29 января 2014 г.

Тайна связи и российские суды: теперь про детализацию переговоров

В прошлом блоге неделю назад я писал, что надзорная деятельность ФСФР затронула и сотовых операторов, но ввиду ограничений сего жанра тему не развил. А она тоже весьма интересна.
Итак, в феврале 2013 года ФСФР обратилась к МТС и «Вымпелкому» с просьбой предоставить информацию о телефонных переговорах некоторых абонентов, а также копии договоров и анкет клиентов. Операторы предоставили информацию «в рамках законодательства», т. е. без детализации звонков (кто, кому, когда, сколько раз, откуда и с какого конкретного телефона звонил). В апреле газета «Ведомости» сообщила, что Служба (ФСФР) подготовила предложения об изменениях в закон об оперативно-разыскной деятельности (ОРД) и передала его в правительство, поскольку субъекты ОРД делиться закрытой информацией с надзорным органом желанием не горели, а без нее инсайдера никак не поймать.
Что там с изменениями в закон, пока не ясно, а пока - суд да дело, ФСФР выписала МТС штраф (кто читал прошлый пост, сразу догадается) в 500 тысяч рублей за отказ предоставить без решения суда детализацию счетов абонента и информацию об идентификационных номерах абонентских устройств (IMEI) его телефонов, а МТС, естественно, обратилась в арбитражный суд. Судья Арбитражного суда г. Москвы проигнорировала позицию Конституционного Суда, изложенную в определении от 02.10.2003 № 345-О, и привлечение к ответственности признала правомерным.
Конституционный Суд еще в 2003 году, рассматривая запрос Советского районного суда города Липецка о допустимости предоставления детализации переговоров без решения суда Федеральной службе налоговой полиции (была такая когда-то), высказался однозначно: «Содержащаяся в ч.4 ст.32 ФЗ от 16.02.1995 года "О связи" и сохраненная в ФЗ от 07.07.2003 года "О связи" (ч.3 ст.63) норма, согласно которой получение сведений о телефонных переговорах допускается на основании судебного решения, является специальной, конкретизирующей и обеспечивающей действие статей 23 (часть 2) и 24 (часть 1) Конституции Российской Федерации применительно к вопросам сохранения тайны связи». То есть без решения суда – никак.
Конституционный Суд счел нужным разъяснить вопрос детально: «информацией, составляющей охраняемую Конституцией РФ и действующими на территории РФ законами тайну телефонных переговоров, считаются любые сведения, передаваемые, сохраняемые и устанавливаемые с помощью телефонной аппаратуры, включая данные о входящих и исходящих сигналах соединения телефонных аппаратов конкретных пользователей связи; для доступа к указанным сведениям органам, осуществляющим оперативно-розыскную деятельность, необходимо получение судебного решения». То есть детализация – тайна, решения суда нужно, и неопределенность в соответствии этой нормы Конституции напрочь отсутствует. Напомню, определение Конституционного Суда окончательно и обжалованию не подлежит.
Конституционный Суд не учел богатства фантазии наших судей, и фраза «осуществляющим оперативно-розыскную деятельность» оказалась для МТС роковой. Судья С.М. Андриянова в решении от 12 июля 2013 г.
по делу № А40-56142/2013 прямо так и написала: «Правовые позиции, изложенные в определениях Конституционного Суда РФ от 02.10.2003 № 345-О, от 21.10.2008 № 528-О-О касаются исключительно действий органов, осуществляющих оперативно-розыскную деятельность». То есть субъектом ОРД доступ к тайне надо давать по решению суда, а остальным интересующимся – просто так, по их запросу, поскольку в специальном законе говорится о доступе к охраняемой законом тайне.
Судья пошла даже дальше, указав, что информация, относительно абонентских номеров не относится к информации, составляющей тайну телефонных переговоров абонента, поскольку абонентские номера принадлежат операторам сотовой связи и выделены по договору для использования абонентами, следовательно, установление фактов использования абонентских номеров относится исключительном к информации о деятельности оператора сотовой связи. Судья посчитала, ФСФР России имеет право запрашивать информацию, имеющую непосредственное отношение к проведению проверки, в том числе детализацию счетов абонента и IMEI. Норма закона об инсайде, допускающая получение надзорным органом из всего многообразия сведений, составляющих тайну связи, исключительно информации о почтовых переводах денежных средств, была полностью проигнорирована.
При такой позиции суда в удовлетворении заявления МТС было, естественно, отказано.
МТС обратилась с жалобой на такое решение в 9 Арбитражный апелляционный суд, который Постановлением от 15.11.2013 решение суда первой инстанции отменил, основываясь все на той же позиции Конституционного суда, которую судья МГАС посчитала неприменимой, поскольку ФСФР (а теперь Банк России) – не субъект ОРД. Суд второй инстанции подчеркнул, что «решения Конституционного Суда РФ обязательны на всей территории РФ для всех представительных, исполнительных и судебных органов государственной власти, органов местного самоуправления, предприятий, учреждений, организаций, должностных лиц, граждан и их объединений. Это требование, по смыслу названного Федерального конституционного закона распространяется на все решения Конституционного Суда РФ, независимо от того, в какой форме они выносятся, то есть не только на постановления, но и на определения и заключения».
Судебная коллегия посчитала, что истребованная детализация счета конкретного абонента-физического лица и IMEI составляют тайну телефонных переговоров, поскольку к ней относятся не только сведения, содержащиеся в телефонном соединении (разговоре), но и данные о таких соединениях между конкретными абонентами (дате, времени, продолжительности), а также любые иные сведения передаваемые, сохраняемые и устанавливаемые с помощью аппаратуры связи.
Обратил внимание апелляционный суд и на ограничение сведений, составляющих тайну связи и подлежащих представлению надзорному органу, которое проигнорировала судья при первом рассмотрении, напомнив, что допускается представление только информации о почтовых переводах денежных средств, что не исключает необходимость получения решения суда для доступа к иной тайне связи, в том числе тайне телефонных переговоров.
В мотивировочной части решения суд конкретно указал, что «ни один федеральный закон не позволяет ФСФР России без судебного решения ограничивать права физических лиц на тайну телефонных переговоров посредством получения Детализации счета и IMEI», а в материалах дела имеется ответ Минкомсвязи России на запрос ОАО «МТС», из которого усматривается, что детализация счетов конкретного абонента и данные об идентификационных номерах его абонентских устройств (IMEI, IMSI) относятся к охраняемой Конституцией тайне телефонных переговоров, а за нарушение тайны связи статьей 138 УК РФ предусмотрена уголовная ответственность.
Особо надо выделить позицию суда, в соответствии с которой отсутствие у ФСФР России данных о детализации счета конкретного абонента – физического лица и IMEI не влечет невозможность привлечения виновных лиц к ответственности, предусмотренной ст. 185.3 УК РФ (манипулирование рынком), поскольку детализация счета и IMEI могут быть получены на основании судебного решения в ходе оперативно-разыскных мероприятий, проводимых в целях выявления и раскрытия предусмотренных ст. 185.3 УК РФ преступлений, а также установления виновных лиц.
Вот и сказке конец. На этот раз, на мой взгляд – счастливый, основанный на верховенстве закона. Вот только согласится ли с ним Банк России? Отведенные на обжалование два месяца уже истекли.

