Защита персональных данных: как рынку вырваться из противоречий?
Станислав Макаров
Федеральный закон № 152-ФЗ от 27.07.2006 "О персональных данных" действует уже четыре года, однако в части выполнения технических требований вступление его в силу постоянно откладывается - на сей раз до 1 июля 2011 г. При этом в полном объеме к нему не готовы ни операторы, ни регуляторы. В ближайшее время ожидается принятие поправок, которые сделают его исполнение более реальным. О том, что они изменят, в чем основные сложности, насколько они преодолимы и как компаниям все же "соблюсти букву закона", говорили участники круглого стола "Защита персональных данных: помогут ли отсрочки, организованного CNews Analytics совместно с CNews Conferences.
История с 152-ФЗ развивается по классическому сценарию: "строгость законов Российской Империи компенсируется необязательностью их выполнения". В первой редакции требования по защите персональных данных по своей строгости были сопоставимы с защитой гостайны. По мнению экспертов, их реализация в масштабах всей страны могла составить до нескольких процентов ВВП, что было бы явно чрезмерно. С другой стороны, важность этого закона очевидна.
Никому не хочется, чтобы его персональные данные были доступны любому. В современном мире такие риски слишком высоки, чтобы можно было их игнорировать, они варьируются от просто получения нежелательной рекламы до криминальных ситуаций.
Сложностей слишком много
По мнению аналитиков, основная проблема в области защиты персональных данных (ПДн) - это большое количество операторов ПДн, их общее число порядка 5-7 млн., а на сегодняшний день в реестре Роскомнадзора зарегистрировано всего 190 тыс.
Вторая проблема - запутанность регулирования во области ПДн. В это вовлечено много ведомств, включая ФСБ, ФСТЭК, Роскомнадзор, Роструд, для банков еще и Центробанк, которые часто предъявляют противоречивые требования.
С другой стороны, ответственность за несоблюдение норм 152-ФЗ такова, что некоторые организации придерживаются позиции, что дешевле будет платить штрафы, чем реализовать весь комплекс мер по защите ПДн согласно закону.
Глобализация еще больше осложняет ситуацию с персональными данными. Это касается вопросов трансграничной передачи данных, что актуально для международных компаний, ведущих свою деятельность в России, а также и для провайдеров облачных услуг, дата-центры которых могут располагаться и за рубежом.
Социальные сети - это вообще отдельная тема. На сегодня это самые большие хранилища персональных данных, причем люди передают их туда совершенно добровольно. Многие из них, Facebook, LinkedIn и др. вообще находятся вне российской юрисдикции. Другие, например, "ВКонтакте" и "Одноклассники", хоть и размещаются в России, не являются операторами ПДн, пользователи размещают информацию о себе добровольно.
При этом именно социальные сети практически всегда оказываются в центре всех громких скандалов, связанных с утечкой и криминальным использованием персональных данных, таких как дело с похищением Ивана Касперского.
Банковские противоречия
В банковской сфере к защите тайны вкладов и операций своих клиентов по традиции относятся очень серьезно. Поэтому требования 152-ФЗ банкиров не пугают - в чем-то они даже мягче, чем требования "своего" регулятора - Центробанка. Об этом и о практическом опыте реализации положений 152-ФЗ говорил Олег Казакевич, советник президента АРБ по безопасности.
Банковское сообщество предлагает закрепить в качестве универсальной модели регулирования отраслевые стандарты по обеспечению защиты ПДн, утверждаемые отраслевыми регуляторами или по согласованию с ними; и также закрепить положение, в соответствии с которым ПДн, на которые распространяются режим налоговой, банковской, коммерческой или иной тайны, защищаются в рамках этого режима и не требуют дополнительных мер защиты.
Поскольку не во всех банках есть свои специалисты по информационной безопасности, АРБ выступила инициатором создания консультационного центра, который помогает мелким и средним банкам обеспечить выполнение требований закона о персональных данных.
Тему защиты ПДн в банках продолжил Алексей Бабенко, старший аудитор компании "Информзащита". Он подробно остановился на том, что выполнение требований стандарта Банка России по информационной безопасности банковских систем (СТО БР ИББС) может также обеспечить соблюдение норм 152-ФЗ "О персональных данных". Этот стандарт основан на стандарте ISO 27000 и предъявляет к информационной безопасности даже более жесткие требования, чем 152-ФЗ, особенно в части документирования политик и процедур, реализуя процессный подход, основанный на лучших практиках.
