CC BY
144
УДК 004.056.5 ББК 32.973-018.2 К 38
Киздермишов А.А.
Кандидат физико-математических наук, доцент кафедры автоматизированных систем обработки информации и управления инженерно-физического факультета Адыгейского государственного университета, Майкоп, тел. (8772) 593911, e-mail: Askhad_75@rambler.ru
Защита персональных данных при их обработке посредством информационно-телекоммуникационной сети «Интернет»
(Рецензирована)
Аннотация. Рассмотрена ситуация, сложившаяся в связи с предпринимаемыми Российской Федерацией мерами по защите персональных данных при их обработке посредством информационно-телекоммуникационной сети «Интернет», применением установленного регулятором порядка обработки персональных данных в информационно-телекоммуникационных сетях, принятием мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, оказанием телематических услуг связи.
Ключевые слова: защита персональных данных, локализации хранения и отдельных процессов обработки персональных данных, доступ в Интернет.
Kizdermishov A.A.
Candidate of Physics and Mathematics, Associate Professor of Department of Automated Systems of Processing Information and Control at Engineering-Physics Faculty, Adyghe State University, Maikop, ph. (8772) 593911, e-mail: Askhad_75@rambler.ru
Protection of personal information at its processing by means of the Internet telecommunication network
Abstract. The paper discusses the situation which developed in connection with the measures undertaken by the Russian Federation for protection of personal information during its processing by means of the Internet telecommunication network, application of the order ofprocessing personal information established by the regulator in telecommunication networks, taking measures to access restriction to information processed with a violation of the law of the Russian Federation in the field ofpersonal information and rendering telematic communication services.
Keywords: protection of personal information, localizations of storage and separate processes of processing personal information, Internet access.
В настоящее время значительные объемы информации хранятся на носителях, установленных (используемых) на частных-домашних рабочих станциях, ноутбуках и др. мобильных устройствах. Речь идет о личной переписке, фото и видео материалах, ау-тентификационных данных личных кабинетов в социальных сетях и т.д. Очевидно, что нельзя недооценивать ущерб, который может быть нанесен гражданам в результате утраты (разглашения) персональных данных. Вопросы защиты пользовательских информационных ресурсов для случая, когда они обрабатываются средствами ПЭВМ, к которым гражданин имеет физический доступ, посвящены наши работы [1-6].
В данной работе рассмотрена ситуация, сложившаяся в связи с предпринимаемыми Российской Федерацией мерами по защите персональных данных при их обработке посредством информационно-телекоммуникационной сети «Интернет» (облачные хранилища, социальные сети, электронные услуги и т.п.). Отметим, что в 2014-2015 годах был принят целый ряд законодательных и нормативно-правовых актов (см. табл. 1). Рассмотрим результаты их практической реализации.
Во-первых, с 01.09.2015 г. начало действовать положение о локализации хранения и отдельных процессов обработки персональных данных (п. 1 табл. 1), суть которого состоит в том, что персональные данные граждан России должны обрабатываться на серверах, физически расположенных на территории Российской Федерации. Заметим,
что требования закона распространяются только на новые данные. Созданные ранее базы данных запрещается обновлять и дополнять без создания первичных баз на территории Российской Федерации. Соответствующие изменения в законодательство были внесены еще в 2014 году (далее закон).
