На очередную встречу по вопросу защиты персональных данных организаторы — Институт современного развития (ИНСОР), Союз директоров ИТ России (СоДИТ) и Ассоциация защиты информации (АЗИ) — пригласили экспертов, которые рассказали ИТ-директорам о проблемах в соответствующем законодательстве. Выступили консультант аппарата Комитета Государственной Думы по безопасности Елена Волчинская, заместитель начальника управления Центра безопасности связи ФСБ Виктор Гаврилов, начальник управления по защите прав субъектов персональных данных Россвязькомнадзора Лариса Васильева и заместитель начальника управления информационной безопасности аппарата Совбеза Анатолий Стрельцов. Однако даже такой состав экспертов не дал полной ясности.

Елена Волчинская выделила две основные правовые загвоздки на пути реальной применимости законодательной базы о персональных данных. В чем состоит первая большая проблема? Исходя даже не из закона о персональных данных, а из подзаконных актов, эти данные рассматриваются в качестве самостоятельного объекта охраны. И основания для такой посылки действительно есть. В перечень, приведенный в статье Федерального закона «Об информации, информатизации и защите информации», персональные данные входят таким образом, что их защиту можно трактовать как режим ограниченного доступа.

Согласно же закону «О персональных данных» это не так, поскольку он определяет их исключительно как информацию, которая может существовать в различных режимах, а не только в режиме ограниченного доступа. В результате возникает проблема соотношения режимов и технических требований. Надо сказать, что уже существует целый набор требований, касающихся, например, врачебной или коммерческой тайны. А теперь добавляются еще и требования к персональным данным, которые, по сути, относятся именно к той же информации.

Вторая проблема состоит в самом понятии конфиденциальности информации. По этому вопросу в законе об информации и законе о персональных данных есть терминологическая разница. В первом у конфиденциальности условие всего одно — не передавать информацию без согласия. Во втором же все жестче — требуется не допустить ее распространения. Понятно, что сейчас способы распространения не ограничиваются только передачей, так что второе определение конфиденциальности представляется Елене Волчинской более правильным. Закон же об информации и информатизации фактически исключил старое понятие конфиденциальности вовсе, введя термин «конфиденциальность информации» и уже фактически отождествляя его с режимом ограниченного доступа. При этом законодательство о лицензировании не изменилось, и в нем указаны виды деятельности, связанные именно с конфиденциальностью информации в старом смысле слова. То есть произошло рассогласование законодательной базы.

Существует и еще один нюанс, связанный с некоторым законодательным пересечением вопросов лицензирования и защиты информации. Елена Волчинская рассказала об отправленном в то время запросе в комитет Государственной Думы по собственности, отвечающий за концепцию положения о лицензировании. На запрос было получено официальное разъяснение: деятельность организаций по технической защите конфиденциальной информации исключительно для собственных нужд лицензированию не подлежит. Тем не менее в рамках защиты информационных систем, содержащих персональные данные, требование лицензирования распространяется на всех субъектов: как оказывающих услуги, так и защищающих свои собственные данные. У вторых, разумеется, возникают проблемы с выполнением подобных требований, если это не является их профильной деятельностью. Налицо противоречие между Федеральным законом «О персональных данных» и постановлением Правительства РФ о лицензировании. Разрешиться оно может либо внесением изменений в положение о лицензировании, что проще, либо редактированием закона о лицензировании, что очень сложно и вряд ли будет сделано.

На самом деле не все до конца ясно и с самим понятием персональных данных. Фактически сейчас к ним можно отнести любую информацию, каким‑то образом описывающую определяемого субъекта. Вначале терминология была иной. К персональным данным относилась информация, идентифицирующая субъекта. Можно ли, исходя из актуального определения, выделить те персональные данные, которые определяют субъекта? Вопрос совсем не праздно-академический, а вполне актуальный для ИТ-руководителей, так как существует отдельная категория персональных данных, идентифицирующих субъекта. Ведь в более широко определяемый класс персональных данных попадают и те данные, которые позволяют не только идентифицировать субъекта, но и получить о нем дополнительную информацию. И никакой другой правовой акт, кроме закона о персональных данных, такого деления не предусматривает и не поясняет операторам, как его проводить.

Какие же существуют перспективы решения перечисленных противоречий, и к чему, собственно, готовиться ИТ-директорам? Елена Волчинская ответила, что в ближайшее время возможна встреча с регуляторами и выработка решения о том, как действовать. Об упрощении требований, снижении нагрузки на операторов говорят все. Процесс законотворчества, как и процесс формулирования требований к операторам, продолжается. Даже открыт вопрос о переносе срока начала действия закона.

Если, как планируется, в 2010 году закон вступит в силу, то отвечать за его нарушение, совершенно очевидно, будут операторы. А за что именно — это уже зависит от их сегодняшней позиции. Регуляторы, по словам собравшихся на круглом столе, понимают, что есть объективные причины, мешающие компаниям — операторам персональных данных удовлетворять требованиям закона в полной мере. Сама процедура разработки законов в Государственной Думе такова, что ответственными за них оказываются сразу несколько различных комитетов. И не все они готовы учитывать наработки соседей.

Виктор Гаврилов на встрече говорил о том, что все, касающееся вопросов обеспечения законодательством конфиденциальности, хорошо проработано, классификация получилась достаточно легко. У нашего государства большой опыт в подобных вопросах. Мы уже упоминали Федеральный закон «Об информации, информатизации и защите информации», в соответствии с которым операторы обязаны классифицировать свои информационные системы, содержащие персональные данные. Этот закон требует обеспечить отнюдь не конфиденциальность, с которой с правовой точки зрения вроде бы все ясно, а защиту информации и безопасность систем персональных данных. А это понятие гораздо шире. Если мы посмотрим на такие основополагающие составляющие защиты информации, как обеспечение ее целостности и доступности, то, по словам Виктора Гаврилова, никакой юридической базы не существует. Нормативные документы, связанные с этими характеристиками, привязывают к прежней классификации — грифом секретности информации или степенью конфиденциальности. И это неверно. По мнению Виктора Гаврилова, классификацию защищаемых данных в законодательстве стоит привязывать, например, к размеру возможного ущерба.

Зато в части криптографической защиты выстраивается стройная картина. Основополагающим документом здесь является положение, в первой же статье которого говорится, когда оно носит обязательный характер, а когда — рекомендательный. В частности, положение носит строго обязательный характер в случае, когда информация подлежит защите в соответствии с федеральным законом. Это значит, что к нашему случаю защиты персональных данных (согласно федеральному закону) требования положения имеют самое прямое отношение. В соответствии с ним разработана общедоступная нормативная база. После того как оператор, пользуясь этим документом, в части криптозащиты классифицировал свою систему, он однозначно сопоставил с той или иной категорией нарушителей требуемый класс средств криптозащиты информации. Авторы этой законодательной базы исходили из того, что оператор персональных данных будет выбирать из уже имеющихся на рынке сертифицированных средств. Необходимость использования таких средств оператор определяет самостоятельно. В случае, если его не устраивает выбор из более чем сотни программ, оператор должен будет обратиться к лицензиату, имеющему право на разработку средств криптозащиты информации. Все вроде бы достаточно ясно, но касается это лишь криптозащиты, а не персональных данных в целом.

Лариса Васильева рассказала о том, что Федеральный закон «О персональных данных» четко разделяет полномочия регуляторов. В сферу ответственности Россвязькомнадзора в первую очередь входят контроль и надзор за тем, чтобы системы персональных данных соответствовали требованиям закона о них, ведение реестра операторов, осуществляющих обработку персональных данных, а также проверка сведений, содержащихся в уведомлении о персональных данных. Собравшихся живо интересовал вопрос о том, сколько будет контролеров на одно юридическое лицо и можно ли ожидать, что проверки ФСБ, Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Россвязькомнадзора будут проходить одновременно, а не друг за другом, превращая год оператора в сплошные проверки. На что были получены следующие ответы: статья 19 Федерального закона «О персональных данных» уполномочивает ФСБ в части технической защиты с применением средств криптозащиты, а ФСТЭК также занимается вопросами технической защиты информации, содержащей персональные сведения. Президент Дмитрий Медведев дал понять, что мероприятия по контролю и надзору должны быть выстроены таким образом, чтобы оператора не беспокоили все по очереди. В настоящее время подготовлен порядок взаимодействия Россвязькомнадзора, ФСТЭК и ФСБ. Он находится на этапе согласования. Планируется утверждение этого документа в августе 2009 года. Он предусматривает совместные проверки, и регуляторы постараются не беспокоить операторов понапрасну.

На сегодня те документы, которыми можно пользоваться в открытом доступе, размещены на сайте Ростехнадзора: методики по определению угроз и т.п. Впоследствии они будут размещены на сайтах других регуляторов. Кроме того, их можно получить в территориальном управлении ФСБ.

Недостаток информации — одна из главных причин

Сергей Петренко
Эксперт компании «АйТи» в области защиты информации и непрерывности бизнеса

В настоящее время большинство руководителей отечественных предприятий наверняка задавались вопросами: как надлежащим образом исполнить Федеральный закон РФ от 27 июля 2006  г. № 152‑ФЗ «О персональных данных»? Какой путь развития организации защиты персональных данных выбрать в условиях кризиса? Как построить экономически оправданную систему технической защиты персональных данных в информационных системах предприятия?

За это время санкций со стороны государства практически не было, однако это не означает, что исполнение закона необязательно. Для организаций, обрабатывающих персональные данные (ПДн) граждан, так называемых операторов персональных данных, лишь предусмотрена отсрочка в выполнении требований закона «О персональных данных» до 1 января 2010 года. При этом одной из главных причин, препятствующих своевременному исполнению упомянутого закона, является не безответственность руководителей и специалистов, а скорее банальные недостаток юридических знаний и дефицит информации по проблеме защиты ПДн.

На практике после регистрации в качестве оператора ПДн рекомендуется разработать на основе модели угроз систему защиты персональных данных, которая должна обеспечить нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем. При этом в состав мер защиты ПДн должны быть включены организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки ПД), а также используемые в информационной системе персональных данных информационные технологии. Также необходимо пройти обязательную сертификацию (аттестацию) информационных систем персональных данных (ИСПДн) либо декларировать соответствие требованиям защиты информации по классам (по документам Федеральной службы по техническому и экспортному контролю (ФСТЭК)/Гостехкомиссии РФ).

Упорядочить импорт оборудования и программ

Александр Уланский
Директор по развитию бизнеса, Группа технологических решений НР в России

За 40 лет работы в России компания НР принимала активное участие в создании информационных систем как в органах государственной власти на федеральном, региональном и муниципальном уровнях, так и в кредитно-финансовой сфере, различных отраслях промышленности, науке и образовании. При создании таких систем остро стоял в том числе и вопрос о защите информации. Мы хорошо понимаем актуальность этой проблемы, которая решается не только в России, но и во всем мире. Вступление в силу в 2010 году Федерального закона от 27 июля 2006 г. № 152‑ФЗ «О персональных данных» повлечет за собой необходимость решения не только нормативно-правовых, но и технических вопросов по сертификации и лицензированию средств вычислительной техники и программного обеспечения зарубежного производства, применяемых в соответствующих информационных системах.

На наш взгляд, уже сейчас необходимо упорядочить и регламентировать процедуру ввоза средств вычислительной техники и программного обеспечения, содержащих криптофункции, на таможенную территорию РФ.

Это позволит на более высоком уровне решать задачи защиты персональных данных с учетом требований законодательства и регуляторов.