Защита или просто формальность?
Алексей Страхов, руководитель направления ИБ компании "Ниеншанц", привлек внимание к другому аспекту проблемы персональных данных. Формальное соблюдение требований законодательства в области ПДн и желание отчитаться перед регулятором не должны заслонять истинной цели - обеспечения реальной защиты.
Г-н Страхов остановился на технических и юридических аспектах этой проблематики. По его словам, существуют требования к ИБ-системам, но отсутствуют - к приложениям, например к CRM, которые по своей сути работают с персональными данными. Для обеспечения реальной защиты одной проверки на НДВ недостаточно: должно быть определено и зафиксировано, что приложение может делать, а что - нет. Например, сегодня многие ИС позволяют копировать данные на компьютер пользователя, это очевидная брешь в безопасности.
С юридической стороны, существует ответственность оператора за несоблюдение требований к защите, но отсутствует ответственность за утечку ПДн перед государством и перед их субъектом.
Он также отметил, что многие руководители пренебрегают вопросами ИБ, подобно тому, как некоторое время назад у нас в стране почти все пренебрегали ремнями безопасности. Однако введение штрафов и контроль со стороны государства позволили изменить ситуацию.
Не затраты, а вложения
Александр Вернигора, замдиректора департамента ИТ группы компаний "Маском", предложил рассматривать затраты на защиту ПДн как вложения.
Объем работ по приведению ИС в соответствие с требованиями предполагает закупку и внедрение ряда технических решений, и за последние годы заказчики из различных ведомств и министерств, банковского сектора, профучастники фондового рынка часто озвучивали мысль, что вся деятельность такого рода - это прямые затраты, которые никогда не окупятся.
Внедрение подобных решений необходимо не только для соблюдения требований 152-ФЗ, но также для обеспечения соответствия международным и отраслевым стандартам. Это позволяет говорить о достижении более высокого уровня защищенности системы и показать своим деловым партнерам, инвесторам и клиентам, что в организации вопросы безопасности решаются на должном уровне.
Часто функционал внедряемых систем богаче, чем было бы нужно только для защиты ПДн, и это можно использовать для решения других задач. В частности это относится к внедрению DPL-систем (Data Leak Protection, предотвращения утечек).
Организации должны задать себе вопрос - защищать персональные данные или защищаться от 152-ФЗ? Будут ли это затраты или инвестиции, зависит от целей проекта.
Ожидание бесконечно?
Александр Минченко, начальник отдела техподдержки, "Группа КапиталЪ Управление Активами", рассмотрел вопрос о том, стоит ли ждать или уже нужно действовать в области защиты ПДн. Конечно, на сегодняшний день законодательство еще не гармонизировано, технические требования к защите ПДн, изложенные в приказе ФСТЭК, основаны на РД по защите от НСД двадцатилетней давности и относят системы обработки ПДн к АС первой группы, что фактически приравнивает персональные данные к гостайне.
Стандарт Банка России, о котором уже ранее шла речь, имеет некоторые противоречия с действующим законодательством. На сегодня большая часть кредитных организаций России (75-80%) приняла его либо планирует это сделать. В этой связи, учитывая широкое применение стандарта, эта неоднозначная ситуация должна быть решена отнюдь не на уровне договоренностей между ЦБ и регулятором.
Г-н Минченко выразил надежду, что законопроект №282499-5 депутата ГД В.М. Резника "О внесении изменений в федеральный закон "О персональных данных" (в части уточнения условий и правил обработки персональных данных)" будет способствовать тому, чтобы требования регулятора соотвествовали принципу соразмерности мер защиты размеру ущерба.
Отсрочки принесли положительные для операторов ПДн изменения. В опубликованных документах ФСТЭК (по сравнению с первоначальными версиями ДСП) отменены требования обязательной аттестации ИСПДн, получения лицензии на ТЗКИ и использования сертифицированных СЗИ, что значительно облегчает и удешевляет для операторов исполнение закона 152-ФЗ.
Можно сэкономить
Поскольку рано или поздно отсрочки исчерпают себя, всем операторам ПДн придется задуматься о том, как выполнить требования 152-ФЗ при минимальных для себя издержках. Своим опытом поделился Сергей Миронов, начальник отдела информационной безопасности "Акадо-Столица".
Возможны различные способы снижения издержек. Например, объединение всех серверных систем в одну информационную систему - тогда защищать и аттестовывать придется только одну.
Другой метод - минимизация объема персональных данных, обрабатываемых на рабочих местах, и объединение их в соответствующие информационные системы. Это позволяет снизить класс аттестуемой системы. Например, ИС операторов call-центра, ИC бухгалтерии.
Уменьшить затраты на эту процедуру также можно за счет обезличивания сведений. Например, в личном кабинете ФИО можно заменить на имя и отчество. Тогда система вообще перестает считаться обрабатывающей персональные данные.
Следует также уделить внимание более точному наименованию информационных объектов, чтобы исключить использование персональных данных. Например, вместо адреса абонента использовать - "адрес установки оборудования", вместо мобильного и домашнего телефона - "контактный телефон".
Несколько спорным показалось предложение г-на Миронова заключать и хранить договоры с абонентами только в бумажном виде. Конечно, при этом в системе никакие персональные данные не обрабатываются, но сможет ли она адекватно выполнять свои задачи? Бизнес-процесс, построенные на бумажных документах не могут быть достаточно оперативными.
ИБ-особенности регистрации доменов
Александр Панов, управляющий партнер компаний Hosting Community, осветил специфику работы с персональными данным в бизнесе регистрации доменных имен. Фактически весь этот бизнес построен на обработке персональных данных, что позволяет установить и защитить права физических лиц на обладание теми или иными доменными именами. Однако это автоматически относит ИС регистратора доменных имен к первой категории.
Он обратил внимание на проблемы для бизнеса, которые возникают вследствие негармонизированности законодательства. Так, например, согласно ГК, договор в форме оферты заключить можно, однако на обработку персональных данных обязательно нужно письменное согласие субъекта ПДн.
Надо отдать должное, что этот процесс совершенствуется, и нам не будут нужны отсрочки тогда, когда количество несоответствий в законодательстве будет минимальным. Кроме того, по его мнению, некоторые противоречия лежат в самой бизнес-модели. Например, архивные копии реестра должны передаваться на хранение в американскую компанию Iron Mountain, т. е. возникает трансграничная передача ПДн.
А иногда дополнительные персональные данные собираются по инициативе правоохранительных органов. В частности, они потребовали собирать сканы паспортов, что сразу усложнило задачу защиты.
По мнению г-на Панова, отсрочки дают время законодателям согласовать требования по защите персональных данных с другими действующими законами. Наименее готовы к выполнению 152-ФЗ школы, больницы, государственные учреждения, которые не имеют в штате специалистов по ИБ и ограничены в своем бюджете.
Малые компании, которые не смогут самостоятельно обеспечить защиту ПДн, начнут пользоваться услугами крупных, и это логично, потому что последние уже инвестировали значительные средства в защиту персональных данный и помогут всем остальным.
Практика покажет
Наталья Долганова, зам. начальника отдела юридического департамента управляющей компании "КапиталЪ", рассказала о реализации организационных мер защиты персональных данных в соответствии с требованиями законодательства.
Ведь закон "О персональных данных" действует с 2006 г., за исключением только части требований по защите информационных систем ПДн, и операторы должны выполнять его требования. Им следует определить состав, цели и условия обработки ПД, уведомить уполномоченный орган по защите прав субъектов ПД о своем намерении осуществлять обработку ПД.
Особое внимание стоит обратить на наличие трансграничной передачи ПДн, а также тщательно проработать все юридические вопросы. Поскольку сам закон "О персональных данных" появился вследствие ратификации Конвенции Совета Европы о защите физлиц при автоматизированной обработке ПДн, то отношения с европейскими странами выстраиваются проще. А вот американское или канадское законодательство в области ПДн отличается сильнее.
Нужно учесть и ряд других нюансов, связанных с обработкой ПДн, в частности, провести проверку наличия обработки специальных категорий ПДн, касающихся расовой, национальной принадлежности, религиозных или философских убеждений, политических взглядов, состояния здоровья, интимной жизни.
В целом можно сказать, что выполнение организационных мер по обработке ПДн и надлежащее документирование этой деятельности значительно снижают риски конфликтов с регулятором и утечки персональных данных.
|