Таблица 1
Нормативно-правовая база, принятая в 2014-2015 годах
№ п/п Наименование
1. Федеральный закон от 21 июля 2014 года № 242-ФЗ о внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях
2. Постановление Правительства Российской Федерации от 19 августа 2015 года № 857 об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных»
3. Приказ Роскомнадзора от 22 июля 2015 года № 84 об утверждении порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи
4. Приказ Роскомнадзора от 28 июля 2015 года № 85 об утверждении формы заявления субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных
5. Постановление Правительства Российской Федерации от 31 июля 2014 года № 758 о внесении изменений в некоторые акты правительства Российской Федерации в связи с принятием федерального закона «О внесении изменений в федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей»
Аргументы противников положения можно условно разделить на две группы. К первой группе можно отнести аргументы, основанные на возможных технических проблемах, высказывались опасения по поводу сроков ввода в эксплуатацию необходимой инфраструктуры для выполнения требований законодательства. В частности, по итогам опроса, проведенного на закрытой встрече по разъяснению Федерального закона № 242-ФЗ, организованной ЭКС РАЭК и РБТП на площадке Роскомнадзора, о готовности к исполнению положений закона в установленный срок заявило более 54% компаний ИТ компаний, 27% сообщили о неполной готовности и 19% отметили финансовые трудности и недостаток технических мощностей. В настоящее время технические проблемы остались у отдельных операторов карты Visa и компании Facebook. Проблемы с картами Visa планируется устранить в ближайшее время. С Facebook ведутся переговоры. Кроме сроков введения новых норм возникали проблемы, связанные с возможностью различных толкований закона, которые приводили к неопределенности по вопросу: какие именно изменения должны быть внесены компаниями в их ИТ-инфраструктуру и (или) бизнес-процессы для того, чтобы исполнить закон, особенно если такая инфраструктура носит трансграничный характер. Также возникло много вопросов о правомерности распространения на иностранных операторов требований закона с точки зрения международного права, высказывались сомнения по поводу того, что популярные сайты социальных сетей могут быть заблокированы. В целях разрешения сложившейся ситуации на сайте Минкомсвязи были даны разъяснения по применению закона. Проводя анализ публикаций и выступлений экспертов, а также заявлений должностных лиц, можно прийти к выводу, что прогнозируемого критиками коллапса не произошло. В частности, Яндекс, Google и другие крупнейшие Интернет-поисковики уже перевели свои базы данных в Россию.
Ко второй группе относятся «политико-экономические» аргументы, суть которых
состоит в том, что предпринимаемые меры приведут, во-первых, к уходу с рынка электронных услуг иностранных компаний, что в свою очередь приведет к существенному снижению качества электронных услуг, во-вторых, к репутационным потерям России. Несмотря на «реалистичность и обоснованность» вышеупомянутых прогнозов, сегодня ни в одной из их крупных (значимых) иностранных компаний не было объявлено о намерении уйти с рынка электронных услуг России. Прежде чем говорить о репутацион-ных потерях, следует отметить, что предпринимаемые в нашей стране меры были осуществлены и другими странами. Например, в Европейском Союзе (ЕС), начиная с 1998 года, действовал запрет на передачу персональных данных в страны, не входящие в ЕС. Уточним, что в США и ЕС под «персональными данными» понимают информацию, которая может быть использована для удостоверения личности: имя и фамилия, почтовый или фактический адрес, номер телефона, адрес электронной почты, иные сведения, предоставленные или необходимые для проведения торговой операции, оказания электронной услуги или доставки продукта. Исходя из этого определения, например, клуб Common Criteria, США и ЕС нашли общий подход к защите персональных данных своих граждан - программа «US-EU Safe Harbor» (одобрена в 2000 году), который способствовал развитию торговли и действует до сих пор. При этом США и ЕС не понесли репутационных потерь. Более того, в соответствии с решением, принятым федеральным судьей, требования властей США на выдачу персональных данных действительны даже в том случае, если они хранятся на серверах в других странах (ЕС). Интересно, что, несмотря на существование программы «US-EU Safe Harbor», у ЕС также возникали проблемы с компанией Facebook [6].
Из изложенного следует, что действия Российской Федерации по защите персональных данных граждан и связанные с ними переговоры с иностранными компаниями полностью соответствуют международной практике. Они, при отсутствии других факторов, не могут привести к репутационным потерям.
Во-вторых, было продолжено усиление мер по защите персональных данных путем блокировки сайтов нарушителей требований по обработке информации ограниченного доступа (п. 2-4 табл. 1). При этом предполагается, что создание, формирование и ведение реестра нарушителей прав субъектов персональных данных с целью ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства в области персональных данных, будет осуществлять Роскомнадзор. В заявлении о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства о персональных данных, указываются сведения о судебном акте и исполнительном листе, на основе которого ограничивается доступ. В настоящее время на федеральном портале проектов нормативных правовых актов обсуждается проект закона о внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части установления ответственности операторов связи за неисполнение обязанности по ограничению доступа к сайтам в сети «Интернет»), предусматривающий штраф для оператора более ста тысяч рублей.
