9. Взаимодействие и результаты деятельности Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю в области защиты персональных данных
Взаимодействие с Федеральной службой безопасности Российской Федерации (ФСБ России) и Федеральной службой по техническому и экспортному контролю (ФСТЭК России) в 2011 году осуществлялась Уполномоченным органом в форме проведения совместных проверок в рамках осуществления государственного контроля (надзора) за соблюдением обязательных требований законодательства Российской Федерации в области персональных данных.
Данное взаимодействие включало в себя как вопросы организации и проведения совместных проверок, так и их планирование на будущий период.
Инициатива Уполномоченного органа о планировании плановых проверок совместно с органами ФСБ России и ФСТЭК России в 2012 году было направлено на снижение административной нагрузки на Операторов, осуществляющих обработку персональных данных.
Решения о проведении совместных проверок в 2012 году были приняты органами ФСБ России по 23 субъектам Российской Федерации, органами ФСТЭК России - по 9 субъектам.
Практика проведения тремя регуляторами совместных проверок берет свое начало с 2009 года и за это время было проведено 17 подобных проверок.
В качестве показательного примера можно привести совместные проверки, проведенные в 2011 году в отношении Пенсионного фонда Российской Федерации и 6 негосударственных пенсионных фондов, в которых помимо трех регуляторов приняли участие представители органов внутренних дел.
Данные проверки проводились по поручению Председателя Правительства Российской Федерации с августа по ноябрь 2011 года.
По результатам совместных контрольно-надзорных мероприятий в деятельности Пенсионного фонда Российской Федерации фактов незаконной передачи персональных данных застрахованных лиц, а также условий, способствующих утечке персональных данных из информационной системы Пенсионного фонда Российской Федерации, установлено не было.
В деятельности негосударственных пенсионных фондов «Ренессанс: Жизнь и Пенсии», «Норильский никель», «Стальфонд», «КИТ-Финанс» были выявлены нарушения требований законодательства Российской Федерации в области персональных данных в части, касающейся несоблюдения в полной мере установленных требований конфиденциальности и безопасности. Кроме того, в отдельных случаях установлены факты несоответствия сведений, содержащихся в Уведомлении, ранее направленном в адрес Уполномоченного органа, фактической деятельности, неисполнения требований по информированию застрахованного лица о начале обработки его персональных данных, а также отсутствия в текстах соответствующих договоров существенных условий обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.
По выявленным нарушениям Уполномоченным органом выдано 18 предписаний, а также в органы прокуратуры были направлены соответствующие материалы, по результатам рассмотрения которых возбуждено 3 дела об административных правонарушениях по ст. 13.11 КоАП РФ.
По результатам проведенных дополнительных проверочных мероприятий ГУ МВД России по г. Москве были установлены факты мошеннических действий со стороны сотрудников НПФ «Норильский никель» в результате которых в адрес указанного негосудартсвенного пенсионного фонда с помощью фиктивных заявлений граждан были переведены денежные средства на общую сумму 137 млн. рублей. По данному факту возбуждено уголовное дело по ст. 159 УК РФ.
Принимая во внимание результаты указанных проверок и тот факт, что негосударственные пенсионные фонды являются операторами, обрабатывающими персональные данные значительного числа граждан, Уполномоченным органом на 2012 год запланированы проверки в отношении 30 негосударственных пенсионных фондов.
Учитывая, что вопросы защиты персональных данных носят комплексный характер и затрагивают полномочия трех регуляторов в Отчет впервые включены результаты деятельности ФСБ России и ФСТЭК России в области защиты персональных данных в пределах их компетенции.
В 2011 году ФСБ России проведено 270 проверок по контролю за обеспечением безопасности персональных данных, обрабатываемых в информационных системах персональных данных.
Проверки проводились в отношении операторов государственных информационных систем персональных данных, в том числе:
территориальных органов Федеральной налоговой службы России – 97 проверок;
учреждений здравоохранения – 27;
территориальных органов Федеральной службы судебных приставов, Федеральной миграционной службы России, Федеральной таможенной службы России – 16;
территориальных органов Федеральной службы по труду и занятости – 15;
образовательных учреждений – 13;
органов муниципальной власти – 12;
территориальных органов Пенсионного фонда Российской Федерации – 8;
и иных операторов – 77 проверок.
