Открыть сервис

Информационные системы персональных данных

Информационная система персональных данных (ИСПДн) — это совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Понятие является ключевым в российском законодательстве о персональных данных и определяет объект регулирования при организации обработки, хранения и защиты личной информации граждан.

Определение и правовой статус

Понятие «информационная система персональных данных» закреплено в Федеральном законе от 27 июля 2006 года № 152-ФЗ «О персональных данных». Согласно закону, ИСПДн включает как сами данные (сведения, относящиеся к прямо или косвенно определенному или определяемому физическому лицу — субъекту персональных данных), так и программно-аппаратный комплекс, обеспечивающий их обработку.

Ключевая особенность ИСПДн в российском праве — это не просто любая база данных, а система, в которой обработка персональных данных осуществляется с использованием средств автоматизации. Если обработка ведется исключительно вручную (на бумажных носителях), то такая деятельность не подпадает под понятие ИСПДн, хотя требования к защите данных сохраняются.

Классификация информационных систем персональных данных

В соответствии с нормативными актами (в частности, постановлением Правительства РФ № 1119 от 1 ноября 2012 года) ИСПДн классифицируются по нескольким основаниям.

По категориям обрабатываемых данных

  • Специальные категории: данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
  • Биометрические: физиологические и биологические характеристики человека, позволяющие установить его личность (отпечатки пальцев, изображение лица, образец голоса).
  • Иные (общедоступные и необщедоступные): фамилия, имя, отчество, адрес, дата и место рождения, сведения об образовании, профессии, доходах и т.д., если они не отнесены к специальным или биометрическим.

По объему обрабатываемых данных

  • Уровень 1 (К1): системы, обрабатывающие специальные категории персональных данных более 100 000 субъектов.
  • Уровень 2 (К2): системы, обрабатывающие специальные категории персональных данных от 1 до 100 000 субъектов, а также биометрические данные любого объема.
  • Уровень 3 (К3): системы, обрабатывающие иные категории персональных данных более 100 000 субъектов.
  • Уровень 4 (К4): системы, обрабатывающие иные категории персональных данных до 100 000 субъектов, а также системы, обеспечивающие только пропускной режим на территорию.

По типу оператора

  • Государственные ИСПДн: создаются и эксплуатируются органами государственной власти (например, системы ФНС, МВД, Пенсионного фонда).
  • Муниципальные ИСПДн: используются органами местного самоуправления.
  • Негосударственные ИСПДн: принадлежат коммерческим организациям, некоммерческим организациям, индивидуальным предпринимателям (например, CRM-системы, кадровые системы, сайты с регистрацией пользователей).

Требования к защите информации

Обработка персональных данных в ИСПДн возможна только при условии обеспечения их безопасности. Требования к защите устанавливаются нормативными актами, в первую очередь — постановлением Правительства РФ № 1119 и приказом ФСТЭК России № 21 от 18 февраля 2013 года.

Уровни защищенности

В зависимости от типа угроз (актуальные, неактуальные) и категории обрабатываемых данных устанавливаются четыре уровня защищенности персональных данных (УЗ):

  • 1 уровень (УЗ-1): для систем, обрабатывающих специальные категории данных при наличии актуальных угроз.
  • 2 уровень (УЗ-2): для систем, обрабатывающих биометрические данные при наличии актуальных угроз.
  • 3 уровень (УЗ-3): для систем, обрабатывающих иные категории данных при наличии актуальных угроз.
  • 4 уровень (УЗ-4): для систем, в которых угрозы безопасности не актуальны (например, системы, не подключенные к сетям общего пользования).

Основные меры защиты

  • Организационные: назначение ответственного за обработку персональных данных, разработка политики обработки, проведение внутреннего аудита, обучение сотрудников.
  • Технические: использование средств криптографической защиты информации (СКЗИ), систем обнаружения вторжений, антивирусной защиты, межсетевых экранов, регистрация и учет событий безопасности.
  • Правовые: получение согласия субъекта на обработку данных, уведомление Роскомнадзора о начале обработки, заключение договоров с операторами, обеспечивающими обработку.

Этапы жизненного цикла

Жизненный цикл ИСПДн включает несколько этапов:

  1. Создание: проектирование, разработка или приобретение готового решения, ввод в эксплуатацию.
  2. Ввод в эксплуатацию: проведение мероприятий по аттестации (для государственных систем) или декларированию соответствия (для негосударственных), регистрация в Роскомнадзоре.
  3. Эксплуатация: непосредственная обработка данных, выполнение операций сбора, записи, систематизации, накопления, хранения, уточнения, извлечения, использования, передачи, блокирования, удаления.
  4. Модернизация: обновление программного обеспечения, расширение функционала, изменение состава технических средств.
  5. Вывод из эксплуатации: уничтожение данных, ликвидация системы, передача на хранение или утилизация оборудования.

Ответственность за нарушения

Несоблюдение требований к обработке и защите персональных данных в ИСПДн влечет за собой ответственность, предусмотренную Кодексом об административных правонарушениях РФ (КоАП РФ) и Уголовным кодексом РФ (УК РФ).

  • Административная ответственность (ст. 13.11 КоАП РФ): штрафы для должностных лиц от 2 000 до 20 000 рублей, для юридических лиц — от 15 000 до 75 000 рублей за обработку без согласия, за невыполнение требований к защите — до 50 000 и 300 000 рублей соответственно.
  • Уголовная ответственность (ст. 137 УК РФ): за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия — вплоть до лишения свободы на срок до 2 лет (с использованием служебного положения — до 4 лет).
  • Гражданско-правовая ответственность: возмещение морального вреда и убытков, причиненных субъекту персональных данных.

Особенности регулирования в России

Российское законодательство в области ИСПДн отличается рядом специфических требований:

  • Локализация баз данных: Операторы, осуществляющие сбор персональных данных граждан РФ, обязаны обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации (ст. 18 Федерального закона № 242-ФЗ).
  • Уведомление Роскомнадзора: До начала обработки персональных данных оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении. Исключение составляют случаи, когда обработка осуществляется без использования средств автоматизации или для целей, не требующих уведомления (например, трудовые отношения).
  • Аттестация и лицензирование: Для государственных ИСПДн обязательна аттестация на соответствие требованиям безопасности информации. Деятельность по технической защите конфиденциальной информации (включая персональные данные) подлежит лицензированию в ФСТЭК России.

Примеры ИСПДн

  • Государственные: Единая государственная информационная система в сфере здравоохранения (ЕГИСЗ), системы Пенсионного фонда РФ, Фонда социального страхования, Федеральной налоговой службы.
  • Коммерческие: CRM-системы банков (например, Сбербанк, ВТБ), системы учета клиентов телекоммуникационных компаний (МТС, Билайн, Мегафон), системы управления персоналом крупных предприятий, интернет-магазины.
  • Ведомственные: системы Министерства внутренних дел РФ, Министерства обороны РФ, Федеральной службы безопасности РФ.

Источники

  1. Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
  2. Постановление Правительства РФ от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  3. Приказ ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  4. Кодекс Российской Федерации об административных правонарушениях (КоАП РФ).
  5. Уголовный кодекс Российской Федерации (УК РФ).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →