С каждым месяцем вопрос защиты персональных данных (ПДн) становится острее. У организаций, обрабатывающих такую информацию, остается все меньше времени до 1 января 2010 года, чтобы привести свои информационные системы в соответствие с федеральным законом №152-ФЗ. То и дело от Роскомнадзора поступают недвусмысленные сигналы о необходимости подачи заявки на регистрацию в качестве оператора ПДн. Если компания этого не сделала, она нарушает установленные законом требования, и ее деятельность может быть приостановлена регулирующим органом. И, судя по действиям Роскомнадзора, массовые проверки уже не за горами.
Закон №152-ФЗ несет в себе еще одну угрозу - дает дополнительный инструмент недобросовестным конкурентам. Что мешает подать заявление от лица субъекта персональных данных (конкретного гражданина) о нарушении его прав компанией, которой он сообщил личную информацию? Предприятие ждет еще одна проверка, отвлекающая силы от основного бизнеса. Поэтому задача построения защиты персональных данных выходит далеко за рамки полномочий департамента информационной безопасности. Ведь невыполнение требований закона несет угрозу не просто информационным ресурсам или интересам отдельных клиентов - возникает угроза для нормального функционирования самого бизнеса. Именно поэтому задача построения защиты персональных данных выходит далеко за рамки полномочий департамента информационной безопасности, и все важнейшие решения по проекту "Построение защиты персональных данных" должны приниматься на уровне высшего менеджмента организации.
"Подавляющее большинство организаций до сих пор не запустило проекты по приведению информационных систем в соответствие с положениями закона "О персональных данных",- отмечает исполнительный директор Leta IT-company Андрей Конусов. - Промедление было связано, прежде всего, с тем, что лишь совсем недавно появился полный массив нормативных актов регуляторов. Вторая причина в том, что организациям очень непросто решиться на серьезные траты и реорганизацию ряда бизнес-процессов, сохраняя традиционную надежду на то, что "беда пройдет стороной". Но, как показывает практика, государство не изменило своих намерений добиться реализации положений закона "О персональных данных" - это наглядно демонстрируют массовые проверки, которые уже начали проводить территориальные подразделения Роскомнадзора. В этой ситуации можно обратиться к специализированным ИБ-компаниям, предлагающим услуги по построению информационных систем ПДн. Но следует помнить, что и их ресурс ограничен. Предпринимать конкретные шаги в соответствии с требованиями 152-ФЗ необходимо как можно скорее, не дожидаясь, когда в дверь постучит проверка".
Типичные заблуждения операторов ПДн
Несмотря на то, что вопросы защиты персональных данных в России достаточно молоды, уже начали складываться определенные заблуждения в данной области. Приведем основные из них.
Первое - это уверенность, что пока можно ничего не делать и подождать, пока кого-то накажут. Такая компания не несет пока никаких затрат, не обучает сотрудников и не задумывается об изменении сложившихся процессов обработки ПДн. И надеется, что первые же громкие случаи процессов или каких-то санкций заставят регулирующие органы внести существенные коррективы. Например, значительно расширить список средств, разрешенных для использования в системах защиты ПДн, или сдвинуть сроки готовности системы защиты ПДн. Но такая компания, тем не менее, сильно рискует. Санкции, предусмотренные существующим законодательством, существенны. Сценарии, которые могут привести к наложению санкций, вполне реалистичны. Быстро выполнить все работы - от получения лицензии ФСБ до изменения отдельных процессов обработки данных - в ходе проверки попросту невозможно.
Другое заблуждение - убежденность в том, что действие закона не распространится именно на "нашу" компанию. Соответственно, тоже можно ничего не делать. Сторонники такого подхода приводят разные аргументы. Например, что в компании не ведется автоматизированная обработка персональных данных, и все делается на бумаге. Другие компании говорят: "У нас большая компания с иностранным капиталом, базы данных физически находятся на зарубежных площадках. Да и вообще - кто нас тронет?". Встречается и надежда на "блестящих юристов", которые докажут, что компания не является оператором ПДн. А некоторые считают, что если не подать заявку на оператора ПДн, то и с проверкой никто и не придет.
