Данные в законе
По мере приближения 2010 г., уже условно провозглашенного годом защиты конфиденциальной информации, страсти вокруг ФЗ № 152 «О персональных данных» накаляются. И хотя надзорные органы давно приступили к активным проверкам, многие компании до сих пор не понимают, что и как они должны делать.
По мере приближения 2010 г., уже условно провозглашенного годом защиты конфиденциальной информации, страсти вокруг ФЗ № 152 «О персональных данных» накаляются. И хотя надзорные органы давно приступили к активным проверкам, многие компании до сих пор не понимают, что и как они должны делать.
Проводившиеся в последнее время чуть ли не каждый месяц симпозиумы и конференции не внесли ясности в ситуацию. Собираясь вместе, ИТ-директора и специалисты в области обеспечения информационной безопасности делились друг с другом сомнениями и переживаниями, которые только усугубляли недопонимание закона. Однако практика показала, что регуляторы готовы к конструктивному диалогу. На круглом столе, организованном журналом IT-Manager, руководители РОСКОМНАДЗОРА, ФСТЭК и ФСБ по Санкт-Петербургу и Ленинградской области охотно отвечали на вопросы CIO и вместе с ними обсуждали аспекты ФЗ №152, требующие уточнения или доработки.
За столом переговоров
Круглый стол, проведенный в рамках программы «IT-диалог 2009», состоялся 27 октября в Смольном при поддержке Комитета по информатизации и связи Правительства Санкт-Петербурга. В преамбуле Александр Початков, первый заместитель председателя комитета по информатизации и связи Правительства Санкт-Петербурга, обозначил проблему, ставшую лейтмотивом всего мероприятия. По его словам, большинство организаций и ИТ-директоров уже осознали необходимость соблюдения всех требований ФЗ № 152 по защите персональных данных (ПДн). Однако времени на самостоятельную проработку сопутствующих вопросов практически не осталось, и все находятся в поиске информации, которая способна пролить свет на накопившиеся вопросы. Александр Початков выразил надежду, что встреча ИТ-директоров с регуляторами окажется полезной для всех, и предложил перейти к дискуссии и обмену практическим опытом между ее участниками.
В ходе приветственного выступления Виктор Швед, заместитель руководителя Управления ФСТЭК России по СЗФО, еще раз четко обрисовал позицию регуляторов: бесконечный перенос сроков вступления в силу ответственности по ФЗ № 152 не является решением существующих проблем. Поэтому тем компаниям, которые еще не озаботились вопросами защиты ПДн, не стоит уповать на отсрочки. Виктор Швед напомнил собравшимся, что контроль за выполнением требований ФЗ № 152 осуществляют сразу три уполномоченных органа(Уполномоченный орган один). Основным исполнительным и надзорным органом по защите прав субъектов ПДн (читай – физических лиц) выступает Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (РОСКОМНАДЗОР). Контроль методов защиты информации с использованием технических средств находится в компетенции ФСТЭК России. В этом процессе участвует также ФСБ России, за которой закреплены функции куратора вопросов защиты информации с использованием криптографии.
Помимо Виктора Шведа, представляющего ФСТЭК, в круглом столе активно участвовали сотрудники всех перечисленных регуляторов: Герман Азерский, заместитель руководителя управления РОСКОМНАДЗОРА по Санкт-Петербургу и Ленинградской области, Денис Тагиев, сотрудник управления ФСБ по Санкт-Петербургу и Ленинградской области, Интересы ИТ-директоров в президиуме круглого стола отстаивал Юрий Шойдин, член правления СОДИТ, сопредседатель комитета по информационной безопасности..
В дискуссии приняли также участие представители высшей школы Санкт-Петербурга заведующий кафедрой ИБКС ГОУ «СПбГПУ» П.Д. Зегжда и декан факультета информационных систем и защиты информации, профессор СПб ГУАП Е.А.Крук, которые озвучили аудитории свои позиции по вопросам защиты ПДн. Ведущим мероприятия
Справка
Правила (обработки персональных данных и в том числе защиты информационных систем персональных данных) регламентирует не только ФЗ № 152, но и некоторые другие документы, с которыми обязаны ознакомиться все операторы ПДн. На сегодняшний день их перечень выглядит следующим образом:
• Указ президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
• Постановление правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;
• «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (ФСБ РФ от 21 февраля 2008 г.);
• «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (ФСБ РФ от 21 февраля 2008 г.);
• «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных» (ФСТЭК от 15 февраля 2008 г.);
• «Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (ФСТЭК от 14 февраля 2008 г.);
• «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (ФСТЭК от 15 февраля 2008 г.);
• «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (ФСТЭК от 15 февраля 2008 г.).
