Дата проведения: 30 августа 2011
Эксперт: Сивохин Олег Анатольевич, руководитель отдела контроля (надзора) в сфере массовых коммуникаций, защиты персональных данных и надзора в сфере информационных технологий (ОКК) Управления Роскомнадзора по Тамбовской области
Ведущая: Багатурия Рита (компания "Плюс Гарантия")
Ведущая: Добрый день, уважаемые дамы и господа! Здравствуйте, уважаемая интернет-аудитория! Мы начинаем наше интернет-интервью. Позвольте представить нашего гостя - руководителя отдела контроля (надзора) в сфере массовых коммуникаций, защиты персональных данных и надзора в сфере информационных технологий (ОКК) Управления Роскомнадзора по Тамбовской области Олега Анатольевича Сивохина. Сегодня Управление Роскомнадзора по Тамбовской области активно готовится к проведению многочисленных проверок, которые уже начнутся с 1 сентября текущего года. Их результаты станут известны совсем скоро.
Вопрос интернет-аудитории: Олег Анатольевич, как Вы считаете, в свете реализации федерального закона №152-ФЗ «О защите персональных данных», государственные организации – операторы ПД, имеющие централизованное управление, должны проводить организационные мероприятия по защите персональных данных самостоятельно, т.е. производить инвентаризацию, анализ, классификацию ИСПДн, разрабатывать пакет документов и т.п.? Возможно, эта работа должна проводиться централизованно (т.к. категория, состав и цели обработки ПД одни и те же) и затем распространяться на подчиненные структуры с соответствующей поправкой на местные условия?
О.А. Сивохин: В любом случае, необходимо самостоятельно проводить организационные мероприятия по защите персональных данных, содержащихся в ИСПДн организации – оператора ПД. Если в организации существует несколько ИСПДн, то и аттестовывать придется их все. Если же они будут признаны подсистемами одной единой ИСПДн, то аттестовать необходимо ее одну. В первом случае, работы по классификации, написанию необходимых организационно-распорядительных документов, по описанию каждой системы, подготовке комплекта документов для аттестации, мероприятий по получению аттестата соответствия и затрат на проведение аттестации будет по количеству ИСПДн. При этом необходимо не забывать про средства разграничения друг от друга различных ИСПДн, что влечет за собой закупку и установку дополнительных средств разграничения. А во втором случае не будет необходимости разделения различных ИСПДн внутри организации, и, таким образом, работы по аттестации будут выполнены только один раз.
Ведущая: Как определить границы ИСПДн? Например, если в учреждении имеется много различный баз данных, будет ли каждая база данных - ИСПДн или можно все базы данных в учреждении считать как единую ИСПДн учреждения? Соответственно, если ИСПДн в учреждении много, как определить границы (сетевое оборудование, сервера будут находиться одновременно в нескольких ИСПДн). А если ИСПДн много, аттестовывать придется каждую в отдельности?
О.А. Сивохин: В требованиях по обеспечению безопасности ПД при их обработке в ИСПДн есть четкий регламент – разные ИСПДн должны быть отделены друг от друга межсетевыми экранами. В случае, если все базы данных находятся в одном сегменте сети, то они все будут являться подсистемами единой ИСПДн и будут классифицироваться по максимальному классу ИСПДн, входящей в состав общей. Другими словами, если две базы данных (подсистемы) классифицированы по классу К2 ИСПДн, и одна – классифицирована по классу К1 ИСПДн, то и вся общая единая ИСПДн будет соответствовать классу К1 с соответствующими требованиями по защите.
Вопрос интернет-аудитории: Относятся ли к ПД база клиентов организации, в которой хранится информация о клиентах, заказах, ФИО представителей заказчиков и их рабочие телефоны (исходные данные взяты с сайтов компаний и общедоступных телефонных справочников). Если да, то к какому классу надо относить такую базу?
О.А. Сивохин: Такие данные можно отнести к персональным данным, если кроме Ф.И.О. представителя есть еще хоть какие-нибудь данные, позволяющие его идентифицировать. Если Вы сможете доказать, что данные общедоступные (а обязанность доказывать это лежит на операторе ПД), то такая система будет классифицироваться как К4.
