Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Руслан Рахметов, Security Vision
Наряду с рассмотренными в предыдущих публикациях нормативными документами, регламентирующими защиту информации в банковской сфере, неизменно актуальными на протяжении последних 10 лет являются законодательные и подзаконные акты по теме защиты персональных данных. Данный вопрос, поднимающийся в самых высоких кабинетах как в России, так и за рубежом, является животрепещущим по очевидной причине - он касается каждого из нас, вне зависимости от гражданства и должности.
Защита персональных данных, в зарубежной интерпретации privacy, уходит корнями в обеспечение неотъемлемых прав и свобод граждан развитых стран - например, в некоторых европейских странах достаточно спорным был вопрос указания имени и фамилии проживающих рядом с почтовыми ящиками и дверными звонками. С приходом информационных технологий защита личных данных стала еще более актуальной. Так появилась "Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных", подписанная в 1981 году и ратифицированная Российской Федерацией в 2001 году. Уже на тот момент были заложены международные основы законной обработки персональных данных, применяемые и по сей день: использование персональных данных только для определенных целей и в пределах определенных сроков, неизбыточность и актуальность обрабатываемых персональных данных и особенности их трансграничной передачи, защита данных, гарантированные права гражданина - обладателя личных данных. В этом же документе дано и само определение персональных данных, которое затем "перекочует" в первую редакцию отечественного Федеральный закон №152 "О персональных данных" от 27.07.2006: "персональные данные" означают любую информацию об определенном или поддающемся определению физическом лице. Целью ратификации данной Конвенции было выполнение международных нормативных требований при вступлении России в ВТО (Всемирная Торговая Организация), которое состоялось в 2012 году.
Совместная работа стран-участников Конвенции продолжается и по сей день. Так, в конце 2018 года Российская Федерация совместно с другими странами-участницами подписала "Протокол №223 о внесении изменений в Конвенцию Совета Европы о защите персональных данных", который актуализирует Конвенцию в части соответствия вызовам текущего времени: защита биометрических и генетических данных, новые права физических лиц в контексте алгоритмического принятия решений искусственным интеллектом, требования защиты данных уже на этапе проектирования информационных систем, обязанность уведомлять уполномоченный надзорный орган об утечках данных. Граждане отныне имеют возможность получать квалифицированную защиту по вопросам их персональных данных со стороны надзорного органа, а российские компании, вынужденные соответствовать требованиям европейских норм GDPR (General Data Protection Regulation, мы поговорим о них далее), не будут вынуждены применять дополнительные меры по защите, поскольку соответствие нормам Конвенции означает, что страна-участник обеспечивает адекватный правовой режим обработки персональных данных.
Итак, в 2006 году был принят 152-ФЗ "О персональных данных", который не только во многом соответствовал и повторял требования Конвенции, но и вносил дополнительные определения и требования, касающиеся обработки персональных данных (далее - ПДн). Со временем в Федеральный Закон вносились изменения, основные из которых были введены 261-ФЗ от 25.07.2011 и 242-ФЗ от 21.07.2014. Первый закон внес существенные изменения в базовые постулаты защиты ПДн, а второй запретил первичную обработку ПДн за пределами территории РФ.
Далее будут рассматриваться самые актуальные на настоящий момент версии документов. Следует отметить, что уполномоченным государственным органом по защите прав субъектов ПДн является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), подчиняющаяся Министерству цифрового развития, связи и массовых коммуникаций Российской Федерации.
Здесь стоит сделать небольшое отступление от темы ПДн и рассказать об основополагающем документе, на который ссылается 152-ФЗ и который регламентирует порядок работы с различной информацией, в т.ч. и с ПДн - речь идет о Федеральном Законе №149 "Об информации, информационных технологиях и о защите информации" от 27.07.2006. Данный документ содержит в себе базовые понятия и определения, которые используются во всех нормативных правовых актах, касающихся защиты информации, а также, помимо прочего, вводит понятие категории информации (общедоступная информация и информация ограниченного распространения) и типа информации (свободно распространяемая, предоставляемая на основании договора, подлежащая распространению в соответствии с Законодательством, информация ограниченного доступа/распространения и запрещенная к распространению). В частности, персональные данные классифицируются как информация ограниченного доступа, и в соответствии со ст.9 п.2 данного Закона соблюдение конфиденциальности такой информации является обязательным, вследствие чего государство устанавливает нормы и правила обработки ПДн, обязательные к выполнению. К сожалению, не со всеми видами информации ограниченного распространения есть подобная определенность - например, по сей день отсутствует законодательный классификатор видов тайн, можно выделить лишь некоторые из них: государственная, коммерческая, налоговая, банковская, аудиторская, врачебная, нотариальная, адвокатская тайна, тайна связи, следствия, судопроизводства, инсайдерская информация и т.д.
Кроме информации ограниченного распространения в 149-ФЗ (ст.8 п.4) есть также и классификатор видов информации, доступ к которой, напротив, не может быть ограничен - например, к нормативным правовым актам, информации о деятельности государственных органов, состоянии окружающей среды и т.д. К сожалению, не все организации, выполняющие работы по защите коммерческой тайны в соответствии с 98-ФЗ "О коммерческой тайне", учитывают данный аспект, зачастую неправомерно ограничивая доступ к такой информации.
Кроме этого, в 149-ФЗ (ст.13. п.1) содержится важное определение государственных информационных систем (далее - ГосИС) как федеральных информационных систем и региональных информационных систем, созданных на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.
Ст. 14 п.8 данного Федерального Закона гласит, что все технические средства и средства защиты информации, применяемые в ГосИС, должны соответствовать Федеральному Закону №184-ФЗ "О техническом регулировании" от 27.12.2002, где в статье 20 описаны три допустимые формы подтверждения соответствия: добровольная сертификация, декларирование соответствия, обязательная сертификация.