Большинство этих документов находятся в открытом доступе, однако некоторые из них, изданные ФСТЭК и ФСБ в 2008 году, имеют пометку «Для служебного пользования», а потому предоставляются операторам ПДн только по запросу в соответствующие территориальные органы ФСТЭК России по своему федеральному округу.
Безопасность в деталях
Сразу после непродолжительного знакомства участники приступили к обсуждению конкретных проблем. В частности, ведущий круглого стола, директор по развитию издательства «ИТ-Медиа» Антон Паулич обратился к регуляторам с вопросом: когда компании обязаны подавать уведомление о том, что они являются операторами ПДн?
Уведомления необходимы для составления государственного реестра операторов ПДн, предусмотренного ФЗ № 152. Чтобы попасть в этот реестр, организация должна подать в территориальный орган РОСКОМНАДЗОРА соответствующий документ по образцу, утвержденному приложением к приказу РОСКОМНАДЗОРА (от 17 июля 2008 г. № 08). Этот документ может быть составлен как в письменной, так и в электронной форме за подписью (обычной или цифровой) уполномоченного лица. Также это можно сделать на портале персональных данных http://pd.rsoc.ru.
В уведомлении необходимо подробно изложить, какие операции компания планирует осуществлять с ПДн и с какой целью, и как будет организована их защита в случае их обработки в информационных системах . При этом любые изменения в процессе обработки ПДн должны впоследствии доводиться до РОСКОМНАДЗОРА. По такой схеме должна осуществляться уведомительная государственная регистрация операторов ПДн, на которую отводится 30 дней с момента подачи уведомления (при условии, что оно составлено по всем правилам). Если же в уведомлении содержится неполная или недостоверная информация, то РОСКОМНАДЗОР может потребовать обратным письмом привести ее в порядок в установленные сроки. Выступая на круглом столе, Герман Азерский отметил, что в определенных случаях операторам разрешается осуществлять обработку ПДн без уведомления РОСКОМНАДЗОРА. Исчерпывающий перечень этих случаев предусмотрен соответствующей ст. 22 Федерального Закона № 152-ФЗ от 27.07.2006.
Отвечая на вопросы ИТ-директоров, Герман Азерский пояснил, что хотя по закону уведомление необходимо подавать в РОСКОМНАДЗОР до того, как оператор начинает обрабатывать персональные данные, на практике это, к сожалению, не соблюдается, и уведомление подают лишь те, кто считает это необходимым. При этом существующая формулировка Закона в настоящее время не предусматривает за это ответственности. Однако в ходе проведения контрольных мероприятий РОСКОМНАДЗОР вправе привлекать (и привлекает) операторов ПД, не подавших вовремя уведомления, к административной ответственности. Герман Азерский подчеркнул, что Федеральный Закон № 152-ФЗ вступил в силу еще в 2007 году, а 2010 год – это крайний срок, отпущенный Законом компаниям на обеспечение безопасности собственных информационных систем. РОСКОМНАДЗОР осуществляет проверки на предмет выполнения Закона уже в течение двух лет. Процедура проверок, полномочия контрольных органов и самих проверяемых подробно прописаны в Федеральном законе № 294-ФЗ от 26.12.2008. В соответствии с указанным Законом проверки существуют плановые и внеплановые. Плановые проверки осуществляются согласно заранее составленному графику, с которым можно ознакомиться на сайте РОСКОМНАДЗОРА (www.rsoc.ru) в разделе «Планирование, отчеты о деятельности». На этом сайте многие компании уже сегодня могут обнаружить свои наименования и даты будущих проверок на 2009 и 2010 год. Внеплановые проверки проводятся только тогда, когда в РОСКОМНАДЗОР поступает информация о грубых нарушениях ФЗ № 152 со стороны той или иной компании, угрозе несанкционированного доступа к ПДн, в некоторых других случаях. Так, в 2008 году РОСКОМНАДЗОР совершил 76 проверок в области контроля правил работы с ПДн, из которых более 50% были внеплановыми.
Справка
Независимо от необходимости составления уведомления, компания, осуществляющая работу с ПДн, должна разработать «Положение о защите персональных данных на предприятии». В этом положении оговаривается весь процесс получения, хранения, обработки, передачи и защиты ПДн, а также назначаются ответственные за это должностные лица. Положение доводится под роспись до всех работников предприятия. Необходимо также помнить о том, что согласно закону сотрудники должны дать письменное разрешение на работу со своими персональными данными. Поэтому после введения «Положения о защите ПДн» в действие необходимо собрать со всех сотрудников подписи об их согласии, а в дальнейшем включить разрешающую запись в бланк трудового договора.
При проведении проверки РОСКОМНАДЗОР вправе потребовать от компании предоставить в определенные сроки уведомление о том, что она является оператором ПДн, и отслеживать выполнение этого требования. На сайте надзорного органа можно найти все необходимые для составления уведомления документы. Невыполнение данного требования влечет наложение административного штрафа: на должностных лиц в размере от 300 до 500 руб., на юридических лиц — от 3 до 5 тыс. руб. По словам Германа Азерского, из-за такой схемы процесс получения уведомлений сильно растягивается во времени. Однако РОСКОМНАДЗОР уже запросил у правительства РФ необходимые полномочия для того, чтобы требовать у компаний уведомление без проведения проверок, что, по идее, должно ускорить процесс формирования полноценного реестра операторов ПДн.
Преступление и наказание
Безусловно, важной информацией для компаний является ответственность за выявленные в ходе проверок нарушения. В ответ на этот вопрос Герман Азерский четко дал понять, что в период проведения проверки, а это всегда занимает некоторое время, сотрудники РОСКОМНАДЗОРА не возражают против того, чтобы выявленные нарушения были исправлены. В таком случае они (исправленные нарушения) в акт не включаются и наказание за них не предполагается. По результатам проведенных плановых и внеплановых проверок РОСКОМНАДЗОР выдает операторам, осуществляющим обработку ПДн, предписания об устранении выявленных нарушений законодательства в четко определенные сроки. По той же схеме работает и ФСТЭК, контролирующий соблюдение технических методов защиты ПДн и другие контрольно-надзорные службы.
В случае несоблюдения указанных в предписании сроков на лиц, виновных в нарушении ФЗ № 152, согласно статье 24, «возлагается гражданская, уголовная, административная, дисциплинарная и иная предусмотренная законодательством РФ ответственность». Административная ответственность предусматривает материальное взыскание, размер которого зависит от степени провинности оператора ПДн. К примеру, за нарушение порядка сбора, хранения, использования или распространения ПДн для граждан предусмотрен денежный штраф в размере от 300 до 500 руб., для должностных лиц — от 500 до 1 тыс. руб., а для юридических лиц — от 5 до 10 тыс. руб. Более серьезные нарушения могут повлечь за собой уголовную ответственность. К таковым, в частности, относится незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без получения его согласия, а также неправомерный доступ к охраняемой законом информации. В этом случае виновники наказываются штрафом в размере до 200 тыс. руб., или в размере заработной платы и иного дохода осужденного за период до 18 месяцев. При этом виновнику также могут быть присуждены обязательные работы на срок от 120 до 180 часов, исправительные работы на срок до 1 года или арест на срок до 4 месяцев. При этом необходимо отдавать себе отчет в том, что после присуждения соответствующего взыскания компания тут же вновь получает предписание об устранении нарушений ФЗ № 152 и весь цикл начинается по новой.
Характерные грабли
Исходя из опыта осуществленных за два года проверок, представители надзорных органов поделились типичными ошибками, которые допускают операторы ПДн. Среди них одной из самых распространенных является неправильное определение категории обрабатываемых ПДн и используемой для этого информационной системы. В перечне важных для операторов ПДн документов есть приказы, четко формализующие классификацию ПДн и соответствующие им меры защиты.
Справка
В соответствии с документами ФСТЭК ИСПДн 1 и 2 классов подлежат обязательной аттестации по требованиям безопасности информации. Операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн 1, 2 класса и территориально распределенным системам 3 класса, как правило, это большие государственные информационные системы должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации, если оператор ИСПДн заключает договор на проведение соответствующих мероприятий в части защиты информации (ПДн) с уполномоченным лицом – лицензиатом ФСТЭК России, иметь лицензию ему не обязательно.
От категории ПДн и класса информационной системы напрямую зависит перечень организационных и технических мер, которые должны быть применены для их защиты при обработке. Чем выше класс ИСПДн — тем строже требования. В соответствии с «Рекомендациями по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» утвержденных заместителем директора ФСТЭК России от 15.02.2008 года, класс информационных систем может быть пересмотрен.
Технологической методологией защиты ведает ФСТЭК России, однако вопросы, связанные с использованием криптографии, находятся в компетенции ФСБ России. Методические документы ФСБ России, определяющие порядок применения криптографических средств в информационных системах ПДн, операторы ПДн могут получить в территориальном управлении ФСБ. Денис Тагиев подчеркнул, что его структура готова оказывать консультации компаниям в отношении использования криптографических средств для защиты ПДн. В настоящее время ФСБ России разрабатывается административный регламент, устанавливающий процедуру осуществления мероприятий по контролю за применением криптографии в информационных системах ПДн. Данный регламент после его утверждения будет доступен для ознакомления на сайте ФСБ России, а также будет предоставляться операторам ПДн по запросу. С 1 января следующего года ФСБ России начнет проверки операторов ПДн на предмет соблюдения установленных требований к обеспечению безопасности персональных данных, в части использования криптографических средств.
Согласно Федеральному Закону № 152-ФЗ, применять для защиты ПДн, обрабатываемых в информационных системах, можно только средства безопасности, сертифицированные во ФСТЭК и ФСБ России. Пытаясь выполнить соответствующие требования Закона многие компании, ринулись заменять и модернизировать свои информационные системы. Однако, по мнению Германа Азерского, прежде чем вкладывать в реализацию подобных задач значительные инвестиции, следует для обеспечения безопасности информации в системе предприятия обдумать возможность применения чисто организационных решений, позволяющих обрабатывать уже обезличенные ПДн. Это, по всей вероятности, позволит вообще не заниматься сертификацией информационной системы в организации.
Справка
Согласно закону о защите ПДн используемые для этого программно-аппаратные технические средства обязаны обеспечивать:
• идентификацию и аутентификацию пользователей;
• регистрацию в журналах аудита входа (выхода) в информационную систему и из системы;
• проверку целостности программных средств защиты информации от несанкционированного доступа;
• периодическое тестирование системы защиты персональных данных;
• механизмы восстановления системы защиты персональных данных;
• антивирусную защиту информационной системы.
Герман Азерский сообщил, что сотрудники РОСКОМНАДЗОРА в рамках разумного всегда готовы оказать методическую и практическую помощь руководству законопослушных организаций, поскольку изучение юридических аспектов работы с ПДн и планирование мероприятий эффективной защиты информации, несмотря на кажущуюся простоту и формальность, требуют тщательной проработки квалифицированными специалистами.
При разработке модели нарушителя многие компании почему-то не учитывают всех сотрудников, имеющих доступ к ПДн в ИСПДн, в особенности – операторов баз данных и системных администраторов. Резюмируя все вышесказанное, Виктор Швед справедливо заметил, что защищаться надо не от регуляторов, а от угроз для ПДн, и тогда с соблюдением ФЗ № 152 не будет никаких проблем.
Справка
По статистике абсолютное большинство информационных систем коммерческих предприятий относятся к классу К3. По данному классу необходимо принять следующие меры защиты ПДн административного и технического характера:
• определение круга лиц, допущенных к обработке ПДн, распределение их должностных обязанностей;
• организация учета носителей, содержащих персональные данные, с регистрацией их выдачи и приема;
• организация физической охраны информационной системы и носителей информации, а также ограничение доступа в помещения, где производится работа с ПДн;
• определение структуры построения информационной системы и необходимости подключения к сети общего доступа (локальной или Интернет);
• определение программно-аппаратных средств защиты ПДн, сертифицированных ФСТЭК или ФСБ.
К сожалению, чтобы исключить возможность всех перечисленных ошибок, большинству компаний просто не хватает опытных специалистов, способных грамотно проработать все вопросы, связанные с персональными данными. И это как раз тот случай, когда не грех обратиться за помощью к сторонним компаниям, способным, как минимум, провести профессиональный аудит на предмет использования ПДн, а как максимум — обеспечить строгое соответствие процессов обработки и защиты персональных данных существующему законодательству.
ИТ-директора также могут обратиться за консультацией к своим коллегам, Юрий Шойдин проинформировал собравшихся, о том что на базе Санкт-Петербургского клуба ИТ-директоров работает «горячая линия» по этим вопросам.
В сухом остатке
В завершение круглого стола его участники коснулись некоторых аспектов ФЗ № 152, требующих поправок и доработки. Так, на сегодняшний день определение сущности ПДн слишком размыто и требует уточнения во избежание неправильной его трактовки. Не менее важным аспектом является проработка отраслевой специфики закона: невозможно причесать под одну гребенку такие специфические организации, как учебные заведения и медицинские учреждения, имеющие свои уникальные особенности работы с персональными данными. Наконец, для того, чтобы классификация ПДн была не надуманной, а объективной, необходимо разработать четкие критерии оценки последствий от утери ПДн для пострадавших.
Пока что такие критерии определяются буквально «на глаз», а их количественные или качественные характеристики не предусмотрены ни в законе, ни в сопутствующих приказах и документах. Под занавес круглого стола несколько его участников из числа CIO выступили с просьбой в адрес регуляторов вести более активную разъяснительную работу с операторами ПДн обо всех аспектах соблюдения ФЗ № 152. В ответ на это Юрий Шойдин сообщил, что в рамках работы комитета по ИБ СоДИТ разработан документ «Рекомендации для ИТ-директоров России по защите персональных данных» который распространяется среди членов клубов ИТ-директоров http://www.rucio.ru, проводятся мероприятия, цель которых – помочь операторам ПДн привести свои системы в соответствие с требованиями Закона.
Текст: Алексей Комов
Проводившиеся в последнее время чуть ли не каждый месяц симпозиумы и конференции не внесли ясности в ситуацию. Собираясь вместе, ИТ-директора и специалисты в области обеспечения информационной безопасности делились друг с другом сомнениями и переживаниями, которые только усугубляли недопонимание закона. Однако практика показала, что регуляторы готовы к конструктивному диалогу. На круглом столе, организованном журналом IT-Manager, руководители РОСКОМНАДЗОРА, ФСТЭК и ФСБ по Санкт-Петербургу и Ленинградской области охотно отвечали на вопросы CIO и вместе с ними обсуждали аспекты ФЗ №152, требующие уточнения или доработки.
За столом переговоров
Круглый стол, проведенный в рамках программы «IT-диалог 2009», состоялся 27 октября в Смольном при поддержке Комитета по информатизации и связи Правительства Санкт-Петербурга. В преамбуле Александр Початков, первый заместитель председателя комитета по информатизации и связи Правительства Санкт-Петербурга, обозначил проблему, ставшую лейтмотивом всего мероприятия. По его словам, большинство организаций и ИТ-директоров уже осознали необходимость соблюдения всех требований ФЗ № 152 по защите персональных данных (ПДн). Однако времени на самостоятельную проработку сопутствующих вопросов практически не осталось, и все находятся в поиске информации, которая способна пролить свет на накопившиеся вопросы. Александр Початков выразил надежду, что встреча ИТ-директоров с регуляторами окажется полезной для всех, и предложил перейти к дискуссии и обмену практическим опытом между ее участниками.
В ходе приветственного выступления Виктор Швед, заместитель руководителя Управления ФСТЭК России по СЗФО, еще раз четко обрисовал позицию регуляторов: бесконечный перенос сроков вступления в силу ответственности по ФЗ № 152 не является решением существующих проблем. Поэтому тем компаниям, которые еще не озаботились вопросами защиты ПДн, не стоит уповать на отсрочки. Виктор Швед напомнил собравшимся, что контроль за выполнением требований ФЗ № 152 осуществляют сразу три уполномоченных органа(Уполномоченный орган один). Основным исполнительным и надзорным органом по защите прав субъектов ПДн (читай – физических лиц) выступает Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (РОСКОМНАДЗОР). Контроль методов защиты информации с использованием технических средств находится в компетенции ФСТЭК России. В этом процессе участвует также ФСБ России, за которой закреплены функции куратора вопросов защиты информации с использованием криптографии.
Помимо Виктора Шведа, представляющего ФСТЭК, в круглом столе активно участвовали сотрудники всех перечисленных регуляторов: Герман Азерский, заместитель руководителя управления РОСКОМНАДЗОРА по Санкт-Петербургу и Ленинградской области, Денис Тагиев, сотрудник управления ФСБ по Санкт-Петербургу и Ленинградской области, Интересы ИТ-директоров в президиуме круглого стола отстаивал Юрий Шойдин, член правления СОДИТ, сопредседатель комитета по информационной безопасности..
В дискуссии приняли также участие представители высшей школы Санкт-Петербурга заведующий кафедрой ИБКС ГОУ «СПбГПУ» П.Д. Зегжда и декан факультета информационных систем и защиты информации, профессор СПб ГУАП Е.А.Крук, которые озвучили аудитории свои позиции по вопросам защиты ПДн. Ведущим мероприятия
Справка
Правила (обработки персональных данных и в том числе защиты информационных систем персональных данных) регламентирует не только ФЗ № 152, но и некоторые другие документы, с которыми обязаны ознакомиться все операторы ПДн. На сегодняшний день их перечень выглядит следующим образом:
• Указ президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
• Постановление правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;
• «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (ФСБ РФ от 21 февраля 2008 г.);
• «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (ФСБ РФ от 21 февраля 2008 г.);
• «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных» (ФСТЭК от 15 февраля 2008 г.);
• «Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (ФСТЭК от 14 февраля 2008 г.);
• «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (ФСТЭК от 15 февраля 2008 г.);
• «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (ФСТЭК от 15 февраля 2008 г.).
Большинство этих документов находятся в открытом доступе, однако некоторые из них, изданные ФСТЭК и ФСБ в 2008 году, имеют пометку «Для служебного пользования», а потому предоставляются операторам ПДн только по запросу в соответствующие территориальные органы ФСТЭК России по своему федеральному округу.
