Телекоммуникационные операторы — одна из самых уязвимых категорий компаний, которых касается Федеральный закон № 152‑ФЗ. А к сотовым компаниям «большой тройки» это утверждение непосредственно относится хотя бы в силу того, что им приходится оперировать данными десятков миллионов клиентов. О наиболее актуальных проблемах в области защиты персональных данных, взаимодействия с контролирующими органами и многом другом нам рассказал Дмитрий Устюжанин, руководитель департамента информационной безопасности компании «Вымпелком».
Intelligent Enterprise: Само определение персональных данных является юридически неопределенным и может иметь самое широкое толкование. Причем изменения в тексте самой Страсбургской конвенции (а именно присоединение к ней и породило Федеральный закон № 152-ФЗ) изменят все в сторону еще большего ужесточения. В результате этот закон может стать инструментом давления на бизнес, причем вне зависимости от размера бизнеса. Дело еще и в том, что целый ряд организационно-методических документов имеет ограничительные грифы и при этом постоянно меняется, причем кардинально. Насколько оправданны эти опасения?
Дмитрий Устюжанин: Действительно, неопределенность имела место. Два года назад, да что говорить, еще год назад этой неопределенности было намного больше. Многие документы имели ограничительные грифы, и получить их можно было только по запросу, причем, скажем так, совсем не быстро. Но все меняется, и я смотрю на ситуацию с большим оптимизмом. Степень неопределенности постоянно снижается.
Кроме того, уже идут проверки, и мы понимаем, чего от них ждать. Появляются те, кто их прошел, и начинается обмен опытом. Наша отрасль — не исключение. И наша компания, и другие уже прошли некоторые из этих проверок. Не скажу, что эта процедура уж очень приятна, но она проходит по определенным правилам, что тоже способствует избавлению от неопределенности.
Формируется то, что называется правоприменительной практикой. Мы понимаем, что многие из опасений, высказанных еще год назад, оказались преувеличенными. Да, определенные средства давления есть, но наиболее жесткими мерами регуляторам воспользоваться крайне сложно. Так что я бы не стал сильно запугивать.
Очень многие организации не торопятся заявлять о себе в качестве операторов ПДн. Чем это может быть опасно для компании? Есть ли ситуации, когда не требуется заявлять в Роскомнадзор об обработке персональных данных?
Нам очень сложно повести себя таким вот образом. Наша отрасль находится под пристальным вниманием регуляторов, так что особого выбора у нас просто нет. В результате мы заявили о себе как об операторе персональных данных. Другое дело, что мы несколько раз переделывали это заявление. В последний раз это пришлось делать по результатам проверки Роскомнадзора, так как потребовалось уточнить перечень персональных данных, которые мы обрабатываем. Ну а если бы мы не заявили о себе, то можно было бы ожидать санкций, причем весьма жестких. Ведь очевидно, что такой крупный оператор явно обрабатывает персональные данные хотя бы своих сотрудников, не говоря уже об абонентах. Для других организаций сложно дать определенный ответ. Нужно дождаться некоей критической массы действий регуляторов по отношению к тем, кто не заявил о себе в качестве оператора персональных данных.
Стоит ли ждать появления отраслевых стандартов ИБ или типовых решений, учитывающих требования закона № 152‑ФЗ, как это уже сделано, например, для банков? Дает ли появление таких стандартов гарантию от появления претензий у регуляторов?
В нашей отрасли тоже идет процесс выработки таких стандартов. Этим заняты соответствующие комитеты Ассоциации документальной электросвязи (АДЭ) и Инфокоммуникационного союза (ИКС). Причем в рамках Инфокоммуникационного союза мы совместно с МТС и «Мегафоном» собрались, с тем чтобы выработать комплекс мер, в максимальной степени отвечающий нашим потребностям. Мы провели масштабное обследование наших компаний, проанализировали основные бизнес-процессы, где обрабатываются персональные данные, типы самих персональных данных и определили подходы к выработке стандарта. Хотя говорить о том, что мы его создали, было бы рано. Так что нам пока далеко до норм, которые выработал Центробанк. Они и начали раньше, и сам стандарт по информационной безопасности у них существует уже давно. Нечто похожее мы создали. Но в целом отраслевой подход является, с моей точки зрения, единственно правильным. Только так можно учесть специфику и реалии той или иной отрасли. И огульное применение тех или иных норм ко всем отраслям не приведет к решению задачи. И мы ведем эту работу.
Что делать тогда, когда региональные регуляторы не согласуют требования с их представителями в центре и других регионах? Или тогда, когда в ходе проверок, которые провели разные регуляторы, были выданы явно противоречащие друг другу предписания?
Да, с этим сталкиваются очень многие. И мы в том числе. В марте текущего года у нас проходила плановая проверка Роскомнадзора, которая охватила все филиалы. И в каждом случае требования были разными. Тут сыграли свою роль и общая несогласованность, и отсутствие опыта, так как проверки только начинаются. Но в целом это очень большая проблема. В итоге нам пришлось вести длительные и непростые переговоры с центральным аппаратом Роскомнадзора и его местными органами по выравниванию требований. Хотя, в конце концов, общий набор требований нам все же удалось согласовать. Мы подготовили общие централизованные документы, процедуры, политики, сделали их доступными всем нашим местным представителям, которые, в свою очередь, подготовили ответы с учетом местной специфики. И эти ответы выравнивались в центре. Как видно, пришлось провести колоссальный объем работ. Хотя в целом процесс был конструктивным с обеих сторон. Но со временем, как мне кажется, ситуация будет меняться в лучшую сторону.
Что касается рассогласования действий разных регуляторов, то это связано с отсутствием опыта. Так что задача отраслевых стандартов состоит и в том, чтобы регламентировать процедуру проверки и создать методику ее проведения. Причем эти документы должны разойтись максимально широко. Это устранит множество проблем с обеих сторон, как у нас, операторов связи, так и у регуляторов, и будет способствовать взрослению отрасли.
Всегда ли требуется от операторов получение согласия на обработку ПДн от субъектов ПДн? Как быть в тех случаях, когда затрагиваются ПДн третьих лиц (супругов, других ближайших родственников, бенефициаров, контрагентов)?
Мы уже давно внесли соответствующие формы согласия в новые абонентские договоры. А проблема перезаключения более ранних договоров решилась сама собой, этого уже не требуется. Тут все становится более цивилизованным. Это еще один пример того, как совершенствуется закон и сужается «серая зона» правовой неопределенности. Как мне кажется, нужно около трех лет на то, чтобы взрастить культуру обращения с персональными данными.
А вот с обработкой данных третьих лиц действительно все не так просто. Это уже приводило к упрекам со стороны регуляторов в сборе явно лишних данных. Иногда нам удается доказывать свою правоту, иногда приходится с ними соглашаться. Такие вопросы можно решать только в конструктивном диалоге. Дело осложняется еще и тем, что одни регулирующие органы требуют сбора множества персональных данных, которые не нужны в бизнес-процессах организации, но одновременно другие регулирующие органы теперь жестко контролируют правомерность сбора этих данных и меры их защиты. И тут явно прослеживается конфликтность интересов, причем отвечать за это приходится именно организации.
Как соблюсти баланс интересов внутри компании, приводя информационные системы к соответствию нормам закона № 152‑ФЗ? Насколько усиливаются при этом противоречия между ИТ и ИБ? Ведь при этом затрагиваются некоторые процессы ITSM, управление лицензиями, и устранять подобные противоречия не так просто.
Во многом эти опасения справедливы. Но мы исходим из требований Роскомнадзора, который проверяет в большей степени правомочность использования персональных данных, процедурные вопросы, документы, договоры, все, что связано с третьими лицами. Когда речь заходит о технической защите информации, внедрении каких-либо систем, то тут речь идет скорее о единении ИТ и ИБ перед лицом общей угрозы.
