Федеральная служба безопасности (ФСБ) поддержала вопросы к безопасности разворачиваемых в регионах систем мониторинга граждан в период самоизоляции. Служба напомнила о необходимости согласовывать с ней подобные разработки и готова оперативно проверять их на наличие угроз, следует из межведомственной переписки. Такие системы должны подпадать под закон «О безопасности критической информационной инфраструктуры (КИИ)», что и распространяет на них требования ФСБ и ФСТЭК, считают юристы.
ФСБ поддерживает предложения о необходимости «должной защищенности» систем мониторинга поведения граждан в период пандемии коронавируса, изложенные в заключении московского отделения Ассоциации юристов России (МО АЮР;
Служба готова рассматривать подобные антикризисные информационные системы на предмет наличия угроз безопасности в недельный срок, указано в документе.
Все информационные системы для мониторинга граждан должны соответствовать требованиям ФСБ и Федеральной службы по техническому и экспортному контролю (ФСТЭК) по защите от несанкционированного доступа, изменения или уничтожения информации, так как ценность и чувствительность для граждан собираемых данных крайне высока, указывало ранее МО АЮР в обращении в правительство, мэрию Москвы, Минкомсвязь и ФСБ. Вследствие высокой социальной значимости подобные информационные системы могут подпадать под регулирование федерального закона «О безопасности КИИ» со всеми вытекающими требованиями по обеспечению безопасности, которые утверждены ФСБ, отмечало МО АЮР, выражая сомнения в соответствии их указанным требованиям. До сих пор неизвестно, например, готовила ли мэрия Москвы модели угроз и техническое задание на создание информационной системы и были ли эти данные направлены на рассмотрение в ФСБ, отмечает председатель комиссии АЮР по новым технологиям Станислав Пугинский. В департаменте информационных технологий (ДИТ) Москвы не смогли оперативно ответить на запрос.
Роскомнадзор после рассмотрения заключения МО АЮР направил запрос ДИТ Москвы о предоставлении информации об условиях обработки и использования полученных через приложение «Социальный мониторинг» персональных данных пользователей, чтобы сделать выводы о соответствии приложения требованиям закона «О персональных данных», следует из письма ведомства. Персональные данные по достижении целей их обработки необходимо уничтожить, напомнили в Роскомнадзоре. В самой Минкомсвязи при этом не видят необходимости в принятии дополнительных мер для соблюдения защищенности информационных систем и обработки данных, следует из ответа министерства МО АЮР.
Некоторые регионы, например, Татарстан, уже объявляют, что начали удалять собранные информационными системами мониторинга данные о гражданах, отмечает доцент факультета права НИУ ВШЭ Александр Савельев. В Москве своя ситуация — здесь официально действует экспериментальный режим для развития искусственного интеллекта, напоминает он, но «остается надеяться», что, несмотря на это, Роскомнадзор проследит за соблюдением закона.
ФСБ поддерживает предложения о необходимости «должной защищенности» систем мониторинга поведения граждан в период пандемии коронавируса, изложенные в заключении московского отделения Ассоциации юристов России (МО АЮР;
Для просмотра ссылки необходимо нажать
Вход или Регистрация
), следует из письма руководителя научно-технической службы ФСБ Эдуарда Черновольцева в Минкомсвязь (есть у “Ъ”). При разработке таких систем необходимо согласовывать технические задания и модели угроз безопасности информации с ФСБ, отмечается в письме.Служба готова рассматривать подобные антикризисные информационные системы на предмет наличия угроз безопасности в недельный срок, указано в документе.
Все информационные системы для мониторинга граждан должны соответствовать требованиям ФСБ и Федеральной службы по техническому и экспортному контролю (ФСТЭК) по защите от несанкционированного доступа, изменения или уничтожения информации, так как ценность и чувствительность для граждан собираемых данных крайне высока, указывало ранее МО АЮР в обращении в правительство, мэрию Москвы, Минкомсвязь и ФСБ. Вследствие высокой социальной значимости подобные информационные системы могут подпадать под регулирование федерального закона «О безопасности КИИ» со всеми вытекающими требованиями по обеспечению безопасности, которые утверждены ФСБ, отмечало МО АЮР, выражая сомнения в соответствии их указанным требованиям. До сих пор неизвестно, например, готовила ли мэрия Москвы модели угроз и техническое задание на создание информационной системы и были ли эти данные направлены на рассмотрение в ФСБ, отмечает председатель комиссии АЮР по новым технологиям Станислав Пугинский. В департаменте информационных технологий (ДИТ) Москвы не смогли оперативно ответить на запрос.
К объектам КИИ относятся системы мониторинга, которые принадлежат госорганам, учреждениям или лицам, которые осуществляют деятельность в областях, указанных в законе «О безопасности КИИ», напоминает и ФСТЭК в своем ответе Минкомсвязи на запрос позиции по поводу письма МО АЮР (есть у “Ъ”). Речь идет, в частности, об информационных системах в сфере здравоохранения и транспорта, напоминает директор Deloitte Legal в СНГ Екатерина Портман. При этом внедрение и эксплуатация систем мониторинга граждан в период пандемии связаны именно с поддержанием общественного здоровья, что и может распространять на них требования к КИИ, считает она, соглашаясь, что быстрое внедрение систем в связи с пандемией могло привести к несоответствию в части соблюдения безопасности и защиты данных.Вячеслав Лысаков, первый зампред комитета Госдумы по госстроительству, в письме генпрокурору от 14 мая (цитата по «Интерфаксу»)
Лица, имеющие доступ к сведениям пропускной системы Москвы, получают информацию без всяких формальностей, установленных федеральными законами
Роскомнадзор после рассмотрения заключения МО АЮР направил запрос ДИТ Москвы о предоставлении информации об условиях обработки и использования полученных через приложение «Социальный мониторинг» персональных данных пользователей, чтобы сделать выводы о соответствии приложения требованиям закона «О персональных данных», следует из письма ведомства. Персональные данные по достижении целей их обработки необходимо уничтожить, напомнили в Роскомнадзоре. В самой Минкомсвязи при этом не видят необходимости в принятии дополнительных мер для соблюдения защищенности информационных систем и обработки данных, следует из ответа министерства МО АЮР.
Некоторые регионы, например, Татарстан, уже объявляют, что начали удалять собранные информационными системами мониторинга данные о гражданах, отмечает доцент факультета права НИУ ВШЭ Александр Савельев. В Москве своя ситуация — здесь официально действует экспериментальный режим для развития искусственного интеллекта, напоминает он, но «остается надеяться», что, несмотря на это, Роскомнадзор проследит за соблюдением закона.