8. Защита персональных данных АС ГРН
8.1. Нормативно-правовые акты по защите информации в АС ГРН
Правовую основу защиты данных в АС ГРН должны составлять правовые акты Российской Федерации:
· Конституция Российской Федерации;
· Федеральный закон от 05.03.1992 г. № 2446-1 "О безопасности";
· Федеральный закон от 21.07.1993 г. № 5485-1 "О государственной тайне";
· Федеральный закон от 10.06. 1993 г. № 5154-1 "О стандартизации";
· Федеральный закон от 20.02.1995г. № 24-ФЗ "Об информации, информатизации и защите информации";
· Федеральный закон от 04.07.1996г. № 85-ФЗ "Об участии в международном информационном обмене";
· Указ Президента Российской Федерации от 06.03.1992 г. № 188 "Об утверждении перечня сведений конфиденциального характера";
· постановление Правительства Российской Федерации от 21.02.1996г. № 226 «О государственном учете и регистрации баз и банков данных».
Информационную основу АС ГРН составляют персональные данные. В отличие от других видов информации персональные данные имеют свои особенности, поскольку непосредственно затрагивают интересы каждого гражданина, правовое положение которого определяется Конституцией Российской Федерации и регулируется федеральным законодательством. Персональные данные о гражданах требуют особого режима государственной защиты от попыток нарушения прав человека. В то же время государство должно обеспечить права доступа каждого гражданина к регистрационным данным о нем, возможность внесения дополнений и изменений в личные данные, а также обеспечить доступ к персональным данным государственных органов власти и юридических лиц, обеспечивающих свободу и права личности, развитие инфраструктуры жизнеобеспечения человека и общества. С этой целью необходимо разработать нормативные правовые документы, гарантирующие права человека, определенные в статье 24 Конституции Российской Федерации.
В настоящее время подготовлен проект федерального закона «Об информации персонального характера», который находится на рассмотрении в Государственной Думе Федерального Собрания Российской Федерации.
Важное значение для обеспечения защиты данных имеют постановление Правительства Российской Федерации от 15.09.1993 г. № 912-51, утверждающее «Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам», постановления Правительства Российской Федерации о регистрации граждан по месту жительства (месту пребывания), а также нормативные правовые документы, касающиеся регистрации актов гражданского состояния, положения об органах и инструкции по технологии проведения регистрации. При создании и функционировании АС ГРН эти нормативные правовые и иные акты должны быть изменены в соответствии с новыми требованиями.
При развитии правовой базы, регулирующей создание АС ГРН и использование персональных данных, необходимо учитывать требования и опыт мирового сообщества в сфере защиты персональных данных, в частности, требования Конвенции Совета Европы от 28.01.1991 г. № 108 «О защите личности в отношении автоматизированной обработки персональных данных», Директивы 95/46/ЕС Европейского парламента и Совета Европейского Союза «О защите прав частных лиц в отношении обработки персональных данных и о свободном обращении этих данных» и Директивы 97/66/EC Европейского парламента и Совета Европейского Союза «Об обработке персональных данных и защите права на невмешательство в частную жизнь в сфере телекоммуникации».
При разработке нормативной правовой базы АС ГРН необходимо учитывать принципы и рекомендации европейского законодательства, гарантирующие:
защиту конституционных прав и свобод личности;
отсутствие ограничений и запретов на обмен персональными данными по причинам, связанным с защитой прав и свобод личности;
предоставление личности возможности непосредственного контроля правильности записи и использования персональных данных;
создание системы государственного надзора за операциями по обработке персональных данных и др.
Учитывая трудоемкость и значительную стоимость создания баз данных АС ГРН, а также недопустимость несанкционированного доступа к ним необходимо решить вопросы, связанные с компенсацией финансовых потерь от различного рода действий, разрушающих информацию. Важное значение при функционировании АС ГРН приобретает вопрос возмещения ущерба населению при неправомочном использовании персональных данных. Указанные вопросы должны решаться с использованием страховых механизмов. Необходимо разработать «Положение о страховании информационных рисков при функционировании АС ГРН».
Разрабатываемые правовые акты по созданию и функционированию АС ГРН должны обеспечивать:
· распределение персональных данных по степеням защищенности и по категориям доступа;
· правовые механизмы, обеспечивающие защиту информации;
· организацию работ по защите информации;
· выполнение положений государственной системы защиты информации (ГСЗИ);
· сертификацию технических средств, программных средств и средств защиты персональных данных;
· лицензирование информационной деятельности по формированию и использованию данных АС ГРН;
· страхование информационных рисков.