Хотя вполне возможна ситуация, когда внедрение ИБ‑систем может доставлять сложности в предоставлении ИТ-услуг, будь то падение качества или сбои в работе тех или иных систем. А они могут возникать и из‑за того, например, что сертифицированный межсетевой экран был поставлен в неудачном месте. И с этим приходится очень много работать. Причем в очень тесном взаимодействии с ИТ-подразделениями. Ничего без согласования с ними не происходит.
Хотя у нас не было еще проверок ФСТЭК, в компетенцию которого как раз и входит проверка ИТ‑систем. И только в будущем году мы увидим, насколько эти опасения серьезны. К тому же многие руководящие документы этого ведомства можно интерпретировать весьма широко, в том числе и очень жестко, что может быть чревато даже остановкой бизнеса. Хотя я, со своей стороны, надеюсь на конструктивный диалог. Чему должен помочь и наш пакет документов, согласованный в том числе и со ФСТЭК.
Как создать адекватную реальной ситуации модель угроз? С одной стороны, многие положения закона № 152‑ФЗ критикуют за явную избыточность, с другой — необоснованное занижение класса защиты может быть чревато санкциями со стороны контролирующих органов. Как найти баланс?
Пока не знаю. Практика покажет. Это должен быть, на мой взгляд, итеративный процесс. Сначала необходимо применить базовые меры защиты. И далее, уже в зависимости от анализа рисков, реальных инцидентов, обращений клиентов, переходить к точечному усилению. Тем более что требования, которые мы сейчас имеем, к сожалению, не имеют под собой реальной оценки инцидентов, могущих нанести ущерб субъектам персональных данных. Это и должно быть ключом. Если регулятор предъявляет претензии, то можно ссылаться на адекватность предпринятых нами мер защиты согласно анализу бизнес-процессов, жалобам клиентов, разбору инцидентов. Так или иначе, мы согласовали разработанную таким вот способом модель угроз и построения защиты в центральном аппарате ФСТЭК. Но как это будет воспринято на местах — в этом и состоит основная интрига ситуации. Тем более, как показали проверки в МТС и «Мегафоне», на местах недопонимание возникает очень часто.
Имеет ли смысл делать быстрый, дешевый, но заведомо некачественный в смысле реальной защиты проект ради формального соответствия нормам закона № 152‑ФЗ? Имеет ли смысл использовать это соответствие в качестве задела для других ИБ-проектов (DLP, IRM, IDM)?
По такому пути, мне кажется, пойдет большинство тех, кто позиционировал себя в качестве операторов персональных данных. Возможно, на первом этапе это даже и пройдет. Многие просто не заявляют о себе как операторы персональных данных, и на их фоне это уже определенный прогресс, поскольку делается хотя бы что‑то. И как будет развиваться ситуация, покажет время. Зависит от того, как будут идти проверки. Если формально, то все так и останется. Но если регуляторы станут стремиться к тому, чтобы защищенность данных реально повышалась, то будет наведен порядок. И этим шансом на государственном уровне надо воспользоваться. Однако по такому пути мы не идем. Мы внедряем реальные средства, которые, как мы считаем, усиливают защиту наших клиентов. И эти средства привязываются к нашей общей системе информационной безопасности, которая основана на анализе рисков. И в этом ключ к успеху. Так что все проекты в области информационной безопасности надо обязательно увязывать между собой. Нельзя строить систему, предназначенную исключительно для защиты одних только персональных данных. Все должно составлять единую систему.
Обязательно ли использовать именно сертифицированное оборудование? Сталкивались ли вы с такой ситуацией, когда регулятор требует защищать бизнес-критичные системы (например, биллинговые) какими‑то непонятными средствами?