24 января 2014 г.

Тайна связи, электронная почта и российские суды

Одним из самых интересных вопросов в области информационной безопасности во второй половине прошлого года, на мой взгляд, стал вопрос о том, что такое тайна и оператор связи в современном мире и в России в частности.
Вопрос родился из исков операторов мобильной связи и интернет-компаний, оспаривающих правомерность наложения на них штрафов ФСФР и ее преемником, Банком России, за отказ предоставить детализацию переговоров и электронной переписки лиц, подозреваемых в неправомерном использовании инсайдерской информации и манипулировании рынком. С такими исками в прошлом году в суд обращались операторы большой тройки – МТС и Мегафон, владельцы социальной сети «В Контакте» и публичных почтовых сервисов Mail.ru и Рамблер.
Суды закончились совершенно с разными результатами и довольно неожиданно.
Итак, в мае 2013 года ООО «Рамблер Интернет Холдинг» и в июне 2013 года ООО «ВКонтакте» подали иски в арбитражные суды соответственно г. Москвы, г. Санкт-Петербурга и Ленинградской области о признании незаконным привлечение компаний к административной ответственности за отказ предоставить сведения о пользователях почтового сервиса и социальной сети, подозреваемых в инсайде.
В рамках камеральной проверки возможного неправомерного использования инсайдерской информации и манипулирования рынком акций ОАО Концерн «КАЛИНА» ФСФР потребовало от ООО «В Контакте» в течение семи рабочих дней предоставить справку, содержащую все сведения (за исключением пароля), указанные при регистрации личной страницы в социальной сети «В Контакте» (vk.com) пользователем, идентифицируемым следующими данными: id72670996, Маша Иванова, а также дату регистрации пользователя, список IP-адресов, с которых в период с 01.03.2012 по 16.05.2012 осуществлялся вход на личную страницу пользователя, с указанием даты и времени начала и окончания сессии с учетом используемого IP-адреса. Ссылаясь на отсутствие санкции суда и нарушение тайны связи, владельцы социальной сети информацию представить отказались и были привлечены к административной ответственности с небольшим таким штрафом 500 тысяч рублей (судя по последним делам, это нижний порог, с которого стартовала ФСФР).
Аналогичная информация о переписке владельца почтового ящика daria-skok@rambler.ru была запрошена ФСФР у Рамблера.
Обосновывая наложение санкций, ФСФР высказывала точку зрения, что тайна связи не распространяется на электронные сообщения, поэтому отказ в предоставлении информации неправомерен. Примерно в то же время подобные запросы получали и два крупнейших сотовых оператора – «Вымпелком» и МТС, которые среагировали на них по-разному. По сообщению Газеты.ру, представитель «Вымпелкома» А. Айбашева заявила, что в соответствии с федеральными законами «О связи», «Об оперативно-разыскной деятельности», «О персональных данных» компания представила запрошенную информацию в полном объеме. Представитель МТС И. Агаркова сказала, что оператор направил в ответ все запрашиваемые данные, за исключением тех, которые составляют тайну связи, поскольку такие данные в рамках действующего законодательства оператор вправе предоставлять только по решению суда.
Коллизия связана с тем, что в соответствии с ч.1 статьи 16 Федерального закона № 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации…» юридические лица обязаны по мотивированному письменному требованию (запросу) ФСФР представлять документы, объяснения, информацию в письменной и устной форме, в том числе сведения, составляющие коммерческую, служебную, банковскую тайну, тайну связи (в части информации о почтовых переводах денежных средств) и иную охраняемую законом тайну (за исключением государственной и налоговой тайны). Т.е. в отличие от субъектов оперативно-разыскной деятельности, которым на доступ к тайне связи необходимо решение суда, ФСФР получала эти сведения просто по запросу.
Надо обратить внимание и еще на один нюанс. Право на доступ к сведениям, составляющим тайну связи, в законе существенно ограничено и предусматривает получение только информации о почтовых переводах денежных средств. Само же понятие тайны связи гораздо шире и включает в себя тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи.
Арбитражный суд г. Санкт-Петербурга и Ленинградской области при рассмотрении иска в содержание запроса не вникал, а постановление о назначении административного наказания РО ФСФР по СЗФО признал незаконным и отменил ввиду незначительности правонарушения и его неумышленного характера.
Отменил постановление ФСФР и Арбитражный суд г. Москвы (АСГМ), рассматривавший иск «Рамблера». Однако, рассматривая в мотивировочной части довод ФСФР о том, что под тайной связи понимается именно тайна информации, содержащейся в сообщении, а сведения об адресах электронной почты, с которыми осуществлялась переписка, не относятся к информации, указанной в п.3 ст.63 закона «О связи», который ни в одной статье не устанавливает запрета для оператора связи сообщать эти сведения уполномоченному федеральному органу, действующему в рамках норм специального закона, суд принял во внимание довод «Рамблера» о том, что для получения адресов электронной почты необходим доступ к переписке, что нарушает тайну связи.
9 Арбитражный апелляционный суд решение АСГМ отменил. И вот тут начинается самое интересное. Суд апелляционной инстанции согласился с доводом ФСФР в том, что сведения об адресах электронной почты, с которыми пользователь осуществлял переписку, не относятся к тайне связи, поскольку регистрация физического лица как пользователя электронного почтового ящика в сети Интернет законодательно не регламентирована, а Интернет-ресурсы (поисковые системы, сервисы), в том числе и «Рамблер», сами определяют условия создания физическим лицом почтового ящика и осуществления в связи с этим электронной переписки с другими пользователями (владельцами почтовых ящиков). Как правило, для создания почтового ящика требуется введение логина и пароля, при этом конкретный пользователь – физическое лицо не обязан указывать в адресе электронной почты свои персональные данные, например, ФИО, год рождения и т.п., телефонный номер, паспортные данные.
Т.е. довод простой. Почтовый ящик может (подчеркиваю, может) принадлежать анониму, а аноним права на тайну связи не имеет. Вывод весьма интересный и может иметь далеко идущие последствия. Не обязан указывать упомянутые судом год рождения, телефонный номер, паспортные данные  и т.д. и отправитель почтового сообщения. И что, почту можно читать кому угодно? Нет, ст.15 ФЗ «О почтовой связи» четко и недвусмысленно определяет, что «осмотр и вскрытие почтовых отправлений, осмотр их вложений, а также иные ограничения тайны связи допускаются только на основании судебного решения». Причем, в отличии от более общего закона «О связи», закон «О почтовой связи» не содержит норм, разрешающих нарушать тайну органам власти без судебного решения на основании специальных законов.
Странно, что при рассмотрении дел суды не учли еще два фактора.
Первый. В перечне наименований услуг связи, утвержденным Постановлением Правительства РФ от 18.02.2005 № 87, электронная почта как услуга отсутствует, есть там лишь почтовая связь и передача данных. И является ли владелец публичного почтового сервиса оператором связи с вытекающей из этого обязанностью хранить тайну связи – большой вопрос.
И второй. Московский областной суд, рассматривая в 2010 году кассационную жалобу на увольнение работницы ОАО «Арктел» за разглашение персональных данных, которые она отправила на свой же почтовый ящик сервиса Mail.ru, с истицей не согласился и признал привлечение к дисциплинарной ответственности законным. Решение основывалось на том, что пользовательским соглашением ООО «Мэйл.Ру» может как ограничивать, так и разрешать доступ к информации, содержащейся в электронных почтовых ящиках. Следовательно, в силу ст. 2 ФЗ «Об информации, информационных технологиях и защите информации» названная компания является обладателем информации, она против воли работодателя и субъектов получила персональные данные и факт разглашения – налицо.
Есть аналогичные нормы и в «Правилах пользования проектами и сервисами Рамблера»: компания имеет право ограничивать доступ к информации на Интернет-сайтах проектов и сервисов и предоставлять пользователям Интернета доступ к ним на условиях предварительной регистрации, устанавливать ограничения в использовании проектов и сервисов, перечень которых определяется регламентами и правилами отдельных проектов и сервисов Рамблера.
Таким образом, обладателями информации являлись не указанные в запросах ФСФР лица, а интернет-компании, и про тайну связи говорить вообще сложно.
Мне кажется, решения судов – не последняя точка в истории. 