Анализ результатов проверок, проведенных ФСБ России в 2011 году, показал, что операторами государственных информационных систем персональных данных проведены работы по приведению информационных систем в соответствие требованиям законодательства Российской Федерации.
Однако, эксплуатация большинства указанных систем осуществляется с отступлениями от требований руководящих документов ФСБ России. Так, эксплуатацию средств криптографической защиты информации (далее-СКЗИ), 216 операторов осуществляли с нарушениями и недостатками, что составляет 80% от общего числа проверенных операторов.
Выявленные нарушения и недостатки можно разделить на 4 категории:
1. Разработка ведомственных нормативных документов по обеспечению безопасности персональных данных с отступлениями от требований нормативно-методических документов ФСБ России (35%).
2. Использование СКЗИ, не прошедших сертификацию ФСБ России или с истекшими сроками действия сертификатов (28%).
3. Подготовка и назначение пользователей СКЗИ осуществляется с отступлениями от требований нормативных документов (30%).
4. Нарушения в учете, хранении, уничтожении СКЗИ и ключевой документации к ним (55%).
Отдельные недостатки были выявлены и в деятельности разработчиков криптосредств. К примеру, установлены факты появления и использования версий СКЗИ, отличных от эталонных, проходивших сертификацию в ФСБ России.
Необходимо отметить, что по результатам проверок, проведенных ФСБ России, в учреждениях здравоохранения и образования установлена нехватка соответствующих специалистов в области информационной безопасности, а также отмечается низкий уровень профессиональной квалификации действующих работников, что не позволяет указанным учреждениям в полной мере выполнять существующие требования по обеспечению безопасности персональных данных.
Деятельность ФСТЭК России в области обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных в отчетном году осуществлялась по следующим направлениям:
1. Совершенствование законодательства Российской Федерации в области обеспечения безопасности персональных данных.
2. Оказание методической помощи федеральным органам исполнительной власти, органам исполнительной власти субъектов Российской Федерации, органам местного самоуправления, другим операторам и специалистам по реализации требований законодательства Российской Федерации и методических документов ФСТЭК России по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
В 2011 году было рассмотрено и согласовано 58 документов по обеспечению безопасности персональных данных, поступивших от 26 операторов, в том числе комплект методических документов по приведению информационных систем персональных данных, применяемых при осуществлении нотариальной деятельности, проект технического задания на подсистему «Электронные обращения граждан» ГИС «Правоохранительный портал Российской Федерации» МВД России, проект технического задания на систему персональных данных в автоматизированной информационной системе «Регистры получателей услуг» центрального аппарата Федеральной службы по труду и занятости, проект технических требований к информационному взаимодействию пунктов технического осмотра Единой автоматизированной информационной системы технического осмотра, проект стандарта саморегулируемой (некоммерческой) организации «НАУФОР» «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных операторами – профессиональными участниками рынка ценных бумаг».
В предыдущие годы ФСТЭК России были рассмотрены и согласованы отраслевые стандарты и методические документы по обеспечению безопасности персональных данных в сфере мобильной связи, здравоохранения и страхования, в социальной сфере, в сфере банковской деятельности.
Указанные стандарты дополняют методические документы ФСТЭК России, учитывают специфику области деятельности операторов, а их применение упрощает процесс контроля состояния защищённости персональных данных.
Так, по результатам реализации комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» в ФСТЭК России представлена информация о проведении самооценки 286 организациями банковской сферы в 2011 году.
В соответствии с представленными сведениями, значение оценки степени выполнения требований отраслевого стандарта, регламентирующих защиту персональных данных в информационных системах персональных данных, в части компетенции ФСТЭК России, находится в рекомендуемом интервале значений (от 0,85 до 1) более чем у 70% банковских организаций.
3. Рассмотрение и согласование учебных программ подготовки, повышения квалификации и переподготовки специалистов в области обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.
В рамках реализации указанной деятельности ФСТЭК России разработана типовая программа подготовки специалистов в области информационной безопасности, а также согласовано 12 учебных программ в области защиты персональных данных.
Перечень учебных заведений, осуществляющих подготовку, переподготовку и повышение квалификации специалистов в области обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, представлен на официальном сайте ФСТЭК России (WWW.FSTEC.RU).
