Чем ближе к окончанию года, тем больше поступает информации о завершении проектов, связанных с обеспечением защиты персональных данных. Ведь уже после окончания новогодних каникул, если ничего экстраординарного не случится, требования закона «О персональных данных» должны заработать в полной мере. И органов власти всех уровней соблюдение данных норм тоже касается. Одним из таких проектов стал реализованный при участии специалистов компании «АйТи» в Министерстве экологии и природопользования Московской области. Наиболее актуальные проблемы проекта, с нашей точки зрения, мы обсудили в разговоре с заместителем заведующего отделом защиты информации и программного обеспечения Министерства экологии и природопользования Московской области Алексеем Селезневым.
Intelligent Enterprise: Само понятие персональных данных юридически довольно неопределенно и может иметь самое широкое толкование. В результате этот закон может стать инструментом давления на неугодных. Это еще более усугубляется тем, что целый ряд организационно-методических документов имеет ограничительные грифы и при этом постоянно меняется. Насколько оправданны эти опасения?
Алексей Селезнев: На сегодняшний день с основных руководящих документов, регламентирующих действия по защите персональных данных, уже сняты ограничительные грифы, а некоторые документы и вовсе отменены. Таким образом, налицо явно положительная тенденция в совершенствовании требований регуляторов в отношении операторов персональных данных. Гораздо более серьезным давлением на бизнес могут стать жалобы субъектов персональных данных, на которые Роскомнадзор обязан реагировать и направлять внеплановую проверку на объекты организации, на которую поданы эти жалобы. Причиной этих претензий, как правило, бывает недостаточность мер обеспечения конфиденциальности обрабатываемых персональных данных. Таким образом, стоимость потенциального ущерба от несоблюдения требований может быть выше стоимости мер по их реализации в виде разработки системы защиты персональных данных.
Очень многие организации не торопятся заявлять о себе в качестве операторов ПДн. Чем это может быть опасно для компании? Стоит ли надеяться на то, что закон № 152‑ФЗ просто не будет исполняться ввиду массовости нарушений, как это происходит с парковкой на тротуарах и газонах в крупных городах? Есть ли ситуации, когда не требуется заявлять в Роскомнадзор об обработке персональных данных?
Уведомление Роскомнадзора о том, что юридическое лицо является оператором персональных данных, автоматически влечет за собой попадание данного лица в реестр плановых проверок Роскомнадзора. Поэтому здесь нужно понимать, что одного лишь уведомления недостаточно — необходимо провести ряд организационных, технических и иных мероприятий для того, чтобы успешно пройти проверку регуляторов. Что касается массового уклонения от реализации требований, то сейчас это уже не так массово, как, например, год назад. Владельцы бизнеса пришли к осознанию того, что издержки, связанные с реализацией требований, несоизмеримы с потенциальными рисками приостановления действия лицензии или, что еще хуже, уголовной ответственности за несоблюдение требований законодательства. Уведомлять Роскомнадзор не нужно только в очень частных и редких случаях — все они прописаны в Федеральном законе № 152‑ФЗ.
Имеет ли смысл делать быстрый, дешевый, но заведомо некачественный в смысле реальной защиты проект ради формального соответствия нормам закона № 152‑ФЗ?
Имеет смысл делать полноценный проект, который охватывает не только защиту персональных данных, но и другие требования законодательства относительно защиты информации (Федеральный закон № 98‑ФЗ). Само собой, ни один заказчик не примет заведомо некачественный проект, поэтому здесь стоит вопрос прежде всего в выборе опытного подрядчика на исполнение данных работ. Так сложилось, что в связи с ажиотажем, специально под Федеральный закон № 152‑ФЗ было открыто много мелких контор, которые предлагают якобы эффективные решения по защите персональных данных, но в конечном итоге заказчик получает либо абсолютно сырые непроработанные документы, либо систему защиты персональных данных, на которую «накручено» множество дорогостоящих мер по обеспечению информационной безопасности, избыточных для поставленной задачи. Такие работы должен выполнять подрядчик, который имеет опыт работы на рынке информационной безопасности (не только защиты персональных данных) в течение нескольких лет, а то и десятилетий, способный адекватно оценить стоимость проекта.
Учитывался ли чужой опыт? Если да, то чей и в какой степени?
