Итак, с момента донесения до широких масс требований Федерального закона № 152‑ФЗ «О персональных данных» и разъяснения порядка проведения необходимых технических и документарных мероприятий минуло почти два года. Сегодня уже можно говорить о первом опыте правоприменительной практики по защите прав субъектов персональных данных. В соответствии с докладом Уполномоченного органа по защите прав субъектов ПДн в РФ только за первое полугодие 2009 г. было выдано 293 предписания на устранение нарушений законодательства, из них 25 передано в прокуратуру, а 27 — на рассмотрение мировым судьям.
Динамика достаточно убедительная. Но в работе компаний в части подготовки документов и средств защиты ИСПДн практически ничего не поменялось! То есть обсуждений и семинаров было много, а вот эффективность их практически нулевая: количество уведомлений, поданных операторами, растет крайне медленно. Хотя, по оценкам Россвязькомнадзора, операторами персональных данных являются около трех миллионов российских компаний и организаций. Под надзор должны попасть более полутора миллионов из них. Видимо, работает закон Мэрфи, гласящий, что «результат обратно пропорционален количеству проведенных совещаний».
Бесполезные рефлексы
Хочется отметить, что ничего сверхъестественного или неожиданного не происходит, наоборот — все идет по стандартному, отработанному плану. Реакция здорового бизнес-организма предсказуема, как рефлексы у собаки Павлова. Поэтому можно уверенно предположить, что конец 2010 г. будет идентичен концу 2009 г. по ряду причин, которые компании будут представлять как ситуации непреодолимой силы:
- дорого, а у нас нет денег;
- непонятно и не знаем, где спросить;
- у нас в компании нет ПДн;
- мы не успели из‑за большого объема работы;
- законодательство несовершенно.
Руководителям таких компаний напомню: придумывая «отмазки», вы ничего не сделаете, а времени осталось уже очень мало.
Рефлекс 1: «покричат и успокоятся»
Вне всякого сомнения, многочисленные инициативы на государственном уровне лихо начинаются и через определенный промежуток «замыливаются», уходят в небытие, а взбудораженная социальная система возвращается в состояние покоя и бездействия. «Не спеши выполнять, все еще сто раз поменяется» — так учит «старичок» нового сотрудника в компании, и таким же аутотренингом занимается значительная часть руководителей, оттягивая момент приведения своих ИСПДн в соответствие с требованиями закодательства.
Спешу всех огорчить: НЕ поменяется. Требования закона № 152-ФЗ все равно заставят выполнить, вопрос только — когда. Принятие закона № 152‑ФЗ стало следствием присоединения Российской Федерации к Европейской конвенции 1981 г. «О защите личности в связи с автоматической обработкой персональных данных», определяющей основные принципы защиты персональных данных в европейских странах. Этот законодательный акт, цель которого «обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну» определяет основные правила обработки ПДн. Рано или поздно Россия будет вступать в ВТО, а это значит, что исполнение Страсбургской конвенции от 28 января 1981 г. обязательно, и требования нового закона нам придется выполнить.
Рефлекс 2: «не будь первым»
Как известно, инициатива наказуема. Это второй рефлекс текущего состояния руководителей компаний. Ну не пойду я по собственной воле заявлять в уполномоченный орган о том, что являюсь оператором. Не пойду, потому что ко мне сразу прибегут проверять и вымогать. А то, что при этом я как руководитель нарушаю действующее законодательство, так «меня еще поймать надо»…
В общем, такая позиция может быть частично оправданна, но и здесь «собака порылась». При проведении проверочных мероприятий «неподача уведомления» в установленные сроки однозначно влечет за собой формирование предписания и штраф. При этом анализ проведенных в 2008 и 2009 гг. проверок говорит о том, что в первую очередь подвергаются проверке как раз компании, не подавшие уведомления в уполномоченный орган. Хотите верьте, хотите — нет, но шанс попасть под проверку несомненно ниже у тех, кто уведомление подал. И еще один, на мой взгляд, интересный, хотя и довольно неожиданный для России факт: к компаниям, подавшим уведомления, контролирующие организации относятся на порядок лояльнее.
Рефлекс 3: «с проверками вопрос решим, как решали такие вопросы и раньше»
Позиция понятная и, возможно, даже в чем‑то логичная. Но что если не удастся? Статья 24 гласит, что лица, виновные в нарушении требований этого закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. Несмотря на обилие статей Гражданского, Уголовного и Административного кодексов, по которым оператор может быть привлечен к ответственности, выделим главное. Уполномоченный орган может ходатайствовать о приостановке действии лицензии на основной вид деятельности оператора на срок до 90 дней. Дальше решать вам, то есть вашему руководителю компании, так как вышеперечисленную ответственность несет лично он.
