 |
|
|
|
Перегретая тема. И снова о персональных данных
Перегретая тема На вопросы читателей «СА» отвечают сопредседатели комитета по информационной безопасности Союза ИТ-директоров России Виктор Минин и Юрий Шойдин. До наступления ответственности по Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных» остаются считанные дни. Специалисты ИТ-сообщества понимают, что аттестация своей информационной системы неизбежна. В такой ситуации, когда тема персональных данных, по сути, «перегрета», абсолютно естественно, что некоторые коммерческие компании за баснословные деньги предлагают взволнованным руководителям ИТ и подразделений безопасности свои услуги по подготовке и аттестации ИС предприятия. Давайте постараемся разобраться в этом вопросе и понять, что можно сделать самостоятельно, а что желательно отдать стороннему консультанту. Для начала синхронизируем понятия и разберемся, кто попадает под действие данного закона. Ведь руководители очень многих компаний склонны считать, что их организации не являются операторами персональных данных и их настоящий закон не касается. – Кто все-таки по закону считается оператором персональных данных? Любое ли лицо, юридическое или физическое, не говоря уже о госструктурах, является оператором, если ведет хранение и обработку ПДн? – Прежде чем говорить об операторе персональных данных и его обязанностях, напомним, что включает в себя понятие «персональные данные». В соответствии со ст. 2 Федерального закона от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» с изм. на 10 января 2003 г. (СЗ РФ. 1995. № 8. Ст. 609; 2003. № 2. Ст. 167) информация о работниках (персональные данные) – это сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность. В статье 3 Федерального закона говорится:
Итак, исходя из буквы закона персональные данные – это любые сведения, по которым можно однозначно идентифицировать физическое лицо; при этом любая организация, имеющая (обрабатывающая, накапливающая и проч.) у себя в информационной системе персональные данные даже только своих сотрудников, уже является оператором. И согласно статье 13 государственные органы, муниципальные органы также являются операторами персональных данных и в пределах своих полномочий, установленных в соответствии с федеральными законами, создают государственные или муниципальные информационные системы персональных данных. Все построились и стройными рядами пошли подавать уведомление об обработке персональных данных в уполномоченный орган, кроме исключений, предусмотренных законом (статья 22, пункт 2). – Оператор должен принимать меры по защите персональных данных. Для этого у ФСТЭК разработаны методические материалы. Многие из них имеют гриф «ДСП» и распространяются только по государственным органам власти. Что делать остальным операторам? – Не вдаваясь в подробности всех шестнадцати руководящих документов, имеющих прямое отношение к обработке персональных данных, остановимся только на основных моментах. В соответствии с Федеральным законом № 152-ФЗ, который уже вступил в силу 26 января 2007 года, оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий (статья 19). При этом информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 года (статья 25). И здесь уже можно говорить о тех уступках, на которые пошли наши законодатели. Так, 20 ноября 2009 года в Государственной Думе состоялось рассмотрение и принятие, практически единогласно, в первом чтении законопроекта «О внесении изменений в Федеральный закон «О персональных данных» в части исключения требования об использовании криптографических средств защиты персональных данных и продления срока на один год, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом. То есть дата 01.01.2010 переносится на 01.01.2011 и отменены требования об обязательном использовании шифровальных (криптографических) средств для обеспечения безопасности персональных данных при их обработке. Последнее изменение обусловлено тем, что защита персональных данных в зависимости от способа их обработки (например, неавтоматическая обработка) может осуществляться и без использования шифровальных (криптографических) средств.
Порядок действий для правильной классификации ИСПДн Теперь о предъявляемых требованиях к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, которые устанавливает Правительство Российской Федерации (статья 19, пункт 2). Контроль и надзор за выполнением требований осуществляются федеральным органом исполнительной власти в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных:
Согласно поручению Правительства РФ были разработаны следующие методические документы:
Первые четыре – это «четырехкнижье» было разработано ФСТЭК России и имеет гриф «ДСП». Последние два документа, или «двухкнижье», были разработаны ФСБ России, не имеет ограничительного грифа и находятся в свободном доступе. Указанные «методички» были разработаны на основе уже действующих документов, регулирующих вопросы обеспечения безопасности конфиденциальной информации, в большей своей части имеющих ограничительный гриф и распространяемых установленным порядком. Персональные данные относятся к категории конфиденциальной информации (документированной информации, доступ к которой ограничивается в соответствии с законодательством Российской Федерации) (ст. 2, 11 Федерального закона «Об информации, информатизации и защите информации»). Они указаны в Перечне сведений конфиденциального характера, утвержденном Указом Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» (СЗ РФ. 1997. № 10. Ст. 1127), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральным законом случаях. Абсолютно неверное утверждение о невозможности получения