Информационные технологии в деятельности ОВД
ЗАЩИТА ИНФОРМАЦИОННЫХ СИСТЕМ С СОДЕРЖАНИЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ,
эксплуатируемых в Овд
protection of intelligence systems with the maintenance of the personal information operated in department of internal affairs
УДК 004:351.74
А.В. ЕСЬКОВ,
доктор технических наук (Краснодарский университет МВД России) e-mail: [email protected]
И.И. КИРЮШИН
(Барнаульский юридический институт МВД России) e-mail: [email protected]
A.V. ESKOV,
doctor of technical Sciences (Krasnodar University of MIA Russia)
I.I. KIRYUSHIN
(Barnaul law Institute of the MIA of Russia)
Аннотация: с развитием компьютерной техники, программного обеспечения в ОВД получили распространение системы, в которых содержится информация, включающая персональные данные не только сотрудников ОВД, но и других граждан РФ. В условиях стремительно изменяющейся нормативно-правовой базы, касающейся обработки персональных данных в информационных системах, перед сотрудниками подразделений ОВД, обслуживающих ведомственные информационные системы, встает задача быстрой адаптации к изменившемуся законодательству с учетом последних как федеральных, так и ведомственных нормативных актов, с решением которых они испытывают определенные трудности.
Ключевые слова: персональные данные, информационные системы, защита информационных систем.
Abstract: With development of the computer equipment, the software systems which contain information including personal information not only the staff of Department of Internal Affairs, but also other citizens of the Russian Federation gained distribution in Department of Internal Affairs. In the conditions of precipitantly changing normative and legal base concerning processing of personal information in intelligence systems before the staff of the divisions of Department of
Проблемы правоохранительной деятельности 2’15
76
Информационные технологии в деятельности ОВД
Internal Affairs serving departmental intelligence systems there is a problem of fast adaptation to the changed legislation taking into account the last both federal, and departmental regulations with which decision they have some difficulties.
Keywords: personal information, intelligence systems, protection of intelligence systems.
В органах внутренних дел в настоящее время используются около ста различных информационных систем, включающих в себя персональные данные (ИСПДн) граждан Российской Федерации (РФ), которые в соответствии с требованиями руководящих документов нуждаются в защите. Некоторые Министерства внутренних дел субъектов РФ, например, Министерство внутренних дел по Чувашской республике или ФГКУ УВО УМВД России по Ярославской области разработали Положение об обработке и защите персональных данных (ПДн) в своих подразделениях. Начиная примерно с 2012 года, эти локальные нормативные акты устанавливают порядок обработки персональных данных физических лиц в связи с реализацией трудовых отношений и в связи с оказанием государственных услуг и осуществлением государственных функций.
28 апреля 2014 года Приказом Министерства внутренних дел Российской Федерации от № 381 [1] утверждены Положение о централизованном учете персональных данных сотрудника ОВД РФ и ведении его личного дела и Положение о централизованном учете персональных данных гражданина РФ, поступающего на службу в ОВД РФ. Согласно п. 2 приказа установлено, что ранее оформленные личные дела сотрудников органов внутренних дел Российской Федерации переоформлению не подлежат. А согласно п. 9 Положения о централизованном учете ПДн сотрудника ОВД РФ централизованный учет может осуществляться как с использованием средств автоматизации, так и без использования таких средств. Основная масса кадровых подразделений ОВД централизованный учет ПДн сотрудника осуществляет без использования средств автоматизации.
С развитием ЕИТКС получили распространение системы, в которых содержится информация, включающая персональные данные (ПДн) не только сотрудников ОВД, но и других граждан РФ. Кроме того, в отдельных территориальных органах МВД России фигурируют базы данных коллективного пользования, разработанные инициативно на местном уровне. Согласно закону [2] ИСПДн на объектах информатизации ОВД могут являться системы (например, компьютеры или
объединенные в локальную сеть компьютеры в совокупности с их программным обеспечением), в которых обрабатываются персональные данные. Согласно п. 9 «Инструкции по организации защиты ПДн, содержащихся в ИСПДн ОВД РФ» [3], утвержденной Приказом МВД РФ от 6 июля 2012 г. № 678, средство защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
В условиях стремительно изменяющейся нормативно-правовой базы, касающейся обработки персональных данных в информационных системах, перед сотрудниками подразделений ОВД, обслуживающих ведомственные информационные системы, встает немало задач, с решением которых они испытывают определенные трудности. В условиях нового подхода к обеспечению информационной безопасности персональных данных перед подразделениями-операторами ИСПДн ОВД стоит задача быстрой адаптации к изменившемуся законодательству с учетом последних как федеральных, так и ведомственных нормативных актов.
