Научная статья на тему 'Персональные данные: возможные пути реализации федерального закона'

Персональные данные: возможные пути реализации федерального закона Текст научной статьи по специальности «Право»

CC BY
705
132
i Надоели баннеры? Вы всегда можете отключить рекламу.
Область наук
Ключевые слова
ПЕРСОНАЛЬНЫЕ ДАННЫЕ / ОБРАБОТКА ИНФОРМАЦИИ / КЛАССИФИКАЦИЯ / КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ / ЗАЩИТА ИНФОРМАЦИИ / ВЕДОМСТВЕННЫЙ СТАНДАРТ / PERSONAL DATA / INFORMATION PROCESSING / CLASSIFICATION / CONFIDENTIAL INFORMATION / INFORMATION SECURITY / DEPARTMENTAL STANDARD

Аннотация научной статьи по праву, автор научной работы — Горошко И. В., Лебедев В. Н.

В статье рассматриваются актуальные вопросы, связанные с понятием «персональные данные», раскрывается содержание этого понятия, анализируются основные положения федерального законодательства и ведомственных нормативно-правовых актов, регламентирующих сферу персональных данных, проблемы, возникающие в ходе реализации Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и пути их решения.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Personal data: the possible ways of the implementation of the Federal Law

Current issues connected with the concept of "personal data" are considered, the contents of this concept are disclosed, the main provisions of the Federal Law and departmental regulations governing the scope of personal data are analyzed as well as the problems arising during the implementation of the Federal Law of July 27, 2006 № 152-FZ "On Personal Data" and the ways of their solutions.

Текст научной работы на тему «Персональные данные: возможные пути реализации федерального закона»

I ISSN 2072-9391 Труды Академии управления МВД России. 2011. № 3 (19)

60

Список литературы

1. О полиции: Федеральный закон от 7 февраля 2011 г. № З-ФЗ // Рос. газ. 2011. 8 февр.

2. О некоторых мерах по реформированию Министерства внутренних дел Российской Федерации: Указ Президента Российской Федерации от 18 февраля 2010 г. № 208 // Рос. газ. 2010. 19 фев.

3. О мерах по совершенствованию деятельности органов внутренних дел Российской Федерации: Указ Президента РФ от 24 декабря 2009 г. № 1468 // Рос. газ. 2009. 28 дек.

4. О высвобождении и реализации движимого иму-

щества, находящегося в оперативном управлении некоторых органов, учреждений и предприятий: Постановление Правительства РФ от 23 апреля 2003 г. № 231 (в ред. от 22 июля 2008 г.) // СЗ РФ. 2003. № 17. Ст.1615.

5. Об утверждении Указаний о порядке применения бюджетной классификации Российской Федерации: приказ Минфина России от 30 декабря 2009 г. № 150н (ред. от 31 августа 2010 г.) // Фин. газ. 2010. 11 февр.

6. О высвобождении и реализации движимого иму-

щества, находящегося в оперативном управлении органов внутренних дел, учреждений и казенных предприятий системы МВД России: приказ МВД России от 5 декабря 2006 г. № 992 (в ред. от 21 августа 2008 г.).

7. Лукьянов В. В. Тыловое обеспечение в проекте Федерального закона «О полиции» // Вопросы тылового обеспечения. 2010. Сент.

8. Порядок высвобождения и реализации движимого имущества // Экономический вестник МВД России. 2009. № 7.

E-mail: [email protected]

И.В. ГОРОШКО,

заместитель начальника кафедры информационных технологий управления органами внутренних дел,

доктор технических наук, профессор (Академия управления МВД России) В.Н. ЛЕБЕДЕВ,

доцент кафедры информационных технологий управления органами внутренних дел,

кандидат технических наук (Академия управления МВД России)

Персональные данные: возможные пути реализации федерального закона

В статье рассматриваются актуальные вопросы, связанные с понятием «персональные данные», раскрывается содержание этого понятия, анализируются основные положения федерального законодательства и ведомственных нормативных правовых актов, регламентирующих сферу персональных данных, проблемы, возникающие в ходе реализации Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», и пути их решения.

