Информационные системы персональных данных | Статьи | 123-Job.ru

Информационные системы персональных данных


21.03.2010

С 1 января 2010 года информационные системы персональных данных во всех организациях, включая бюджетные учреждения, должны быть приведены в соответствие с требованиями Закона «О персональных данных»*(1). К этому закону был принят ряд подзаконных нормативных актов, и в результате сейчас существуют различные трактовки обязанностей государственных и муниципальных учреждений в отношении имеющихся в них информационных систем. В настоящей статье проанализированы положения действующего законодательства и выделены требования, обязательные для выполнения.

Согласно ст. 1 Закона «О персональных данных» настоящим федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими и физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
Такое внимание к вопросам автоматизации обработки персональных данных влечет необходимость выполнения специальных норм законодательства, касающихся использования информационных технологий. При этом нужно внимательно изучить нормативно-правовую базу, которая в настоящее время может толковаться весьма неоднозначно, особенно в части предъявления требований к информационным системам.

Понятие «информационная система» в действующем законодательстве

В соответствии с Федеральным законом «Об информации, информационных технологиях и защите информации»*(2) информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Исходя из этого определения, можно сделать вывод о том, что не существуют информационные системы без использования компьютерной техники и соответствующего программного обеспечения.
Однако в ст. 3 Закона «О персональных данных» приведено более широкое определение информационной системы: это совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Разберем составляющие этого определения, дефиниции которых можно найти в Федеральном законе «Об информации, информационных технологиях и защите информации», других законах и в нормативных актах Правительства РФ.
Под базой данных понимается совокупность организованных взаимосвязанных данных на машиночитаемых носителях (Временное положение о государственном учете и регистрации баз и банков данных*(3)). Однако в ч. IV ГК РФ (абз. 2 п. 2 ст. 1260) дано более развернутое определение базы данных: это представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ).
Информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов (Федеральный закон «Об информации, информационных технологиях и защите информации»).
Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и тому подобное), средства защиты информации, применяемые в информационных системах (Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных*(4)).
Таким образом, в состав технических средств входят и копировальные устройства, и программное обеспечение, однако ключевым в определении информационной системы персональных данных является понятие «база данных». Из этого определения следует, что обработка базы данных осуществляется с помощью компьютера (носители должны быть машиночитаемыми). Если же обработка ведется без использования компьютера и базы данных (машиночитаемых носителей), то формально информационная система отсутствует. Кроме того, без технических средств, позволяющих осуществлять обработку персональных данных, база данных также не может быть признана информационной системой. К тому же информационные системы не просто являются совокупностью компьютерной техники и неких программ, обрабатывающих информацию из баз данных, они могут использовать при этом средства автоматизации, а могут их и не использовать.

Что понимается под средствами автоматизации?

