В современном мире информация становится все более и более важной составляющей нашей жизни, и одним из главных аспектов является обработка и защита персональных данных. Обработка персональных данных должна осуществляться с соблюдением определенных правил и требований для защиты прав и свобод граждан. В данной статье мы рассмотрим правовые механизмы обеспечения защиты персональных данных в государственных информационных системах (далее — ГИС).

Для того чтобы полностью раскрыть тему исследования, для начала введем понятие персональных данных и подробнее раскроем его.

По Федеральному закону № 152 «О персональных данных» [1] персональные данные — это любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Анализируя данное определение, можно говорить, что персональные данные — это личные сведения, которые помогают идентифицировать личность человека, к которым они относятся. Например, это может быть его личная жизнь, трудовая деятельность, вся информация, закрепленная документально (паспортные данные, СНИЛС, ИНН и т. д.), а также такая категория данных, которая определяет личностные и физические качества человека, — внешность, пол, национальность, мировоззрение, вероисповедание, отношение к политике.

Вышенаписанное позволяет нам сделать выводы о том, что персональные данные имеют классификацию. Из-за многообразия и присутствия персональных данных в любой сфере деятельности человека, их разделение на группы становится достаточно сложной задачей, потому что личная информация может относится как к нескольким группам одновременно, так и не относится ни к какой. Федеральный закон № 152 «О персональных данных» приводит нам одну из наиболее распространенных классификаций персональных данных:

— общие;

— биометрические;

— специальные;

— иные.

В связи с процессом цифровизации, направленным на формирование концепции для автоматизации бизнес-процессов с помощью внедрения информационных и цифровых технологий, обработка персональных данных может быть автоматизированной. Автоматизированная обработка персональных данных осуществляется в информационных системах персональных данных (далее — ИСПДн). Из-за многообразия целей обработки персональных данных они могут обрабатываться также в государственных информационных системах, то есть ИСПДн может являться частью любой ГИС. В таком случае целью обработки ПДн является обеспечение предоставления государственных услуг.

На данной момент в Российской Федерации существует концепция электронного правительства, инструментами реализации которой являются государственные информационные системы. В электронное правительство входят: единый портал государственных услуг (далее — ЕПГУ, Госуслуги), единая система идентификации и аутентификации (далее — ЕСИА), досудебное обжалование, единая система нормативно-справочной информации, система межведомственного электронного взаимодействия (далее — СМЭВ), информационная система головного удостоверяющего центра (ИС ГУЦ), ситуационный центр.

По данным международного форума-выставке «Россия» при выступлении вице-премьера РФ Дмитрия Чернышенко была названа статистика пользователей портала «Госуслуг» [2]. Так с 2019 по 2023 года число пользователей увеличилось почти в два раза и достигло 109 млн человек. Таким образом, можно сделать вывод, что при формировании электронного правительства и внедрения ГИС в жизнь граждан обработка и обеспечение безопасности персональных данных является неотъемлемой частью данного процесса.

Если рассматривать особенности обработки персональных данных в государственных информационных системах, можно обратиться к статье 13 Федерального закона № 152. Так, государственные органы в пределах своих полномочий могут создавать государственные информационные системы персональных данных. Как пример можно привести единую медицинскую информационно-аналитическую систему (далее — ЕМИАС). Данная ГИС предназначена для автоматизации оказания медицинских услуг населению и одной из ее ключевых составляющих является обработка персональных данных пациентов. Обработка ПДн в ЕМИАС интересна тем, что там обрабатываются не только общие персональные данные, то есть паспортные данные, контактная информация, но и специальные персональные данные: история болезни, результаты обследований и анализов.

Также можно рассмотреть пример единой биометрической системы (далее — ЕБС), которая является государственной информационной системой, обеспечивающей сбор биометрических персональных данных, их хранение и использование для аутентификации и идентификации пользователей. Кроме ФЗ № 152 обработка биометрических ПДн регламентирует Федеральный закон № 572 [3].

Таким образом, государственные ИСДн могут быть предназначены как для обеспечения конкретной цели обработки, так и для обработки конкретной категории персональных данных.

Рассматривая далее особенности обработки персональных данных в ГИС, можно также обратится к статье 5 Федерального закона № 152, которая раскрывает принципы обработки персональных данных. Анализируя данную статью, можно сделать вывод, что к основным правилам обработки персональных данных относятся:

— получение согласия на обработку персональных данных от субъекта таких данных;

— ограничение на сбор и использование персональных данных;

— ограничение хранения персональных данных;

— защита персональных данных.

Рассмотрим подробнее каждое из правил обработки персональных данных.

Для обработки персональных данных их обладатель должен предоставить согласие на обработку таких данных. Это предполагает, что информация о человеке будет использоваться только в конкретных целях, которые известны субъекту, а также ответственный за обработку предоставит информацию о том, какие именно данные будут обрабатываться и конкретный срок их обработки.

Если брать во внимание обработку персональных данных в цифровой среде, а именно в ГИС, то согласие на обработку предоставляется в электронной форме. Такое согласие предполагает разрешение со стороны субъекта персональных данных на обработку его личной информации в сети Интернет.

К примеру, можно рассмотреть регистрацию пользователей на портале Госуслуг [4]. Все требования к регистрации представлены в пользовательском соглашении ЕПГУ и ЕСИА. Важной особенностью является, что пользователи ЕСИА не просто дают свое согласие на обработку персональных данных, ставя галочку напротив «Согласен/согласна на обработку персональных данных» на сайте, но также подтверждают свою личность посредством банковских информационных систем, в уполномоченной организации, с помощью электронной подписи или с помощью кода подтверждения от Почты России.

Ограничение на сбор и использование персональных данных представляет собой меры, принятые для защиты конфиденциальности и приватности личных данных. Оно заключается в установлении определенных правил и ограничений для организаций и лиц, которые собирают и обрабатывают персональные данные.

Одним из основных принципов ограничения на сбор и использование персональных данных является принцип минимизации. Согласно этому принципу, субъекты данных должны предоставлять только те персональные данные, которые необходимы для выполнения определенных целей обработки данных. Это означает, что организации должны собирать и использовать только те данные, которые являются неотъемлемыми для достижения определенной цели. Если возвращаться к примеру портала Госуслуг, то можно рассмотреть Политику конфиденциальности данного портала, в которой четко отражены цели обработки персональных данных, а также объем осуществления обработки персональных данных. Так к числу обрабатываемых данных относятся: ФИО, пол, дата рождения, сведения о гражданстве, СНИЛС, адрес электронной почты, паспортные данные и так далее. Основной же целью обработки персональных данных на портале Госуслуг является предоставление государственных и муниципальных услуг.

Также в Политике конфиденциальности портала Госуслуг отражены следующие положения: доступ третьих лиц к персональным данным, способы обработки персональных данных и обязанности Минцифры России по защите персональных данных, сроки обработки персональных, права и обязанности пользователей при обработке их персональных данных. Данные положения включают как требования по ограничению на сбор и использование персональных данных, так и правила хранения, уничтожения персональных данных.

К операторам персональных данных также предъявляются требования к обеспечению уничтожения и/или обезличиванию персональных данных в случае достижения цели обработки таких данных. Так, Роскомнадзором в соответствии с Приказами № 179 [5] и № 996 [6] устанавливаются требования по обезличиванию и уничтожению персональных данных. Также операторы обязаны уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных, формы уведомлений утверждены Приказом Роскомнадзора № 180 [7].

Защита персональных данных предполагает принятие определенных защитных мер, которые включают в себя организационные, технические, программные, программно-аппаратные и криптографические меры. Персональные данные являются одной из категорий конфиденциальной информации, следовательно, для обеспечения безопасности таких сведений необходимо применять как общие меры, так и специально установленные для данной категории информации. Подробнее можно рассмотреть Постановление Правительства № 1119 [8] и Приказ ФСТЭК России № 21 [9].

Постановлением Правительства № 1119 устанавливаются 4 уровня защищенности персональных данных при их обработке в информационной системе. Рассмотрим каждый из этих уровней подробнее.

Условия для установления того или иного уровня защищенности персональных данных можно разделить в зависимости от актуальности 1-го, 2-го или 3-го типа угроз, в зависимости от обрабатываемой категории персональных данных (общедоступные, специальные, биометрические и иные), в зависимости от количества субъектов персональных данных (менее чем 100000 субъектов или более). Самым высоким и требующим обеспечения наиболее серьезной защиты является первый уровень защищенности. В соответствии с уровнем защищенности для его обеспечения необходимо выполнение определенных требований.

Для обеспечения минимального уровня защищенности (4-го) необходимо ограничить физический доступ к помещениям, где расположены элементы ИСПДн, утвердить перечень ответственных лиц за обработку персональных данных, а также использовать средства защиты информации, которые имеют сертификат соответствия требованиям обеспечения безопасности информации.

Для обеспечения 3-го и 2-го уровней к требованиям, помимо вышеперечисленных, относятся назначение ответственного лица за обеспечение безопасности сведений, а также ограничение доступа к содержанию электронного журнала сообщений таким образом, чтобы доступ имела только уполномоченные лица, которым такие сведения необходимы для выполнения трудовых обязанностей.

Для обеспечения максимального уровня защищенности помимо вышеперечисленных требований, необходимо также выполнение следующих требований: регистрация всех действий сотрудников по отношению к персональным данным в электронном журнале безопасности; создание структурного подразделения, которое будет нести ответственность за обеспечение безопасности обрабатываемых персональных данных.

Кроме требований по обеспечению уровня защищенности персональных данных, также важно принимать конкретные организационные и технические меры по обеспечению защиты персональных данных при их обработке в ИСПДн, состав и содержание которых устанавливается Приказом ФСТЭК России от 18.02.2013 № 21. В соответствии с данным нормативно-правовым актом к основным мерам по защите данной категории конфиденциальной информации относятся:

— идентификация и аутентификация;

— управление доступом;

— ограничение программной среды;

— защита носителей информации;

— регистрация событий безопасности, выявление и реагирование на инциденты информационной безопасности;

— антивирусная защита;

— обнаружение и предотвращение вторжений и компьютерных атак;

— обеспечение целостности и доступности;

— контроль защищенности;

— защита технических средств, в том числе средств виртуализации, систем связи и передачи данных.