4. Развитие системы лицензирования ФСТЭК России деятельности по технической защите конфиденциальной информации и по разработке или производству средств защиты конфиденциальной информации.
В 2011 году ФСТЭК России организациям-заявителям было предоставлено 558 лицензий на деятельность по технической защите конфиденциальной информации и 268 лицензий на деятельность по разработке или производству средств защиты конфиденциальной информации.
5. Развитие системы сертификации ФСТЭК России средств защиты информации по требованиям безопасности информации.
На сегодняшний день в соответствующий реестр включено более 2,5 тысяч сертифицированных средств защиты информации.
При этом необходимо отметить, что в последнее время значительно возрос объем сертификационных испытаний сложных программных и программно-аппаратных средств защиты информации, в том числе межсетевых экранов, шлюзов безопасности, средств обнаружения вторжений, систем управления базами данных.
6. Проведение проверок по вопросам обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.
В 2011 году ФСТЭК России и его территориальными органами было проведено 83 проверки, том числе 56 в федеральных органах исполнительной власти и их территориальных органах (МИД России, Минэкономразвития России, МЧС России, Минпромторг России, Минэнерго России, ФТС России, ФСИН России, ФАС России, Рособрнадзор, Росздравнадзор, Росимущество, Росрезерв), в органах исполнительной власти 14 субъектов Российской Федерации, 7 органах местного самоуправления и 6 организациях ЖКХ.
В ходе контрольных мероприятий выявлено значительное количество недостатков, связанных с:
незавершенностью работ по классификации информационных систем персональных данных;
формальным подходом при формировании модели угроз безопасности персональных данных;
использованием технических средств защиты информации, не прошедших в установленном порядке процедуру оценки соответствия, в том числе межсетевых экранов при подключении информационных систем персональных данных к сети Интернет;
отсутствием описания системы защиты персональных данных;
отсутствием надлежащего учета применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных.
Данные нарушения создают предпосылки к утечке персональных данных, обрабатываемых в информационных системах персональных данных, а так же угрозу подмены, блокирования или уничтожения информации за счет несанкционированного доступа к ней.
Как правило, отмеченные недостатки являются следствием:
недостаточного внимания руководителей органов власти и организаций к вопросам организации обеспечения безопасности персональных данных;
низкого уровня профессиональной подготовки специалистов, эксплуатирующих информационные системы персональных данных, а также специалистов по технической защите информации и их недостаточного количества.
Кроме того, в ряде случаев причиной недостатков является недостаточный объем финансирования работ по обеспечению безопасности персональных данных.
Устранение недостатков осуществлялось при методической помощи со стороны ФСТЭК России.
10. Приоритетные направления и задачи на 2012 год
Задачи и приоритетные направления деятельности Уполномоченного органа:
1. Осуществление на постоянной основе мониторинга деятельности Операторов, направленного на предупреждение, выявление и пресечение нарушений в области персональных данных.
2. Работа по выявлению и пресечению деятельности по продаже физических носителей, содержащих персональные данные граждан, а также ресурсов, незаконно распространяющих персональные данные граждан в информационно – телекоммуникационной сети Интернет в судебном порядке и посредством организации взаимодействия с уполномоченными органами иностранных государств и национальными регистраторами доменных имен.
3. Обмен опытом и оказание взаимной помощи в вопросах защиты и восстановления охраняемых законом прав и интересов субъектов персональных данных в рамках сотрудничества с уполномоченными органами по защите прав субъектов персональных данных иностранных государств.
4. Продолжение практики совместных проверок в области персональных данных с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю.
5. Совершенствование форм и методов контрольно-надзорной деятельности, направленной на качественное повышение уровня защиты прав субъектов персональных данных.
6. Методическое обеспечение и повышение профессиональной квалификации сотрудников Уполномоченного органа.
7. Подготовка предложений по совершенствованию и гармонизации законодательства Российской Федерации в области персональных данных.
8. Издание приказа Уполномоченного органа об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS 108), и обеспечивающих адекватную защиту прав субъектов персональных данных.
9. Разработка требований и методов обезличивания персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.
10. Организация и проведение совместной с Координационным центром национального домена сети Интернет работы по предотвращению нарушений прав и законных интересов граждан в информационно-телекоммуникационной сети Интернет.
|
