Top.Mail.Ru
Закон о персональных данных. Проверки. Первый опыт.

Закон о персональных данных. Проверки. Первый опыт.

Закон о персональных данных. Проверки. Первый опыт.
Автор: Зеленков Александр
Опубликовано 07 декабря 2009 года

Депутаты Государственной Думы прислушались к мнению ИТ-общественности и решили отложить на год полномасштабное вступление в действие норм 152-ФЗ «О персональных данных». Так что проверки на соответствие требованиям 152-му начнутся, видимо, через год. А вот компании МТС уже повезло пройти проверку Роскомнадзора. О своём опыте и впечатлениях рассказывает директор департамента информационной безопасности компании МТС Сергей Прадедов.

  • МТС едва ли не единственный крупный оператор персональных данных, который уже прошёл проверку Роскомнадзора по 152-ФЗ. Расскажите о Ваших впечатлениях от проверки.

Прежде всего, надо пояснить, что речь идёт о плановой проверке соответствия операторов персональных данных требованиям закона 152-ФЗ от 27 июля 2006 года. В реестр операторов персональных данных, который опубликован на сайте Роскомнадзора, включено больше 70 тысяч организаций.

Там же можно найти и график плановых проверок ведомства. Поэтому любой оператор персональных данных может посмотреть, есть ли его компания среди объектов плановых проверок, и когда предстоит проверка.

Надо признать, что Роскомнадзор, занимает достаточно конструктивную позицию, направляя усилия не на то, чтобы применить какие-то санкции, а на то, чтобы выявить существующие несоответствия требованиям закона, указать на них оператору, и способствовать их устранению. И судя по опыту общения с представителями ведомства, я думаю, что эта тенденция на ближайшую перспективу сохранится, потому что все понимают: сложно сегодня требовать полного соответствия операторов персональных данных всем техническим регламентациям и букве закона. Практика показывает готовность Роскомнадзора к диалогу в случае наличия у оператора взвешенной аргументированной позиции и стремления выполнять требования законов и подзаконных актов при выявлении несоответствий его практики букве закона.

  • О несовершенстве закона и подзаконных нормативных актов сегодня говорят все. Различия – только в степени неудовлетворённости нынешним состоянием дел. К какой категории критиков относитесь Вы? Ваша оценка степени несовершенства этого закона?

Фактически нет оператора персональных данных, который сейчас бы мог однозначно заявить: все требования закона выполнены, мы полностью до мелочей готовы к проверке.

В чем же сложность выполнения требований закона о персональных данных? Дело в том, что к моменту принятия закона уже сложилась определенная практика и структура работы с персональными данными, опирающаяся на существовавшие правовые регламенты. Однако они в полной мере не учитывали особенностей той ситуации, которая стихийно сложилась на рынке в результате развития отраслей, в том числе роста абонентских баз мобильных операторов или пользователей потребительских кредитов.

Поэтому в организациях, работающих с персональными данными (ПД), возникли правовые, финансовые, организационные, методические и технологические проблемы системного характера, которые были выявлены в ходе проведенного операторами персональных данных и консалтинговыми компаниями всестороннего анализа практики выполнения требований по защите персональных данных. Проблемы, в основном, связаны с российскими особенностями в подходе к формированию требований по технической защите информации в информационных системах персональных данных (ИСПДн). К сожалению, они не согласуются с международной практикой, задачами по интеграции России в мировое информационное пространство, целям Конвенции Совета Европы «О защите физических лиц в отношении автоматизированной обработки данных личного характера», для соответствия которой и был принят закон.

Основными проблемами применения положений Федерального закона № 152 и их причинами являются:
противоречивость положений закона и действующих подзаконных актов, а также отсутствие согласованности с другими разделами законодательства. Это зачастую приводит к абсурдным, неразрешимым ситуациям во взаимоотношениях субъектов и операторов ПДн, а также регуляторов;
несоответствие уровня требований по защите ПДн общему среднему уровню готовности операторов ПДн к их выполнению. Это приводит к тому, что некоторые операторы вынуждены проводить глубокую модернизацию или замену большинства средств защиты информации и информационных систем. При этом затраты, которые на это требуются, не адекватны потенциальному ущербу и рискам безопасности в случаях, когда оборудование не обновляется.— документы регуляторов не учитывают отраслевую специфику, и особенности информационных отношений в негосударственной сфере. В ряде случаев общие положения закона содержат избыточные требования, которые характерны для защиты государственной тайны. В этом российское законодательство невыгодно отличается от аналогичных регламентов, например, в Европе. Там требования к операторам ПД более мягкие, и большинство ИСПДн при классификации попадают в классы с «простыми» рекомендациями (иногда требованиями) по защите данных, тогда как в «российском» подходе большинство ИСПДн попадает в классы с высокими и обязательными требованиями по защите ПДн;
в международной и европейской практике, как правило, предусматривается добровольная сертификация информационных систем по требованиям безопасности. Российское же законодательство требует использовать сертифицированные (аттестованные) в России средства защиты информации и информационные системы, что значительно ограничивает возможности по использованию продуктов иностранной разработки. Это положение предполагает проведение сертификации (аттестации) или замены всех уже эксплуатируемых средств защиты и ИСПДн, что приводит к дополнительным, зачастую неоправданным расходам, а также ограничивает возможности операторов ПДн по внедрению новых информационных услуг, технологий и систем;
высокий уровень требований по защите ПДн приводит к значительным затратам на их выполнение. В бюджете на 2009 и 2010 годы затраты на защиту ПДн в государственных и муниципальных организациях не предусмотрены. В условиях кризиса затраты негосударственных организаций, в частности, операторов связи, на защиту ПДн также являются значительными, но не оправдывают себя с точки зрения эффективности;

При этом надо понимать, что все — и операторы, и регуляторы, и граждане поддерживают идею закона, регламентирующего использование информации о персональных данных, и понимают необходимость ее защиты. Все мы являемся гражданами и нам это небезразлично. Но, к сожалению, регламентация этой сферы оказалась недоработана. И, в итоге, нормативные документы, которые сейчас существуют, настолько противоречат друг другу и не согласуются между собой, что могут довести ситуацию едва ли не до абсурда.

Регламентация нужна. Но она должна быть более четкой и непротиворечивой. И в законе «О персональных данных» есть очень много разумных, внятных и выполнимых требований. Соответственно, все мы должны стремиться к тому, чтобы эти требования реализовать. В любом случае надо исходить из простого соображения: необходимо защищать конфиденциальную информацию, беречь персональные данные наших клиентов, наших сотрудников. Прежде всего, это понимание должно быть внутри организации, которая является оператором персональных данных. И если защита персональных данных станет одной из внутренних и приоритетных бизнес-задач, если у оператора есть базовые механизмы для этого, то я уверен, он сможет вести дискуссию с проверяющими и убеждать их в том, что имеющихся средств защиты достаточно. Если этого нет – то это проблема оператора ПДн, более того она несет угрозу тем, чьи персональные данные внесены в его базу. И в этом случае санкции могут быть оправданы.

  • С какими проблемами Вы столкнулись во время проверки?

Одной из основных проблем, с которой МТС как объекту инспектирования пришлось столкнуться в ходе проверок Роскомнадзора, стало то, что у региональных подразделений ведомства не было единого подхода к проведению оценки и анализа и единой методики проверки. И поскольку взаимодействие между специалистами компании и представителями надзорных органов осуществлялось, главным образом, на региональном уровне, то оно имело региональную специфику. Некоторые региональные отделения Роскомнадзора заняли жесткую позицию.

  • И каковы результаты?

В ряде случаев мы отстаивали свою правоту, в части – признали свои недоработки. Вывод один — руководители компаний-операторов персональных данных должны чётко понимать: проблема исполнения требований закона 152-ФЗ – это не только проблема информационной безопасности и ИТ, это проблема всей компании. CIO должны довести до сведения руководства компаний, что к предстоящим проверкам необходимо серьёзно готовиться. Особенно это касается тех компаний, которые обладают крупными инфраструктурами и большими базами персональных данных. Необходимо готовить своих юристов для того, чтобы они могли юридически грамотно сопровождать проверку. Потому что помимо нестыковок самого закона и подзаконных актов, есть ещё и противоречия с другими действующими законами, есть масса юридических коллизий. Ситуация довольно частая: один закон предписывает одно, другой – другое. И всё зависит от того, насколько грамотный и компетентный у вас юрист, который обоснует правоту и соответствие закону работающих в компании систем и регламентов.

Сложно быть законопослушным, когда требования Закона противоречивы и сложно выполнимы. Весьма вероятное участие в проверках с 1 января представителей ФСТЭК (Федеральной службы по техническому и экспортному контролю) и ФСБ, едва ли упростит ситуацию. Учитывая, что пока ещё нет единой практики, нет методик и единого подхода к проверке, в каждом конкретном случае придётся обосновывать свою правоту. Это существенные издержки и риски для любого крупного оператора. Вот, собственно, почему я — апологет того, что необходимо внести изменения в Закон и переработать требования. А для этого нужно время. И мы добиваемся отсрочки вступления в силу технических требований как минимум на два года.

Для компаний, которым предстоит проверка, очень важно внимательнейшим образом ознакомиться с нормативными документами и в той части, в которой они могут быть выполнены – а это, прежде всего, организационная часть,— тут все требования должны быть выполнены. Также полезно иметь квалифицированный штат юристов, которые будут непосредственно работать с представителями Роскомнадзора и аргументировать позицию, доказывать правоту компании.

Такой подход позволяет в значительной степени гарантировать, что проверка будет успешно пройдена. Здесь, правда, есть один момент. С 1 января Роскомнадзор может пригласить в части своих компетенций представителей ФСБ и ФСТЭК. Практики общения с этими структурами у нас нет. Если Роскомнадзор проверяет соответствие организации требованиям закона, то есть, главным образом, юридические моменты, то ФСБ и ФСТЭК будут проверять соответствие техническим требованиям. Тут потребуется аргументировать достаточность технических средств защиты персональных данных при их автоматизированной обработке. 1 января – это дата вступления в силу этих самых технических требований к системам, – обращаю на это внимание! – которые были введены в действие до 2007 года. То есть считается, что системы, которые введены после 2007 года, как бы должны соответствовать требованиям. Думаю, тут могут возникнуть определённые проблемы. Поэтому к юристам, которые будут общаться с представителями надзорных организаций, необходимо будет добавить технически грамотных IT-специалистов, специалистов по информационной безопасности, которые будут доказывать, что созданная в компании система защиты персональных данных позволяет в значительной степени гарантировать защиту информации.

Я думаю, что и ФСБ, и ФСТЭК при проведении проверок, скорее всего, займут взвешенную позицию. Если они будут видеть, что оператор персональных данных стремится выполнять требования закона, у него есть четкая программа, есть понимание того, в каком направлении двигаться, то к нему никаких санкций применяться не будет. Результатом проверки, как мне представляется, выдаваться какие-то рекомендации, как эту программу оптимизировать. Если же надзиратели увидят, что оператор совсем ничего не делает для приведения своей системы обеспечения безопасности в соответствие требованиям закона, а занимает выжидательную позицию, то, наверно, с такими операторами будет более жёсткий разговор. И это, пожалуй, оправдано.

  • Какой пакет документов необходимо предъявить проверяющим?

В первую очередь оператору персональных данных необходимо иметь Уведомление об обработке персональных данных, в котором определены цели обработки, перечень персональных данных, а также общие сведения об организации и информационных системах, обрабатывающих ПД. Далее потребуются нормативные документы, устанавливающие порядок получения, обработки, хранения и уничтожения ПД, определяющие ответственность за безопасность ПД, классификацию ИСПДн, описание средств защиты, сертификаты на средства защиты и акты об аттестации ИСПДн и другие.

Отдельно хотел остановиться на классификации ИСПДн. Особенность Технических требований к классификации такова, что информационные системы в большинстве случаев относятся к классу «специальных». Это связано с тем, что базовые классы определяют требования только по конфиденциальности информационной системы. При этом большинство информационных систем, обрабатывающих персональные данные, помимо конфиденциальности, должны также отвечать требованиям по доступности и непрерывности процессов. Таким образом в соответствии с положением о классификации оператор должен под «специальную» систему самостоятельно разработать модель угроз и частные технические требования по обеспечению безопасности. Где необходимо, аргументировано доказать, что методы и механизмы, которые он предлагает, достаточны для того, чтобы обеспечить противодействие угрозам, которые он определил как вероятные в этих системах.

Тут есть тонкость. Дело в том, что по ходу проверки может выясниться, что модель обеспечения безопасности персональных данных, предложенная и используемая оператором, не вполне устраивает представителей ФСТЭК или ФСБ. Она может быть оспорена или вообще отвергнута регуляторами. Тут возникает очень большой соблазн для субъективных решений.

Однако, повторюсь, наличие у оператора базовых регламентов и классификаций ИСПД и понимание способов решения проблем и готовность их решать — повод для лояльного отношения надзорных органов к оператору ПД. Я уверен, что и Роскомнадзор, и ФСБ, и ФСТЭК понимают текущие проблемы. Поэтому при готовности сотрудничать с контролирующими инстанциями в ближайшее время у операторов персональных данных больших проблем, думаю, не будет.

  • А каким образом можно устранить избыточность, нечёткости и конкретизировать требования нормативных документов?

Понятно, что у разных держателей и операторов баз персональных данных различные способы использования этих данных и, соответственно, различные подходы к их обработке и хранению. Скажем, для банковских операций и для отрасли связи специфика обработки персональных данных разная. Соответственно, методы защиты тоже должны быть разными и применяться с учетом отраслевой специфики. Безусловно, отраслевые стандарты должны базироваться на нормативных документах ФСТЭК и ФСБ, но их необходимо адаптировать к конкретным отраслевым условиям.

Я думаю, что технические параметры требований должны разрабатываться внутри самого IT-сообщества с учетом специфики каждой отрасли. И назвать их отраслевыми требованиями, отраслевыми стандартами, которые будут, с одной стороны, адекватными и выполнимыми, с другой – позволят обеспечить реализацию цели закона О защите персональных данных – защитить права и интересы наших граждан. Например, в Европе принят подход, когда требования, которые государство разрабатывает для операторов персональных данных, носят скорее рекомендательный характер, а конкретные практические особенности реализации безопасности информационных систем определяются как раз в отраслевых документах.

  • Недавно в Госдуме прошли парламентские слушания по закону о персональных данных. Вы возлагаете на эти слушания какие-то надежды?

Мы не ожидаем каких-то экстраординарных решений. Есть Закон, и все мы сейчас движемся в направлении исполнения требований этого Закона. При этом мы все понимаем, что существуют проблемы соблюдения требований этого закона и связанных с ним нормативных документов. Поэтому прошедшие слушания – это нормальное движение, один из этапов процесса совершенствования законодательства.

Радует, что в принципе позиция операторов персональных данных, сформированная в период подготовки парламентских слушаний, была услышана комитетами Госдумы. Не скрою, я был готов к худшему сценарию. Три парламентских комитета поддержали позицию операторов персональных данных. А дальше – «дорогу осилит идущий». Необходимо двигаться и дальше в этом направлении. Операторы персональных данных должны на всех уровнях – в Госдуме, в правительстве, в администрации президента, в профильном Министерстве связи, – четко обозначать свою позицию, обосновывать необходимость внести коррективы и в сам закон, и в подзаконные акты. Нам следует совместными усилиями совершенствовать законодательную базу и доводить её до уровня лучших мировых практик.

  • Давайте вернёмся к проблеме защиты персональных данных на уровне компании. По статистике, угроза утечки данных – это на 80% инсайдерская угроза, угроза от собственных сотрудников. В МТС были серьёзные утечки информации?

У нас была довольно серьёзная утечка данных в 2003 году. И это стало сигналом к тому, чтобы уделять существенное внимание вопросам информационной безопасности: было создано подразделение, которое я сейчас возглавляю; были проведены организационные и технические мероприятия для того, чтобы исключить утечки. И нам удалось добиться контроля над потоками информации. С тех пор утечек не случалось.

Но процедура обеспечения контроля над возможными утечками — очень непростая и комплексная: в любой компании масштаба МТС организованы сложные информационные потоки, как внутри компании, так и с партнерами, контрагентами и в т.ч. с правоохранительными органами.

