(1).jpg)
Передача сведений (документов), содержащих персональные данные, по электронной почте
Возникает необходимость передачи персональных данных (ПДн) между организациями в оперативном режиме, но не на постоянной основе (периодически или разово). Для передачи такой информации в электронном виде требуются защищенные каналы связи, сертифицированные ФСТЭК. Организовывать передачу ПДн по VipNet для разового или периодического его использования нецелесообразно, трудозатратно и не оперативно. В программном пакете КриптоПро 5.0.ххх имеется приложение "Инструменты КриптоПро", с помощью которого можно зашифровать информацию, содержащую ПДн, используя сертификат получателя.
1. Будет ли считаться нарушением передача зашифрованного с помощью КриптоПро-файла, содержащего информацию с ПДн, по открытым каналам связи, например, с помощью электронной почты?
2. Необходимо ли проводить предварительную организационную работу для передачи защищаемой информации таким способом?
Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ), который операторов в выборе способа направления (обмена) сведениями (документами или иными материальными носителями), содержащими персональные данные, не ограничивает, возлагая на них лишь обязанности по обеспечению конфиденциальности персональных данных, а также принятию отдельных мер, связанных с выполнением возложенных законодательством РФ в области персональных данных обязанностей.
Положениями ст. 19 Закона N 152-ФЗ установлено, что оператор обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий.
Обеспечение безопасности персональных данных достигается, в частности: определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн); выполнением требований к защите персональных данных, исполнение которых обеспечивает установленные постановлением Правительства РФ от 01.11.2012 N 1119 (далее - Постановление N 1119) уровни защищенности персональных данных; применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн и др.*(1).
Под информационной системой персональных данных в целях Закона N 152-ФЗ понимается совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств, при этом понятие база данных не раскрывается (п. 10 ст. 3 Закона N 152-ФЗ). Из п. 2 ст. 1260 ГК РФ следует, что базой данных является представленная в объективной форме совокупность самостоятельных материалов, систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью ЭВМ.
Согласно позиции Минцифры России, изложенной в письме от 21.03.2019 N П11-3690-ОГ, ИСПДн представляют собой совокупность информационных и программно-аппаратных элементов, основными из которых являются:
- персональные данные, содержащиеся в базах данных, как совокупность информации и ее источников, используемых в информационных системах;
- информационные технологии, как совокупность приемов, способов и методов применения средств вычислительной техники при обработке персональных данных;
- технические средства, осуществляющие обработку персональных данных, под которыми понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных;
- программные средства (операционные системы, системы управления базами данных, прикладное программное обеспечение и т.п.);
- средства защиты информации;
- вспомогательные технические средства и системы, к которым относятся средства и системы коммуникации, не предназначенные для обработки персональных данных, но размещенные в помещениях, в которых расположены ИСПДн.
С учетом того, что электронная почта (соответствующий почтовый сервис) позволяет собирать, накапливать, систематизировать, хранить и иным образом обрабатывать информацию, в том числе относящуюся к персональным данным, полагаем, что в указанной ситуации требования к защите персональных данных при обработке в ИСПДн, утвержденные Постановлением N 1119 и устанавливающие уровни защищенности персональных данных в зависимости от актуальных типов угроз, также являются применимыми*(2).
Законодательство РФ, расширяя возможности по использованию информационных технологий и технических средств, в том числе при обработке персональных данных, возлагает на оператора обязанности по обеспечению защиты такого рода информации (данных) от неправомерного доступа и иных несанкционированных действий, что должно найти как отражение в локальных актах оператора, так и фактическую реализацию путем принятия различного рода предусмотренных мер организационного и технического характера.
Выбор конкретных средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с приказом ФСТЭК России от 18.02.2013 N 21 и приказом ФСБ России от 10.07.2014 N 378*(3).
Роскомнадзором неоднократно ранее высказывалась позиция, что сама по себе передача персональных данных по незащищенным каналам связи Законом N 152-ФЗ не запрещена.
Вместе с тем стоит учитывать, что из приказа ФСТЭК России от 18.02.2013 N 21 следует, что меры по обеспечению безопасности персональных данных при их обработке в ИСПДн реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных*(4).
Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.
Оператору при передаче (подготовке передачи) персональных данных, в частности, по электронной почте, надлежит выполнять установленные меры безопасности персональных данных (антивирусная защита (АВЗ.1), защита персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи (ЗИС.3) и др.).
Реализация базовой меры ЗИС.3 обеспечивается путем защиты каналов связи от несанкционированного физического доступа (подключения) к ним и (или) применения с использованием сертифицированных ФСБ России средств криптографической защиты информации (далее - СКЗИ).
При этом использование СКЗИ для обеспечения безопасности персональных данных обязательно, если персональные данные подлежат криптографической защите в соответствии с законодательством РФ, а также если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ. К подобным случаям относятся: передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (в частности, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования); хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов и др.
Кроме того, решение о необходимости криптографической защиты персональных данных может быть принято конкретным оператором на основании технико-экономического сравнения альтернативных вариантов обеспечения требуемых характеристик безопасности информации, содержащей в том числе персональные данные*(5).