Существует точка зрения, согласно которой под использованием средств автоматизации подразумевается любая компьютерная обработка или обработка с помощью электронных устройств. Если база данных хранится в компьютере (например в электронной таблице или бухгалтерской программе) или, например, в записной книжке сотового телефона, то это уже является автоматизированной обработкой персональных данных и подлежит уведомлению Роскомнадзора. Кроме того, некоторые специалисты полагают, что обработка без использования средств автоматизации может вестись лишь на бумаге (в журналах, заполняемых от руки, в рукописных списках).
По мнению автора, данная точка зрения ошибочна и не соответствует действующей в России нормативно-правовой базе.
В соответствии с ч. 3 ст. 4 Закона «О персональных данных» особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего федерального закона.
Постановлением Правительства РФ от 15.09.2008 N 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Согласно п. 1 указанного положения обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Обратим особое внимание на то, что согласно п. 2 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что они содержатся в информационной системе либо были извлечены из нее.
Таким образом, можно констатировать, что с точки зрения определений, имеющихся в действующем законодательстве, подавляющее большинство информационных систем в государственных и муниципальных учреждениях формально можно рассматривать как осуществляемые без использования средств автоматизации (включая значительную часть бухгалтерского программного обеспечения). Ведь все лицевые карточки в этих системах правятся в соответствующих окнах вручную. Для уничтожения лицевых карточек также необходимо их выделение в списке оператором и нажатие специальной клавиши для удаления данных. Даже архивация осуществляется специальной программой, которая запускается человеком.
А вот различные программы, позволяющие переформатировать данные (в том числе из формата бухгалтерской программы в формат, например, программы Пенсионного фонда) и осуществляющие их автоматический ввод и дальнейшую передачу без обращения к каждой конкретной записи о работнике, могут быть отнесены к автоматизированной обработке данных. При этом обработка персональных данных (включая фамилию, имя, отчество, номер пенсионного свидетельства и тому подобное) является неотъемлемой частью таких программ.
В то же время если передача данных в другие программы (в том числе для целей налогового учета) производится не полностью автоматически, а с помощью человека, участвующего в обработке персональных данных, то такую обработку также нельзя признать автоматизированной.
В этой связи рекомендации Рособразования, изложенные в Письме от 29.07.2009 N 17-110 «Об обеспечении защиты персональных данных», имеют довольно ограниченное применение на практике. В целях автоматизации обработки персональных данных в анкетах Рособразованием рекомендуется дополнительно указывать внутренний идентификационный номер (личный код) субъекта персональных данных, присваиваемый на весь период обучения или работы. Это позволяет обезличить базы данных, если в них не содержатся иные персональные данные, и существенно сократить затраты на защиту информации.
Однако для автоматизации управленческой деятельности в государственном или муниципальном учреждении необходимы как минимум фамилии, имена, отчества сотрудников, обучающихся, студентов и так далее, а также ряд других персональных данных (для сотрудников, например, информация об их доходах в целях бухгалтерского и налогового учета). Обращение же к личным кодам, содержащимся в листочках (анкетах), при остальной обработке данных с помощью программного обеспечения будет выглядеть по крайней мере странно, снижая эффективность внедрения современных информационных технологий. При этом в зависимости от формы используемых анкет их можно будет признать частью информационной системы (как являющихся составной частью базы данных), что полностью лишит смысла дополнительную кодировку (такая кодировка требуется в случае целесообразности обезличивания данных, например, для проведения статистических исследований).

Обработка персональных данных без использования средств автоматизации

Итак, как было рассмотрено выше, несмотря на компьютеризацию деятельности, в большинстве случаев обработка персональных данных в государственных и муниципальных учреждениях осуществляется без использования средств автоматизации (неавтоматизированно) и, соответственно, регламентируется Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации*(5).
Лица, проводящие такую обработку (в том числе сотрудники организации-оператора или лица, работающие по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации и локальными актами образовательного учреждения.
Содержание положения свидетельствует, что оно ориентировано прежде всего на обработку персональных данных без использования компьютера, хотя из п. 1 и 2 явно следует, что возможна и неавтоматизированная обработка с использованием программного обеспечения.
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).
При этом не допускается фиксация персональных данных на одном материальном носителе, если цели их обработки заведомо несовместимы. В этом случае для каждой категории персональных данных должен использоваться отдельный материальный носитель.
И, следовательно, обработка должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных были:
— определены места хранения и установлен перечень лиц, осуществляющих обработку данных либо имеющих к ним доступ;
— обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
— соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются образовательным учреждением в соответствии с требованиями, предъявляемыми нормативными правовыми актами по защите персональных данных.
При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если он не позволяет осуществлять их обработку отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки, в частности:
— при необходимости использования или распространения определенных персональных данных отдельно от других, находящихся на том же материальном носителе, осуществляется копирование данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
— при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя — путем фиксации на том же носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