документов ограниченного распространения и доступности их только для ОГВ. Сейчас любая организация, независимо от форм собственности, на основании запроса во ФСТЭК России получит вышеуказанные документы. При этом выписки из данных документов уже доступны на сайте ФСТЭК России – http://www.fstec.ru/_razd/_ispo.htm. В целях обеспечения контроля и надзора за выполнением требований Федерального закона «О персональных данных» назначен Уполномоченный орган по защите прав субъектов персональных данных – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор Министерства связи и массовых коммуникаций). Он является основным исполнительным и надзорным органом по защите прав физических лиц, чьи персональные данные обрабатываются. Представительства этих уважаемых организаций есть во всех крупных городах, и найти их координаты в Интернете или телефонном справочнике не составляет большой сложности. Что делать? Прежде всего надо подать уведомление. Федеральный закон говорит (статья 22), что оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 этой статьи. Второе: чтобы правильно произвести классификацию вашей ИСПДн, нужно четко понимать порядок действий (см. рисунок) и использовать методические документы регуляторов. Что же касается распространенного мнения, что не надо спешить с уведомлением уполномоченного органа, потому что «как только мы подадим уведомление, нас сразу же начнут проверять», то это не так. На самом деле все с точностью до наоборот. Уполномоченный орган в первую очередь при составлении плана проверок будет обращать внимание на организации, не подавшие уведомление. В дальнейшем, как указывает Роскомнадзор, проверки будут формироваться по принципу: 30% – плановые и 70% – внеплановые. Причем под внеплановые проверки в первую очередь попадут компании, у которых были зафиксированы утечки персональных данных, на которые были поданы жалобы и иски от граждан, и те организации, которым ранее уже были выписаны предписания. На сайте Роскомнадзора http://www.rsoc.ru есть раздел, где в открытом доступе можно ознакомиться со списком компаний, попавших в план ближайших проверок. Не поленитесь заглянуть и найти свою компанию в этом списке. – Системный администратор не несет ответственности за деятельность нанимателя. Однако зачастую в служебных регламентах для системного администратора прописана функция «защита информации». А если и не так, то все равно защитой информации придется заниматься ему. – Не будем детально обсуждать весь спектр возможных последствий нарушения ФЗ № 152 (это дело юристов), остановимся только на двух статьях. На основании статьи 23 Федерального закона Уполномоченный орган по защите прав субъектов персональных данных имеет право:
Статья 24 гласит, что лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. Несмотря на обилие статей гражданского, уголовного и административного кодексов, по которым оператор может быть привлечен к ответственности, выделим главное. Уполномоченный орган может ходатайствовать о приостановке действия лицензии на основной вид деятельности оператора на срок до 90 дней. Дальше решать вам, т.е. вашему руководителю компании, так как ответственность согласно выше перечисленному несет лично он. Исходя из имеющейся статистики, далеко не каждая компания имеет в своем штате специалиста по информационной безопасности, в чьи непосредственные обязанности должна входить подготовка и аттестация ИС компании. Чаще всего в компаниях существуют подразделения ИТ и ИБ. Кто же должен заниматься в компании подготовкой и аттестацией ИС по требованиям Федерального закона? Конечно, в каждой компании данный вопрос будет решаться индивидуально, но общую рекомендацию, наверное, можно дать. Описание ИС, а точнее, ее части, в которой обрабатываются персональные данные (ИСПДн), конечно, должен делать специалист ИТ-подразделения, а вот общую документацию и меры защиты должен разработать и контролировать сотрудник безопасности. Четкое взаимодействие этих подразделений позволит компании минимизировать свои расходы при проведении работ на соответствие требованиям и собственно проведение самой аттестации ИС. В любом случае обязательным (на основании ФЗ) является назначение ответственного за обеспечение защиты персональных данных, и неважно, будет это специалист из ИТ-подразделения или из безопасности, главное, чтобы он был в организации. Правильное распределение функций и ответственности между подразделениями обязательно принесет свои плоды. Конечно, всегда остается возможность привлечения стороннего консультанта, который сделает эту работу за вас. А теперь представьте, что вас назначили ответственным в компании за ИБ ПДн. Готовы ли вы отвечать по действующему законодательству за работу консультанта? Если нет, тогда давайте посмотрим, что можно сделать самостоятельно. – Как избежать больших расходов при переходе на нормы закона о персональных данных? На чем можно экономить, а на чем нет? – Для сокращения затрат организации на подготовку ИСПДн к аттестации можно часть работ из приведенного списка выполнить самостоятельно. Объем работ, которые вы можете взять на себя, зависит только от квалификации ваших сотрудников и желания разобраться с руководящими документами. Условно работу можно разделить на два блока. Выполнить самостоятельно:
Передать лицензиату ФСТЭК следующие мероприятия:
