В последнее время достаточно часто задается вопрос о необходимости передачи (отправки) персональных данных по электронной почте (E-mail), в том числе и к осуществлению подготовки к передаче персональных данных через веб-интерфейс почтового Интернет-сервиса. Особенно этот вопрос актуален, когда речь заходит о выполнении комплекса мероприятий по защите персональных данных.
В соответствии с ч.1 ст.19 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных" оператор персональных данных при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Передача (подготовка к передаче) персональных данных по электронной почте осуществляется по каналам связи, имеющим выход за пределы контролируемой зоны по TCP-портам: IMAP – 143 и 993; POP3 – 110 и 995; SMTP – 25, 587 и 465; HTTP – 80; HTTPS – 443.
В соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18.02.2013 №21, оператор персональных данных при передаче (подготовке передачи) персональных данных по электронной почте выполняет следующие меры безопасности персональных данных:
- АВЗ.1 Реализация антивирусной защиты;
- ЗИС.3 Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи;
- ОЦЛ.4 Обнаружение и реагирование на поступление в ИСПДн незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию ИСПДн (защита от спама).
Реализация базовой меры ЗИС.3 обеспечивается путем защиты каналов связи от несанкционированного физического доступа (подключения) к ним и (или) применения с использованием сертифицированных ФСБ России СКЗИ в соответствии с Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ от 13.06.2001 №152.
С учетом вышеизложенного, передача (подготовка передачи) персональных данных по электронной почте без использования сертифицированных ФСБ России СКЗИ не обеспечивает защиту персональных данных от раскрытия, модификации и навязывания (ввода ложной информации). Таким образом, ЗАПРЕЩЕНО операторам персональных данных осуществлять передачу (подготовку к передаче) персональных данных по электронной почте без использования сертифицированных ФСБ России СКЗИ.
Передача (подготовка к передаче) персональных данных по электронной почте без использования сертифицированного ФСБ России СКЗИ является фактом разглашения персональных данных и нарушением требований к защите персональных данных, установленных Законом о персональных данных. Лица, осуществляющие передачу (подготовку к передаче) персональных данных по электронной почте, а также с использованием информационно-телекоммуникационной сети "Интернет", без использования сертифицированных ФСБ России СКЗИ, несут предусмотренную законодательством Российской Федерации ответственность:
- дисциплинарную (п.«в» ст.81 ТК РФ);
- гражданско-правовую (ст.151 ГК РФ);
- административную (ч.1 ст.13.6, ч.6 ст.13.12, ст.13.14, ч.7 ст.13.15 КоАП РФ);
- уголовную (ст.272 УК РФ).
ВЫВОДЫ
Операторам персональных данных ЗАПРЕЩЕНА передача (подготовка к передаче) персональных данных по электронной почте без использования СКЗИ.
В целях обеспечения безопасности персональных данных операторы персональных данных обязаны осуществлять передачу (подготовку к передаче) персональных данных по электронной почте с использованием сертифицированных ФСБ Росси СКЗИ и выполнять базовые меры АВЗ.1, ЗИС.3, ОЦЛ.4.
Операторы персональных данных осуществляющие передачу (подготовку к передаче) персональных данных по электронной почте без использования сертифицированных ФСБ России СКЗИ несут предусмотренную законодательством Российской Федерации ответственность.