Местные органы исполнительной власти не остаются вне проверок на соответствие Федеральному закону № 152‑ФЗ «О персональных данных». Уже в текущем году Роскомнадзор проверил местные органы целого ряда федеральных ведомств, а также органы власти муниципального уровня как минимум в трех федеральных округах: Северо‑Кавказском, Южном и Приволжском. Причем часто в ходе этих проверок обнаруживались нарушения и налагались взыскания. Так что принадлежность к органам власти не освобождает от соблюдения норм по защите персональных данных.
Какова специфика местных органов исполнительной власти? Что представляет особенную сложность при приведении информационных систем в соответствие с требованиями закона № 152‑ФЗ? Об этом мы беседовали с Андреем Паршиным, председателем Комитета информационных технологий и телекоммуникаций Волгоградской области (http://kitt.volganet.ru).
Intelligent Enterprise: Само определение персональных данных юридически неопределенно. Оно допускает самое широкое толкование. В результате этот закон может стать инструментом давления, например, в ходе всевозможных конфликтов. Это еще более усугубляется тем, что целый ряд организационно-методических документов имеет ограничительные грифы и при этом постоянно меняется, причем иногда кардинально. Насколько оправданны эти опасения?
Андрей Паршин: Тут можно согласиться. Существующее сейчас понятие персональных данных имеет очень широкое толкование. Я сам математик по базовому образованию, и я просто удивляюсь некоторым формулировкам в законодательстве. Все можно и нужно формулировать точнее. С другой стороны, история закона № 152‑ФЗ еще очень непродолжительна. Посмотрите на историю закона № 94‑ФЗ, который регламентирует проведение закупок для нужд государственных учреждений. С момента своего вступления в силу он изменился приблизительно на 80%. Я думаю, что закон «О персональных данных» ждет та же судьба. И сам закон, и нормативные документы регуляторов со временем придут к вполне приемлемому для всех состоянию. Этот процесс уже идет.
Определенные опасения может внушать то, что сам перечень данных, относящихся к персональным, может расширяться. Ведь закон № 152‑ФЗ был принят во исполнение международных обязательств государства, как итог ратификации Страсбургской конвенции. А этот документ претерпевает весьма существенные изменения. Вместе с тем данные категоризированы по принципу величины ущерба, который может нанести субъекту этих данных факт их разглашения. В соответствии с этим и усиливаются меры по их защите. Это совершенно правильно и оправданно.
Стоит ли ждать появления отраслевых стандартов ИБ или типовых решений, учитывающих требования № 152‑ФЗ, как это уже сделано, например, для банков и готовится для муниципальных учреждений? Дает ли появление таких решений гарантии от претензий со стороны регуляторов?
Для нас, органов исполнительной власти регионального уровня, типовое решение становится прежде всего способом снижения затрат. В том числе и на внедрение технологий защиты информации, включая персональные данные. А поскольку финансирования всегда не хватает, то типовые решения — это благо.
Вместе с тем у этого процесса, как у любого другого, есть и обратные стороны. Такие типовые решения необходимо дорабатывать под специфику каждого конкретного региона. А в такой большой стране, как наша, даже соседние регионы имеют между собой заметные отличия. А сама возможность этого в ряде решений может просто отсутствовать. В таком случае использование типовых решений может не снять проблемы, а привнести новые. Не исключена и такая ситуация, когда такое решение просто не заработает. Так что оптимизм, конечно, оправдан, но, с другой стороны, есть и сомнения.
Что касается гарантий от претензий регуляторов, то использование типовых решений их дает, но лишь в определенной степени. Гарантии должны быть подкреплены соответствующими нормативными актами. Но типовые решения и стандарты вводятся в виде всяких методических рекомендаций, не имеющих силу закона и даже подзаконного акта. Все зависит от того, как это будет реализовано.
Что делать, если в ходе проверок, проведенных разными регуляторами, были выданы явно противоречащие друг другу предписания?
В этом случае необходимо обращаться в вышестоящие инстанции.
Имеет ли смысл не заявлять о себе в качестве оператора персональных данных? Чем это может быть чревато в дальнейшем?
Отвечу с точки зрения менеджера, а не чиновника. Законы нужно выполнять. И за неисполнение может наступить ответственность. Другое дело, что вследствие избыточности или неопределенности требований закона № 152 я могу вполне допустить, что есть ситуации, когда такая позиция вполне оправданна. В таком случае действительно лучше не спешить и, как у нас принято, решать проблемы по мере их поступления.
Всегда ли требуется от операторов получение согласия на обработку ПДн от субъектов ПДн? Как быть в тех случаях, когда затрагиваются ПДн третьих лиц (супругов, других ближайших родственников, контрагентов)?