Обработка персональных данных с использованием средств автоматизации

Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств.
Как следует из п. 1 данного положения, под термином «информационные системы» понимаются только информационные системы, позволяющие осуществлять обработку персональных данных с использованием средств автоматизации, поэтому на информационные системы, в которых обработка данных осуществляется без использования средств автоматизации, требования этого положения не распространяются.
Если в государственном или муниципальном учреждении производится автоматизированная обработка персональных данных, то необходимо выполнять следующие требования.
Согласно Положению об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных безопасность персональных данных достигается:
— путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных;
— путем исключения иных несанкционированных действий.
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей:
— организационные меры;
— средства защиты информации;
— информационные технологии.
Средства защиты информации включают в себя:
— шифровальные (криптографические) средства;
— средства предотвращения несанкционированного доступа;
— средства предотвращения утечки информации по техническим каналам;
— средства предотвращения программно-технических воздействий на технические средства обработки персональных данных.
Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления данных по этим запросам должны регистрироваться автоматизированными средствами информационной системы в электронном журнале обращений. При этом содержание электронного журнала обращений должно периодически проверяться соответствующими должностными лицами (работниками) оператора или уполномоченного лица.
При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливает предоставление персональных данных пользователям информационной системы до выявления и устранения причин нарушений.
Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством РФ требованиям, обеспечивающим защиту информации. При этом методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю (ФСТЭК) и Федеральной службой безопасности (ФСБ) в пределах их полномочий.
Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом. Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность и безопасность персональных данных при их обработке в информационной системе.
Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.
При этом информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных, в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.
Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности и Министерством информационных технологий и связи. Такой порядок определен Приказом ФСТЭК РФ, ФСБ РФ, Мининформсвязи РФ от 13.02.2008 N 55/86/20.
Кроме того, обозначены требования к помещениям и их охране. Согласно п. 8 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
Для этого государственные и муниципальные учреждения должны устанавливать дополнительную сигнализацию в указанных помещениях, в дверных проемах — дополнительные замки либо металлические двери.
Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) учет лиц, допущенных к работе с персональными данными в информационной системе;
з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут повлечь нарушение конфиденциальности персональных данных или другие нарушения, приводящие к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
к) описание системы защиты персональных данных.
Лица, которые имеют доступ к информационным базам с персональными данными, подписывают обязательства о неразглашении конфиденциальных сведений (такое обязательство может быть включено и в трудовой договор). Только после этого образовательное учреждение допускает их к обработке персональных данных.
При обработке персональных данных в информационной системе образовательным учреждением должно быть обеспечено:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности персональных данных.
Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственное за обеспечение безопасности персональных данных.
Следует также обратить особое внимание на то, что согласно п. 17 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков.
Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.

Классификация информационных систем персональных данных

Классификация информационных систем персональных данных, позволяющих производить обработку этих данных с использованием средств автоматизации, осуществляется образовательным учреждением — оператором в соответствии с Порядком проведения классификации информационных систем персональных данных*(6) в зависимости от категории обрабатываемых данных и их количества.
Установлены следующие четыре категории персональных данных:
1) персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
2) персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к первой категории;
3) персональные данные, позволяющие идентифицировать субъекта персональных данных;
4) обезличенные и (или) общедоступные персональные данные.
В любом вузе на общедоступных стендах можно встретить различные списки студентов, включающие в себя сочетание Ф.И.О. студента, курса, группы, которые позволяют однозначно определить студента. В результате такая комбинация персональных данных заставляет отнести их к персональным данным третьей категории; на размещение этих данных в общедоступном месте формально требуется согласие студента.
Личная карточка работника (ф. Т-2), личное дело учащегося (студента) относятся ко второй категории, так как это персональные данные, позволяющие не только идентифицировать субъекта персональных данных, но и получить о нем дополнительную информацию.
Информационные системы персональных данных подразделяются на типовые и специальные. К типовым относятся системы, в которых требуется обеспечить только конфиденциальность персональных данных. Все остальные системы относятся к специальным.
К специальным информационным системам также должны быть отнесены:
— информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
— информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
Исходя из приведенной классификации, можно констатировать, что любые медицинские данные, а также кадровый учет, содержащий графу «национальность» (а таковы почти все действующие анкеты и личные листки по учету кадров, используемые в настоящее время), необходимо относить к первой категории.
По результатам анализа имеющихся данных типовой информационной системе присваивается один из четырех классов, указанных в Порядке проведения классификации информационных систем персональных данных.
Класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных по результатам анализа исходных данных в соответствии с методическими документами ФСТЭК.
ФСТЭК издала следующие документы ДСП, которые можно получить, только обратившись в этот орган:
— Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных от 15.02.2008;
— Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15.02.2008;
— Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15.02.2008;
— Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных от 15.02.2008.
В этих методических документах содержатся многочисленные требования, выполнить которые для большинства государственных или муниципальных учреждений крайне сложно по причинам как организационного, так и финансового характера.

