До часа «Х» – меньше 100 дней. Что делать с персональными данными?

До часа «Х» – меньше 100 дней
Что делать с персональными данными?

На вопросы «СА» отвечают сопредседатели комитета по информационной безопасности МОО «Союз ИТ-директоров России» Виктор Минин и Юрий Шойдин.

– Бизнес-сообщество сегодня активно обсуждает Федеральный закон «О персональных данных». 1 января 2010 года информационные системы персональных данных (ИСПДн) должны быть приведены в соответствие с его требованиями. Времени для этого мало. Что делать?

– Необходимо разделять позицию законодателя в отношении операторов, которые обязаны обрабатывать персональные данные (ПДн) согласно требованиям ФЗ и в отношении субъектов персональных данных, права которых должны быть защищены.

Очень условно деятельность оператора ПДн можно разделить на две части – «нетехническая» и «техническая». «Нетехническая» (административная и документарная) сторона вопроса защиты оператором обрабатываемых персональных данных заключается в формировании документарной базы, являющейся основой защиты ПДн, и административных мероприятий, позволяющих судить о защите ПДн.

Если говорить о «технической» стороне, необходимо учитывать, что в информационной системе предприятия приложений, обрабатывающих ПДн, значительно больше, чем мы себе представляем.

Поэтому их выявление и выполнение технических мероприятий по защите – одна из первостепенных задач оператора.

К сожалению, вышедший ФЗ имеет целый ряд существенных нестыковок с ранее действующими законодательными актами.

– Что это за противоречия?

– Согласно закону данные, попадающие под его действие, можно трактовать как самостоятельный режим «ограниченного использования». Значит, необходимо «вынесение» ПДн из других существующих режимов. С точки зрения законодательства такой подход неверен, потому что «персональные данные» по классификации являются информацией, а не режимом.

В законе «Об информации, информационных технологиях и защите информации» указывается, что персональные данные не должны передаваться пользователю без согласия субъекта, а в законе «О персональных данных» отмечается ответственность оператора персональных данных за их распространение.

Еще одной острой юридической проблемой является лицензирование. Дело в том, что закон «О персональных данных» не предусматривает лицензирования деятельности оператора ПДн.

С другой стороны, есть закон «О лицензировании отдельных видов деятельности», согласно которому в определенных случаях, например когда оператор обрабатывает ПДн не только для собственных нужд, их защита подлежит лицензированию.

Стоит отметить, что всем операторам придется получать соответствующие лицензии ФСТЭК и/или ФСБ. По крайней мере, до тех пор, пока вопрос лицензирования не будет разъяснен регуляторами.

Есть и другие трудности. Одна из них – организационно-финансовая. Так, многие компании и организации не включили в свой бюджет на 2009 год затраты на создание систем по защите ПДн. Поэтому в текущем году они могут не успеть их создать. Особенно с учетом финансового кризиса.

Еще хуже обстоит ситуация с органами власти и бюджетными организациями. При разработке и утверждении закона «О персональных данных» Правительство РФ не рассматривало выделение бюджетным организациям средств на приведение своих информационных систем в соответствие с требованиями закона.

В результате существует два возможных варианта развития ситуации. Первый вариант – если ряд существенных поправок не будет урегулирован до конца 2009 года, то, возможно, придется сдвинуть крайний срок приведения информационных систем персональных данных в соответствие с требованиями ФЗ № 152 с 1 января 2010 года на более поздний срок.

Второй вариант – закон вступит в действие с 1 января 2010 года, а все коллизии будут решаться в судебном порядке, персонально.

– Кто и как будет осуществлять контроль над его выполнением?

– Контроль операторов персональных данных осуществляется тремя регуляторами. ФСБ России отвечает за лицензирование деятельности операторов ПДн, при использовании ими при защите ПДн криптографических средств защиты. ФСТЭК России контролирует требования при категорировании и в части технической защиты ИСПДн, а также лицензирование деятельности операторов ПДн при осуществлении ими технической защиты конфиденциальной информации. И, наконец, Россвязькомнадзор контролирует деятельность оператора в части обеспечения организации защиты ПДн, регистрацию операторов ПДн и ведение реестра операторов.

Будем надеяться, что контролирующие организации будут производить проверки не по очереди, а одновременно.

– С чего начать разработку системы защиты персональных данных?

– Всем операторам нужно, в первую очередь для себя, закрепить документально основные понятия обработки конкретных персональных данных субъектов.

Единый документ об обработке персональных данных в организации должен предвосхитить все вопросы, которые могут возникнуть у уполномоченного органа. Поэтому необходим предварительный анализ документации оператора, которая содержит персональные данные субъектов.

При проведении такого анализа и составлении текста «Положения» важно учитывать возможность типизации ПДн. К примеру, когда оператор обрабатывает персональные данные субъектов с единой целью, например, для предоставления услуги связи, в «Положении» должны быть четко сформулированы понятия цели, способов, перечня обрабатываемых персональных данных и прочее.

Если оператор обрабатывает ПДн работников, преследуя различные цели, к примеру, для начисления заработной платы, установления пропускного режима, учета в кадровом делопроизводстве, возникает потребность их типизировать относительно цели обработки, и это должно быть отражено в «Положении».

Такая система описания позволит оператору эффективно ориентироваться в документах, содержащих персональные данные, давать ответы на запросы субъектов и уполномоченного органа.

Еще одна проблема – сроки хранения документов и информации, содержащей персональные данные. Законодательство, пожалуй, впервые устанавливает для информации и документов максимальный, и к тому же условный, срок хранения – «по достижении целей обработки». Организации должны будут установить сроки хранения документов, содержащих ПДн, причем необходимо заранее продумать обоснование выбранных сроков хранения.

Что касается технических мероприятий, то они должны включать в себя учет лиц, допущенных к работе с персональными данными в информационной системе. При этом лица, доступ которых к ПДн, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, должны допускаться к соответствующим данным на основании списка, утвержденного оператором или уполномоченным лицом.

Сам по себе этот список для информационной системы мало что значит. Важно обеспечить разграничение доступа к приложениям в соответствии со списком и дать пользователям именно те права, которые им необходимы для выполнения должностных обязанностей. Сделать это без эффективной системы управления идентификацией и доступа будет весьма затруднительно.

Кроме того, должны быть реализованы мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным и/или передачи их лицам, которые не имеют права доступа к такой информации, а также обеспечивающие своевременное обнаружение фактов несанкционированного доступа к ПДн. Все запросы пользователей ИСПДн на получение персональных данных и факты предоставления ПДн по этим запросам должны регистрироваться автоматизированными средствами информационной системы в электронном журнале обращений, содержание которого должно периодически проверяться ответственными лицами оператора.

Сложность при категорировании, защите и сертификации ИС возникает в связи с тем, что современные автоматизированные ИС используют программные продукты, целиком охватывающие все предприятие. При повсеместном использовании ERP-систем, где этот модуль интегрирован в саму систему, защищать и сертифицировать придется всю автоматизированную ИС.

– Как создать систему защиты ПДн?

Во-первых, нужно организовать руководство вопросами организации защиты ПДн.

Во-вторых, необходимо создать два направления по обеспечению защиты обрабатываемых ПДн. Это техническое направление и направление «нетехнической» защиты, обязанности которого, в свою очередь, можно перераспределить по структурным подразделениям согласно целям обработки.

Например, защита персональных данных в кадровом делопроизводстве, в контрольно-пропускной системе, юридическом структурном подразделении (при учете договоров с субъектами ПДн). При этом должностной инструкцией должна быть установлена персональная ответственность работников этих направлений за надлежащую защиту ПДн.

Приступать к технической защите можно после проведения категорирования персональных данных и определения их объема. Эта операция позволит определить класс защиты ПДн и осуществить подбор необходимых средств, удовлетворяющих требованиям класса защиты. Необходимо также продумать создание системы технической защиты персональных данных. Произвести подготовку и провести аттестацию системы технической защиты ПДн.

– Как классифицировать ИСПДн? Каковы требования к аттестации информационных систем?

– На основании закона классификацию ИСПДн оператор персональных данных должен осуществить самостоятельно. При этом модель угроз создается не исходя из своего опыта и здравого смысла, а на основании методики и базовой модели, утвержденной ФСТЭК.

Что касается общих требований безопасности ИСПДн, то они определены в законе. Оператор при обработке ПДн обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.

– Какие могут быть последствия, если ничего этого не делать?

– Законодательство устанавливает уголовную ответственность за нарушение неприкосновенности частной жизни [1], за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений [2].

Кроме того, гражданское законодательство предусматривает защиту нематериальных благ граждан, включающих, в частности, неприкосновенность частной жизни, личную и семейную тайну, деловую репутацию. Устанавливается компенсация морального вреда, возможность требования по суду возмещения убытков и опровержения сведений, порочащих честь, достоинство и деловую репутацию гражданина [3].

Использование несертифицированных информационных систем, баз и банков данных, несертифицированных средств защиты информации, если они подлежат обязательной сертификации, влечет их конфискацию [4].

А нарушение правил защиты информации и отказ в предоставлении гражданину информации может привести к административному приостановлению деятельности организации сроком до 90 суток [5].

Разглашение информации, доступ к которой ограничен ФЗ, и в частности персональных данных (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, которое имело к ней доступ по служебным или профессиональным обязанностям, карается административным штрафом до десяти тысяч рублей [6].

Приложение

Досье

 ВИКТОР МИНИН, советник председателя Совета МОО АЗИ, председатель Общественного консультативного совета по научно-технологическим вопросам информационной безопасности Комиссии по информационной безопасности при Координационном совете государств – участников СНГ по информатизации при РСС

 ЮРИЙ ШОЙДИН, директор по ИТ ГК «Интарсия», член правления СПб Клуба ИТ-директоров, член МОО СоДИТ

Кстати

По оценкам Россвязькомнадзора, операторами персональных данных являются около 3 млн российских компаний и организаций. Под надзор должны попасть более полутора миллионов из них. В прошлом году Россвязькомнадзор провел 76 проверок операторов ПДн. Результатом проверки стало 19 предписаний об устранении обнаруженных нарушений, пять административных дел переданы в суд. Сегодня лидерами по нарушениям являются банки и другие финансовые организации. Нарушения, отмеченные у них, в большей степени носят организационный характер. На втором месте – предприятия ЖКХ, а третье и четвертое делят операторы связи и страховые компании.

Документы, которые должны быть у оператора ПДн

• Письменное согласие субъекта персональных данных.
• Нормативный документ (перечень), аккумулирующий информацию о персональных данных, обрабатываемых оператором (в том числе их категория, объем и сроки хранения).
• Положение о персональных данных и их защите.
• Должностные инструкции сотрудников, имеющих отношение к обработке персональных данных.

Дополнительно нужно отметить особенности документа «согласие субъекта ПДн». Требования к форме письменного согласия установлены ФЗ (п.4 ст.9). Письменная форма применяется в случаях если:

• персональные данные включаются в общедоступные источники;
• оператором обрабатываются специальные (раса, национальность, политические взгляды, религиозные убеждения, состояние здоровья, интимной жизни) и биометрические персональные данные (характерные физиологические особенности).

 Кроме того, письменное согласие субъекта требуется:

• при любой передаче (распространении) его персональных данных;
• при запрашивании любых персональных данных субъекта у третьего лица;
• при принятии оператором решения, порождающего юридические последствия в отношении субъекта персональных данных;
• при трансграничной передаче персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных.

Этапы проведения обработки персональных данных

• Обследование (аудит) бизнес-процессов компании на наличие в них ПДн.
• Инвентаризация ИС, обрабатывающих ПДн.
• Оценка законности обработки ПДн и наличие согласия субъектов на обработку.
• Контроль и корректировка договорных отношений с субъектами.
• Формирование перечня ПДн и проведение категорирования.
• Определение целей обработки ПДн.
• Определение сроков и условий прекращения обработки ПДн.
• Разграничение доступа пользователей к ПДн в ИСПДн.
• Формирование документов регламентирующих работу с ПДн.
• Формирование модели угроз, содержащей актуальные угрозы информационной безопасности персональным данным при их обработке в информационной системе.
• Классификация ИСПДн.
• При, необходимости определенной в №152-ФЗ, направить уведомление об обработке ПД в уполномоченный орган по защите прав субъектов персональных данных, Роскомнадзор (http://www.rsoc.ru/main/directions/874).
• Приведение системы защиты ПДн в соответствие требованиям регуляторов.
• При необходимости, определенной методическими документами ФСТЭК России и ФСБ России получить необходимые лицензии.
• Аттестация ИСПДн.
• Эксплуатация ИС – мониторинг, выявление и реагирование на инциденты ИБ.

1. Уголовный кодекс Российской Федерации, ст. 137.
2. Уголовный кодекс Российской Федерации, ст. 138.
3. Гражданский кодекс Российской Федерации, часть 1, ст. 150, 151, 152.
4. Кодекс Российской Федерации об административных правонарушениях, ст. 13.12.2.
5. Кодекс Российской Федерации об административных правонарушениях, ст. 5.39 и ст.13.12.
6. Кодекс Российской Федерации об административных правонарушениях, ст. 13.14.