Безопасность в деталях
Сразу после непродолжительного знакомства участники приступили к обсуждению конкретных проблем. В частности, ведущий круглого стола, директор по развитию издательства «ИТ-Медиа» Антон Паулич обратился к регуляторам с вопросом: когда компании обязаны подавать уведомление о том, что они являются операторами ПДн?
Уведомления необходимы для составления государственного реестра операторов ПДн, предусмотренного ФЗ № 152. Чтобы попасть в этот реестр, организация должна подать в территориальный орган РОСКОМНАДЗОРА соответствующий документ по образцу, утвержденному приложением к приказу РОСКОМНАДЗОРА (от 17 июля 2008 г. № 08). Этот документ может быть составлен как в письменной, так и в электронной форме за подписью (обычной или цифровой) уполномоченного лица. Также это можно сделать на портале персональных данных http://pd.rsoc.ru.
В уведомлении необходимо подробно изложить, какие операции компания планирует осуществлять с ПДн и с какой целью, и как будет организована их защита в случае их обработки в информационных системах . При этом любые изменения в процессе обработки ПДн должны впоследствии доводиться до РОСКОМНАДЗОРА. По такой схеме должна осуществляться уведомительная государственная регистрация операторов ПДн, на которую отводится 30 дней с момента подачи уведомления (при условии, что оно составлено по всем правилам). Если же в уведомлении содержится неполная или недостоверная информация, то РОСКОМНАДЗОР может потребовать обратным письмом привести ее в порядок в установленные сроки. Выступая на круглом столе, Герман Азерский отметил, что в определенных случаях операторам разрешается осуществлять обработку ПДн без уведомления РОСКОМНАДЗОРА. Исчерпывающий перечень этих случаев предусмотрен соответствующей ст. 22 Федерального Закона № 152-ФЗ от 27.07.2006.
Отвечая на вопросы ИТ-директоров, Герман Азерский пояснил, что хотя по закону уведомление необходимо подавать в РОСКОМНАДЗОР до того, как оператор начинает обрабатывать персональные данные, на практике это, к сожалению, не соблюдается, и уведомление подают лишь те, кто считает это необходимым. При этом существующая формулировка Закона в настоящее время не предусматривает за это ответственности. Однако в ходе проведения контрольных мероприятий РОСКОМНАДЗОР вправе привлекать (и привлекает) операторов ПД, не подавших вовремя уведомления, к административной ответственности. Герман Азерский подчеркнул, что Федеральный Закон № 152-ФЗ вступил в силу еще в 2007 году, а 2010 год – это крайний срок, отпущенный Законом компаниям на обеспечение безопасности собственных информационных систем. РОСКОМНАДЗОР осуществляет проверки на предмет выполнения Закона уже в течение двух лет. Процедура проверок, полномочия контрольных органов и самих проверяемых подробно прописаны в Федеральном законе № 294-ФЗ от 26.12.2008. В соответствии с указанным Законом проверки существуют плановые и внеплановые. Плановые проверки осуществляются согласно заранее составленному графику, с которым можно ознакомиться на сайте РОСКОМНАДЗОРА (www.rsoc.ru) в разделе «Планирование, отчеты о деятельности». На этом сайте многие компании уже сегодня могут обнаружить свои наименования и даты будущих проверок на 2009 и 2010 год. Внеплановые проверки проводятся только тогда, когда в РОСКОМНАДЗОР поступает информация о грубых нарушениях ФЗ № 152 со стороны той или иной компании, угрозе несанкционированного доступа к ПДн, в некоторых других случаях. Так, в 2008 году РОСКОМНАДЗОР совершил 76 проверок в области контроля правил работы с ПДн, из которых более 50% были внеплановыми.
Справка
Независимо от необходимости составления уведомления, компания, осуществляющая работу с ПДн, должна разработать «Положение о защите персональных данных на предприятии». В этом положении оговаривается весь процесс получения, хранения, обработки, передачи и защиты ПДн, а также назначаются ответственные за это должностные лица. Положение доводится под роспись до всех работников предприятия. Необходимо также помнить о том, что согласно закону сотрудники должны дать письменное разрешение на работу со своими персональными данными. Поэтому после введения «Положения о защите ПДн» в действие необходимо собрать со всех сотрудников подписи об их согласии, а в дальнейшем включить разрешающую запись в бланк трудового договора.