Декларирование, сертификация (аттестация) и лицензирование деятельности по защите персональных данных

В перечисленных выше методических документах ФСТЭК устанавливается следующий порядок оценки соответствия степени защищенности информационных систем требованиям безопасности:
— для информационных систем первого и второго класса соответствие степени защищенности требованиям безопасности устанавливается путем обязательной сертификации (аттестации);
— для информационных систем третьего класса соответствие требованиям безопасности подтверждается путем сертификации (аттестации) или (по выбору оператора) декларированием соответствия, проводимым оператором персональных данных;
— для информационных систем четвертого класса оценка соответствия не регламентируется и осуществляется по решению оператора персональных данных.
Декларирование соответствия — это подтверждение соответствия характеристик информационной системы персональных данных предъявляемым к ней требованиям, установленным законодательством, руководящими и нормативно-методическими документами ФСТЭК и ФСБ.
Декларирование соответствия может осуществляться на основе собственных доказательств или доказательств, полученных с участием привлеченных организаций, имеющих необходимые лицензии. Перечень органов (организаций) по аттестации системы сертификации средств защиты информации по требованиям безопасности информации, в которые могут обращаться образовательные учреждения и органы управления образованием, не имеющие необходимых специалистов и лицензий, а также Государственный реестр сертифицированных средств защиты информации размещены на сайте ФСТЭК. Стоимость проведения таких процедур достаточно велика и измеряется сотнями тысяч рублей.
В случае проведения декларирования на основе собственных доказательств оператор самостоятельно формирует комплект документов, таких как: техническая документация, другие документы и результаты собственных исследований, послужившие мотивированным основанием для подтверждения соответствия информационной системы персональных данных всем необходимым требованиям, предъявляемым к третьему классу.
Аттестационные (сертификационные) испытания проводятся организациями, имеющими необходимые лицензии ФСТЭК. При этом под аттестацией понимают комплекс мер, позволяющих привести информационную систему в соответствие с требованиями по безопасности информации к заявленному классу, изложенными в нормативно-методических документах ФСТЭК.
Аттестационные (сертификационные) испытания содержат в себе анализ уже имеющихся на объекте информационных систем персональных данных, а также вновь принятых решений по обеспечению безопасности информации и включают проверку:
— организационно-режимных мероприятий по обеспечению защиты информации;
— защищенности информации от утечек по техническим каналам (ПЭМИН);
— защищенности информации от несанкционированного доступа.
По результатам аттестационных испытаний принимается решение о выдаче аттестата соответствия информационной системы заявленному классу по требованиям безопасности информации. Аттестат выдается сроком на три года.
В методических документах ФСТЭК установлены также дополнительные требования по наличию лицензий на ведение деятельности по защите персональных данных. Без наличия соответствующих лицензий проведение подобных мероприятий возможно только для информационных систем третьего и четвертого класса.
Для проведения мероприятий по обеспечению безопасности персональных данных для специальных информационных систем, систем первого и второго класса и распределенных (в том числе подключенных к сети Интернет) систем третьего класса операторы обязаны в установленном порядке получить лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации.
Законность требований проведения процедур декларирования, сертификации (аттестации) и лицензирования государственными и муниципальными учреждениями на основании методических документов ФСТЭК вызывает большие сомнения.
Во-первых, документами ДСП, не опубликованными в установленном порядке, не могут быть установлены обязанности для организаций, тем более влекущие за собой значительные финансовые затраты.
Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти*(7) (п. 1.2) относит к служебной информации ограниченного распространения несекретную информацию, касающуюся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью. Установление обязанностей по лицензированию деятельности организаций никак не может быть признано информацией ДСП.