Закон №152-ФЗ ставит своей целью ввести достаточно жесткие ограничения, которым должен следовать оператор персональных данных
Однако в большинстве случаев регулирующие органы не разделяют подобную позицию, и если компания попадет в поле надзора, санкции окажутся неминуемы. "Лазейки" в действующей нормативной базе пока не выявлены, а если они и найдутся, то они будут немедленно закрыты.
В чем заключаются требования закона?
Закон №152-ФЗ призван защитить права и свободы человека при обработке его личной информации, в том числе право на неприкосновенность частной жизни, личную и семейную тайну. Персональные данные - это любая информация, относящаяся к определенному лицу: ФИО, адрес, номер телефона, семейное, социальное, имущественное положение, образование, профессия, размер доходов, отношение к религии, данные о здоровье, хобби - перечень поистине нескончаем. Также в законе определено понятие "оператор персональных данных" - это организация, которой свои персональные данные доверил сам человек, или другая организация, обрабатывающая их.
По сути, закон ставит своей целью ввести достаточно жесткие ограничения, которым должен следовать оператор персональных данных. Как уже упоминалось, он устанавливает дату, к которой информационные системы ПДн, созданные до вступления закона в силу, должны быть приведены в соответствие с его требованиями - не позднее 1 января 2010 года. Кроме того, оператор персональных данных в большинстве случаев обязан направить в уполномоченный государственный орган соответствующее уведомление.
Регуляторы и персональные данные
В соответствии с №152-ФЗ, в орбиту процессов, связанных с защитой ПДн, вовлечены три органа государственной власти: ФСБ, ФСТЭК и Роскомнадзор Министерства связи и массовых коммуникаций. Область ответственности у каждого из них своя. ФСБ традиционно курирует вопросы защиты информации с использованием средств шифрования (криптографии). ФСТЭК России осуществляет контроль защиты информации с применением технических средств. Одна из его компетенций - подтверждение отсутствия в средствах защиты информации недекларируемых ("шпионских") возможностей. Роскомнадзор является основным исполнительным и надзорным органом по защите прав физических лиц, чьи персональные данные обрабатываются.
Роскомнадзор обладает следующими правами: проводить проверку сведений, содержащихся в уведомлении, поданном оператором; привлекать для такой проверки другие государственные органы (ФСБ, ФСТЭК); принимать меры по приостановлению или прекращению обработки ПДн, осуществляемой с нарушением требований закона; обращаться в суд с исковыми заявлениями в защиту прав субъектов ПДн и представлять их интересы в суде. А также направлять заявления в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия его лицензии; направлять в правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел в связи с нарушением прав субъектов ПДн; привлекать к административной ответственности лиц, виновных в нарушении закона.
Список полномочий весьма внушительный - очевидно, что у Роскомнадзора достаточно рычагов воздействия практически на любую организацию. На практике регулировать данную сферу деятельности должен именно Роскомнадзор, а ФСБ и ФСТЭК будут привлекаться для контроля за реализованными мерами защиты ПДн. Дело в том, что организации, эксплуатирующие информационные системы ПДн определенных классов, должны получить лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. Кроме того, технические средства, которые будут использованы для защиты ПДн, необходимо сертифицировать в ФСТЭК. Именно методики ФСТЭК должны быть положены в основу "Модели угроз" для каждой информационной системы, обрабатывающей ПДн. Этот документ предстоит разработать каждому оператору. На выполнении этих аспектов, скорее всего, и будут сфокусированы сотрудники ФСТЭК, привлекаемые для проверок.
Закон также требует, чтобы организации, эксплуатирующие информационные системы ПДн определенных классов и передающие ПДн через общедоступные и международные сети, обеспечили их защиту с использованием криптографических средств. А деятельность по внедрению шифровальных (криптографических средств), как и по разработке телекоммуникационных систем, защищенных с использованием данных средств, подлежит лицензированию в органах ФСБ. Так что специалисты ФСБ в первую очередь уделят внимание наличию необходимых лицензий и использованию средств криптографической защиты, перечисленных в реестре ФСБ.
Что такое "категория персональных данных"
Законодательство вводит новое понятие - "категория персональных данных", всего таких категорий - четыре. К четвертой, наиболее простой, относятся обезличенные и (или) общедоступные персональные данные. В третью включается информация, позволяющая идентифицировать субъекта ПДн. Во вторую категорию входят данные, позволяющие не только идентифицировать субъекта, но и получить о нем дополнительную информацию. И, наконец, самая высокая, требующая наиболее серьезной защиты, первая категория объединяет данные, в которых отражены расовая, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь.
В соответствии с достаточно понятными критериями, каждый вид ПДн относится к определенной категории, а каждая система, обрабатывающая ПДн, должна быть отнесена к конкретному классу. На класс влияет категория данных и другие признаки (распределенность информационной системы, количество записей ПДн в ней и т.д.). Очевидно, что уровень защищенности ИС должен соответствовать критичности данных. Именно поэтому для различных классов вводятся разные требования по степени защиты. Итак, чем менее детальную информацию можно получить о субъекте ПДн, чем меньше записей в системе и чем менее она распределена - тем ниже требования к защитным механизмам. С практической точки зрения крайне важно представить систему ПДн как относящуюся к "низшему" классу. Это позволит минимизировать затраты на обеспечение защиты персональных данных.
Ответственность за нарушение закона
Ответственность при невыполнении требований закона, увы, достаточно серьезна, чтобы, по крайней мере, принять ее к сведению. Проанализировав КоАП РФ и УК РФ, можно выделить ряд статей, в соответствии с которыми будет определяться ответственность за нарушение требований по защите ПДн. КоАП Статья 5.39 - отказ в предоставлении гражданину информации. Ответственность - штраф до 1 000 руб., но также это может явиться основанием для ответственности по статье 3.12 (Административное приостановление деятельности). КоАП Статья 13.11 - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах. Ответственность - штраф до 1 000 руб.
КоАП Статья 13.12 - нарушение правил защиты данных. Ответственность - штраф от 10 000 до 20 000 руб. с конфискацией несертифицированных средств защиты информации или административное приостановление деятельности на срок до 90 суток. УК Статья 137 - нарушение неприкосновенности частной жизни. Ответственность может доходить до штрафа в размере ЗП осужденного за 18 месяцев или ареста на 6 месяцев. УК Статья 140 -отказ в предоставлении гражданину информации. Ответственность - штраф до ЗП за 18 месяцев либо лишение права занимать ряд должностей или заниматься определенной деятельностью. УК Статья 171 - незаконное предпринимательство. Ответственность - до 5 лет лишения свободы со штрафом в размере ЗП осужденного за 6 месяцев.
Подчас приходится слышать, что пока эти статьи не работают и реального преследования никто осуществлять не собирается. Увы, это не совсем так - правоприменительная надзорная практика уже начинает складываться. Давайте представим несколько типичных ситуаций.
Пример №1. Компания получает письмо от гражданина, данные которого ранее получила и включила в свои базы, с просьбой предоставить ему информацию о том, как ведется обработка его ПДн. Что им движет - непонятно. Возможно, искренний интерес, возможно, природная любовь к конфликтам, а может и недобрый умысел. В любом случае он имеет право на такое обращение в соответствии со статьей 14, частью 4 закона №152-ФЗ. Но компания не готова к тому, чтобы дать исчерпывающий ответ в отведенное время. Она не предоставляет затребованную информацию или предоставляет ее не полностью. Клиент, не получив в указанные в законе сроки ответ, обращается с жалобой в Роскомнадзор. Тот направляет в органы прокуратуры запрос о возбуждении уголовного дела в связи с нарушением прав субъекта персональных данных. Возможная ответственность: по КоАП ст.5.39 или по УК ст.140. И вот у вас под дверью прокурорская проверка.