Вопрос интернет-аудитории: Требуются ли какие-либо специальные мероприятия, если ПД в организации являются только данные работников (менее 10 человек), и все эти данные обрабатываются в целях ТК РФ (зарплата и налоги) на домашнем ПК руководителя?
О.А. Сивохин: Такая система относится к ИСПДн класса К3 и требует точно такого же обращения, как и все остальные. Необходимо будет разработать нормативные документы, а также выполнить требования ФСТЭК по защите однопользовательской ИСПДн класса К3. Плюс, домашний компьютер директора наверняка имеет выход в Интернет, что требует также дополнительной защиты.
Вопрос интернет-аудитории: В организации используется ИС, в которой содержатся № телефона, ФИО лица, подавшего заявку на выяснение технической возможности подключения к Интернет. Объем обрабатываем ПД от 1000 до 100.000. К какой категории обрабатываемых ПД правильно отнести данную ИС?
О.А. Сивохин: К К3. Это классическая типовая система, где категория (Хпд)=3, поскольку данные только идентифицируют личность, а объем (Хнпд)=2, т.к. количество обрабатываемых записей – от 1000 до 100000. Согласно таблице из пункта 15 приказа о классификации получается К3.
Вопрос интернет-аудитории: На каком основании персональные данные относятся к 2 или 3 категории? Какие данные позволяют получить дополнительную информацию о субъекте, а какие просто его идентифицировать?
О.А. Сивохин: Разница определена в приказе ФСБ/ФСТЭК/Минсвязи от 13 февраля 2008 года N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Например, идентифицировать субъекта можно по его ФИО + паспортные данные, или по ФИО+ адрес и год рождения (тогда это категория 3 ПД). Все остальное: сведения об образовании, о местах работы, о размерах заработка, номера телефонов, других документов – все это дополнительная информация о субъекте (категория 2 ПД). Иными словами, мы подходим к вопросу категорирования данных, с точки зрения необходимости и достаточности. Если каких-то данных достаточно для идентификации субъекта и они остро необходимы для такой идентификации = категория 3. Всё, что идет сверху – дополнительная информация и соответственно категория 2.
Вопрос интернет-аудитории: К какой категории данных Вы бы отнесли ФИО+ИНН (или вместо ИНН № пенсионного полиса, или серия-номер паспорта, или номер вод. удостоверения, или т.п.)? Смущает то, что любой из этих номеров уникален и идентифицирует личность даже без ФИО.
О.А. Сивохин: Любую комбинацию типа ФИО + номер одного из указанных документов, следует отнести к категории 3, поскольку такая комбинация, во-первых - уникальна, а во-вторых – однозначно идентифицирует субъекта. Любой из этих номеров, конечно же, уникален, но без ФИО никак человека не идентифицирует. Для идентификации понадобится база данных, содержащая список таких номеров и привязанные к ним ФИО.
Вопрос интернет-аудитории: Относятся ли данные о группе инвалидности, заключение о результатах профосмотра (годен, годен с какими-либо ограничениями) к сведениям о состоянии здоровья? А следовательно и ИСПДн, обрабатывающие их к первому классу?
О.А. Сивохин: На мой взгляд, сведения об инвалидности, годности к работам и т.п. не могут быть отнесены к данным о состоянии здоровья, поскольку не раскрывают диагноза, который и характеризует состояние здоровья. Причиной инвалидности может быть состояние зрения, слуха, опорно-двигательной системы, последствия заболевания и т.д. Запись «инвалид 2-1 группы» этой информации не дает. Подобные сведения являются сведениями об ограничении трудоспособности, а не о состоянии здоровья.
Ведущая: Олег Анатольевич, мы благодарим Вас за содержательную беседу. Сегодня, к сожалению, далеко не все компании, осознают необходимость защиты персональных данных и до конца понимают реальность и масштаб рисков невыполнения закона. Будем надеяться, что благодаря полученной сегодня информации, организации смогут хорошо подготовиться к предстоящим проверкам.