Разделы

Безопасность Госрегулирование Стратегия безопасности Пользователю

Защита персональных данных: откладывать больше нельзя

Закон "О персональных данных" (№152-ФЗ) поставил перед большинством российских компаний сложнейшую задачу, которую предстоит решить уже в этом году. Серьезность государства в этом вопросе очевидна: сформирована нормативная база, определена ответственность, контролирующие органы получили соответствующие полномочия, растет количество проверок. Между тем, сегодня далеко не все компании, обрабатывающие персональные данные, осознают необходимость их защиты и до конца понимают реальность и масштаб рисков невыполнения закона.

С каждым месяцем вопрос защиты персональных данных (ПДн) становится острее. У организаций, обрабатывающих такую информацию, остается все меньше времени до 1 января 2010 года, чтобы привести свои информационные системы в соответствие с федеральным законом №152-ФЗ. То и дело от Роскомнадзора поступают недвусмысленные сигналы о необходимости подачи заявки на регистрацию в качестве оператора ПДн. Если компания этого не сделала, она нарушает установленные законом требования, и ее деятельность может быть приостановлена регулирующим органом. И, судя по действиям Роскомнадзора, массовые проверки уже не за горами.

Закон №152-ФЗ несет в себе еще одну угрозу – дает дополнительный инструмент недобросовестным конкурентам. Что мешает подать заявление от лица субъекта персональных данных (конкретного гражданина) о нарушении его прав компанией, которой он сообщил личную информацию? Предприятие ждет еще одна проверка, отвлекающая силы от основного бизнеса. Поэтому задача построения защиты персональных данных выходит далеко за рамки полномочий департамента информационной безопасности. Ведь невыполнение требований закона несет угрозу не просто информационным ресурсам или интересам отдельных клиентов – возникает угроза для нормального функционирования самого бизнеса. Именно поэтому задача построения защиты персональных данных выходит далеко за рамки полномочий департамента информационной безопасности, и все важнейшие решения по проекту "Построение защиты персональных данных" должны приниматься на уровне высшего менеджмента организации.

"Подавляющее большинство организаций до сих пор не запустило проекты по приведению информационных систем в соответствие с положениями закона "О персональных данных",– отмечает исполнительный директор Leta IT-company Андрей Конусов. – Промедление было связано, прежде всего, с тем, что лишь совсем недавно появился полный массив нормативных актов регуляторов. Вторая причина в том, что организациям очень непросто решиться на серьезные траты и реорганизацию ряда бизнес-процессов, сохраняя традиционную надежду на то, что "беда пройдет стороной". Но, как показывает практика, государство не изменило своих намерений добиться реализации положений закона "О персональных данных" – это наглядно демонстрируют массовые проверки, которые уже начали проводить территориальные подразделения Роскомнадзора. В этой ситуации можно обратиться к специализированным ИБ-компаниям, предлагающим услуги по построению информационных систем ПДн. Но следует помнить, что и их ресурс ограничен. Предпринимать конкретные шаги в соответствии с требованиями 152-ФЗ необходимо как можно скорее, не дожидаясь, когда в дверь постучит проверка".

Типичные заблуждения операторов ПДн

Несмотря на то, что вопросы защиты персональных данных в России достаточно молоды, уже начали складываться определенные заблуждения в данной области. Приведем основные из них.

Первое – это уверенность, что пока можно ничего не делать и подождать, пока кого-то накажут. Такая компания не несет пока никаких затрат, не обучает сотрудников и не задумывается об изменении сложившихся процессов обработки ПДн. И надеется, что первые же громкие случаи процессов или каких-то санкций заставят регулирующие органы внести существенные коррективы. Например, значительно расширить список средств, разрешенных для использования в системах защиты ПДн, или сдвинуть сроки готовности системы защиты ПДн. Но такая компания, тем не менее, сильно рискует. Санкции, предусмотренные существующим законодательством, существенны. Сценарии, которые могут привести к наложению санкций, вполне реалистичны. Быстро выполнить все работы – от получения лицензии ФСБ до изменения отдельных процессов обработки данных – в ходе проверки попросту невозможно.

Другое заблуждение – убежденность в том, что действие закона не распространится именно на "нашу" компанию. Соответственно, тоже можно ничего не делать. Сторонники такого подхода приводят разные аргументы. Например, что в компании не ведется автоматизированная обработка персональных данных, и все делается на бумаге. Другие компании говорят: "У нас большая компания с иностранным капиталом, базы данных физически находятся на зарубежных площадках. Да и вообще – кто нас тронет?". Встречается и надежда на "блестящих юристов", которые докажут, что компания не является оператором ПДн. А некоторые считают, что если не подать заявку на оператора ПДн, то и с проверкой никто и не придет.