15 января 2014 г.

Окончание срока проведения банками оценки соответствия выполнения требований 382-П: когда?

Ожидаемая паника все-таки наблюдается. В небольших масштабах, пока без жертв, затоптанных бегущими, но все-таки отмечена. Итак, бессмертное: «Шеф, все пропало…».
Это я про окончание срока проведения оценки банками соответствия выполнения требований «Положения о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (382-П). В июле прошлого года я писал, что после принятия 3007-У тема оценки соответствия и отчета из теоретической перетекла в сугубо практическую плоскость. Коллеги из банков меня тогда заверили, что беспокойство мое напрасно, все под контролем, и к проблеме они давно готовы.
Восставший после новогодних каникул кредитно-финансовый народ подтянулся в родные учреждения и вот это самое «Шеф, все пропало…» стало реальностью. Руководство банков с разной степенью вежливости интересуется, а что там у нас с отчетом и когда на самом деле надо было его отправить. О чем думали раньше и куда смотрели. Кто будет отвечать и как. Ну и так далее, вы знаете эти послепраздничные разговоры в строю.
Итак, следуя далее заявленному кинематографическому канону, «по советам моих товарищей», поскольку количество вопросов на эту тему в наше агентство уже зашкалило, мы решили изложить нашу точку зрения публично, а если будет тема для дискуссии – тем лучше. Коллективный разум, ныне именуемый краудсорсингом, – великая сила.
Итак, Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе» в ст. 27 родил необходимость принятия Правительством России требований к защите информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, проверять выполнение которых должны ФСБ и ФСТЭК (части 1 и 2), а Банком России - требований к защите информации при осуществлении переводов денежных средств, которые он же, Банк России, будет и проверять (часть 3).
Не будем сейчас обсуждать тему пересечения множеств, в частности, относится ли информация при осуществлении переводов денежных средств к подлежащей обязательной защите в соответствии с законодательством - это тема отдельной ветки обсуждения.
Отметим лишь, что ст. 27 закона родила Постановление Правительства  от 13.06.2012 № 584 «Об утверждении Положения о защите информации в платежной системе» (П-584) и «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» от 09.06.2012 N 382-П (382-П).
П-584 установило, что организация и проведение контроля и оценки выполнения требований к защите информации на собственных объектах инфраструктуры проводится участниками отношений (банками в данном случае) не реже 1 раза в 2 года самостоятельно или с привлечением на договорной основе организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации. Отсчет пошел с 1 июля 2012 года. Первая оценка должна быть закончена, соответственно, до 30 июня 2014 года включительно. Про отчетность и адрес, по которому ее надо направлять, в документе нет ни слова.
А вот 382-П родило сомнения. Оно вступило в силу также 1 июля 2012 года и в первоначальной редакции определяло, что подпадающие под его действия участники платежной системы обеспечивают проведение оценки соответствия не реже одного раза в два года, а также по требованию Банка России, и, таким образом, первая оценка должны была бы быть завершена до 30 июня 2014 года включительно, если не поступит иного указания Банка.
И оно поступило. 5 июня 2013 года Председатель Центробанка подписал Указание № 3007-У «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"». Указание вступало в силу в силу со дня его официального опубликования в «Вестнике Банка России», за исключением подпункта 1.3 и абзацев второго, третьего и четвертого подпункта 1.6 пункта 1, вводящих дополнительные требования к безопасности, которые вступают в силу по истечении 180 дней после дня его официального опубликования.
В соответствии с п.3 Указания организация, являющаяся на день его вступления в силу оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести оценку соответствия в течение шести месяцев с этого самого дня.
Указание опубликовано и вступило в силу 10 июня 2013 года. Значит, первую оценку соответствия надо было закончить не позже 9 января 2014 года.
Тут появляется маленький, но весьма интересный нюанс. 6 месяцев истекают 9 января, а 180 дней – 6 января. Кто не почувствовал разницу: если дата окончания оценки соответствия – 9 января (первый рабочий день нового года), то в оценку должны быть включены данные по выполнению требований п.п.28-29.4 382-П в редакции 3007-У, а если оценка закончена до 6 января (в декабре, например), то эти требования учитывать не надо.
Теперь об отчете. Пункт 2.15.3 382-П требует сформировать отчет и хранить его в порядке, установленном соответствующим оператором (банком, например).
А вот что делать с ним дальше, определяет уже Указание Банка России от 09.06.2012 N 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств». В соответствии с п.2 Указания, отчетность по форме 0403202 «Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств» предоставляется ими не позднее 30 рабочих дней со дня завершения проведения оценки требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных 382-П.
Т.е. смотрим дату утверждения отчета об оценке соответствия, отсчитываем 30 РАБОЧИХ дней и получаем дату предоставления отчета. Если отчет утвержден последним допустимым днем, 9-м января 2014 года, отчет в Банк России надо представить не позднее 20 февраля.
Вот такая арифметика Магницкого.
Итожим. Оценку соответствия 382-П надо было завершить и утвердить внутренний отчет не позднее 9 января 2014 года. Отчет в Банк России надо представить не позднее 20 февраля, причем если отчет утвержден 7-9 января, в него должна войти оценка соответствия требованиям п.п.28-29.4 382-П в редакции 3007-У.
До 30 июня этого же года надо завершить контроль и оценку выполнения требований к защите информации на собственных объектах инфраструктуры, установленных Постановлением Правительства № 584 (и, похоже, это не совсем то, что написано в оценке соответствия 382-П). Отчитываться не надо.
Но надо быть готовым к проверкам Банка России, ФСБ и ФСТЭК по всем рассмотренным требованиям.
И, в заключении, про бумажную безопасность. Государственные риски – одни из самых серьезных. Оштрафованных и лишенных лицензий больше, чем подвергнутых взлому с реальными последствиями. А бумажная безопасность – это, в том числе, и умение читать и понимать документы.
Если в обсуждении изложенной мною точки зрения поучаствуют представители  ГУБЗИ, Департамента национальной платежной системы и Главной инспекции кредитных организаций Банка России, укажут на возможные несоответствия и неточности или подтвердят правоту, думаю, представители банковского сообщества будут весьма благодарны.

12 января 2014 г.

