не знаю куда выложить, если что переместите...
Правительство решило, как обрабатывать сведения об интимной жизни граждан
Утверждены требования к защите персональных данных при их обработке в информационных системах. Документ классифицирует возникающие угрозы, а также устанавливает 4 уровня защиты.
Власти определили, каким образом будут обрабатываться и храниться сведения об интимной жизни граждан, об их политических взглядах, состоянии здоровья и т.д. Постановление Правительства РФ от 01.11.2012 N 1119 утверждает требования к защите персональных данных при их обработке в информационных системах. Документ классифицирует сами информационные системы и возникающие угрозы, а также устанавливает 4 уровня защищенности сведений.
Согласно постановлению, система защиты персональных данных включает организационные и (или) технические меры, определенные с учетом актуальных угроз и применяемых информационных технологий. Безопасность данных обеспечивает оператор или уполномоченное им лицо.
Многое будет зависеть от того, какого рода данные обрабатываются в системе. Это могут быть специальные категории персональных данных (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). Биометрические персональные данные характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Некоторые системы имеют дело только с общедоступными персональными данными из открытых источников. Возможны и другие варианты.
Авторы документа разъясняют, какие именно опасности грозят базам данных. Прежде всего, это несанкционированный доступ и утечка или искажение информации:
Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Постановление выделяет три типа угроз. Первый и второй связаны с наличием скрытых (недокументированных) возможностей в программном обеспечении. Третий тип не связан с подобными особенностями ПО. При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных. Так, первый уровень используется при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Второй уровень защищенности необходим при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;
г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
В документе также говорится, какие условия диктуют применение 3-го и 4-го уровня защищенности. Приводятся также конкретные требования для обеспечения того или иного уровня. Это может быть создание списка лиц, допущенных к работе с системой, обеспечение сохранности носителей, ведение автоматического электронного журнала безопасности и другие меры.
Постановление правительства пока официально не опубликовано. Оно начнет действовать по истечении 7 дней после такой публикации. С этого момента утратит силу ныне действующее Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. Оно утверждено постановлением Правительства РФ от 17 ноября 2007 г. N 781.
Добавим, что методы и способы защиты информации в системах персональных данных прописаны в специальном положении. Правовой акт утвержден приказом ФСТЭК РФ от 05.02.2010 N 58.
Напомним, что персональными данными считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Это его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, сведения, характеризующие физиологические и биологические особенности человека, и др.
Для нарушающих положения закона "О персональных данных" предусматриваются различные санкции. За распространение или утечку информации, относящейся к частной жизни человека, виновному может грозить гражданская, административная и уголовная ответственность, вплоть до лишения свободы на несколько лет.
Нарушение порядка сбора, хранения, использования или распространения персональных данных влечет предупреждение или наложение штрафа: на граждан — до пятисот рублей; на должностных лиц - до одной тысячи; на юридических лиц — до десяти тысяч рублей. Об этом говорится в статье 13.11 КоАП РФ. За незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия виновные будут привлечены к уголовной ответственности по статье 137 УК РФ. В качестве наказания за это преступление, в частности, установлен штраф до 200 тысяч рублей либо лишение свободы на срок до 2 лет. Если деяние совершено с использованием служебного положения, штраф может достигнуть 300 тысяч, а тюремный срок — 4 лет.
Как мы недавно сообщали, просмотр без особой надобности персональных данных гражданина также может стать правонарушением. Подобные поправки в законодательство предложил внести сенатор Руслан Гаттаров.