситуации невозможно. В связи с этим необходимы постоянные и непрерывные изменения и поправки в законах.
Список литературы:
1. Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
2. Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
3. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