Как такового, формализованного опыта на рынке сейчас нет. Проекты разные и делаются по‑разному. Некоторые организации решают проблему исключительно правовым регулированием вопроса. Некоторые внедряют избыточное количество разнообразных средств защиты информации. В любом случае всегда нужно помнить о балансе между стоимостью реализации требований и потенциальными рисками от их невыполнения.
Стоит ли ждать появления отраслевых стандартов ИБ или типовых решений, учитывающих требования закона № 152‑ФЗ, как это уже сделано, например, для банков и операторов сотовой связи? Дает ли появление таких стандартов гарантию от появления претензий у регуляторов? Влечет ли это для вас возникновение проблем с территориальными органами, которым могут навязывать такое типовое решение?
Отраслевые стандарты дают гарантию только в том случае, если они согласованы с регулирующими органами, от которых, в свою очередь, есть официальное разъяснение о применимости данного стандарта для защиты персональных данных. Иными словами, соответствие отраслевому стандарту избавляет нас от необходимости использования иных руководящих документов регуляторов, которыми пользуются в своей работе те организации, для которых таких стандартов нет. Есть и обратная сторона медали — приведение организации в соответствие целому стандарту может повлечь за собой гораздо больше затрат, нежели решение локальной задачи только по защите персональных данных.
Как соблюсти баланс интересов внутри организации, стараясь привести информационные системы к соответствию нормам закона № 152‑ФЗ? Насколько сильны противоречия между ИТ и ИБ? Имели ли они место в ходе реализации вашего проекта?
Противоречия между ИТ и ИБ — довольно распространенное явление, и оно относится не только к проектам по защите персональных данных. Давно известно: специалисты ИТ-отдела не любят, чтобы их контролировали, как правило, менее компетентные в информационных технологиях специалисты по ИБ. Сейчас ситуация меняется в лучшую сторону: специалистов по информационной безопасности выпускают многие вузы в РФ, и данная область уже не страдает от такого дефицита кадров, как, например, пятью годами ранее. У специалистов по ИБ меняется подход — они начинают сотрудничать со специалистами по ИТ.
Имеет ли смысл использовать приведение к соответствию нормам закона № 152‑ФЗ в качестве задела для других ИБ-проектов (DLP, IRM, IDM)? Рассматривали ли вы свой проект в таком качестве?
Чтобы формировать какой‑либо задел на будущее, нужно оценить реальную необходимость в этом, сделав полноценный анализ рисков от реализации угроз информационной безопасности. Но анализ рисков — трудоемкий и дорогостоящий процесс, за который организации не всегда готовы платить. Поэтому я все же считаю нужным в первую очередь удовлетворять требования законодательства именно в части обработки и защиты персональных данных, а все остальные действия по развитию ИБ в организации тщательно продумывать, сопоставляя затраты и риски.
Документы регуляторов в отношении обязательного использования сертифицированных криптосредств весьма путаны и противоречивы, к тому же, скорее всего, они будут меняться. А раз так, стоит ли вообще использовать сертифицированные криптосредства и получать все необходимые для этого разрешительные документы? Как эта проблема решалась в ходе вашего проекта?
Использование криптосредств уже не обязательно — данный пункт был исключен из Федерального закона № 152‑ФЗ. Тем не менее есть руководящие документы регуляторов более низкого уровня, в которых обязательность использования криптографии прописана и по сей день.
Как быть, если персональные данные попадают в системы, где их быть не должно (например, заявка, содержащая избыточные данные, либо доверенность попадает в СЭД, или фрагмент базы данных оказывается на локальном диске ПК)? Как вы планируете решать эту проблему?
Такие проблемы решаются с помощью комплекса организационных и технических мер. Применив их, на сегодняшний день можно исключить случайное попадание фрагментов информационных систем персональных данных в общий доступ.
Всегда ли требуется от операторов получение согласия на обработку ПДн от субъектов ПДн? Как быть в тех случаях, когда затрагиваются ПДн третьих лиц (супругов, других ближайших родственников, бенефициаров, контрагентов)?
В законе прописаны исключения, при которых отсутствует необходимость получения согласия с субъекта персональных данных. Если персональные данные передаются третьим лицам, то в согласии субъекта это должно быть описано.