Если вы решили передать консультантам весь комплекс работ по подготовке вашей ИСПДн к аттестации, то условно проект разделится на два этапа. Один из главных методов снижения затрат – это оптимизация бизнес-процессов и обработки персональных данных в ИС. И второй метод – четкое определение границ ИСПДн, при этом в компании может быть несколько ИСПДн различных классов в рамках единой ИС. – Реализовать защиту ПДн без затруднения бизнес-процессов, а в некоторых случаях нарушения или остановки бизнес-процессов, практически невозможно (вернее, возможно, но для этого требуется огромное количество денег). – Да, безусловно, одно из основных требований руководства к ИТ- и ИБ-службам – это обеспечение непрерывности бизнеса. В различных компаниях уровень автоматизации бизнес-процессов может колебаться от 10 до 99%, и с повышением автоматизации требования к ИТ-технологиям, используемым в ИС, ужесточаются. В некоторых информационных системах бизнес-процессы действительно могут быть усложнены, хотя вариантов избежать этого достаточно много. Чтобы правильно и безболезненно для организации подчистить все бизнес-процессы избыточного и, как правило, неоправданного использования персональных данных, желательно обратиться к профессионалам. – Какие ПК попадают в классификацию ИСПДн? Нужно ли классифицировать все ПК, имеющие доступ к серверу (в которых база не хранится, а только открывается – для обработки, просмотра и т.д.)? – Классифицировать надо ИСПДн, а не ПК. Другое дело, что в ИСПДн должны входить только ПК и серверы, на которых производится ввод и обработка ПДн. В отдельных случаях ИСПДн может состоять из одного ПК, это можно использовать при проведении процедуры оптимизации обработки персональных данных в ИС. – Компании, обещающие консультации и проведение подготовки к аттестации: кто они и кому стоит доверять? – Наверное, по этому поводу сказать что-то новое в принципе невозможно, к выбору стороннего исполнителя надо подходить точно так же, как и к выбору подрядчика для любых других работ. Желательно, чтобы компания, которой вы отдадите преимущество, имела необходимый опыт проведения таких работ и являлась лицензиатом ФСТЭК России и ФСБ России, что позволит ей заниматься вашим проектом. Какие лицензии должен иметь ваш консультант? Приведенный ниже список, несомненно, избыточен, но в данном случае мы постарались указать лицензии для максимального комплекса работ консультанта. Познакомиться со списком лицензиатов ФСТЭК России и их лицензиями можно на соответствующем информационном ресурсе http://www.fstec.ru. 1. Лицензии Федеральной службы безопасности Российской Федерации на осуществление:
2. Лицензия Федеральной службы безопасности Российской Федерации на осуществление разработки и (или) производства средств защиты конфиденциальной информации. 3. Лицензия Федеральной службы по техническому и экспортному контролю на проведение работ, связанных с созданием средств защиты информации:
4. Лицензия Федеральной службы по техническому и экспортному контролю на деятельность по технической защите конфиденциальной информации:
8. Лицензия Федеральной службы по техническому и экспортному контролю на деятельность по разработке и (или) производству средств защиты конфиденциальной информации:
Наличие у компании лицензий ФСТЭК России и ФСБ России на право деятельности и выполнения работ в области защиты государственной тайны только еще больше подтверждает уровень квалификации и компетенции в части защиты информации. Общая рекомендация – это, безусловно, квалификация и компетенция специалистов, работающих в компании, которую вы приглашаете. И еще: при самостоятельном подборе средств защиты информации внимательно читайте содержимое сертификатов на эти средства. Что в итоге? Уважаемые коллеги, данная статья не претендует на решение конкретных проблем, но надеемся, дает понимание, что и как можно успеть сделать до наступления дедлайна. Несмотря на общую неразбериху и непонимание того, что вы должны сделать в первую очередь, предлагаем подумать и не торопиться пугать генерального директора космическими цифрами коммерческих предложений консультантов. Во всяком случае, это не ускорит принятия положительного решения в части выполнения требований законодательства. Как члены консультативного совета при уполномоченном органе по защите прав субъектов персональных данных (Роскомнадзор) можем с уверенностью сказать, что у регуляторов нет цели устраивать массовые репрессии. Конечно, исполнение закона обязательно, но текущая ситуация показывает, что регуляторы при проведении проверок всеми силами стремятся помочь организациям, а не наказать их. На наш взгляд – это главное. И последнее. При появлении конкретного вопроса его можно задать напрямую любому из трех регуляторов, для этого есть все возможности: от личной встречи до обсуждения через указанные сайты. При этом нужно понимать, что количество операторов ПДн намного превышает численность подразделений регуляторов, скорость ответов не всегда будет приемлема для вашей ситуации. Чтобы хоть как-то помочь ИТ-директорам в части пояснений нормативных актов и методических консультаций, Комитет по ИБ Российского союза ИТ-директоров выпустил для членов клубов ИТ-директоров «Рекомендации по защите персональных данных» и готов отвечать на ваши вопросы на сайте СоДИТ (http://www.rucio.ru) или по адресу itsec@rucio.ru. От редакции: «СА» продолжит обсуждение всех тонкостей применения Закона о персональных данных в 2010 году. Приложение Досье
Общий порядок действий при подготовке ИСПДн к аттестации Конечно, данный порядок достаточно условен и в каждой конкретной ситуации может быть уникален, но не грех еще раз проверить готовность каждого блока:
|
ВИКТОР МИНИН, советник председателя Совета МОО АЗИ, гендиректор компании «Миктера»
ЮРИЙ ШОЙДИН, директор по ИТ ГК «Интарсия», член СоДИТ, член правления Санкт-Петербургского клуба ИТ-директоров, независимый консультант в области управления изменениями в компанииКомментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