персональные данные, обработка информации, классификация, конфиденциальная информация, защита информации, ведомственный стандарт.

Вступление в силу с 1 марта 2011 г. Федерального закона «О полиции» заставило многих сотрудников органов внутренних дел не только по-новому взглянуть на вопросы, связанные с понятием «персональные данные»,

но и в какой-то степени переоценить прежнее его восприятие как чего-то абстрактного, существующего вне системы органов внутренних дел.

Впервые в практике российской правоохранительной системы Федеральный закон адресно обращается к одному из ее элементов — полиции, предоставляя ей право обрабатывать данные о гражданах (ч. 1 ст. 17) и обязывая осуществлять эту обработку в соответствии с требованиями, установленными законодательством Российской Федерации в области персональных данных (ч. 7 ст. 17) [1].

Легальная трактовка понятия «персональные данные» в российском законодательстве впервые была введена в оборот Федеральным законом «Об информации, информатизации и защите информации» от 20 февраля 1995 г. № 24—ФЗ, в настоящее время утратившим силу. В ст. 2 данного закона в перечне используемых терминов упомянута «информация о гражданах

(персональные данные)», что трактовалось как сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность [3].

Представляется, что в условиях недостаточной проработанности многих правовых норм, так или иначе связанных с вопросами информатизации, законодатель сознательно допускал возможность адаптации приведенного определения для каждой конкретной сферы человеческой деятельности.

И действительно, многие государственные организации и ведомства, ориентируясь на решение стоящих перед ними задач, творчески подошли к его интерпретации.

Так, в одном из своих постановлений Центральная избирательная комиссия (ЦИК России) причислила к персональным данным фамилию, имя, отчество гражданина; дату и место рождения; адрес места жительства, места временного пребывания; вид документа, удостоверяющего личность, серию и номер этого документа, наименование или код органа, выдавшего документ, дату выдачи документа; индивидуальный номер (ИНН); сведения о страховом свидетельстве; номер телефона [17]. Министерство по налогам и сборам Российской Федерации (МНС РФ), конкретизируя сведения о налогоплательщиках, вполне довольствовалось данными об их ИНН, а также указанием фамилии, имени и отчества [12].

Объективно существующие различия в подходах требовали упорядочения на уровне федерального законодательства.

Принятие Федерального закона от 27 июля 2006 г. № 152—ФЗ «О персональных данных» было призвано устранить эти разночтения [2]. Согласно ст. 3 № 152—ФЗ персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Вместе с тем значимость указанного закона состоит не в том, что он конкретизировал понятие «персональные данные». С его помощью законодатель рассчитывал урегулировать отношения, связанные с обработкой персональных данных, осуществляемой федеральными и региональными органами государственной власти, иными государственными органами, а также органами местного самоуправления. Именно в этот период обществом обсуждаются многочисленные случаи появления на компьютерных рынках баз данных ГИБДД, МНС РФ, Федеральной регистрационной службы и т. п.

Оказалось, что процесс информатизации общества, внедрение современных информационных технологий на всех уровнях государственного управления помимо очевидных преимуществ имеет и негативные последствия, которые выражаются, в частности, в абсолютной уязвимости информации о частной жизни конкретного гражданина и ее доступности для использования третьими лицами.

Понимание актуальности этой проблемы привело в 2005 г. к ратификации Россией Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» [4].

С подписанием этого акта Россия, несомненно, сделала важный шаг в направлении принятия и использования европейского опыта организации автоматизированной обработки персональных данных.

Вместе с тем эффективность претворения в жизнь норм данной Конвенции в нашей стране зависит от состояния национального законодательства. Как справедливо считают специалисты в области права, правовые нормы работают плодотворно, не допуская серьезных конфликтов, только в случае гармонизации актов международного и национального законодательства или даже унификации правовых норм [17].

Реализация этого положения способствовала принятию важного Федерального закона от 27 июля 2006 г. № 149—ФЗ «Об информации, информационных технологиях и о защите информации», который сменил законы от 20 февраля 1995 г. № 24—ФЗ «Об информации, информатизации и защите информации» и от 27 июля 2006 г. № 152—ФЗ «О персональных данных» [5, 3, 2].