Теперь давайте посмотрим чуть дальше. Чтобы попытаться предугадать дальнейшее развитие событий, обратимся к международной практике. На примере Болгарии и Чехии, где аналогичные законы уже работают несколько лет, видно, что даже несмотря на некоторые отличия как в законодательных нормах, так и в мерах стимулирования, все ситуации внедрения законов о ПДн развиваются типично. Братья‑славяне проявляют те же рефлексы. Примерно сценарий выглядит так: через два года вялых попыток навязать защиту персональных данных регулятор на законодательном уровне утверждает такие размеры штрафов для операторов, которые с высокой степенью вероятности приводят к банкротству компаний. В течение года после введения жестких санкций ситуация нормализуется, и данная норма закона становится правилом.
Тут хочется обратить внимание, что подразделения, контролирующие исполнение законодательства в части ПДн, достаточно малочисленны, но при этом, похоже, высокоэффективны. Россия, конечно, по территории намного больше Болгарии и Чехословакии, но при резком ужесточении санкций процесс, я думаю, пойдет. И небольшая численность регуляторов не станет помехой. Стоит ли ждать этого?
Рефлекс 4: «в законодательстве все так сложно и запутанно, что все равно выполнить требования не удастся»
Пробелы в законодательстве, конечно, есть, но это совершенно не означает, что нельзя подготовиться к проверкам. Более того — на практике это оказывается даже полезно для компании.
Прежде всего, имеет смысл напомнить, что все мероприятия делятся на три основные группы:
- документарные (создание базы нормативно-распорядительной документации);
- технические (техническая защита);
- мониторинг и изменение ИСПДн (актуализация как документов, так и необходимых мер защиты).
Рассматривая мероприятия первых двух групп, можно сказать, что выполнение требований закона № 152-ФЗ в части правильного формирования системы документов предприятия проверяет Роскомнадзор, а технические мероприятия по защите ИСПДн контролирует ФСТЭК РФ.
В состав подразделений Уполномоченного органа по защите прав субъектов персональных данных Роскомнадзора входят юристы. А значит, и проверки носят ярко выраженный документарный аспект.
По данным Россвязькомнадзора, сегодня лидерами по нарушениям являются банки и другие финансовые организации. Нарушения, отмеченные у них, носят в основном не технический характер, а организационный. Второе место по нарушениям занимают предприятия жилищно-коммунального хозяйства, а третье и четвертое делят операторы связи и страховые компании.
Пытаясь разобраться в законодательных актах и прочих «эпистолах» регуляторов, я прошел весь путь формирования документарной базы, описывающей и регламентирующей защиту ПДн в моей компании. Оказалось, это не так уж сложно, нужно просто внимательно прочитать все нормативы, требования и комментарии и потратить некоторое время на составление необходимых внутренних документов компании.
Проверку технических мер защиты ИСПДн контролирует и осуществляет ФСТЭК РФ. В состав подразделений комиссии входят именно технические специалисты, имеющие очень достойную квалификацию. Не стоит даже мечтать, что вы сможете завуалировать отсутствие средств защиты и скрыть неподготовленность своей ИС.
Замечу, несмотря на традиционное для России мнение о проверяющих организациях, регуляторы настроены крайне лояльно, у них не стоит задача «замочить». Как член Консультативного совета при Уполномоченном органе по защите прав субъектов персональных данных (Роскомнадзор) я могу с уверенностью сказать, что регулятор не ставят перед собой цели устраивать массовые репрессии. Конечно, исполнение закона обязательно, но текущая ситуация показывает то, что регуляторы при проведении проверок всеми силами стремятся помочь организациям, а не наказать их. И я получил от них максимум помощи и рекомендаций. Более того, при подготовке технического решения по защите был сформирован план на ближайшие несколько лет, что позволило мне плавно распределить затраты. Как вы понимаете, когда гром грянет, придется покупать все и быстро…
Кроме того, уже можно говорить о тех уступках, на которые пошли наши законодатели. Так, 20 ноября 2009 г. в Государственной Думе состоялось рассмотрение и принятие в первом чтении законопроекта «О внесении изменений в Федеральный закон “О персональных данных”» в части исключения требования об использовании криптографических средств защиты персональных данных и продления на один год срока, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом. Кроме того, отменены требования об обязательном использовании шифровальных (криптографических) средств для обеспечения безопасности персональных данных при их обработке. Последнее изменение обусловлено тем, что защищать персональные данные в зависимости от способа их обработки (например, неавтоматическая обработка) можно и без использования криптографических средств.
Приятный сюрприз подарила нам и ФСТЭК: приказ ФСТЭК от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».
На основании данного приказа фактически отменены два нормативных документа:
- Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
- Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.
Что мы с этого имеем? Фактически отменены (не указаны) следующие действия:
- аттестация для ИСПДн 1‑го и 2‑го класса;
- декларация для ИСПДн 3‑го класса.