При проведении проверки РОСКОМНАДЗОР вправе потребовать от компании предоставить в определенные сроки уведомление о том, что она является оператором ПДн, и отслеживать выполнение этого требования. На сайте надзорного органа можно найти все необходимые для составления уведомления документы. Невыполнение данного требования влечет наложение административного штрафа: на должностных лиц в размере от 300 до 500 руб., на юридических лиц — от 3 до 5 тыс. руб. По словам Германа Азерского, из-за такой схемы процесс получения уведомлений сильно растягивается во времени. Однако РОСКОМНАДЗОР уже запросил у правительства РФ необходимые полномочия для того, чтобы требовать у компаний уведомление без проведения проверок, что, по идее, должно ускорить процесс формирования полноценного реестра операторов ПДн.
Преступление и наказание
Безусловно, важной информацией для компаний является ответственность за выявленные в ходе проверок нарушения. В ответ на этот вопрос Герман Азерский четко дал понять, что в период проведения проверки, а это всегда занимает некоторое время, сотрудники РОСКОМНАДЗОРА не возражают против того, чтобы выявленные нарушения были исправлены. В таком случае они (исправленные нарушения) в акт не включаются и наказание за них не предполагается. По результатам проведенных плановых и внеплановых проверок РОСКОМНАДЗОР выдает операторам, осуществляющим обработку ПДн, предписания об устранении выявленных нарушений законодательства в четко определенные сроки. По той же схеме работает и ФСТЭК, контролирующий соблюдение технических методов защиты ПДн и другие контрольно-надзорные службы.
В случае несоблюдения указанных в предписании сроков на лиц, виновных в нарушении ФЗ № 152, согласно статье 24, «возлагается гражданская, уголовная, административная, дисциплинарная и иная предусмотренная законодательством РФ ответственность». Административная ответственность предусматривает материальное взыскание, размер которого зависит от степени провинности оператора ПДн. К примеру, за нарушение порядка сбора, хранения, использования или распространения ПДн для граждан предусмотрен денежный штраф в размере от 300 до 500 руб., для должностных лиц — от 500 до 1 тыс. руб., а для юридических лиц — от 5 до 10 тыс. руб. Более серьезные нарушения могут повлечь за собой уголовную ответственность. К таковым, в частности, относится незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без получения его согласия, а также неправомерный доступ к охраняемой законом информации. В этом случае виновники наказываются штрафом в размере до 200 тыс. руб., или в размере заработной платы и иного дохода осужденного за период до 18 месяцев. При этом виновнику также могут быть присуждены обязательные работы на срок от 120 до 180 часов, исправительные работы на срок до 1 года или арест на срок до 4 месяцев. При этом необходимо отдавать себе отчет в том, что после присуждения соответствующего взыскания компания тут же вновь получает предписание об устранении нарушений ФЗ № 152 и весь цикл начинается по новой.
Характерные грабли
Исходя из опыта осуществленных за два года проверок, представители надзорных органов поделились типичными ошибками, которые допускают операторы ПДн. Среди них одной из самых распространенных является неправильное определение категории обрабатываемых ПДн и используемой для этого информационной системы. В перечне важных для операторов ПДн документов есть приказы, четко формализующие классификацию ПДн и соответствующие им меры защиты.
Справка
В соответствии с документами ФСТЭК ИСПДн 1 и 2 классов подлежат обязательной аттестации по требованиям безопасности информации. Операторы ИСПДн при проведении мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн 1, 2 класса и территориально распределенным системам 3 класса, как правило, это большие государственные информационные системы должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации, если оператор ИСПДн заключает договор на проведение соответствующих мероприятий в части защиты информации (ПДн) с уполномоченным лицом – лицензиатом ФСТЭК России, иметь лицензию ему не обязательно.
От категории ПДн и класса информационной системы напрямую зависит перечень организационных и технических мер, которые должны быть применены для их защиты при обработке. Чем выше класс ИСПДн — тем строже требования. В соответствии с «Рекомендациями по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» утвержденных заместителем директора ФСТЭК России от 15.02.2008 года, класс информационных систем может быть пересмотрен.
Технологической методологией защиты ведает ФСТЭК России, однако вопросы, связанные с использованием криптографии, находятся в компетенции ФСБ России. Методические документы ФСБ России, определяющие порядок применения криптографических средств в информационных системах ПДн, операторы ПДн могут получить в территориальном управлении ФСБ. Денис Тагиев подчеркнул, что его структура готова оказывать консультации компаниям в отношении использования криптографических средств для защиты ПДн. В настоящее время ФСБ России разрабатывается административный регламент, устанавливающий процедуру осуществления мероприятий по контролю за применением криптографии в информационных системах ПДн. Данный регламент после его утверждения будет доступен для ознакомления на сайте ФСБ России, а также будет предоставляться операторам ПДн по запросу. С 1 января следующего года ФСБ России начнет проверки операторов ПДн на предмет соблюдения установленных требований к обеспечению безопасности персональных данных, в части использования криптографических средств.