8.2. Нормативно-технические акты, обеспечивающие защиту информации в АС ГРН
Основным видом защиты информации в АС ГРН является система защиты от несанкционированного доступа (СЗИ НСД). Для реализации такой защиты необходимо выставлять требования на разработку всей нормативно-технической документации на всех стадиях проектирования и ввода системы в эксплуатацию.
СЗИ НСД в АС ГРН должна соответствовать следующим нормативным документам:
· ГОСТ Р50739-95. СВТ. Защита от НСД к информации. ОТТ.
· Руководящие документы Гостехкомиссии России (1992 г.):
- РД АС. Защита от НСД к информации. Классификация АС и требования по защите информации.
- РД СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации.
- РД. Концепция защиты СВТ и АС от НСД к информации.
· ИСО/МЭК. Защита информации. Обозначение сертификатов.
· ИСО/МЭК. 7498-98. ИТ. Взаимосвязь открытых систем. Базовая эталонная модель.
· ИСО/МЭК. ППС 10181. ИТ. Взаимосвязь открытых систем. Основы защиты информации в открытых системах.
При создании телекоммуникационной сети АС ГРН для подтверждения авторства сообщений и обеспечения их целостности должны применяться средства электронной цифровой подписи.
Средства электронной цифровой подписи должны удовлетворять требованиям:
· ГОСТ Р3410-94. Процедура выработки и проверки электронной цифровой подписи на базе ассиметричного криптографического алгоритма.
· ГОСТ Р3411-94. Функция хеширования.
· Положение о порядке разработки, производства, реализации и использовании средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Положение ПКЗ-99).
При взаимодействии региональных баз персональных данных АС ГРН и баз данных федеральных органов государственной власти используется ИТКС специального назначения и сертифицированные средства криптографической защиты, удовлетворяющие дополнительно следующим требованиям:
· ГОСТ 28147-89. Система обработки информации. Защита криптографическая, Алгоритмы криптографического преобразования;
· Нормативным документам Федерального агентства правительственной связи и информации при Президенте Российской Федерации:
- Временные требования к средствам криптографической защиты конфиденциальной информации;
- Временные требования к устройствам типа межсетевые экраны.
Указанные нормативно-технические документы должны быть положены в основу создания и функционирования АС ГРН. Проектирование системы должно проводиться по модульному принципу. На каждый модуль системы должен быть определен отечественный профиль. Отечественные профили и технические условия на систему являются основой сертификации каждого модуля и системы в целом.
Структура модулей и система профилей АС ГРН должны быть определены на стадии проектирования. На стадии концепции определены основные функциональные комплексные модули:
· АИС ГРН регионального уровня;
· АИС ГРН муниципального уровня;
· АИС ЗАГС;
· АИС ПВС;
· ГАС «Выборы» в части использования данных системы в АС ГРН;
· Телекоммуникационная сеть АС ГРН;
· Протоколы и регламенты информационного взаимодействия внутри системы;
· Протоколы и регламенты информационного взаимодействия АС ГРН с пользователями;
· Информационно-телекоммуникационный центр.
На все эти составные части АС ГРН должна быть разработана техническая документация в соответствии с требованиями ГОСТ 34.003-90, ГОСТ 34.201-89, ГОСТ 34.601-90, включающая технические задания и проектную документацию, содержащую требования по защите информации. На основе этой документации должны быть сертифицированы все АИС в составе АС ГРН, все модули, а также средства и система защиты информации.
Указанные мероприятия по обеспечению модульности АС ГРН и сопряжению модулей особенно необходимы на муниципальном уровне, где должны быть созданы около 15000 АИС ПВС и АИС ЗАГС и около 3000 АИС ГРН муниципального уровня.
Соблюдение нормативно-технических требований и стандартов в системе АС ГРН является обязательным. Это должно обеспечиваться Федеральным информационно-телекоммуникационным центром АС ГРН.
8.3. Требования к средствам защиты информации
Построение АС ГРН должно предусматривать решение проблемы обеспечения гарантированной защиты данных о конкретных лицах. Средства защиты информации должны обеспечивать:
· защиту информации от несанкционированной модификации и разрушения на всех этапах ее обработки, хранения и передачи;