Закон №152-ФЗ ставит своей целью ввести достаточно жесткие ограничения, которым должен следовать оператор персональных данных

Однако в большинстве случаев регулирующие органы не разделяют подобную позицию, и если компания попадет в поле надзора, санкции окажутся неминуемы. "Лазейки" в действующей нормативной базе пока не выявлены, а если они и найдутся, то они будут немедленно закрыты.

В чем заключаются требования закона?

Закон №152-ФЗ призван защитить права и свободы человека при обработке его личной информации, в том числе право на неприкосновенность частной жизни, личную и семейную тайну. Персональные данные – это любая информация, относящаяся к определенному лицу: ФИО, адрес, номер телефона, семейное, социальное, имущественное положение, образование, профессия, размер доходов, отношение к религии, данные о здоровье, хобби – перечень поистине нескончаем. Также в законе определено понятие "оператор персональных данных" – это организация, которой свои персональные данные доверил сам человек, или другая организация, обрабатывающая их.

Сергей Барбашин, Росбанк: Даже самая хорошо защищенная компания может стать жертвой разрушительной кибератаки
безопасность

По сути, закон ставит своей целью ввести достаточно жесткие ограничения, которым должен следовать оператор персональных данных. Как уже упоминалось, он устанавливает дату, к которой информационные системы ПДн, созданные до вступления закона в силу, должны быть приведены в соответствие с его требованиями – не позднее 1 января 2010 года. Кроме того, оператор персональных данных в большинстве случаев обязан направить в уполномоченный государственный орган соответствующее уведомление.

Регуляторы и персональные данные

В соответствии с №152-ФЗ, в орбиту процессов, связанных с защитой ПДн, вовлечены три органа государственной власти: ФСБ, ФСТЭК и Роскомнадзор Министерства связи и массовых коммуникаций. Область ответственности у каждого из них своя. ФСБ традиционно курирует вопросы защиты информации с использованием средств шифрования (криптографии). ФСТЭК России осуществляет контроль защиты информации с применением технических средств. Одна из его компетенций – подтверждение отсутствия в средствах защиты информации недекларируемых ("шпионских") возможностей. Роскомнадзор является основным исполнительным и надзорным органом по защите прав физических лиц, чьи персональные данные обрабатываются.

Роскомнадзор обладает следующими правами: проводить проверку сведений, содержащихся в уведомлении, поданном оператором; привлекать для такой проверки другие государственные органы (ФСБ, ФСТЭК); принимать меры по приостановлению или прекращению обработки ПДн, осуществляемой с нарушением требований закона; обращаться в суд с исковыми заявлениями в защиту прав субъектов ПДн и представлять их интересы в суде. А также направлять заявления в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия его лицензии; направлять в правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел в связи с нарушением прав субъектов ПДн; привлекать к административной ответственности лиц, виновных в нарушении закона.

Список полномочий весьма внушительный – очевидно, что у Роскомнадзора достаточно рычагов воздействия практически на любую организацию. На практике регулировать данную сферу деятельности должен именно Роскомнадзор, а ФСБ и ФСТЭК будут привлекаться для контроля за реализованными мерами защиты ПДн. Дело в том, что организации, эксплуатирующие информационные системы ПДн определенных классов, должны получить лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. Кроме того, технические средства, которые будут использованы для защиты ПДн, необходимо сертифицировать в ФСТЭК. Именно методики ФСТЭК должны быть положены в основу "Модели угроз" для каждой информационной системы, обрабатывающей ПДн. Этот документ предстоит разработать каждому оператору. На выполнении этих аспектов, скорее всего, и будут сфокусированы сотрудники ФСТЭК, привлекаемые для проверок.

Всепроникающая безопасность: какие облачные ИБ-решения будут больше всего востребованы и почему
Облачные тренды

Закон также требует, чтобы организации, эксплуатирующие информационные системы ПДн определенных классов и передающие ПДн через общедоступные и международные сети, обеспечили их защиту с использованием криптографических средств. А деятельность по внедрению шифровальных (криптографических средств), как и по разработке телекоммуникационных систем, защищенных с использованием данных средств, подлежит лицензированию в органах ФСБ. Так что специалисты ФСБ в первую очередь уделят внимание наличию необходимых лицензий и использованию средств криптографической защиты, перечисленных в реестре ФСБ.

Что такое "категория персональных данных"

Законодательство вводит новое понятие – "категория персональных данных", всего таких категорий – четыре. К четвертой, наиболее простой, относятся обезличенные и (или) общедоступные персональные данные. В третью включается информация, позволяющая идентифицировать субъекта ПДн. Во вторую категорию входят данные, позволяющие не только идентифицировать субъекта, но и получить о нем дополнительную информацию. И, наконец, самая высокая, требующая наиболее серьезной защиты, первая категория объединяет данные, в которых отражены расовая, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь.