Защита персональных данных: проблемы и решения
Недавно компания «ОНЛАНТА», специализирующаяся на предоставлении IТ-сервисов и входящая в группу компаний ЛАНИТ, разработала новую услугу — аутсорсинг персональных данных. О новом направлении рассказывает генеральный директор компании «ОНЛАНТА» Сергей Таран.
Недавно компания «ОНЛАНТА», специализирующаяся на предоставлении IТ-сервисов и входящая в группу компаний ЛАНИТ, разработала новую услугу — аутсорсинг персональных данных. О новом направлении рассказывает генеральный директор компании «ОНЛАНТА» Сергей Таран.
На мой взгляд, федеральный закон «О персональных данных» основывается на обширном опыте обработки и защиты конфиденциальной информации, накопленном в Европе и США: четко и недвусмысленно детерминированы все понятия, глубоко продумана система классификации персональной информации и т. д.
Справка
В Статье 3 федерального закона № 152-ФЗ персональными данными названа «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». В этом же разделе документа даны и другие понятия, используемые в данном законе: оператор персональных данных, обработка персональных данных, общедоступные персональные данные и т.п.
Кто подпадает под действие закона и кому в первую очередь стоит готовиться к проверкам?
К проверкам систем защиты персональных данных надо готовиться всем, кто в соответствии с определениями ФЗ №152 назван оператором персональных данных. По известной мне статистике, таких организаций в России насчитывается не менее 7 миллионов.
На мой взгляд, к так называемой группе риска в первую очередь следует отнести операторов персональных данных первой категории, а также организации, хранящие и обрабатывающие персональную информацию в отношении более ста тысяч человек.
Безусловно, в группу риска попадают финансовые организации, страховые компании, медицинские учреждения, телекоммуникационные компании.
Компании, задающие тон в указанных сегментах рынка, обладают хорошей ресурсной базой и влиянием в деловой среде. Скорее всего, они будут организовывать защиту своих персональных данных без привлечения сторонней помощи, самостоятельно обсуждая с регуляторами возможные схемы защиты.
Гораздо более высокому риску подвергаются предприятия среднего бизнеса. С одной стороны, они также могут подпадать под критерии операторов персональных данных первой категории, что делает весьма высокой вероятность проведения проверок в отношении них. С другой стороны, их собственные ресурсы более ограничены. Именно этому сектору рынка в первую очередь стоит задуматься о привлечении аутсорсеров.
Какие существуют категории персональных данных?
В соответствии с документами, выпущенными регуляторами, персональные данные можно разделить на четыре основные категории. К четвертой, самой «простой», относится обезличенная или общедоступная информация, в отношении которой оператор персональных данных сам выбирает способы защиты.
Третья категория персональных данных содержит информацию, достаточную для идентификации человека: фамилия, имя, отчество, адрес проживания, дата рождения.
Ко второй категории причисляются персональные данные, содержащие, помимо перечисленных сведений, дополнительную информацию о человеке (за исключением персональных данных, относящихся к категории 1): образование, финансовое положение и пр.
Наконец, самые жесткие и строгие требования по защите предъявляются к персональным данным первой категории, где речь идет о «чувствительных» сведениях, касающихся национальной принадлежности, политических взглядов, религиозных убеждений, состояния здоровья и т.п.
Как, на Ваш взгляд, следует готовиться к проверкам?
Я бы начал с уточнения состава и объема хранимой персональной информации. На основании этих данных можно приступать к классификации системы. Возможно, какая-то хранимая персональная информация является избыточной и может быть удалена без ущерба для бизнеса. В этом случае есть шанс, что удастся понизить класс информационной системы обработки персональных данных и сэкономить на мероприятиях по ее защите.
После решения этого вопроса следует очертить границы информационной системы обработки персональных данных: определить круг лиц, которым по функциональным обязанностям необходим доступ к хранимым сведениям и т.д.
Также не стоит забывать о проведении соответствующих организационных мероприятий. Речь идет о формировании необходимых административных структур, о подготовке различных регламентных документов и т.п. То есть, собрав полную информацию о своей системе персональных данных, организация может начинать подготовку к ее представлению регулирующему органу — Роскомнадзору.
В то же время следует учитывать, что времени на приведение систем обработки персональных данных в соответствие с требованиями федерального закона «О персональных данных» осталось немного. До 1-го января 2010 г. оператору персональных данных необходимо выполнить весь комплекс работ по подготовке системы, что потребует привлечения весьма серьезных ресурсов. Речь идет о финансовых инвестициях, привлечении штата высококвалифицированных специалистов и самых грамотных из имеющихся сотрудников. В этих условиях, если компания высоко оценивает риск, связанный с нарушением федерального законодательства в области защиты ПД, я бы посоветовал обратиться к профессионалам — к тем компаниям, у которых имеются знания, навыки и ресурсы, необходимые для решения указанной проблемы.
Многие жалуются на проблемы с нормативно-правовым обеспечением ФЗ №152, в частности, на закрытость «пятикнижья» ФСТЭК и проч. Вы эти проблемы решили?
Следует отметить, что даже лицензиатам, «для служебного пользования» которых и предназначено «пятикнижье», получить комплект этих документов не так-то просто. Например, наш заказ на все необходимые бумаги выполнялся около четырех месяцев. По словам представителя ФСТЭК, это было обусловлено огромным количеством заказов на данную документацию.
Кстати, «закрытость» этих документов не совсем понятна. Рано или поздно их получат на руки порядка двух миллионов человек — сотрудники тех же компаний-лицензиатов. И тогда «пятикнижье» моментально станет «секретом полишинеля».
Справка
«Пятикнижье» ФСТЭК включает в себя пять документов: «Методика определения актуальных угроз безопасности персональных данных...», «Базовая модель угроз безопасности персональных данных…», «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных…», «Рекомендации по обеспечению безопасности персональных данных …» и «Порядок проведения классификации информационных систем персональных данных...». Они были утверждены и распространяются среди лицензиатов под грифом «ДСП». В ближайшее время можно ожидать появления этих документов в открытом доступе.
Кто и как будет проводить проверки систем хранения персональных данных на соответствие требованиям закона?
Как прописано в самом законе, проведением проверок будет заниматься Роскомнадзор. Однако в случае обнаружения несоответствия систем использования и хранения ПД требованиям закона это ведомство имеет право направлять в ФСБ и ФСТЭК документы на проведение дополнительных проверок уже с их стороны. Сами проверки могут проводиться в соответствии с планом, опубликованном на сайте Роскомнадзора. Также ведомство может проводить и внеплановые проверки — по заявлениям граждан и юридических лиц о нарушении оператором персональных данных требований законодательства в области защиты ПД.
Справка
В 2009 г. Роскомнадзор планирует провести почти 4 тыс.плановых проверок операторов персональных данных. На следующий год ведомство наметило проведение 6 тыс. 254 таких проверок.
Какие неприятности может принести организациям проведение проверок в области защиты обрабатываемых персональных данных?
Неисполнение требований Закона «О персональных данных» может привести к приостановлению обработки, принудительному уничтожению персональных данных, обрабатываемых в компании, а также к аннулированию лицензий на основной вид деятельности компании (такие нормы предусмотрены в действующем законодательстве). Статья 24 Закона «О персональных данных» предусматривают следующие виды ответственности: «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность». Нельзя сбрасывать со счетов и репутационные иски, связанные с подобными процессами.
Что можно успеть сделать до 1 января 2010 г.? Что обязательно нужно сделать до этой даты, а что можно оставить на потом?
К настоящему времени методологическая и нормативная базы проведения проверок в области защиты персональных данных еще неокончательно сформированы. Сложилось мнение, что к 1-му января необходимо иметь некоторую основу, задел в области обеспечения защиты персональных данных, а также техническое задание на дальнейшее развитие системы защиты ПД. Опыт общения с представителями регуляторов подтверждает, что в тех случаях, когда организация серьезно работает над развитием своей системы защиты ПД, существенных претензий к ней на первых этапах предъявляться не будет.
С каким предложением в области защиты персональных данных вышла на рынок «ОНЛАНТА»?
Сначала мы построили систему персональных данных для себя и для всей группы компаний ЛАНИТ. Проще и дешевле выделить в группе или холдинге одну компанию, и наделить оператора персональных данных полномочиями для всего объединения. В ГК ЛАНИТ таким выделенным оператором персональных данных и стала «ОНЛАНТА», в которой были собраны и соответствующим образом защищены персональные данные со всех предприятий группы.
Когда была построена собственная внутрихолдинговая система персональных данных, мы стали думать о том, как можно делегировать наш опыт другим компаниям. Так было подготовлено решение, с которым «ОНЛАНТА» и вышла на рынок. В настоящее время в центре обработки данных находится наша защищенная серверная инфраструктура. Мы размещаем серверы, содержащие персональные данные, на нашей площадке в защищенном и аттестованном сегменте. У заказчика на рабочих местах устанавливаются терминальные станции, с помощью которых осуществляется доступ к базам данных, где хранятся и обрабатываются персональные данные. Между ЦОД и площадкой нашего клиента организуется защищенный телекоммуникационный канал. Это позволяет заказчику сократить издержки на хранение и обслуживание серверов баз данных с персональными сведениями. «ОНЛАНТА» берет на себя обязательства по организации внедрения и обслуживанию на территории заказчика криптосредств, лицензированных ФСТЭК и ФСБ. Данные отношения закрепляются договором между нами и нашими клиентами. В случае проверки заказчик демонстрирует регуляторам вышеназванный договор и направляет проверяющих лиц к нам. Таким образом, оператором персональных данных заказчика на условиях аутсорсинга будет «ОНЛАНТА».
Насколько эта схема легитимна с точки зрения регулятора?
По тем наработкам, которые мы ведем с представителями ФСТЭК и Роскомнадзора, их вполне устраивает такой подход к организации защиты персональных данных.
Есть ли уже у «ОНЛАНТА» заказчики помимо группы компаний ЛАНИТ?
Сегодня есть две организации, с которыми ведутся соответствующие переговоры. Поскольку компания лишь недавно начала предлагать новую услугу, то реализованными коммерческими проектами мы пока не можем похвататься. Однако, по нашим прогнозам, в ближайшее время количество потребителей данной услуги увеличится.
Текст: Александр Михайлов
На мой взгляд, федеральный закон «О персональных данных» основывается на обширном опыте обработки и защиты конфиденциальной информации, накопленном в Европе и США: четко и недвусмысленно детерминированы все понятия, глубоко продумана система классификации персональной информации и т. д.
Справка
В Статье 3 федерального закона № 152-ФЗ персональными данными названа «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». В этом же разделе документа даны и другие понятия, используемые в данном законе: оператор персональных данных, обработка персональных данных, общедоступные персональные данные и т.п.
Кто подпадает под действие закона и кому в первую очередь стоит готовиться к проверкам?
К проверкам систем защиты персональных данных надо готовиться всем, кто в соответствии с определениями ФЗ №152 назван оператором персональных данных. По известной мне статистике, таких организаций в России насчитывается не менее 7 миллионов.
На мой взгляд, к так называемой группе риска в первую очередь следует отнести операторов персональных данных первой категории, а также организации, хранящие и обрабатывающие персональную информацию в отношении более ста тысяч человек.
Безусловно, в группу риска попадают финансовые организации, страховые компании, медицинские учреждения, телекоммуникационные компании.
Компании, задающие тон в указанных сегментах рынка, обладают хорошей ресурсной базой и влиянием в деловой среде. Скорее всего, они будут организовывать защиту своих персональных данных без привлечения сторонней помощи, самостоятельно обсуждая с регуляторами возможные схемы защиты.
Гораздо более высокому риску подвергаются предприятия среднего бизнеса. С одной стороны, они также могут подпадать под критерии операторов персональных данных первой категории, что делает весьма высокой вероятность проведения проверок в отношении них. С другой стороны, их собственные ресурсы более ограничены. Именно этому сектору рынка в первую очередь стоит задуматься о привлечении аутсорсеров.
Какие существуют категории персональных данных?
В соответствии с документами, выпущенными регуляторами, персональные данные можно разделить на четыре основные категории. К четвертой, самой «простой», относится обезличенная или общедоступная информация, в отношении которой оператор персональных данных сам выбирает способы защиты.
Третья категория персональных данных содержит информацию, достаточную для идентификации человека: фамилия, имя, отчество, адрес проживания, дата рождения.
Ко второй категории причисляются персональные данные, содержащие, помимо перечисленных сведений, дополнительную информацию о человеке (за исключением персональных данных, относящихся к категории 1): образование, финансовое положение и пр.
Наконец, самые жесткие и строгие требования по защите предъявляются к персональным данным первой категории, где речь идет о «чувствительных» сведениях, касающихся национальной принадлежности, политических взглядов, религиозных убеждений, состояния здоровья и т.п.
Как, на Ваш взгляд, следует готовиться к проверкам?
Я бы начал с уточнения состава и объема хранимой персональной информации. На основании этих данных можно приступать к классификации системы. Возможно, какая-то хранимая персональная информация является избыточной и может быть удалена без ущерба для бизнеса. В этом случае есть шанс, что удастся понизить класс информационной системы обработки персональных данных и сэкономить на мероприятиях по ее защите.
После решения этого вопроса следует очертить границы информационной системы обработки персональных данных: определить круг лиц, которым по функциональным обязанностям необходим доступ к хранимым сведениям и т.д.
Также не стоит забывать о проведении соответствующих организационных мероприятий. Речь идет о формировании необходимых административных структур, о подготовке различных регламентных документов и т.п. То есть, собрав полную информацию о своей системе персональных данных, организация может начинать подготовку к ее представлению регулирующему органу — Роскомнадзору.
В то же время следует учитывать, что времени на приведение систем обработки персональных данных в соответствие с требованиями федерального закона «О персональных данных» осталось немного. До 1-го января 2010 г. оператору персональных данных необходимо выполнить весь комплекс работ по подготовке системы, что потребует привлечения весьма серьезных ресурсов. Речь идет о финансовых инвестициях, привлечении штата высококвалифицированных специалистов и самых грамотных из имеющихся сотрудников. В этих условиях, если компания высоко оценивает риск, связанный с нарушением федерального законодательства в области защиты ПД, я бы посоветовал обратиться к профессионалам — к тем компаниям, у которых имеются знания, навыки и ресурсы, необходимые для решения указанной проблемы.
Многие жалуются на проблемы с нормативно-правовым обеспечением ФЗ №152, в частности, на закрытость «пятикнижья» ФСТЭК и проч. Вы эти проблемы решили?
Следует отметить, что даже лицензиатам, «для служебного пользования» которых и предназначено «пятикнижье», получить комплект этих документов не так-то просто. Например, наш заказ на все необходимые бумаги выполнялся около четырех месяцев. По словам представителя ФСТЭК, это было обусловлено огромным количеством заказов на данную документацию.
Кстати, «закрытость» этих документов не совсем понятна. Рано или поздно их получат на руки порядка двух миллионов человек — сотрудники тех же компаний-лицензиатов. И тогда «пятикнижье» моментально станет «секретом полишинеля».
Справка
«Пятикнижье» ФСТЭК включает в себя пять документов: «Методика определения актуальных угроз безопасности персональных данных...», «Базовая модель угроз безопасности персональных данных…», «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных…», «Рекомендации по обеспечению безопасности персональных данных …» и «Порядок проведения классификации информационных систем персональных данных...». Они были утверждены и распространяются среди лицензиатов под грифом «ДСП». В ближайшее время можно ожидать появления этих документов в открытом доступе.
Кто и как будет проводить проверки систем хранения персональных данных на соответствие требованиям закона?
Как прописано в самом законе, проведением проверок будет заниматься Роскомнадзор. Однако в случае обнаружения несоответствия систем использования и хранения ПД требованиям закона это ведомство имеет право направлять в ФСБ и ФСТЭК документы на проведение дополнительных проверок уже с их стороны. Сами проверки могут проводиться в соответствии с планом, опубликованном на сайте Роскомнадзора. Также ведомство может проводить и внеплановые проверки — по заявлениям граждан и юридических лиц о нарушении оператором персональных данных требований законодательства в области защиты ПД.
Справка
В 2009 г. Роскомнадзор планирует провести почти 4 тыс.плановых проверок операторов персональных данных. На следующий год ведомство наметило проведение 6 тыс. 254 таких проверок.
Какие неприятности может принести организациям проведение проверок в области защиты обрабатываемых персональных данных?
Неисполнение требований Закона «О персональных данных» может привести к приостановлению обработки, принудительному уничтожению персональных данных, обрабатываемых в компании, а также к аннулированию лицензий на основной вид деятельности компании (такие нормы предусмотрены в действующем законодательстве). Статья 24 Закона «О персональных данных» предусматривают следующие виды ответственности: «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность». Нельзя сбрасывать со счетов и репутационные иски, связанные с подобными процессами.
Что можно успеть сделать до 1 января 2010 г.? Что обязательно нужно сделать до этой даты, а что можно оставить на потом?
К настоящему времени методологическая и нормативная базы проведения проверок в области защиты персональных данных еще неокончательно сформированы. Сложилось мнение, что к 1-му января необходимо иметь некоторую основу, задел в области обеспечения защиты персональных данных, а также техническое задание на дальнейшее развитие системы защиты ПД. Опыт общения с представителями регуляторов подтверждает, что в тех случаях, когда организация серьезно работает над развитием своей системы защиты ПД, существенных претензий к ней на первых этапах предъявляться не будет.
С каким предложением в области защиты персональных данных вышла на рынок «ОНЛАНТА»?
Сначала мы построили систему персональных данных для себя и для всей группы компаний ЛАНИТ. Проще и дешевле выделить в группе или холдинге одну компанию, и наделить оператора персональных данных полномочиями для всего объединения. В ГК ЛАНИТ таким выделенным оператором персональных данных и стала «ОНЛАНТА», в которой были собраны и соответствующим образом защищены персональные данные со всех предприятий группы.
Когда была построена собственная внутрихолдинговая система персональных данных, мы стали думать о том, как можно делегировать наш опыт другим компаниям. Так было подготовлено решение, с которым «ОНЛАНТА» и вышла на рынок. В настоящее время в центре обработки данных находится наша защищенная серверная инфраструктура. Мы размещаем серверы, содержащие персональные данные, на нашей площадке в защищенном и аттестованном сегменте. У заказчика на рабочих местах устанавливаются терминальные станции, с помощью которых осуществляется доступ к базам данных, где хранятся и обрабатываются персональные данные. Между ЦОД и площадкой нашего клиента организуется защищенный телекоммуникационный канал. Это позволяет заказчику сократить издержки на хранение и обслуживание серверов баз данных с персональными сведениями. «ОНЛАНТА» берет на себя обязательства по организации внедрения и обслуживанию на территории заказчика криптосредств, лицензированных ФСТЭК и ФСБ. Данные отношения закрепляются договором между нами и нашими клиентами. В случае проверки заказчик демонстрирует регуляторам вышеназванный договор и направляет проверяющих лиц к нам. Таким образом, оператором персональных данных заказчика на условиях аутсорсинга будет «ОНЛАНТА».
Насколько эта схема легитимна с точки зрения регулятора?
По тем наработкам, которые мы ведем с представителями ФСТЭК и Роскомнадзора, их вполне устраивает такой подход к организации защиты персональных данных.
Есть ли уже у «ОНЛАНТА» заказчики помимо группы компаний ЛАНИТ?
Сегодня есть две организации, с которыми ведутся соответствующие переговоры. Поскольку компания лишь недавно начала предлагать новую услугу, то реализованными коммерческими проектами мы пока не можем похвататься. Однако, по нашим прогнозам, в ближайшее время количество потребителей данной услуги увеличится.
Текст: Александр Михайлов
Опубликовано 06.11.2009