Вопрос действительно сложный. Выбор сертифицированных средств не так велик. И мы исходим из того, что использование средств защиты не должно разрушать основные бизнес-процессы и нарушать качество предоставления услуг. И сертифицированных систем защиты операторского уровня российского производства просто не существует. Не знаю, к сожалению это или к счастью. И регуляторы это, как мне кажется, понимают и не налагают санкций. Хотя были попытки применить соответствующие требования, что называется, «в лоб». Но они заканчивались, когда ИТ‑специалисты через какое‑то время просто переставали понимать, о чем идет речь, и видели, что использование таких сертифицированных средств абсолютно невозможно. Хотя на то, чтобы это показать, требуется подчас немало сил.
Документы регуляторов в отношении обязательного использования сертифицированных криптосредств (СКЗИ) весьма путаны и противоречивы, к тому же, скорее всего, они будут меняться. Кроме того, требуется оформлять разрешительную документацию, что весьма хлопотно. А раз так, стоит ли вообще использоваться СКЗИ и получать все необходимые для этого разрешительные документы?
Это один из самых сложных вопросов. В своей системе мы старались строить процессы так, чтобы применения криптосредств не требовалось. Хотя в целом мы их используем, в частности, при взаимодействии с третьими лицами по договорам, но внедрять криптосредства повсеместно для нас нереально.
Как быть, если персональные данные попадают в системы, где их быть не должно (например, заявка или доверенность, содержащая избыточные данные, попадает в СЭД, или фрагмент базы данных оказывается на локальном диске ПК)? Как воспитывать персонал и своих сотрудников?
Этот вопрос тоже один из самых проблемных. И сейчас мы согласовываем с Роскомнадзором его решение. И очень часто приходится эти данные вычищать из систем, где их быть не должно. Тут главное — научиться не собирать данные, ненужные для реальной работы. Случайно попадать в систему они не могут. Нужно отклонять заявки, содержащие избыточные данные, или требовать в явном виде разрешения на обработку персональных данных.
Два пути распространения стандартов
Константин Соколов,
директор департамента информационной безопасности компании «АМТ-Груп»Под отраслевым стандартом для банков понимается письмо шести организаций: Ассоциации российских банков (АРБ), Ассоциации региональных банков России (АРБ России), ЦБ, ФСТЭК, Роскомнадзора и ФСБ, вводящее в действие комплекс документов БР ИББС (Обеспечение информационной безопасности организаций банковской системы Российской Федерации). Этот комплекс опирается на четыре документа, разработанные для выполнения требований по защите ПДн в РФ в организациях банковских услуг. Однако данный стандарт — рекомендательный: ЦБ, АРБ и АРБ России только рекомендуют его использовать.
В России сейчас существует как минимум два подхода к созданию и использованию отраслевых стандартов. В первом случае используются документы ФСТЭК и ФСБ, и регулятор отрасли дает рекомендации к исполнению требований. Во втором случае требования перерабатываются в соответствии с «духом», но не «буквой» документов ФСТЭК.
Первый подход иллюстрируют уже введенные отраслевые документы Федерального агентства по образованию, документы Минздравсоцразвития для организаций здравоохранения, социальной сферы, труда и занятости. Второй принцип лежит в основе стандарта Банка России БР ИББС и разрабатываемого Инфокоммуникационным союзом РФ научно-исследовательского проекта «Тритон» для отрасли операторов связи. Частично некоторые положения НИР «Тритон» уже согласованы с регуляторами.
Также необходимо отметить ведущуюся различными министерствами и ведомствами работу, результатом которой стали:
законопроект «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам предоставления судебным приставам персональных данных» (об уточнении принципов работы судебных приставов с персональными данными);
законопроект «О внесении изменения в статью 85-1 Воздушного кодекса Российской Федерации» (об уточнении порядка передачи персональных данных пассажиров воздушных судов в автоматизированные централизованные базы персональных данных);
законопроект «О внесении изменений в отдельные законодательные акты Российской Федерации» (в части уточнения правовых оснований обработки персональных данных при проведении переписи населения, а также уточнения порядка заполнения переписных листов).