Согласно Федеральному Закону № 152-ФЗ, применять для защиты ПДн, обрабатываемых в информационных системах, можно только средства безопасности, сертифицированные во ФСТЭК и ФСБ России. Пытаясь выполнить соответствующие требования Закона многие компании, ринулись заменять и модернизировать свои информационные системы. Однако, по мнению Германа Азерского, прежде чем вкладывать в реализацию подобных задач значительные инвестиции, следует для обеспечения безопасности информации в системе предприятия обдумать возможность применения чисто организационных решений, позволяющих обрабатывать уже обезличенные ПДн. Это, по всей вероятности, позволит вообще не заниматься сертификацией информационной системы в организации.
Справка
Согласно закону о защите ПДн используемые для этого программно-аппаратные технические средства обязаны обеспечивать:
• идентификацию и аутентификацию пользователей;
• регистрацию в журналах аудита входа (выхода) в информационную систему и из системы;
• проверку целостности программных средств защиты информации от несанкционированного доступа;
• периодическое тестирование системы защиты персональных данных;
• механизмы восстановления системы защиты персональных данных;
• антивирусную защиту информационной системы.
Герман Азерский сообщил, что сотрудники РОСКОМНАДЗОРА в рамках разумного всегда готовы оказать методическую и практическую помощь руководству законопослушных организаций, поскольку изучение юридических аспектов работы с ПДн и планирование мероприятий эффективной защиты информации, несмотря на кажущуюся простоту и формальность, требуют тщательной проработки квалифицированными специалистами.
При разработке модели нарушителя многие компании почему-то не учитывают всех сотрудников, имеющих доступ к ПДн в ИСПДн, в особенности – операторов баз данных и системных администраторов. Резюмируя все вышесказанное, Виктор Швед справедливо заметил, что защищаться надо не от регуляторов, а от угроз для ПДн, и тогда с соблюдением ФЗ № 152 не будет никаких проблем.
Справка
По статистике абсолютное большинство информационных систем коммерческих предприятий относятся к классу К3. По данному классу необходимо принять следующие меры защиты ПДн административного и технического характера:
• определение круга лиц, допущенных к обработке ПДн, распределение их должностных обязанностей;
• организация учета носителей, содержащих персональные данные, с регистрацией их выдачи и приема;
• организация физической охраны информационной системы и носителей информации, а также ограничение доступа в помещения, где производится работа с ПДн;
• определение структуры построения информационной системы и необходимости подключения к сети общего доступа (локальной или Интернет);
• определение программно-аппаратных средств защиты ПДн, сертифицированных ФСТЭК или ФСБ.
К сожалению, чтобы исключить возможность всех перечисленных ошибок, большинству компаний просто не хватает опытных специалистов, способных грамотно проработать все вопросы, связанные с персональными данными. И это как раз тот случай, когда не грех обратиться за помощью к сторонним компаниям, способным, как минимум, провести профессиональный аудит на предмет использования ПДн, а как максимум — обеспечить строгое соответствие процессов обработки и защиты персональных данных существующему законодательству.
ИТ-директора также могут обратиться за консультацией к своим коллегам, Юрий Шойдин проинформировал собравшихся, о том что на базе Санкт-Петербургского клуба ИТ-директоров работает «горячая линия» по этим вопросам.
В сухом остатке
В завершение круглого стола его участники коснулись некоторых аспектов ФЗ № 152, требующих поправок и доработки. Так, на сегодняшний день определение сущности ПДн слишком размыто и требует уточнения во избежание неправильной его трактовки. Не менее важным аспектом является проработка отраслевой специфики закона: невозможно причесать под одну гребенку такие специфические организации, как учебные заведения и медицинские учреждения, имеющие свои уникальные особенности работы с персональными данными. Наконец, для того, чтобы классификация ПДн была не надуманной, а объективной, необходимо разработать четкие критерии оценки последствий от утери ПДн для пострадавших.
Пока что такие критерии определяются буквально «на глаз», а их количественные или качественные характеристики не предусмотрены ни в законе, ни в сопутствующих приказах и документах. Под занавес круглого стола несколько его участников из числа CIO выступили с просьбой в адрес регуляторов вести более активную разъяснительную работу с операторами ПДн обо всех аспектах соблюдения ФЗ № 152. В ответ на это Юрий Шойдин сообщил, что в рамках работы комитета по ИБ СоДИТ разработан документ «Рекомендации для ИТ-директоров России по защите персональных данных» который распространяется среди членов клубов ИТ-директоров http://www.rucio.ru, проводятся мероприятия, цель которых – помочь операторам ПДн привести свои системы в соответствие с требованиями Закона.
Текст: Алексей Комов
Опубликовано 23.11.2009