Федеральная служба по техническому и экспертному контролю (ФСТЭК) признала уязвимость персональных данных и текстов обращений граждан, которые направляются в госорганы через официальные сайты.
Об этом сообщило агентство ТАСС, приводящее ответ ФСТЭК на запрос депутата Госдумы Ильи Костунова. В нем руководитель ФСТЭК Владимир Селин разделил озабоченность вопросом обеспечения безопасности персональных данных и сообщений пользователей на сайтах органов госвласти, а также напомнил, что ФСТЭК своим приказом утвердила требования к операторам о защите информации, не составляющей гостайну, содержащуюся в государственных информационных системах, передает cnews.ru.
Отсутствие шифрования персональных данных в процессе их передачи госорганам может привести к утечке информации третьим лицам. В этом контексте под персональными данными подразумевается любая информация о физическом лице, в том числе его фамилия, имя, отчество, дата и место рождения, адрес проживания, семейное и социальное положение, данные о доходах, образовании, состоянии здоровья и профессии.
Согласно требованиям ФСТЭК, операторы, в частности, должны «обеспечивать меры по защите информации от раскрытия, модификации и навязывания (ввода ложной информации)», а именно создавать «защищенное соединение с применением криптографических средств защиты информации».
Кто такой депутат Костунов
В сентябре 2015 г. депутат Костунов обращался в Минэкономразвития и ФСТЭК с предложением ввести обязательное шифрование персональных данных граждан и их обращений в государственные органы. По его словам, распространенное сейчас использование открытого протокола http означает, что «любой компьютер на пути прохождения информации в интернете может скопировать или изменить текст, отправленный в госорган
По мнению депутата, «важно донести до федеральных органов власти информацию о том, что их сайты и веб-приемные являются неотъемлемой частью государственной информационной системы». По его мнению, в отдельных населенных пунктах сети «связи могут оказаться под косвенным контролем представителей местных чиновников или преступных групп, не заинтересованных, чтобы жалобы или сообщения о преступлениях уходили через интернет напрямую в Генпрокуратуру или ФСБ».
В конце мая 2015 г. депутат Костунов уже выражал обеспокоенность по поводу установки интернет-счетчиков посетителей компаниями Google, «Яндекс», Mail.ru, Twitter и др. на сайтах государственных и муниципальных органов власти и государственных услуг (копия обращения имеется в распоряжении CNews). По этому поводу он также отправлял запрос в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций.
В запросе депутат подчеркивал, что счетчики стоят не только на главных страницах сайтов госорганов, но также на страницах для работы с персональными данными граждан. В качестве примера в запросе приводился портал госуслуг г. Москвы, в разделе работы с персональными данными которого стояли счетчики Google Analytics и «Яндекс.Метрики».
В июне 2015 г. депутат Костунов в запросе вице-премьеру Дмитрию Рогозину, ФСБ и Минобороны предлагал ограничить использование иностранных сервисов компаний Google, Yahoo, Skype и др. российскими спецслужбами и чиновниками. Копию запроса депутат разместил в своем твиттере.
Перспективы решения вопроса
Комментируя ответ, полученный из ФСТЭК, Костунов пообещал, что в ближайшее время планирует направить запросы в ведомства о планируемых сроках введения защиты сообщений граждан, оставляемых на сайтах госорганов.
Официальные документы, регламентирующие защиту персональных данных граждан
Федеральный закон РФ №242 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», регламентирующий хранение и обработку персональных данных россиян в интернете с использованием серверов, расположенных на территории России, был подписан Президентом РФ Владимиром Путиным 21 июля 2014 г. и вступил в силу 1 сентября 2015 г.
Новый закон внес поправки в ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г., ФЗ «О персональных данных» от 27 июля 2006 г. и ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» от 26 декабря 2008 г.
Поправки обязывают операторов интернет-сайтов «обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ». Исключение из закона сделано для личной информации, которая передается в рамках международных соглашений: так, при сборе личных данных для выдачи виз российским гражданам иностранные государства могут хранить их на своей территории. Также в августе 2015 г. Минкомсвязи разъяснило, что закон не коснется систем бронирования авиабилетов.
Новый закон касается тех компаний, у которых есть русскоязычная версия сайта, использующих домены в зоне .ru или .рф, проводящих расчеты по сделкам в рублях. В частности, под действие вступающих в силу норм попадают почтовые сервисы, поисковики, социальные сети, а также интернет-магазины.
Меры по подключению государственных информационных систем и информационно-коммуникационных сетей госорганов к интернету через его российский государственный сегмент также регламентируются Указом президента РФ от 22 мая 2015 г. «О некоторых вопросах информационной безопасности РФ».