Есть и слабо защищенные места. Ведь источником утечки могут стать не сами операторы персональных данных, а те лица, которые в соответствии с законом могут легально получать доступ к базам данных.

И тут появляется целый ряд очень сложных проблем. Например, существуют противоречия между законом о персональных данных и законами о связи и об оперативно-розыскной деятельности и другими, а также подзаконными актами, которые регламентируют обмен и требования по раскрытию такого рода информации. К сожалению, от этих рисков сегодня не защищены ни мы, операторы персональных данных, ни граждане. И главное, что в нынешней ситуации необходимо сделать для того, чтобы вокруг закона о персональных данных не возникало юридических коллизий — внести изменения ещё примерно в три десятка законодательных актов. Ведь с момента вступления в силу в 2006 году 152-го федерального закона ни в один законодательный акт изменений не внесено. А без этого закон не может нормально полноценно применяться и исполняться.

http://www.cio-world.ru/it-expert/484920/

508
Комментарии (12)
  • 11 декабря 2009 в 19:16 • #
    Александр Крылов

    Искренность МТС под сомнением, так как при негативном отзыве - можно получить "нагоняй" от соответствующих и не только органов...

    Интересно, в какую сумму обошлось МТС внедрение систем информ-безопасности в соотношении с реальной стоимостью этих продуктов и стоимостью внедрения?

  • 11 декабря 2009 в 21:01 • #
    Artem Dultsev

    Смею предположить, что какими бы не были инвестиции МТС в информ-безопасность, они оправдают себя в любом случае.

  • 11 декабря 2009 в 21:15 • #
    Александр Крылов

    особенно когда года через два БД клиентов будет в сети :) видимо Вы не работали в ИТ сфере или вернее ее не касались с той стороны :)

  • 11 декабря 2009 в 22:34 • #
    Галина Иванова

    Почему через 2 года? Она уже есть. нужно только знать где найти и немного заплатить, буквально за 100 руб. можно было скачать нужную базу нужного региона. Сама лично наткнулась на такой форум где все базы продавались и покупались: МТС, Мегафон, Билайн, Налоговые, ГАИ, и даже больных СПИДом.

  • 11 декабря 2009 в 23:09 • #
    Александр Крылов

    ну это базы до внедрения информ-защиты :)
    а на каком форуме ? ;)

  • 12 декабря 2009 в 11:08 • #
    Artem Dultsev

    после внедрения информ-защиты вам и платить не придется за эти базы :)))

  • 12 декабря 2009 в 13:27 • #
    Александр Крылов

    ну да, сразу на торрент-ру все будет :) хотя плачу же за доступ в сеть...

  • 12 декабря 2009 в 14:16 • #
    Artem Dultsev

    :)

  • 12 декабря 2009 в 22:48 • #
    Галина Иванова

    Ну, народ! Нет, чтоб возмутиться, ни фига, адресочек спрашивают!))))))
    да не помню уже, мне не нужно было особо. я "черные списки" одного банка искала по Яндексу. скажу сразу, что нашла, 100 мб архивчик, но, тогда скачать не смогла - скорость была слишком низкая. а на этот форум случайно наткнулась, там ребятки друг с другом делились инфой, той, что не сильно "секретная" - бесплатно, та, что посерьезней - 100 р. Помню, что ссылку я сохранила у себя в компьютере, но уж столько раз Винду переустанавливала, что и след потеряла.

  • 12 декабря 2009 в 11:06 • #
    Artem Dultsev

    Что и говорить. Базы данных - это хорошо поставленный бизнес. То, что кажется никогда не станет достоянием общественности, уже выложено в виде базы данных на каком-нибудь интернет-ресурсе. Сомневаюсь, что и закон о персональных данных тут поможет...

  • 12 декабря 2009 в 11:02 • #
    Artem Dultsev

    Просто не хотелось бы клеветать на ИТ-сферу :) Что там твориться многие и так знают.

  • 12 декабря 2009 в 11:06 • #
    Александр Крылов

    +1 :)


Выберите из списка
2015
2015
2013
2011
2010
2009