В международной практике, несмотря на существующие способы обхода, блокировка сайтов активно применяется. Например, китайскими правоохранительными органами на протяжении последних двенадцати лет, а также в Европе (European Strategy for a Better Internet for Children) и США (Child Online Protection Act) в целях защиты подрастающего поколения от киберугроз применяются требования, аналогичные Федеральному закону от 29.12.2010 г. № 436-Ф3 (ред. от 29.06.2015 г.) «О защите детей от информации, причиняющей вред их здоровью и развитию».
Особого внимания заслуживает Постановление Правительства Российской Федерации от 31 июля 2014 года № 758. Суть этого постановления состоит в том, что все пользователи Интернета, получающие доступ в сеть как услугу от оператора, должны
быть идентифицированы, причем для этого предполагается предоставлять оператору паспортные данные пользователя. Документ вызвал множество вопросов по его практической реализации, которые можно условно разделить на две группы. Первая группа связана с методами идентификации пользователей в общедоступных сетях, например, кафе, вокзалах и метро. Вторая - это передача операторам связи данных о работниках юридических лиц, пользующихся Интернетом, и связанных с этим организационно-правовых мероприятиях.
В частности, по порядку идентификации пользователей для доступа к Wi-Fi в публичных сетях Минкомсвязи потребовалось опубликовать три комментария. Оператору было разрешено самому выбирать способ идентификации пользователей, например, путем установления абонентского номера, либо через установление фамилии, имени и отчества пользователя, которые подтверждаются не только документом, удостоверяющим личность, но и учетной записью на ЕПГУ. Еще одной проблемой, кроме этого, является проблема организации контроля, так как для того чтобы обеспечить контроль за работой всех точек доступа, у правоохранительных органов не хватит сотрудников.
Также много вопросов вызвало требование предоставлять юридическим лицом либо индивидуальным предпринимателем оператору связи списка лиц, использующих его пользовательское (оконечное) оборудование. Кроме этого устанавливается срок предоставления указанного списка, а также устанавливается, что указанный список должен быть заверен уполномоченным представителем юридического лица либо индивидуальным предпринимателем, содержать сведения о лицах, использующих его пользовательское (оконечное) оборудование (фамилия, имя, отчество (при наличии), место жительства, реквизиты основного документа, удостоверяющего личность), и обновляться не реже одного раза в квартал. На федеральном портале проектов нормативных правовых актов опубликовано уведомление о начале разработки документа «О внесении изменений в Правила оказания услуг связи по передаче данных и в Правила оказания телематических услуг связи». Согласно уведомлению о разработке документа планируется исключить обязанность оператора связи включать в договор с абонентами -органами государственной власти положение об обязанности последних предоставлять оператору связи список лиц, использующих их пользовательское (оконечное) оборудование [7]. Таким образом, Минкомсвязь предлагает ввести анонимность для госслужащих - пользователей Интернета. Как уже отмечалось, постановлением Правительства РФ от 31 июля 2014 года № 758 было внесено требование для всех корпоративных клиентов Интернет-доступа сообщать оператору связи список персонала, который пользуется Интернетом, содержащий персональные данные сотрудников, что может являться угрозой для безопасности отдельных категорий государственных служащих.
Следует отметить, что многие эксперты предлагают считать оконечным оборудованием юридического лица маршрутизатор, гальванически подсоединенный к абонентской линии, и таким образом предоставлять оператору данные только сетевого администратора. Для того чтобы исключить эту неопределенность, в последних редакциях постановления слова «оконечное оборудование оператора» были заменены на слова «пользовательское (оконечное) оборудование». «Слабым местом» постановления является отсутствие норм, предусматривающих наказание за его неисполнение. Во многих контрактах на оказание услуг по предоставлению юридическим лицам абонентских линий для подключения к сети «Интернет» указанный в постановлении обязательный пункт отсутствует.