Исходя из класса защищенности информационной системы и уровня защищенности персональных данных, производится разграничение доступа - это когда вход в систему осуществляется по индивидуальному паролю пользователя (будь то пароль операционной системы или специального программного обеспечения); на объектах информатизации ОВД должны существовать процедуры предоставления и прекращения доступа. Согласно п. 23-26 «Инструкции по организации защиты ПДн, содержащихся в ИСПДн ОВД РФ», утвержденной Приказом МВД РФ от 6 июля 2012 г. № 678 (в ред. Приказ МВД РФ от 15.07.2013 № 538 [4]), подразделениями-операторами ИСПДн по согласованию с уполномоченным подразделением МВД России организуется разрешительная система доступа к техническим и программным средствам ИСПДн, а также к информационным ресурсам ИСПДн. Порядок и условия доступа к ИСПДн определя-
Проблемы правоохранительной деятельности 2’15
77
Информационные технологии в деятельности ОВД
ются на стадии ее создания (модернизации) в конструкторской документации на ИСПДн и в инструкции по эксплуатации ИСПДн. Регистрация пользователей в ИСПДн осуществляется администратором безопасности ИСПДн на основании списков должностных лиц, утвержденных приказом руководителя подразделения-оператора ИСПДн. Также должен производиться контроль за правильностью предоставления и прекращения доступа к ИСПДн. На элементах ИСПДн средствами ИСПДн должна вестись регистрация действий пользователей ИСПДн в электронном журнале обращений, содержание которого проверяется администратором безопасности ИСПДн. Регистрация действий пользователей ИСПДн в электронном журнале обращений может осуществляться средствами операционной системы, специального программного обеспечения, базами данных, сторонними приложениями.
При обнаружении нарушений порядка предоставления ПДн администратор безопасности ИСПДн незамедлительно информирует об этом руководителя подразделения МВД России и приостанавливает предоставление ПДн пользователям ИСПДн до выявления причин нарушений или их устранения.
Кроме того, в п. 8 Приказа ФСТЭК России от 18 февраля 2013 г. № 21 [5] перечисляется состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий. Состав и содержание мер по обеспечению безопасности ПДн, необходимых для обеспечения каждого из уровней защищенности ПДн, приведены в приложении к приказу [5].
Прежде чем проводить технические мероприятия, нужно проанализировать модель угроз безопасности персональных данных. Опасность реализации большинства угроз можно снизить организационными и обязательными техническими мерами. Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные
ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю [6], утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085.
Министерством внутренних дел проводится большая работа по приведению в соответствие с нормативными актами РФ приказов и положений по защите ИСПДн. В последнее время по сообщениям прессы [7] законопроект, внесенный в Государственную Думу группой сенаторов и депутатов в январе 2014 года, предлагает разрешить операторам персональных данных перепоручать обработку этих данных сторонним фирмам-обработчикам. Таким фирмам не надо будет получать статус оператора персональных данных, а сами операторы будут нести ответственность за действия своих помощников. Недавно работа над этим законопроектом возобновилась. Кроме того, предполагается при наличии согласия российского пользователя разрешить хранить его ПДн на территории любой страны, присоединившейся к конвенции Совета Европы «О защите частных лиц в отношении автоматизированной обработки данных личного характера». Этот документ ратифицировали 46 стран — это, в частности, Россия, Великобритания, Франция, Германия, Италия, Испания и др. В интернете уже появились предложения использовать веб-сервисы подготовки документов, которые помогут избежать штрафов при проверке Роском-надзора, например, сервис с призывом «Выполните требования закона 152-ФЗ, не изучая его» [8]. Хотя на сайте справедливо отмечается, что сервис не подойдет «органам государственной власти», может быть он действительно нужен некоторым коммерческим компаниям.
Грядущие изменения законодательства в сфере защиты ПДн, которые могут произойти, на взгляд автора, не должны привести к ослаблению требований нормативной базы и иметь возможность передать функцию защиты ИСПДн из системы Министерства внутренних дел третьей стороне, даже если законодательно это станет возможным.