Соответственно, исходя из требований приказа ФСТЭК России от 18.02.2013 N 21, передача (подготовка передачи) персональных данных по незащищенным каналам передачи информации (например, электронной почте) без использования сертифицированных ФСБ России СКЗИ не обеспечивает должную защиту персональных данных от раскрытия, модификации и навязывания (ввода ложной информации), что может повлечь для оператора претензии со стороны ФСБ России и ФСТЭК России.
Таким образом, при рассмотрении вопросов, связанных с передачей персональных данных, по электронной почте (с использованием почтовых сервисов), необходимо исходить из принимаемых оператором мер, направленных на обеспечение их безопасности с учетом установленных требований, а также возможных рисков неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, способной повлечь нарушение прав субъектов персональных данных.
КриптоПро является сертифицированным СКЗИ по отдельным классам, что подтверждается соответствующими сертификатами ФСБ России. Как следует из инструкции по использованию приложения "Инструменты КриптоПро" определенной версии, рассматриваемая утилита предоставляет доступ к основным функциям и настройкам СКЗИ "КриптоПро", включая шифрование и расшифрование файлов. Шифрование файла выполняется с использованием выбранного сертификата. Для расшифрования файла на компьютере получателя должен быть установлен сертификат, который использовался для зашифрования, с соответствующим закрытым ключом.
Учитывая изложенные обстоятельства, полагаем, что передача сведений (документов), содержащих персональные данные, в зашифрованном рассматриваемым способом виде, по электронной почте законодательству в области персональных данных не противоречит. Вместе с тем исключить полностью возможные претензии со стороны ФСТЭК России или ФСБ России без учета всей совокупности принимаемых конкретным оператором мер и фактических обстоятельств мы не можем.
Что касается проведения предварительной организационной работы в целях передачи сведений, содержащих персональные данные, по электронной почте, в том числе в зашифрованном с использованием средств СКЗИ виде, полагаем, вопрос должен решаться с учетом принимаемых оператором правовых, организационных и технических мер по обработке персональных данных и обеспечению их безопасности, предусмотренных ст. 18.1, 19 Закона N 152-ФЗ, в частности, соответствующих локальных актов*(6).
Заключение каких-либо предварительных соглашений между операторами в целях передачи содержащих персональные данные сведений (документов), в том числе рассматриваемым способом, из положений законодательства о персональных данных не следует. При этом сама возможность находится в зависимости от использования адресатом (получателем) технических средств, позволяющих получить доступ к зашифрованной информации. Кроме того, в рассматриваемой ситуации полагаем целесообразным наличие подтверждения принадлежности адреса электронной почты, на который предполагается передача информации, ее адресату (получателю) в целях исключения неправомерного (случайного) доступа третьих лиц.
Официальная позиция по рассматриваемому вопросу, к сожалению, не обнаружена, в связи с чем в целях исключения негативных последствий рекомендуем обратиться непосредственно в адрес ФСТЭК России и ФСБ России учетом установленной компетенции.
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Беликова Татьяна
Контроль качества ответа:
Рецензент службы Правового консалтинга ГАРАНТ
Амирова Лариса
16 января 2025 г.
Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.
-------------------------------------------------------------------------
*(1) Обеспечение защиты информации, которой фактически являются любые сведения (сообщения, данные) независимо от формы их представления, возлагается и Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Закон N 149-ФЗ).
Статьей 16 Закона N 149-ФЗ также предусмотрено принятие правовых, организационных и технических мер, направленных на: обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; соблюдение конфиденциальности информации ограниченного доступа.
Обладатель информации, оператор информационной системы в случаях, установленных законодательством РФ, обязаны обеспечить: предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; своевременное обнаружение фактов несанкционированного доступа к информации; предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование и др. (ч. 4 ст. 16 Закона N 149-ФЗ).
*(2) Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать их предоставление, распространение, уничтожение, а также иные неправомерные действия (ч. 11 ст. 19 Закона N 152-ФЗ).
*(3) Также смотрите: Требования к безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденные приказом ФСТЭК России от 02.06.2020 N 76; Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденная приказом ФАПСИ от 13.06.2001 N 152; Методика оценки угроз безопасности информации, утвержденная ФСТЭК 05.02.2021; Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка), утвержденная ФСТЭК 15.02.2008 и др.
*(4) Меры по обеспечению безопасности персональных данных при их обработке в государственных информационных системах принимаются в соответствии с приказом ФСТЭК России от 11.02.2013 N 17 и приказом ФСБ России от 24.10.2022 N 524, применимыми также и к муниципальным информационным системам.
*(5) Смотрите подробнее: Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите персональных данных для каждого из уровней защищенности, утвержденные приказом ФСБ России от 10.07.2014 N 378; Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности (утверждены ФСБ России 31.03.2015 N 149/7/2/6-432).
*(6) Смотрите: Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденный постановлением Правительства РФ от 21.03.2012 N 211. Список документов, которые могут быть запрошены в ходе проверки Роскомнадзором соблюдения обязательных требований в области персональных данных; Примерный перечень документов, необходимых оператору персональных данных в соответствии с требованиями законодательства в сфере защиты персональных данных (подготовлено экспертами компании ГАРАНТ).
