В КАКИХ КРИПТОГРАФИЧЕСКИХ СРЕДСТВАХ ИСПОЛЬЗУЮТСЯ КОДЫ ШИФРОВАНИЯ

Криптографическое шифрование данных — это процесс преобразования информации с помощью кодирования.

Сообщение шифруется с помощью специального алгоритма (ключа) и отправляется получателю. Получатель, в свою очередь, использует аналогичный алгоритм расшифровки. В итоге информация защищена от получения третьими лицами и возможного использования ее злоумышленниками.

В современном мире этот метод технологии шифрования называется симметричным криптографическим ключом.

Цели и методы криптографической защиты информации

Цель криптографической защиты — обеспечение конфиденциальности и защиты информации в сетях в процессе ее обмена между пользователями.

Криптографическая защита информации в основном используется при:

Классы криптографической защиты информации

Криптографию можно разделить на три различных типа:

Симметричная криптография

Криптография с секретным ключом, или симметричная криптография, использует один ключ для шифрования данных. И для шифрования, и для дешифровки в симметричной криптографии используется один и тот же ключ. Это делает данную форму криптографии самой простой.

Криптографический алгоритм использует ключ в шифре для шифрования данных. Когда к данным нужно снова получить доступ, человек, которому доверен секретный ключ, может расшифровать данные.

Криптография с секретным ключом может использоваться как для данных, которые передаются в мети на данный момент, так и для данных в состоянии покоя — на носителе. Но обычно она используется только для данных в состоянии покоя, поскольку передача секрета получателю сообщения может привести к компрометации.

Пример алгоритмов симметричной криптографии:

Асимметричная криптография

Криптография с открытым ключом, или асимметричная криптография, использует два ключа для шифрования данных. Один из них используется для шифрования, а другой ключ расшифровывает сообщение. В отличие от симметричной криптографии, если один ключ используется для шифрования, этот же ключ не может расшифровать сообщение, для этого используется другой ключ.

Один ключ хранится в тайне и называется «закрытым ключом», а другой — «открытый ключ» — находится в открытом доступе и может быть использован любым человеком. Закрытый ключ должен оставаться только у владельца. Открытый ключ может быть передан другому человеку.

Примеры алгоритмов асимметричной криптографии:

Хеш-функции

Хеш-функции — это необратимые, односторонние функции, которые защищают данные ценой невозможности восстановить исходное сообщение.

Хеширование — способ преобразования заданной строки в строку фиксированной длины. Хороший алгоритм хеширования будет выдавать уникальные результаты для каждого заданного входа. Единственный способ взломать хеш — попробовать все возможные входы, пока не получится точно такой же хеш. Хеш может использоваться для хеширования данных (например, паролей) и в сертификатах.

Примеры алгоритмов хэширования:

Требования при использовании СКЗИ

На территории Российской Федерации регулирующим органам в вопросах информационной безопасности является ФСБ России. Типовые требования обеспечения и организации работы криптографических средств для материалов, не содержащих государственную тайну и используемых в процессе обработки персональных данных, были утверждены в ФЗ-149 (2008 г.).

В нем закреплен свод правил для урегулирования создания криптографических средств защиты информации и их применения.

Закон регулирует отношения, возникающие при:

Также этот закон включает:

Стоит отметить, что, несмотря на срок выпуска документа, информация в нем регулярно обновляется в соответствии с актуальными мировыми тенденциями в рамках информационной безопасности. Подробнее с видом документа можно ознакомиться по ссылке.

А что за границей?

Одним из примеров требований по защите информации на Западе можно назвать стандарты GO-ITS (The Government of Ontario Information Technology Standards). Согласно им, криптографические материалы должны быть надежно защищены, включая создание, хранение, распространение, использование, отзыв, уничтожение и восстановление ключей.

Требования подразделяются на различные области:

Образование и обучение. Технический персонал, который разрабатывает, внедряет или управляет системами, должен быть осведомлен о требованиях к криптографии в соответствии со стандартом.

Информация в хранилище. Чувствительная информация должна быть зашифрована при хранении или храниться в оперативном режиме с использованием безопасных хэш-функций. Зашифрованные конфиденциальные данные, хранящиеся более двух лет, должны быть зашифрованы. Если ответственность за зашифрованные данные передается другой организации, данные должны быть зашифрованы повторно, с помощью нового ключа.

Мобильные устройства, такие как смартфоны, планшеты, съемные носители, портативные компьютеры, которые обрабатывают или хранят конфиденциальные данные, должны шифровать все хранилище устройства. Если конфиденциальные данные хранятся на настольных компьютерах, эти данные должны быть зашифрованы. Чувствительные данные должны быть зашифрованы на уровне столбцов или полей/ячеек данных перед записью в хранилище данных.

Безопасность коммуникаций. Чувствительная информация должна быть зашифрована при передаче с помощью соответствующих средств. Целостность конфиденциальных данных должна проверяться с помощью утвержденного кода аутентификации сообщения или цифровой подписи. Цифровые подписи должны использовать точную временную метку из доверенного источника времени.

Развертывание криптографии. Все приложения криптографии должны использовать генератор случайных чисел или генератор псевдослучайных чисел; проверять действительность сертификатов и использовать только действительные сертификаты. Приложения должны безопасно удалять расшифрованную информацию, хранящуюся в кэше или временной памяти, сразу после завершения соответствующей деятельности. Приложения, обрабатывающие конфиденциальные данные и имеющие к ним доступ, должны проходить тестирование и оценку безопасности (STE) перед внедрением.

Защита криптографических материалов. Доступ к криптографическим материалам должен быть ограничен авторизованными пользователями, приложениями или службами. Криптографические ключи должны быть защищены в соответствии с чувствительностью информации, которую они защищают. По возможности ключи должны генерироваться с помощью защищенного программного модуля или аппаратного модуля безопасности. Для генерации ключей, защищающих конфиденциальную информацию, модули должны быть локальными.

Работа СКЗИ и их применение

Принцип работы средств защиты криптографической информации заключается в следующем:

Основными функциями средств (СКЗИ) являются:

Виды СКЗИ для электронной подписи — программные и аппаратные СКЗИ

Электронная подпись (ЭП) – это специальные реквизиты документа, позволяющие подтвердить принадлежность определенному владельцу, а также отсутствие факта внесения изменений в документ с момента его создания. Э П можно сравнить со средневековой восковой печатью, ставившейся на важные письма.

На данный момент существуют два вида средств, применяемых при криптографической защите информации: отдельно устанавливаемые программы и встроенные в устройство.

К первому типу относятся следующие программы:

Они работают с основными ОС и сертифицированы в соответствии с актуальными ГОСТами. Основным их минусом является лицензирование: придется платить деньги за приобретение лицензии для каждого нового устройства.

К вшитым в устройство программам относятся:

Используя данный тип СКЗИ, пользователь решает главную проблему предыдущего класса. Здесь устройству достаточно иметь доступ к сети, так как процесс шифрования и дешифровки производится внутри носителя. Основным правовым фактором, регулирующим деятельность в этой сфере, является ФЗ-63, подробнее о котором можно прочитать здесь.

Области использования электронной подписи

От пользователя может быть нужен как базовый сертификат, так и квалифицированный, в котором содержится специальный идентификатор. Квалифицированная электронная цифровая подпись отличается повышенной защищенностью.

Электронная отчетность. Это одна из главных сфер, где используется электронная подпись. При этом имеется в виду отчетность, которая предоставляется в различные государственные структуры: ФСС, ПФР, ФНС и прочие. При отправке документов требуется квалифицированный сертификат ЭП, который предоставляется уполномоченному сотруднику организации.

Системы госзакупок для различных бюджетных организаций. Они проводятся посредством аукционов, где требуется квалифицированная ЭП (на основании ФЗ-44 от 14.07.22) для подписания контрактов и прочих действий.

Электронный документооборот между компаниями (в случае подписания счет-фактуры). Здесь юридическую силу документа также гарантирует только квалифицированная ЭП.

На этом список применения ЭП не заканчивается: она также требуется для работы с порталами госструктур, таких как РКН, Госуслуги, Единый федеральный реестр сведений о банкротстве, Росимущество и прочих.

Алгоритмы электронной подписи

Целью цифровых подписей является аутентификация и проверка подлинности документов и данных. Это необходимо, чтобы избежать цифровой модификации (подделки) при передачи официальных документов.

Как правило, система с асимметричным ключом шифрует с помощью открытого ключа и расшифровывает с помощью закрытого ключа. Однако порядок, шифрующий ЭП, обратный. Цифровая подпись шифруется с помощью закрытого ключа, а расшифровывается с помощью открытого. Поскольку ключи связаны, расшифровка с помощью открытого ключа подтверждает, что для подписания документа был использован соответствующий закрытый ключ. Так проверяется происхождение подписи.

На изображении выше показан весь процесс — от подписания ключа до его проверки.

Рассмотрим каждый шаг подробнее:

Существует два стандартных для отрасли способа реализации вышеуказанной методологии: алгоритмы RSA и DSA. Оба служат одной и той же цели, но функции шифрования и дешифровки довольно сильно отличаются.

Что такое алгоритм RSA?

Алгоритм RSA — это алгоритм подписи с открытым ключом, разработанный Роном Ривестом, Ади Шамиром и Леонардом Адлеманом. Статья с описанием алгоритма была впервые опубликована в 1977 году. Он использует логарифмические функции для того, чтобы работа была достаточно сложной, чтобы противостоять перебору, но достаточно упрощенной, чтобы быть быстрой после развертывания. На изображении ниже показана проверка цифровых подписей по методологии RSA.

RSA также может шифровать и расшифровывать общую информацию для безопасного обмена данными наряду с проверкой цифровой подписи. На рисунке выше показана вся процедура работы алгоритма RSA.

Что такое алгоритм DSA?

Алгоритм цифровой подписи — это стандарт FIPS (Федеральный стандарт обработки информации) для таких подписей. Он был предложен в 1991 году и всемирно стандартизирован в 1994 году Национальным институтом стандартов и технологий (NIST). Алгоритм DSA обеспечивает три преимущества:

На рисунке выше показана работа алгоритма DSA. Здесь используются две различные функции — функция подписи и функция проверки. Разница между изображением типичного процесса проверки цифровой подписи и изображением выше заключается в части шифрования и дешифровки.

Правовое регулирование применения криптографических средств в РФ

Основным регулирующим документом является ФЗ-149. Однако он по большей части определяет участников процесса и их действия. Самим же объектом взаимодействия являются персональные данные пользователей — любая информация, относящаяся прямо или косвенно к определенному физическому лицу. Положения о персональных данных, в том числе общедоступных персональных данных, оговорены в ФЗ-152.

Храните данные в соответствии с 152-ФЗ.

Этими законами определяется, что проводимые действия должны быть реализованы в данных подсистемах:

Также вся деятельность, связанная с оказанием  услуг в сфере криптографической защиты, подлежит лицензированию, которая осуществляется ФСБ РФ. К требованиям лицензирования относится следующее:

К СКЗИ относятся следующие средства:

Некоторые СКЗИ бывают выведены из-под лицензирования. В их числе средства, применяемые для ИП или для собственных нужд юридических лиц. Подробнее об этом можно узнать непосредственно в ФЗ.

Защита криптографической информации в коммерческой деятельности

Современные предприятия хранят и управляют большей частью своей личной и конфиденциальной информации в режиме онлайн — в облаке с бесперебойным подключением к сети. Именно по этой причине компании включают шифрование в свои планы по обеспечению безопасности облачных данных. Им важно сохранить конфиденциальность и безопасность своих данных независимо от их местонахождения.

Для решения этой задачи применяются различные устройства шифрования, приборы защиты телефонии. С КЗИ применяется для офисного оборудования, такого как факсы, телекс или телетайп. Также в коммерческой отрасли применяется система электронных подписей, упомянутая выше.

Использование шифровальных криптографических средств в современном мире

Криптографическая защита информации и персональных данных является неотъемлемой частью любой информационной деятельности. В данный момент на рынке представлено множество средств для решения этой задачи. Среди них КриптоПро CSP, Signal-COM CSP, РуТокен ЭЦП и некоторые другие программы, рассмотренные в данном материале.

Область создания и применения СКЗИ находится под непосредственным контролем ФСБ РФ и ФСТЭК — любая информационная система согласовывается с этими органами.

В целях реализации пункта 3 части 5 статьи 23 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», пункта 5.2.4 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16 марта 2009 г. № 228, приказываю:

1. Утвердить прилагаемые Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения.

2. Признать утратившими силу Временные рекомендации по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утверждённые заместителем руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А. А. Приезжевой 30 декабря 2014 г.

3. Признать утратившими силу Рекомендации по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утверждённые заместителем руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А. А. Приезжевой 29 января 2016 г.

4. Контроль за исполнением настоящего приказа возложить на заместителя руководителя А. А. Приезжеву.

Приложениек приказу Роскомнадзораот 30.05.2017 № 94

Методические рекомендациипо уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения

1.1. Настоящие методические рекомендации подготовлены в целях разъяснения порядка направления операторами, осуществляющими обработку персональных данных (далее — Оператор), сведений об обработке (намерении осуществлять обработку) персональных данных, об изменении ранее представленных сведений, о прекращении обработки персональных данных (далее — Рекомендации).

1.2. Согласно пункту 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16.03.2009 № 228, Роскомнадзор является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных.

В соответствии с пунктом 3 части 5 статьи 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) уполномоченный орган по защите прав субъектов персональных обязан вести реестр операторов.

1.3. Ведение реестра операторов (далее — Реестр) включает в себя:

1.3.1. Внесение сведений об Операторе в Реестр на основании поданного уведомления.

1.3.2. Внесение изменений в сведения об Операторе, содержащиеся в Реестре, на основании полученного информационного письма.

1.3.3. Внесение в Реестр сведений о прекращении Оператором обработки персональных данных на основании поступившего заявления.

1.3.4. Предоставление выписки из Реестра на основании поступившего заявления.

1.4. На Портале персональных данных и официальном сайте Роскомнадзора размещается вся информация, касающаяся ведения Реестра, в том числе:

1.4.1. Рекомендованная форма уведомления об обработке (о намерении осуществлять обработку) персональных данных (Уведомление) (Приложение № 1).

1.4.2. Рекомендованная форма уведомления о внесении изменений в сведения об операторе в Реестре (Информационное письмо) (Приложение № 2).

1.4.3. Рекомендованная форма заявления о прекращении оператором обработки персональных данных (Приложение № 3).

1.4.4. Рекомендованная форма заявления о предоставлении выписки из Реестра (Приложение № 4).

1.4.5. Общедоступные сведения об Операторе, содержащиеся в Реестре.

Основные понятия

2.1. Оператор — федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, иные государственные органы (далее — государственные органы), органы местного самоуправления, иными муниципальными органами (далее — муниципальные органы), юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.

2.2. Официальный сайт — сайт Роскомнадзора в информационно-телекоммуникационной сети «Интернет» по адресу http://rkn.gov.ru

2.3. Портал персональных данных — сайт уполномоченного органа по защите прав субъектов персональных данных в информационно-телекоммуникационной сети «Интернет» по адресу http://pd.rkn.gov.ru/.

2.4. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.5. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (далее — субъект персональных данных) (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных).

2.6. Специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни).

2.7. Биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность (биометрические персональные данные) и которые используются Оператором для установления личности субъекта персональных данных.

Уведомление об обработке (намерении осуществлять обработку) персональных данных (Уведомление)

3.1. Уведомление уполномоченного органа по защите прав субъектов персональных данных осуществляется Оператором до начала обработки персональных данных и включает следующие сведения:

3.1.1. Наименование (фамилия, имя, отчество), адрес Оператора, включающие в себя:

3.1.1.1. Для юридических лиц (Операторов):

полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (Оператора), осуществляющего обработку персональных данных;

наименование филиалов (представительств) юридического лица (Оператора), осуществляющего обработку персональных данных;

индивидуальный номер налогоплательщика (ИНН);

основной государственный регистрационный номер (ОГРН).

3.1.1.2. Для физических лиц:

фамилия, имя, отчество (при наличии) физического лица (Оператора);

данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ;

индивидуальный номер налогоплательщика (ИНН, при наличии).

3.1.1.3. Для государственных и муниципальных органов (Операторов):

полное и сокращенное наименование государственного, муниципального органа;

наименование территориальных органов, осуществляющих обработку персональных данных;

При указании наименования (фамилии, имени, отчества), адреса Оператора, а также направления деятельности рекомендуется использовать также ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС).

3.1.2. Цель обработки персональных данных. Указываются цели обработки персональных данных, а также их соответствие деятельности, при которой такая обработка осуществляется.

3.1.3. Категории персональных данных. Рекомендуется учитывать все категории персональных данных, подлежащих обработке Оператором.

3.1.4. Категории субъектов, персональные данные которых обрабатываются.

Рекомендуется указать категории субъектов персональных данных и виды отношений Оператора с субъектами (физическими лицами), персональные данные которых обрабатываются (например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (Оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных или иных гражданско-правовых отношениях с юридическим лицом (Оператором) и др.).

3.1.5. Правовое основание обработки персональных данных.

Рекомендуется указать весь перечень нормативных правовых актов, которые закрепляют основания и порядок обработки Оператором персональных данных и соответствуют полномочиям Оператора. Не рекомендуется указывать в качестве правового основания часть 1 статьи 6 Закона № 152-ФЗ. Номер и наименование лицензии на осуществляемый вид деятельности (для лицензируемых видов деятельности) и пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся субъектов персональных данных) (при наличии такого запрета).

3.1.6. Перечень действий с персональными данными, общее описание используемых Оператором способов обработки персональных данных.

Предполагаются действия, совершаемые Оператором с персональными данными, а также описание используемых Оператором способов обработки персональных данных:

— неавтоматизированная обработка персональных данных;

— исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;

— смешанная обработка персональных данных.

При автоматизированной обработке персональных данных либо смешанной обработке желательно указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети Оператора (информация доступна лишь для строго определенных сотрудников) либо информация передается с использованием сети связи общего пользования (например, Интернет), либо без передачи полученной информации.

3.1.7. Описание мер, предусмотренных статьями 18.1 и 19 Закона № 152-ФЗ, предполагает указание организационных и технических мер, применяемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.

При использовании Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств, представляются следующие сведения:

а) наименование используемых криптографических средств;

б) класс средств криптографической защиты информации (СКЗИ).

Данную информацию рекомендуется представлять на основании приказа ФСБ России от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

3.1.8. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты.

3.1.9. Дата начала обработки персональных данных.

Рекомендуется указать конкретную дату (число, месяц, год) начала любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными (как правило, это дата начала осуществления Оператором деятельности, закрепленной в уставных документах).

3.1.10. Срок или условие прекращения обработки персональных данных.

Рекомендуется указывать конкретную дату (число, месяц, год) или основание (условие), наступление которого повлечет прекращение обработки персональных данных.

3.1.11. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки, предполагают указание перечня иностранных государств, на территорию которых осуществляется трансграничная передача персональных данных.

3.1.12. Сведения о месте нахождения базы данных, содержащей персональные данные граждан Российской Федерации (далее — база данных), включают в себя:

— наименование стран размещения базы данных;

— конкретные адреса местонахождения базы данных.

Полный перечень сведений, которые могут быть включены в базу данных, содержится в электронной форме Уведомления, размещенной на Портале персональных данных.

3.1.13. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Уведомление рекомендуется оформлять на бланке оператора по форме, определённой Приложением 1 к Рекомендациям, и направлять в территориальный орган Роскомнадзора (далее — ТО Роскомнадзора) по месту регистрации Оператора в налоговом органе.

3.2. Оператор направляет Уведомление в ТО Роскомнадзора в виде документа на бумажном носителе или в форме электронного документа, подписанного уполномоченным лицом. Электронная форма Уведомления и порядок ее заполнения размещены на Портале персональных данных Роскомнадзора.

3.3. В случае представления оператором неполных или недостоверных сведений представленные данные в Реестр не вносятся, а в адрес Оператора направляется письмо, содержащее перечень недостающих сведений и предложение их предоставить.

3.4. Оператору рекомендуется сообщить по запросу Роскомнадзора (ТО Роскомнадзора) уточненные сведения в течение 30 дней со дня получения такого запроса. Если в течение 30 дней со дня получения запроса Оператор не представил уточненные сведения, то по истечении указанного срока Уведомление с неполными или недостоверными сведениями возвращается Оператору без внесения сведений о нем в Реестр.

3.5. Информация о внесении сведений об Операторе в Реестр размещается на официальном сайте и Портале персональных данных.

Уведомление об изменении ранее предоставленных сведений персональных данных (Информационное письмо)

4.1. В случае изменения ранее представленных сведений оператор в течение 10 рабочих дней с момента возникновения таких изменений направляет в уполномоченный орган по защите прав субъектов персональных данных Информационное письмо.

4.2. Информационное письмо рекомендуется оформлять на бланке Оператора по форме, определённой Приложением 2 к Рекомендациям, и направлять в ТО Роскомнадзора по месту регистрации Оператора в налоговом органе.

4.3. В случае установления факта размещения в Реестре недостоверной или неполной информации об Операторе сотрудник Роскомнадзора (ТО Роскомнадзора) информирует Оператора путём направления в его адрес письма о перечне недостающих или неточных сведений об Операторе, необходимых для внесения (изменения) в Реестр.

4.4. Информация о внесении сведений об Операторе в Реестр размещается на официальном сайте и Портале персональных данных Роскомнадзора.

Уведомление о прекращении обработки персональных данных (Заявление)

5.1. Оператор считается прекратившим обработку персональных данных при наступлении следующих условий:

5.1.1. Ликвидация Оператора.

5.1.2. Прекращение деятельности Оператора в результате его реорганизации.

5.1.3. Аннулирование лицензий на осуществление лицензируемой деятельности Оператора, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных.

5.1.4. Вступившее в законную силу решение суда о прекращении Оператором обработки персональных данных.

5.1.5. Наступление для Оператора срока или условия прекращения обработки персональных данных, указанных им в Уведомлении.

5.2. В случае прекращения обработки персональных данных Оператор в течение 10 рабочих дней со дня наступления заявленного срока или условия прекращения обработки персональных данных направляет в уполномоченный орган по защите прав субъектов персональных данных Заявление с приложением документов, подтверждающих условия исключения оператора.

5.3. Заявление рекомендуется оформлять на бланке Оператора по форме, определённой Приложением 3 к Рекомендациям, и направлять в ТО Роскомнадзора по месту регистрации Оператора в налоговом органе.

5.4. При поступлении в Роскомнадзор (ТО Роскомнадзора) Заявления в Реестр вносятся сведения о прекращении Оператором обработки персональных данных.

5.5. Информация о прекращении Оператором обработки персональных данных, внесённая в Реестр, размещается на официальном сайте и Портале персональных данных Роскомнадзора.

Получение выписки из Реестра

6.1. Сведения об Операторе, содержащиеся в Реестре, являются общедоступными и размещаются для ознакомления на официальном сайте и Портале персональных данных Роскомнадзора. Тем не менее, любое заинтересованное лицо вправе обратиться в Роскомнадзор (ТО Роскомнадзора) для получения выписки об Операторе из Реестра.

6.2. Заявление о представлении выписки рекомендуется составлять по форме, определённой Приложением 4 к настоящим методическим рекомендациям, и направлять в ТО Роскомнадзора по месту регистрации указанного Оператора в налоговом органе.

6.3. Выписка из Реестра предоставляется при наличии в заявлении следующих сведений:

6.3.1. Полного наименования, ИНН, ОГРН, адреса местонахождения и почтового и/или электронного адреса заинтересованного юридического лица и фамилии, имени, отчества (последнее — при наличии), почтового и/или электронного адреса заинтересованного физического лица.

6.3.2. Наименования Оператора, его ИНН (ОГРН) и/или регистрационного номера записи в Реестре.

6.4. При отсутствии в заявлении о предоставлении выписки из Реестра необходимых для её предоставления сведений в адрес Заявителя направляется письмо с указанием причины отказа в предоставлении выписки из Реестра.

Приложение № 1к Методическим рекомендациям по уведомлениюуполномоченного органа оначале деятельности пообработке персональных данныхи внесении изменений в ранеепредставленные сведения

Уведомление об обработке

(полное и сокращенное наименования (ИНН, ОГРН), фамилия, имя, отчество

(при наличии) Оператора)

(адрес местонахождения и почтовый адрес Оператора)

(правовое основание обработки персональных данных)

(цель обработки персональных данных)

(категории персональных данных)

(категории субъектов, персональные данные которых обрабатываются)

Обработка вышеуказанных персональных данных будет осуществляться путем:

(перечень действий с персональными данными, общее описание используемых

Оператором способов обработки персональных данных)

Для обеспечения безопасности персональных данных принимаются следующие

(описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона

N 152-ФЗ от 27.07.2006 «О персональных данных», в т.ч. сведения о

шифровальных (криптографических) средств и наименования этих средств;

контактных телефонов, почтовые адреса и адреса электронной почты)

Сведения  о  наличии  или   об   отсутствии     трансграничной передачи

(при наличии трансграничной передачи персональных данных в процессе их

указывается перечень иностранных государств, на территорию которых

трансграничная передача персональных данных)

Сведения  о  месте  нахождения  базы  данных   информации,   содержащей

персональные данные граждан Российской Федерации:

(страна, адрес местонахождения базы данных,

наименование информационной системы (базы данных)

Сведения об обеспечении безопасности персональных данных:

(сведения об обеспечении безопасности персональных данных в

Дата начала обработки персональных данных:

Срок или условие прекращения обработки персональных данных:

(число, месяц, год или основание (условие), наступление которого повлечет

прекращение обработки персональных данных)

(должность)              (подпись)           (расшифровка подписи)

«____» _______________ 20_____ г.

Приложение № 2к Методическим рекомендациям по уведомлениюуполномоченного органа оначале деятельности пообработке персональных данныхи внесении изменений в ранеепредставленные сведения

в реестре операторов

(полное и сокращенное наименования (ИНН,ОГРН), фамилия, имя, отчество

(регистрационный номер записи в реестре)

используемых оператором способов обработки персональных данных)

Для обеспечения безопасности персональных данных принимаются  следующие

с указанием перечня иностранных государств, на территорию которых

осуществляется трансграничная передача персональных данных)

повлечет прекращение обработки персональных данных)

«___» _____________ 20__ г.

Приложение № 3к Методическим рекомендациям поуведомлениюуполномоченного органа оначале деятельности пообработке персональныхданных и внесении измененийв ранее представленныесведения

о внесении в реестр операторов сведений о прекращении оператором

(полное наименование (фамилия, имя, отчество — при наличии) заявителя)

(адрес местонахождения, почтовый адрес заявителя)

Сведения об операторе:

(наименование, ИНН (ОГРН), регистрационный номер записи в реестре)

Основание исключения из реестра:

(ликвидация Оператора, реорганизация Оператора, прекращение

деятельности по обработке пд,

аннулирование лицензии, наступление срока или условия прекращения

обработки, решение суда)

(должность)              (подпись)             (расшифровка подписи)

«___» ________________  20__ г.

(прилагаемые документы, подтверждающие условия исключения Оператора из

Приложение № 4к Методическим рекомендациям поуведомлениюуполномоченного органа оначале деятельности пообработке персональныхданных и внесении измененийв ранее представленныесведения

о предоставлении выписки из реестра операторов

(полное наименование (фамилия, имя, отчество) заявителя)

(ИНН, ОГРН заявителя)

Сведения о запрашиваемом операторе:

Наименование Оператора, ИНН (ОГРН), и/или регистрационный номер записи в

(должность)                 (подпись)              (расшифровка подписи)

«___» ________________ 20___ г.

Утверждены методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения.

Роскомнадзор ведет реестр операторов, обрабатывающих персональные данные. Речь идет о федеральных, региональных органах власти, иных госорганах, о муниципальных органах, юрлицах или физлицах, организующих и (или) осуществляющих обработку персональных данных.

Операторы уведомляют Роскомнадзор до начала обработки персональных данных.

При изменении ранее представленных сведений оператор в течение 10 рабочих дней направляет в Роскомнадзор информационное письмо.

Если в реестре размещена недостоверная или неполная информация об операторе, Роскомнадзор информирует его об этом. Уточненные сведения рекомендуется представить в течение 30 дней со дня получения такого запроса.

Предусмотрены случаи, когда оператор считается прекратившим обработку персональных данных.

Сведения об операторе, содержащиеся в реестре, являются общедоступными и размещаются для ознакомления на официальном сайте и портале персональных данных Роскомнадзора. Вместе с тем любое заинтересованное лицо вправе обратиться в Роскомнадзор для получения выписки об операторе.

Приводятся формы необходимых уведомлений, заявлений, писем.

Утратили силу временные рекомендации по заполнению формы уведомления об обработке персональных данных, а также рекомендации по заполнению формы уведомления.