Литература —
1. Приказ МВД РФ от 28 апреля 2014 г. № 381 «О некоторых вопросах централизованного учета персональных данных сотрудников органов внутренних дел Российской Федерации, граждан Российской Федерации, поступающих на службу в органы внутренних дел Российской Федерации»: [Электронный ресурс] - электронные данные. - Российская газета. 2015. - Режим доступа: http://www.rg.ru/2014/08/06/mvd-dok.html.
Проблемы правоохранительной деятельности 2’15
78
Информационные технологии в деятельности ОВД
2. О персональных данных: Федеральный закон от 27 июля 2006 № 152-ФЗ (ред. от 21.07.2014): [Электронный ресурс] - электронные данные. - СПС Консультант Плюс: Высшая школа. 2015. - Режим доступа: http://www. consultant.ru.
3. Приказ МВД РФ от 06 июля 2012 г. № 678 «Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации»: [Электронный ресурс] - электронные данные. Сайт МВД РФ 2015. - Режим доступа: http://www.mvd.ru.
4. Приказ МВД РФ от 15 июля 2013 г. № 538 «О внесении изменений в приказ МВД России от 6 июля 2012 г. № 678 «Об утверждении Инструкции по организации защиты персональных данных, содержащихся в информационных системах органов внутренних дел Российской Федерации»: [Электронный ресурс] - электронные данные. СПС Консультант Плюс: Высшая школа. 2015. - Режим доступа: http://www.consultant.ru.
5. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»: [Электронный ресурс] - электронные данные. СПС Консультант Плюс: Высшая школа. 2015. - Режим доступа: http://www.consultant.ru.
6. Указ Президента РФ от 16 августа 2004 г. № 1085 «Вопросы федеральной службы по техническому и экспортному контролю» [Электронный ресурс] - электронные данные. 2015. - Режим доступа: http://fstec.ru.
7. Закон о персональных данных предлагают смягчить: [Электронный ресурс] - электронные данные. Известия: 11 марта 2015. - Режим доступа: http://izvestia.ru/news/583905#ixzz3aIdZ3K6S.
8. Веб-сервис подготовки документов: [Электронный ресурс] - электронные данные. 17 мая 2015. - Режим доступа: https://152.kontur.ru.
References
1. Order of the Ministry of internal Affairs of the Russian Federation of 28 April 2014 № 381 “On some issues Central register of personal data of employees of internal Affairs bodies of the Russian Federation, citizens of the Russian Federation arriving on service in bodies of internal Affairs of the Russian Federation”: [Electronic resource] / - electronic data. - Russian newspaper. 2015. - Access mode: http://www.rg.ru/2014/08/06/mvd-dok.html.
2. On personal data: the Federal law of 27 July 2006 No. 152-FZ (as amended on 21.07.2014): [Electronic resource] / - electronic data. - ATP ConsultantPlus: the Higher school. 2015. - Access mode: http://www.consultant.ru.
3. Order of the Ministry of internal Affairs of the Russian Federation from 06 July 2012 no 678 “On approval of the Instruction on the organization of protection of personal data contained in the information systems of the bodies of internal Affairs of the Russian Federation”: [Electronic resource] / - electronic data. The website of the interior Ministry 2015. - Access mode: http://www.mvd.ru.
4. Order of the Ministry of internal Affairs of the Russian Federation of 15 July 2013 № 538 “On amendments to order of the Ministry of internal Affairs of Russia from July 6, 2012 no 678 “On approval of the Instruction on the organization of protection of personal data contained in the information systems of the bodies of internal Affairs of the Russian Federation”: [Electronic resource] / - electronic data. ATP ConsultantPlus: the Higher school. 2015. - Access mode: http://www.consultant.ru.
5. The order of FSTEC of Russia dated 18 February 2013 № 21 “On approval of the Composition and content of organizational and technical measures to ensure the security of personal data at their processing in information systems of personal data”: [Electronic resource] / - electronic data. ATP ConsultantPlus: the Higher school. 2015. - Access mode: http://www.consultant.ru.
6. The presidential decree dated August 16, 2004 № 1085 “Issues of the Federal service for technical and export control” [Electronic resource] / - electronic data. 2015. - Access mode: http://fstec.ru.
7. The law on personal data serves to soften: [Electronic resource] / - electronic data. News: March 11, 2015. - Access mode: http://izvestia.ru/news/583905#ixzz3aIdZ3K6S.
8. Web service document preparation: [Electronic resource] / - electronic data. May 17, 2015. - Access mode: https://152.kontur.ru.
(Статья сдана в редакцию 18.05.2015)
Проблемы правоохранительной деятельности 2’15
79