Таким образом, предпринимаемые Российской Федерацией меры по защите персональных данных граждан России при их обработке средствами информационно-телекоммуникационной сети «Интернет» являются вынужденными. Они являются пол-
ностью обоснованными и соответствующими международной практике. Скорейшая практическая реализация закона не приведет к ухудшению оказания электронных услуг, а наоборот улучшит их качество за счет усиления защиты персональных данных и, как следствие, снятию некоторых ограничений на использование социальных сетей, почтовых сервисов и т.п., введенных в последнее время органами исполнительной власти. Тем не менее, целый ряд установленных нормативно-правовыми актами требований по обеспечению безопасности в сети «Интернет» требуют ужесточения наказания за их неисполнение. Так, целесообразно усиление контроля над соблюдением российского законодательства операторами связи.
Примечания:
1. Киздермишов А.А., Чефранов С.Г., Брикова И.В. К вопросу о методах тестирования специального программного обеспечения // Актуальные проблемы гуманитарного развития: материалы заоч. междунар. науч.-практ. конф. Майкоп: Изд-во МГТУ, 2013. С. 110-113.
2. Киздермишов А.А. Анализ возможности использования свободно распространяемых сетевых сканеров // Вестник Адыгейского государственного университета. Сер. Естественно-математические и технические науки. 2014. Вып. 3 (142). С. 201-205.
URL: http://vestnik.adygnet.ru
3. Киздермишов А.А. К вопросу о применении CVE-совместимых сетевых сканеров // Вестник Адыгейского государственного университета. Сер. Естественно-математические и технические науки. 2015. Вып. 1 (154). С. 136-140. URL: http://vestnik.adygnet.ru
4. Киздермишов А.А. К вопросу о построении модели нарушителя правил разграничения доступа к пользовательским информационном ресурсам // Вестник Адыгейского государственного университета. Сер. Естественно-математические и технические науки. 2015. Вып. 2 (161). С. 201-205.
URL: http://vestnik.adygnet.ru
5. Киздермишов А.А. К вопросу о добровольной сертификации средств автоматизированного анализа защищенности и обнаружения уязви-мостей // Вестник Адыгейского государственного университета. Сер. Естественно-математические и технические науки. 2015. Вып. 3 (166). С. 137-141.
URL: http://vestnik.adygnet.ru
6. Киздермишов А. А. К вопросу о локализации хранения и отдельных процессов обработки персональных данных // Осенние математические чтения в Адыгее: материалы I Междунар. науч. конф., посвящ. профессору Казбеку Са-гидовичу Мамию. 2015. С. 117-120.
7. Госорганы могут освободить от обязанности предоставлять оператору связи данные о чиновниках. URL:
http://www.garant.ru/news/602813/#ixzz3v0z7etVb
References:
1. Kizdermishov A.A., Chefranov S.G., Brikova I.V. On the problem of methods of specific software testing // Actual problems of humanitarian development: materials of correspondence Intern. scient. and pract. conf. Maikop: MSTU Publishing House, 2013. P. 110-113.
2. Kizdermishov A.A. The analysis of the possibility to use the freeware network scanners // The Bulletin of the Adyghe State University. Ser. Natural-Mathematical and Technical Sciences. 2014. Iss. 3 (142). P. 201-205. URL: http://vestnik.adygnet.ru
3. Kizdermishov A.A. On application of CVE-compatible network scanners // The Bulletin of the Adyghe State University. Ser. Natural-Mathematical and Technical Sciences. 2015. Iss. 1 (154). P. 136140. URL: http://vestnik.adygnet.ru
4. Kizdermishov A.A. On model creation for the breaker of rules of access to user information resources // The Bulletin of the Adyghe State University. Ser. Natural-Mathematical and Technical Sciences. 2015. Iss. 2 (161). P. 134-138.
URL: http://vestnik.adygnet.ru
5. Kizdermishov A.A. On voluntary certification of means of the automated analysis of security and detection of vulnerabilities // The Bulletin of the Ady-ghe State University. Ser. Natural-Mathematical and Technical Sciences. 2015. Iss. 3 (166). P. 1377-141. URL: http://vestnik.adygnet.ru
6. Kizdermishov A.A. On the problem of localization of storage and separate processes of personal data processing // Autumn mathematical readings in Adyghea: Proceedings of the 1st International scient. conf. dedicated to Professor Kazbek Sagido-vich Mamiy. 2015. P. 117-120.
7. State authorities may exempt from the obligation to provide the communication operator with the data on officials. URL:
http://www.garant.ru/news/602813/#ixzz3v0z7etVb