Да, эти моменты очень плохо прописаны в законодательстве. И поделать тут, увы, ничего нельзя. Можно разве что действовать через своих депутатов законодательных собраний. В виде требований они дойдут до Федерального Собрания. Таким образом можно будет добиться внесения поправок в сам закон, подзаконные акты, а также регламенты ведомств, которые требуют предоставления такой информации. Можно действовать и через регуляторов. Например, совсем недавно Роскомнадзор предписал Министерству образования изъять графу «национальность» из целого ряда устаревших форм учета учащихся школ. Одним словом, нужно жаловаться, благо инструментов для этого становится все больше с развитием электронного правительства.
Как создать модель угроз, адекватную реальной ситуации? С одной стороны, многие положения закона № 152 критикуют за явную избыточность, с другой — необоснованное занижение класса защиты может быть чревато санкциями со стороны контролирующих органов. Как найти баланс?
Для этого лучше обращаться в специализированные организации, имеющие необходимый уровень компетенции. Попытки самим изобретать велосипед ни к чему хорошему не приведут.
Имеет ли смысл делать быстрый, дешевый, но заведомо некачественный в смысле реальной защиты проект ради формального соответствия нормам закона № 152‑ФЗ?
Я считаю, что в этом нет смысла.
Имеет ли смысл использовать приведение к соответствию нормам закона № 152‑ФЗ в качестве задела для других ИБ-проектов (DLP, IRM, IDM, внедрение всяческих стандартов)?
Да, однозначно. И именно в этом состоит положительная роль закона № 152‑ФЗ для органов исполнительной власти регионального уровня. Да, возникают определенные ограничения, требуются значительные затраты, особенно на этапе проектирования, но в итоге будет построен базис неких правил игры. И вокруг этого базиса можно будет выстроить цельную систему.
Как быть, если персональные данные попадают в системы, где их быть не должно (например, заявка или доверенность, содержащая избыточные данные, попадает в СЭД, или фрагмент базы данных оказывается на локальном диске ПК)? Как воспитывать население и своих сотрудников?
Если такие данные просто окажутся на незащищенном компьютере у клерка, то это одна ситуация. Если же эти данные «ушли», например, в Интернет, то уже совсем другая. С другой стороны, тут все взаимосвязано. Уже были примеры, когда лет пять назад некоторые троянские программы рассылали случайные документы по электронной почте, в результате чего конфиденциальные документы оказывались у случайных людей. И за этим необходимо следить, не дожидаясь того, что эти данные найдут регуляторы при очередной проверке. Так что ответ уже заложен в вопросе: надо воспитывать, налагать всевозможные взыскания как на непосредственных виновников, так и на их руководителей.
Что касается населения, то тут мне сложно дать однозначный ответ. Хотя объем персональных данных можно ограничивать средствами самой информационной системы. И их надо защищать от того, чтобы туда не попадали избыточные данные. Это сделать не так сложно.
Защита персональных данных как комплексный ИБ-проект
Виктор Сердюк,
генеральный директор ЗАО «ДиалогНаука»С точки зрения действующего законодательства система защиты персональных данных (СЗПДн) состоит из тех же подсистем, из которых должна состоять любая комплексная система обеспечения информационной безопасности предприятия. Именно поэтому на этапе проектирования и внедрения СЗПДн можно использовать решения, которые будут применяться не только для приведения информационных систем в соответствие с требованиями Федерального закона «О персональных данных», но и для комплексной защиты как от внешних, так и от внутренних угроз. Единственное ограничение, которое при этом налагается на используемые решения, заключается в наличии сертификата соответствия ФСТЭК России.
Один из примеров комплексного проекта по защите персональных данных — вариант включения в состав СЗПДн системы защиты от утечки конфиденциальной информации класса DLP (Data Leakage Protection). В данном случае эта система может частично выполнять функции подсистемы регистрации и учета, а также подсистемы защиты от несанкционированного доступа. Примером подобной DLP‑системы является продукт Websense Data Security. Другой пример комплексного решения — использование в рамках подсистемы регистрации и учета полноценной системы мониторинга событий информационной безопасности класса SIEM (Security Information and Event Management). Система мониторинга позволяет собирать и анализировать сообщения о событиях безопасности, поступающих от средств защиты, операционных систем, прикладного программного обеспечения и других источников. Данная информация собирается в едином центре, обрабатывается и подвергается анализу в соответствии с заданными правилами по обработке событий, связанных с информационной безопасностью. Результаты анализа в режиме реального времени предоставляются администраторам безопасности в удобном виде для принятия решений по реагированию на инциденты безопасности. В качестве примера системы данного типа можно привести продукт ArcSight ESM.