Каждая из вышеперечисленных мер является базовой, поэтому в Приказе ФСТЭК № 21 идет их условное разделение и уточнение, а также каждая из этих мер сопоставляется с уровнями защищенности персональных данных. Так, для 3-го уровня защищённости необходимо обеспечивать идентификацию и аутентификацию пользователей (сотрудников, ответственных за обработку персональных данных), управлять идентификаторами, реализовывать необходимые методы, правила и типы разграничения доступа (например, дискреционный метод разграничения доступа), уничтожать или обезличивать персональные данные, реализовывать антивирусную защиту и так далее.

Важным условием обеспечения и поддержания приемлемого уровня безопасности персональных данных является работа с инцидентами по утечке персональных данных, а именно их расследование и принятие мер по улучшению системы защиты персональных данных. Так, по данным Роскомнадзора только в январе 2024 года было зафиксировано 19 крупных утечек персональных данных, из-за которых в открытом доступе оказалось более 510 миллионов строк баз данных, содержащих персональные данные, а за весь 2024 года было зарегистрировано 135 фактов утечек персональных данных [10]. В соответствии с этим Роскомнадзор обязует всех операторов персональных данных осуществлять уведомление о факте неправомерной или случайной передаче персональных данных. Данное уведомление заполняется на официальном сайте Роскомнадзора [11]. Кроме того, у операторов есть возможность взаимодействовать с ФСБ России, а именно с Национальным координационным центром по компьютерным инцидентам (далее — НКЦКИ), передавая информацию об утечке персональных данных в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее — ГосСОПКА). В соответствии с Приказом ФСБ России № 77 [12] операторы вправе обратиться в НКЦКИ для оказания им содействия в реагировании на выявленный компьютерный инцидент, повлекший неправомерную передачу (предоставление, распространение, доступ) персональных данных, и привлечения сил ГосСОПКА с использованием каналов информационного взаимодействия.

В заключении хотелось бы отметить, в условиях цифровизации и роста пользователей ГИС, таких как портал Госуслуги, обеспечение безопасности персональных данных становится критически важным процессом. Это связано с автоматизацией процессов и увеличением объёмов обрабатываемой информации, включая персональные данные.

Защита персональных данных в ГИС — комплексная задача, требующая строгого соблюдения законодательства, внедрения технологических мер и постоянного мониторинга угроз. Успех цифровой трансформации государственных услуг напрямую зависит от доверия граждан, которое обеспечивается надёжностью систем обработки их персональных данных.

Так, с учетом национальных целей в соответствии с Указом Президента Российской Федерации № 474 [13], одним из главных приоритетов для развития современного государства становится цифровизация, неотъемлемой частью которой является обеспечение безопасности персональных данных, в том числе с помощью правовых механизмов. Законодательная база обеспечения безопасности персональных данных в современном мире является крайне важным аспектом, учитывая стремительное развитие цифровых технологий и увеличение объемов обрабатываемых данных, однако в условиях быстро меняющегося цифрового мира необходимо постоянно адаптировать законодательство и технологии к новым вызовам и угрозам, что требует не только технических, но и правовых, социальных и этических решений.

Литература:

1. Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ. [Электронный ресурс] URL: http://pravo.gov.ru/proxy/ips/?docbody&nd=102108261
2. Новость Минцифры. URL: https://digital.gov.ru/events/49226
3. Федеральный закон «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» от 29.12.2022 N 572-ФЗ. [Электронный ресурс] URL: http://publication.pravo.gov.ru/Document/View/0001202212290024
4. Официальный сайт портала Госуслуги. URL: https://www.gosuslugi.ru/
5. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных». [Электронный ресурс] URL: http://publication.pravo.gov.ru/Document/View/0001202211290008
6. Приказ Роскомнадзора от 05.09.2013 N 996 «Об утверждении требований и методов по обезличиванию персональных данных». [Электронный ресурс] URL: https://72.rkn.gov.ru/p21978/p25026/p25052/
7. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных». [Электронный ресурс] URL: http://publication.pravo.gov.ru/Document/View/0001202212150022
8. Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». [Электронный ресурс] URL: http://pravo.gov.ru/proxy/ips/?docbody=&nd=102160483
9. Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». [Электронный ресурс] URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21
10. РИА Новости. Новость «В Роскомнадзоре рассказали об утечках персональных данных за январь». URL: https://ria.ru/20250227/roskomnadzor-2002006660.html
11. Официальный сайт Роскомнадзора. URL: https://rkn.gov.ru/
12. Приказ ФСБ России от 13.02.2023 N 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных». [Электронный ресурс] URL: http://publication.pravo.gov.ru/Document/View/0001202302200021
13. Указ Президента Российской Федерации от 21.07.2020 N 474 «О Национальных целях развития Российской Федерации до 2030 года» [Электронный ресурс] URL: http://www.kremlin.ru/events/president/news/73986