Заметим, что основные нормы упомянутых законов в полной мере отвечают принципам, провозглашенным в Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», а именно: справедливости, адекватности, оправданности не интересами отдельных групп лиц, а подлинными демократическими ценностями, необходимостью защиты и охраны прав и свобод человека.

Подписание обоих документов датировано одним числом, и это не случайно. Они разрабатывались совместно и были приняты пакетом, поскольку предназначались для регулирования отношений в одной сфере — информатизации. Однако если Федеральный закон РФ № 149—ФЗ призван регулировать отношения более общего характера, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации различного вида; применении информационных технологий; обеспечении защиты информации [5], то

61

IISSN 2072-9391

Труды Академии управления МВД России. 2011. № 3 (19)

62

Федеральный закон РФ № 152—ФЗ ориентирован исключительно на обработку персональных данных.

Представляется, что реализация на практике основных положений именно этого закона наиболее актуальна для современных подразделений органов внутренних дел, включая полицию.

Проанализируем предлагаемую Федеральным законом РФ № 152—ФЗ классификацию персональных данных (далее — ПДн), к которым относятся следующие:

— общедоступные персональные данные — личные сведения, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

— специальные категории персональных данных — сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;

— биометрические персональные данные — сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность;

— обезличенные персональные данные — информация, на основе которой невозможно определить принадлежность персональных данных конкретному субъекту.

Думается, что такая подробная классификация законодательно закреплена не случайно, каждая из представленных категорий персональных данных имеет свои особенности, которые, несомненно, определяют возможные подходы к ее обработке.

Данная обработка осуществляется оператором персональных данных, и, согласно смыслу ст. 2 Федерального закона, можно сделать вывод, что многие подразделения органов внутренних дел (а также их сотрудники) являются такими операторами, поскольку в той или иной степени выполняют действия по сбору, систематизации, накоплению, хранению, уточнению (обновлению, изменению), использованию, распространению (включая передачу), обезличиванию, блокированию, уничтожению персональных данных.

Подчеркнем, что указанным законом персональные данные отнесены к категории конфиденциальной информации, т. е. той, на которую распространяется режим ограниченного доступа, поэтому оператор обязан не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Заметим, что названное ограничение обусловлено конституционным правом человека на

неприкосновенность частной жизни, личную и семейную тайну (ч. 1 ст. 23 Конституции РФ), однако, как мы видим, это право не абсолютно. Как справедливо отмечают специалисты в области информационного права, правовой режим персональных данных должен способствовать разрешению объективно существующих противоречий между неприкосновенностью частной жизни и вынужденной необходимостью государства собирать, хранить, использовать и передавать сведения об этой жизни в случае решения социально значимых задач, таких, например, как борьба с преступностью и охрана общественного порядка [16].

Кроме того, требование конфиденциальности не распространяется на обезличенные и общедоступные ПДн. В случаях если связь персональных данных с личностью их субъекта и возможность идентификации последнего может быть исключена, режим конфиденциальности, устанавливаемый для персональных данных, снимается. Законодатель допускает использование обезличенных персональных данных и без согласия их субъекта, в целях проведения статистических, социологических, исторических, медицинских и других научных и практических исследований.

Законом также предусмотрено исключение из режима конфиденциальности общедоступных массивов персональных данных (справочников, телефонных книг, адресных книг, массивов персональных данных руководителей фирм и т. п.), которые создаются в целях информационного обеспечения общества.

Для нейтрализации угроз безопасности ПДн законодатель обязывает оператора принимать необходимые организационные и технические меры, в частности использовать шифровальные (криптографические) средства для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

В целях реализации этих требований Правительство Российской Федерации приняло ряд постановлений, утверждающих положения по вопросам обеспечения безопасности ПДн, а именно:

1) Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПНн) [8];

2) Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации [9];

3) Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных [10].

Утверждение этих Положений позволило сформировать единый подход к построению системы организационно-технических мероприятий, направленных на обеспечение безопасности персональных данных.

Так, например, мероприятия по обеспечению безопасности персональных данных при их обработке должны включать следующие действия:

1) определение угроз безопасности персональных данных при их обработке, формирование на этой основе модели угроз;

2) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

3) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

4) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

5) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

6) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

7) учет лиц, допущенных к работе с персональными данными в информационной системе;

8) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

9) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

10) описание системы защиты персональных данных.

Обработка персональных данных без использования средств автоматизации должна осуществляться таким образом, чтобы в отношении каждой категории данных сведений можно было определить место хранения и установить перечень лиц, осуществляющих их обработку либо имеющих к ним доступ. Необходимо также обратить внимание на раздельное хранение персональных данных (материальных носителей),

обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.

Специфичным видом ПДн являются так называемые биометрические персональные данные. Физиологические особенности человека — одна из форм выражения личности, ее проявления во внешнем мире, по их отражению можно идентифицировать субъекта. Признание физиологических особенностей человека в качестве универсального идентификатора его личности допустимо при условии их устойчивости (неизменяемости) и уникальности.

Устойчивость выражается в том, что физиологические особенности, появляясь еще во время внутриутробного развития или формируясь в процессе жизни человека, сохраняются неизменными в течение всей его жизни. Уникальность физиологических особенностей подразумевает индивидуальную определенность, отождествляющую конкретную личность.

К числу основных физиологических особенностей человека, позволяющих идентифицировать его личность, можно отнести отпечатки папиллярных узоров рук, результаты анализа ДНК, образ лица, рисунок сетчатки глаза, особенности строения тела, отдельных органов и тканей, различные отклонения в развитии, атавизмы.

Особенно широко биометрические персональные данные предполагается использовать в процессе идентификации личности, а именно — в общегражданском и заграничном паспортах. В этом случае биометрические персональные данные хранятся вне информационной системы ПДн на материальных носителях.

Под материальным носителем биометрических персональных данных понимается машиночитаемый носитель информации (включая магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека, и на основе которых можно установить его личность.

В соответствии с Постановлением Правительства РФ от 6 июля 2008 г. № 512 материальный носитель должен обеспечивать следующее:

а) защиту от несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных;

б) возможность доступа к записанным на материальный носитель биометрическим персональным данным, осуществляемого оператором и лицами, уполномоченными в соответствии с законодательством Российской Федерации на работу с биометрическими персональными данными;

63

IISSN 2072-9391

Труды Академии управления МВД России. 2011. № 3 (19)

64

в) возможность идентификации информационной системы персональных данных, в которую была осуществлена запись биометрических персональных данных, а также оператора, осуществившего такую запись;

г) невозможность несанкционированного доступа к биометрическим персональным данным, содержащимся на материальном носителе [10].

Указанное Постановление предписывает обязательное применение средств электронной подписи, позволяющих сохранить целостность и неизменность биометрических персональных данных, записанных на материальный носитель, а также использование шифровальных (криптографических) средств защиты информации в соответствии с законодательством Российской Федерации.

В Федеральном законе № 152—ФЗ также определен уполномоченный орган по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием их обработки требованиям законодательства, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Основные функции Роскомнадзора в части, касающейся контроля за соответствием обработки персональных данных требованиям законодательства, можно разделить на ряд направлений.

1. Организационно-распорядительные: ведение реестра операторов; внесение в Правительство РФ предложений о совершенствовании нормативно-правового регулирования защиты прав субъектов персональных данных; организация в соответствии с требованиями Федерального закона № 152—ФЗ и других федеральных законов защиты прав субъектов персональных данных.

2. Контрольные: осуществление проверки сведений, содержащихся в уведомлении об обработке персональных данных, или привлечение для осуществления такой проверки иных государственных органов в пределах их полномочий; принятие в установленном законодательством РФ порядке мер по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований Федерального закона № 152—ФЗ; обращение в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представление интересов субъектов персональных данных в суде; привлечение к административной ответственности лиц, виновных в нарушении закона.

3. Надзорные: запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию; требовать от оператора уточнения, блокирования или

уничтожения недостоверных или полученных незаконным путем персональных данных; принимать в установленном законодательством РФ порядке, по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных.

4. Координационные: направление заявления в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством РФ порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных; направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью; информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных.

Роскомнадзор и его территориальные органы осуществляют проверку деятельности операторов на предмет соответствия требованиям законодательства Российской Федерации в области персональных данных.

Проводимые проверки могут носить плановый и внеплановый характер и проводиться в форме документарной или выездной проверки.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Плановые проверки проводятся на основании ежегодного плана проведения проверок Ро-скомнадзора на текущий календарный год.

Внеплановые проверки могут проводиться по следующим основаниям:

1) истечение срока исполнения оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства Российской Федерации в области персональных данных;

2) поступление в Роскомнадзор или его территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах:

— возникновении угрозы причинения вреда жизни, здоровью граждан;

— причинении вреда жизни, здоровью граждан и т. п;

3) нарушение прав и законных интересов граждан действиями (бездействием) операторов при обработке их персональных данных;

4) нарушение операторами требований законодательства Российской Федерации в области персональных данных, а также несоответствие сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.

Должностные лица Роскомнадзора или его территориального органа при проведении проверок вправе в пределах своей компетенции совершать следующие действия.

1. Выдавать обязательные для выполнения предписания об устранении выявленных нарушений в области персональных данных.

2. Составлять протоколы об административных правонарушениях или направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении дел об административных правонарушениях, а также о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.

3. Обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных.

4. Получать доступ к информационным системам персональных данных в режиме просмотра и выборки необходимой информации.

5. Направлять заявления в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности предусмотрен запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных.

6. Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований законодательства Российской Федерации в области персональных данных.

7. Требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.

Помимо Роскомнадзора существует еще два органа федеральной исполнительной власти, которые имеют непосредственное отношение к реализации основных положений Федерального закона № 152—ФЗ, — это Федеральная служба по техническому и экспортному контролю (ФСТЭК

России) и Федеральная служба безопасности (ФСБ России).

Их полномочия распределяются следующим образом: ФСТЭК России и ФСБ России проводят экспертизы, в ходе которых осуществляется оценка соответствия средств защиты информации. При этом к компетенции ФСТЭК отнесены вопросы сертифицирования технических средств защиты информации, ФСБ отвечает за шифровальные (криптографические) средства защиты информации. Эти ведомства определяют также актуальные угрозы и каналы утечки информации.

Кроме того, согласно Постановлению Правительства РФ от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» [11], Федеральная служба по техническому и экспортному контролю проводит лицензирование деятельности по технической защите конфиденциальной информации.

Принятие Федерального закона № 152—ФЗ и ряда подзаконных актов позволило сформировать единый подход к построению системы организационно-технических мероприятий, направленных на обеспечение безопасности персональных данных. Вместе с тем при реализации основных положений названного закона многие операторы персональных данных столкнулись со значительными трудностями. В частности, как отмечается в материалах Парламентских слушаний «Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных», на выполнение требования со стороны ФСТЭК России о лицензировании деятельности, а также сертификации средств защиты информации и аттестации информационных систем персональных данных у большинства операторов нет достаточных материальных и трудовых ресурсов [14]. В результате возникла ситуация неисполнения закона, в результате чего срок, к которому должны быть приведены в соответствии с предъявляемыми требованиями к защищенности информационные системы персональных данных, был перенесен с 1 января 2010 г. на 1 января 2011 г. [6].

Предполагалось, что за это время в рамках реализации Федеральной целевой программы «Электронная Россия» будет разработано и сертифицировано свободно распространяемое типовое программное обеспечение для защиты персональных данных для государственных и муниципальных учреждений, которое отчасти решит вопросы финансирования. Можно констатировать, что подобная программа до сих пор не создана.

Для поиска путей выхода из создавшегося положения следует, на наш взгляд, обратиться

65

I ISSN 2072-9391 Труды Академии управления МВД России. 2011. № 3 (19)

66

к опыту банковского сообщества. В 2006 г. Распоряжением Банка России № Р—27 был введен в действие стандарт Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности банковской системы Российской Федерации» [12]. Им был установлен перечень мероприятий, которые необходимо выполнить организациям банковской сферы по защите персональных данных и оценке эффективности (аудиту) защиты информации. Следует отметить, что требования указанного стандарта постоянно совершенствуются в соответствии с реалиями сегодняшнего дня. В настоящее время используется новая версия — СТО БР ИББС— 1.0—2010 [12].

Как отмечают многие специалисты, введение в действие этих стандартов повысило надежность применяемых банками мер защиты от противоправных посягательств на охраняемую банковскую информацию [15].

Представляется, что создание ведомственного стандарта по защите персональных данных возможно и в системе органов внутренних дел. Подобный оптимизм, на наш взгляд, вполне оправдан. Руководство МВД России уделяет внимание вопросам внедрения современных информационных технологий в органы внутренних дел. Продолжаются работы по выполнению основных мероприятий Программы по созданию единой информационно-вычислительной системы (ЕИТКС), реализуется Концепция информатизации. Принятие стандарта в органах внутренних дел отвечает общей направленности этих документов, унифицирует существующие подходы и позволит вновь созданной полиции оперативно и качественно решать задачи, связанные с обработкой персональных данных.

Список литературы

1. О полиции: Федеральный закон РФ от 7 февраля 2011 г. № 3—ФЗ // Рос. газ. 2011. 8 февр.

2. О персональных данных: Федеральный закон от 27 июля 2006 г. № 152—ФЗ // Рос. газ. 2006. 29 июля (утратил силу).

3. Об информации, информатизации и защите информации: Федеральный закон РФ от 20 февраля 1995 г. № 24—ФЗ // Рос. газ. 1995. 22 февр.

4. О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных: Федеральный закон РФ от 19 декабря 2005 г. № 160—ФЗ // Рос. газ. 2005. 22 дек.

5. Об информации, информационных технологиях и о защите информации: Федеральный за-

кон РФ от 27 июля 2006 г. № 149-ФЗ // Рос. газ.

2006. 29 июля (утратил силу).

6. О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных»: Федеральный закон РФ от 27 декабря 2009 г. № ЗбЗ-ФЗ // Рос. газ. 2009. 29 дек.

7. О Перечне персональных данных и иной конфиденциальной информации, обрабатываемой в комплексах средств автоматизации Государственной автоматизированной системы Российской Федерации «Выборы» и организации доступа к этим сведениям: постановление Центральной избирательной комиссии РФ от 3 ноября 2003 г. № 49/463-4.

8. Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных: Постановление Правительства РФ от 17 ноября 2007 г. № 781 // Рос. газ.

2007. 21 нояб.

9. Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации: Постановление Правительства РФ от 15 сентября 2008 г. № 687 // Рос. газ. 2008. 24 сент.

10. Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных: Постановление Правительства РФ от 6 июля 2008 г. № 512 // Рос. газ. 2008. 11 июля.

11. О лицензировании деятельности по технической защите конфиденциальной информации: Постановление Правительства РФ от 15 августа 2006 г. № 504 // СПС Гарант.

12. О контроле достоверности персональных данных, используемых в налоговой отчетности о доходах физических лиц за 2000 г.: письмо МНС РФ от 5 декабря 2000 г. № БГ-6-12/920.

13. Обеспечение информационной безопасности банковской системы Российской Федерации: Распоряжение Банка России от 21 июня 2010 г. № Р-705.

14. Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных: материалы парламентских слушаний от 20 октября 2009 г. URL: http: // duma.gov.ru

15. Гамза В.А., Ткачук И. Безопасность банковской деятельности. М., 2010.

16. Городов О.А. Основы информационного права России. СПб., 2003.

17. Юридическая конфликтология / под ред. В.Н. Кудрявцева. М., 1995.

E-mail: [email protected]

i Надоели баннеры? Вы всегда можете отключить рекламу.