Также изменен порядок проверки программного обеспечения средств защиты информации на НДВ, а именно:
- в системах 1‑го класса контроль отсутствия недекларированных возможностей обязателен;
- в системах 2‑го и 3‑го классов необходимость проведения проверок определяется оператором (уполномоченным лицом).
Требования по технической защите практически остались в основной массе неизменными.
О «детях лейтенанта Шмидта»
Чтобы сократить затраты организации на подготовку ИСПДн к аттестации, можно часть работ передать на исполнение внешнему поставщику услуг. Объем работ, которые вы можете взять на себя, зависит только от квалификации ваших сотрудников и желания разобраться с руководящими документами. Условно работу можно разделить на два блока.
Выполнить самостоятельно:
- анализ процессов компании на предмет выявления ПДн;
- аудит ИС на предмет оценки защищенности ПДн;
- подготовка необходимых внутренних документов;
- разработка плана технической защиты;
- подготовка и подача уведомления в уполномоченный орган.
Передать лицензиату ФСТЭК следующие мероприятия:
- определение категории информации;
- определение класса системы;
- разработка модели актуальных угроз;
- разработка мер по компенсации угроз.
Вроде все логично, но только на первый взгляд. Вы помните, кто такие «дети лейтенанта Шмидта»? Не правда ли, действия некоторых компаний-интеграторов на рынке ИБ напоминают манеры неприкаянных детей лейтенанта? Эти компании, быстро уловив возможность эксплуатации темы по защите ПДн, стали фактически вести политику запугивания операторов, что не совсем корректно, но зато позволяет продавать как свое оборудование, так и свои услуги.
Самое печальное в этой ситуации то, что даже достаточно крупные и известные компании в области ИБ производят очень дорогой и некачественный продукт. Мне приходилось проводить аудит таких внедрений. Это не доставляет удовольствия, поскольку, с одной стороны, неприятно и не хочется говорить, что уважаемая компания выполнила свою работу поверхностно. С другой стороны, исполнитель уже взял столько денег за свои сомнительные услуги, что руководство заказчика не готово больше вкладывать ни копейки в корректировку сделанного. Так и остаются облапошенные компании без денег и без адекватного результата.
Чтобы не попадать в такие ситуации, на мой взгляд, в компании необходимо выделить ответственного, который самостоятельно сможет разобраться в основных требованиях законодательства, проконсультироваться у специалистов Роскомндзора и ФСТЭК (при необходимости ФСБ) и только после этого четко поставить задачу исполнителю, а в финале проконтролировать результат.
Вместе с тем мне кажется, что интеграторы, оказывающие услуги в области ИБ, очень прямолинейно подходят к формированию своих услуг. Хочется напомнить всем интеграторам великую фразу любимого мной персонажа Ильфа и Петрова — Остапа Бендера: «Деньги валяются у нас под ногами, надо только уметь их взять». Во всяком случае, я вижу множество аспектов, которые можно превратить в недорогую для оператора, но нужную ему услугу, за которую он с удовольствием заплатит. По-моему, это более продуктивный подход, чем тот, который я описал выше.
Заключение
Данная статья не претендует на решение каких‑то конкретных проблем, но, надеюсь, дает понимание того, что и как можно успеть сделать до наступления дедлайна. Несмотря на общую неразбериху и отсутствие реальных планов, в первую очередь предлагаю подумать и не торопиться пугать генерального директора космическими цифрами коммерческих предложений консультантов. Во всяком случае, это не ускорит принятия положительного решения в части выполнения требований законодательства.
Если у вас появились вопросы или вы хотите проконсультироваться по качеству и объему предлагаемых вам работ, вы всегда можете обратиться на сайт Российского союза ИТ-директоров (СоДИТ) www.rucio.org в комитет по ИБ. Мы с удовольствием окажем информационную поддержку.
Методические документы в области персональных данных
Согласно поручению Правительства были разработаны следующие методические документы:
- «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»,
- «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»,
- «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных»,
- «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»,
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных,
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации.
Первые четыре — «четырехкнижье» — были разработаны ФСТЭК России и имеют гриф «ДСП». Последние два документа, или «двухкнижье», разработаны ФСБ России, не имеют ограничительного грифа и находятся в свободном доступе. Указанные «методички» созданы на основе уже действующих документов, регулирующих вопросы обеспечения безопасности конфиденциальной информации, обычно имеющих ограничительный гриф и распространяемых установленным порядком. Абсолютно неверно утверждение о невозможности получения документов ограниченного распространения и доступности их только для ОГВ. В настоящее время любая организация независимо от форм собственности на основании запроса во ФСТЭК России получит вышеуказанные документы. При этом выписки из этих документов в настоящее время уже доступны на сайте ФСТЭК России: http://www.fstec.ru/_razd/_ispo. htm.