О гражданской инициативе, персональных данных и ЗАГСах. Часть 2. Про техническую защиту и дорожную карту

Это продолжение поста, опубликованного на прошлой неделе. Лучше чтение начинать с него.
Итак, мы остановились на том, что наличие сведений о национальности меняет уровень защищенности информационной системы персональных данных ЗАГСа, повышая ее при наличии записей о более чем 100 тысяч субъектов с минимального третьего уровня до минимального второго. А если признаны актуальными угрозы первого или второго типа, будет необходимо обеспечить первый уровень защищенности. Как уже отмечалось в предыдущем посте, ИСПДп в ЗАГСе должна быть обязательно, поскольку в соответствии с п.52 «Административного регламента предоставления государственной услуги по государственной регистрации актов гражданского состояния органами, осуществляющими государственную регистрацию актов гражданского состояния на территории Российской Федерации», «каждое рабочее место специалиста оборудуется персональным компьютером с возможностью доступа к необходимым информационным базам данных, печатающим устройством».
Кстати, поскольку в соответствии с законом об актах записи гражданского состояния органы ЗАГС образуются органами государственной власти субъектов Российской Федерации, эти самые органы власти субъектов обязаны в соответствии с частью 5 ст.19 принять в пределах своих полномочий нормативные правовые акты, в которых определят «угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки». Для ЗАГСов в том числе. Однако что-то таких актов пока особо не видно. В этих условиях каждый руководитель соответствующего управления или отдела записи актов гражданского состояния будет самостоятельно принимать решение об актуальности для ЗАГСа угроз, связанных с наличием недекларированных возможностей системного и прикладного программного обеспечения, а также обеспечивать нейтрализацию соответствующих классов угроз. Если, конечно, понимает, что написано выше. Тут нет никакой иронии или сарказма. Я априори с глубоким уважением отношусь ко всем незнакомым людям, но совершенно не понимаю, как и почему руководитель ЗАГСа может и должен все это понимать.
Далее, кто-то в ЗАГСе (приходящий раз в неделю сисадмин?) должен оформить в виде документа оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения в ЗАГСе требований 152-ФЗ, и сформировать частную модель актуальных угроз безопасности персональных данных при их автоматизированной обработке. Соотнося оцененный вред субъекту с актуальными угрозами, этот самый сисадмин готовит руководителю ЗАГСа предложения по составу и содержанию правовых, организационных и технических мер, направленных на обеспечение выполнения обязанностей, возложенных на ЗАГС как оператора персональных данных соответствующим законом, Постановлениями Правительства №№ 687, 211 (мы же говорим об органе власти!) и 1119.
Не забудьте, что для второго уровня защищенности (статистика хочет знать все!) необходимо будет принять 67 базовых мер безопасности (приказ ФСТЭК № 21), среди которых, при наличии подключения к интернету – сертифицированные межсетевой экран ни ниже 3-го класса и системы обнаружения вторжений и антивирусной защиты не ниже 4-го. Да, не забудьте, их кто-то должен эксплуатировать.
Попутно кто-то неведомый (тот же сисадмин или другой назначенный крайним служащий) рисует ЗАГСу пакет документов в составе которых:
      политика в отношении обработки персональных данных и сведения о реализуемых ЗАГСом требованиях к защите персональных данных;
      правила обработки персональных данных, определяющие для каждой цели обработки персональных данных (не забудьте их определить!) содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
      правила рассмотрения запросов субъектов персональных данных или их представителей;
      правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним документами ЗАГСа;
      правила работы с обезличенными данными;
      перечень информационных систем персональных данных;
      перечни персональных данных, обрабатываемых ЗАГСе в связи с реализацией трудовых отношений, а также в связи с оказанием государственных и муниципальных услуг и осуществлением государственных и муниципальных функций;
      перечень должностей служащих ЗАГСа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных (обязательно, см. приказ и методичку РКН);
      перечень должностей служащих ЗАГСа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, как и использованием средств автоматизации, так и без таковых (интересно, чем занимаются все остальные?);
      должностная инструкция ответственного за организацию обработки персональных данных в ЗАГСе (не забудьте назначить приказом!);
      типовое обязательство служащего ЗАГСа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного или муниципального контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
      типовая форма согласия на обработку персональных данных служащих ЗАГСа, иных субъектов персональных данных (хоть убейте, не понимаю, зачем и на сновании чего, кроме ПП-211), а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
      порядок доступа служащих ЗАГСа в помещения, в которых ведется обработка персональных данных.
Политика в отношении обработки персональных данных и сведения о реализуемых ЗАГСом требованиях к защите персональных данных должна быть доступна любому человеку, приходящему в ЗАГС, а поскольку некоторые из них громко объявили о приеме заявлений на регистрацию актов через веб-сайт, политику и сведения необходимо разместить и на таком веб-сайте.
Далее всех служащих ЗАГСа необходимо ознакомить под роспись с документами, устанавливающими порядок обработки их персональных данных, а также с их правами и обязанностями в этой области, а служащих, осуществляющих обработку персональных данных (т.е. осуществляющих запись актов гражданского состояния, принимающих заявления о выдающих свидетельства о записях), - также и с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, всеми документами ЗАГСа по вопросам обработки персональных данных. Необходимо также организовать обучение указанных служащих.
Да, не забудьте, что руководитель отдела ЗАГС должен доказать, что все служащие, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть были проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами ЗАГСа (при их наличии).
В ЗАГСе надо также определить места хранения персональных данных (их материальных носителей), организовать учет машинных носителей и резервное копирование.
Я нисколько не преувеличиваю привожу лишь краткую выписку из требований закона и принятых в его исполнение нормативных правовых актов.
Из всего этого есть простой и очевидный выход, законом же предусмотренный. В соответствии с частью 2 ст.4 152-ФЗ, государственные органы и органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты по отдельным вопросам, касающимся обработки персональных данных. Такие акты подлежат официальному опубликованию.
Казалось бы, что проще – создать одну (ОДНУ!) методичку для ЗАГСов, где все это расписать в цветах и красках, заодно рассказав про обязательность использования сертифицированных средств защиты и порядок их приобретения. Можно еще и бюджет на реализацию всех этих требований выделить.
Но у нас не ищут легких путей.
К чему все это? На простом примере скромного ЗАГСа виден колоссальный объем работы, который должен выполнить любой оператор персональных данных. Когда принимаются законы, очень было бы неплохо примерить их сначала на госорганы, а потом добиться выполнения установленных требований там же. И только после этого требовать этого от бизнеса и разворачивать систему контроля и надзора в сегменте предпринимательства.

8 января 2014 г.

О гражданской инициативе, персональных данных и ЗАГСах

У меня появилась инициатива. Гражданская. Новогодние каникулы этому способствуют. Я предлагаю объявить 2014 год в России годом приведения обработки персональных данных органами государственной власти и местного самоуправления в соответствие российскому же законодательству. А то столько времени закон действует, сколько проверок провели, а толку …
И начать предлагаю с организаций, которые вносят первую и последнюю записи о субъекте персональных данных в государственную систему регистрации – с ЗАГСов.  К посту подвигли сообщения в прессе о проекте нового приказа Минюста об указании в заявлении на регистрацию брака сведений об образовании, национальности брачующихся и нажитых ими до брака детях, а также весьма фривольном обращении с персональными данными и основными документами, удостоверяющими личность, в ЗАГСе Рыбинска Ярославской области.
Простое вроде бы дело выдачи свидетельств о рождении, смерти, вступлении в брак и его расторжении и т.д. регламентируется весьма тщательно и подробно – двумя кодексами, Семейным и Гражданским, Федеральным законом от 15 ноября 1997 года № 143-ФЗ «Об актах гражданского состояния», аж тремя постановления правительства РФ: от 6 июля 1998 г. № 709 «О мерах по реализации Федерального закона «Об актах гражданского состояния»», от 31 октября 1998 г. N 1274 «Об утверждении форм бланков заявлений о государственной регистрации актов гражданского состояния, справок и иных документов, подтверждающих государственную регистрацию актов гражданского состояния», от 17 апреля 1999 г. № 432 «Об утверждении правил заполнения бланков записей актов гражданского состояния и бланков свидетельств о государственной регистрации актов гражданского состояния», «Административным регламентом предоставления государственной услуги по государственной регистрации актов гражданского состояния органами, осуществляющими государственную регистрацию актов гражданского состояния на территории Российской Федерации», утвержденным приказом Минюста РФ от 29 ноября 2011 г. № 412. Нормативными правовыми актами установлены формы заявлений, справок, бланков записи, свидетельств о записи и т.д., а также то, кем, когда и как все это заполняется.
Сами понимаете, абсолютно все, что в этих документах записано, за исключением служебных пометок, - это персональные данные. А теперь вопрос на засыпку: сколько раз термин «персональные данные» используется во всех этих документах в совокупности? Правильный ответ – 1 (Один). В Федеральном законе: «Сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, в том числе персональные данные, являются информацией, доступ к которой ограничен в соответствии с федеральными законами, и разглашению не подлежат» (редакция, кстати, установлена законом 2013 года). Я, конечно, понимаю, что наличие или отсутствие сакральных слов вовсе не является само по себе обязательным или правильным, но давайте посмотрим дальше.
Постановление Правительства № 432 устанавливает, что заполнение бланков актовых записей и бланков свидетельств производится рукописным способом либо с использованием технических средств (пишущих машин, компьютеров). Бланки актовых записей изготавливаются типографским способом либо с применением компьютера, при этом в случае применения компьютера изготовление и заполнение бланка актовой записи выполняются одновременно (то есть выдается распечатка с принтера, если по-русски).
Таким образом, мы имеет дело как с автоматизированной обработкой персональных данных, так и с обработкой без средств автоматизации. В силу необходимости обязательной регистрации каждого носителя персональных данных и их систематизации в специальных актовых книгах, есть все основания считать, что в данном случае «обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным» (ч.1 ст.1 152-ФЗ), и действия, совершаемые в ЗАГСах, подпадают под регулирование ФЗ «О персональных данных».
В соответствии с «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным Постановлением Правительства РФ от 15 сентября 2008 г. № 687 (п.7), при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (как раз наш случай), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
Желающие могут самостоятельно ознакомиться с формами заявлений, бланков записей и справок и поискать там цели, сроки, способы обработки и перечень действий, а также оценить, например, возможность выполнения требований пункта «в» в форме 3 «Заявления о внесении сведений об отце ребенка в запись акта о рождении» (установлена ПП-1274).
Между тем ПП-687 от 15 сентября 2008 г. обязывало федеральные органы исполнительной власти в месячный срок привести свои акты по вопросам обработки персональных данных, осуществляемой без использования средств автоматизации, в соответствие с его требованиями. На дворе – 2014 год.
Самое интересное – с требованием «б». Значительная часть документов, как заявлений, так и актов и свидетельств), содержит графу о национальности, сведения о которой, как мы помним, относятся к специальным категориям персональных данных. Поскольку сведения о национальности в соответствии с Федеральным законом вносятся в акты и выдаваемые на основании внесенных записей документы исключительно по желанию заявителя или заявителей или на основании ранее сделанной записи (т.е. внесение этих сведений не является обязательным), очень хотелось бы понять цель их обработки.
Что интересно, абзацы о том, что в заявления и записи о заключении и расторжении брака вносятся «национальность, образование, первый или повторный брак и при наличии у супругов общих детей, не достигших совершеннолетия, их количество (вносятся по желанию заявителя)», появились в законе только в 2013 году, когда все проблемы правоприменения законодательства о персональных данных были уже очевидны. Кроме целей обработки сведений о национальности, остается неясным влияние их наличия или отсутствия на возможность заключения и расторжения брака, а также соответствие запроса таких сведений у брачующихся требованиям ст.5 152-ФЗ, устанавливающей такие принципы обработки персональных данных, как законность, справедливость, ограничение обработки достижением конкретных, заранее определенных и законных целей, неизбыточность обрабатываемых данных по отношению к заявленным целям. В законе об актах записи гражданского состояния о целях такой обработки нет ни слова, в последующих постановлениях Правительства – тем более.
Тайну частично приоткрыла газета «Коммерсантъ», сообщившая 9 декабря о подготовке приказа Минюста об изменении форм бланков заявлений и отчетности ЗАГСов. Представитель министерства заявил, что это необходимо для «официального статистического учета населения». И опять вопросы. Как может Минюст своим приказом внести изменения в документы, утвержденные постановлением Правительства, и с каких пор статучет стал областью регулирования Минюста? Наконец, как можно считать достоверными статистическими данными сведения, предоставляемые исключительно по желанию заявителей и как будет оцениваться репрезентативность такой выборки? Вопросы есть, а вот ответов – не видно. Кстати, следов принятия этого приказа в новогодней неразберихе пока найти не удалось.
Есть в связи с этим еще пара нюансов. Часть 2 ст.10 152-ФЗ не содержит оснований для обработки специальных категорий персональных данных, связанных с записью актов гражданского состояния, следовательно, на их обработку отдел ЗАГС должен получить письменное согласие субъекта по форме, установленной частью 4 ст.9 такого закона. Формы заявлений, установленные ПП-1274, однозначно этим требованиям не соответствуют и как согласие рассматриваться не могут. Между тем среди документов, подаваемых для регистрации и расторжения брака, регистрации ребенка на сайте госуслуг и аналогичных региональных сайтах, никаких согласий на обработку спецкатегорий персональных данных не указано.
Наличие спецкатегорий существенно влияет на содержание и уровень технической защиты персональных данных. А ИСПДп в ЗАГСе должна быть обязательно: в соответствии с п.52 Административного регламента, в ЗАГСе «КАЖДОЕ рабочее место специалиста оборудуется персональным компьютером с возможностью доступа к необходимым информационным базам данных, печатающим устройством».

Но об этом – во второй части поста. На днях. Праздники кончились J.