Пример №2. Компания поспешно регистрируется в качестве оператора персональных данных. При этом многие аспекты опускаются или оставляются на будущее. В определенный момент компания получает предписание из Роскомнадзора о проверке информации, указанной в заявке на регистрацию в качестве оператора. При документальном изучении дополнительных данных Роскомнадзор делает предварительный вывод о недостаточности мер по защите ПДн. Например, сотрудникам Роскомнадзора не предъявляются копии сертификатов на средства защиты информации, не демонстрируются лицензии ФСТЭК, ФСБ или документы, описывающие модель угроз и поведение потенциального нарушителя. После чего Роскомнадзор направляет обращение в ФСТЭК и/или ФСБ по вопросу проведения внеплановой проверки организации с целью выяснения степени выполнения требований по обеспечению защиты ПДн.
Перед руководством встает классическая дилемма: использовать для защиты ПДн ресурсы собственных сотрудников или привлекать компанию-консультанта
В ходе проверки выявляется, что данная организация эксплуатирует информационную систему определенного класса и в связи с этим должна была получить лицензию на деятельность по технической защите конфиденциальной информации ФСТЭК. Лицензии данная организация не имеет, и работ по ее получению она не начинала. ФСТЭК направляет отчет о проверке в Роскомнадзор, который, в свою очередь, направляет в органы прокуратуры или другие правоохранительные органы материалы для решения вопроса о возбуждении дела. Возможная ответственность: по КоАП ст.13.12 или по УК ст.171.
Необходимо отметить и тот факт, что в УК РФ уже внесены изменения (статья 137), ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни. Они вступят в силу с 1 января 2010 года.
Чем регламентирована защита ПДн
Все законодательные и нормативные акты по защите ПДн можно разбить на две группы: общедоступные и закрытые. Перечень общедоступных правовых актов известен, но и к закрытым документам доступ получить несложно. По сути, это методические рекомендации, которым оператор ПДн должен следовать. Выпустил эти руководящие документы ФСТЭК, они носят гриф "Для служебного пользования", но предоставляются всем заявителям. Так что для их получения достаточно письменно обратиться в подразделение ФСТЭК по месту нахождения организации. Документы следующие: "Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн (информационной системе персональных данных)"; "Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн"; "Базовая модель угроз безопасности ПДн при их обработке в ИСПДн"; "Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн". К открытым специальным актам по данной теме относятся также руководящие документы ФСБ, которые можно найти по ссылке http://www.rsoc.ru/main/directions/874/916.shtml. Там же опубликован ряд открытых актов по ПДн, а также документы Роскомнадзора, регулирующие порядок регистрации оператора персональных данных.
Даже если построением системы занимается сторонняя компания, запрос на получение документов направить нужно. Причина проста - в случае проверки предприятие будет гораздо лучше выглядеть в глазах сотрудников ФСТЭК или ФСБ, если они увидят номерные копии руководящих документов среди прочей документации по проекту построения защиты ПДн. Если даже проверка выявит какие-то огрехи, будет учтено, что вы честно пытались разобраться, привлекали людей, изучали руководящие документы, закупали сертифицированные средства защиты. Все это, безусловно, сгладит возможные последствия.
Требования к средствам защиты ПДн
Закон предполагает, что оператор применяет специализированное программное и аппаратное обеспечение в процессах сбора, обработки, передачи и хранения ПДн. Как уже упоминалось, средства защиты ПДн должны обладать сертификатами ФСТЭК или ФСБ. Государственный реестр сертифицированных средств защиты информации № РОСС RU.0001.01БИ00: см. ниже. Перечень средств защиты информации, не содержащей сведений, составляющих государственную тайну: см. ниже.
В списках преобладают продукты отечественных производителей, но в последнее время все больше западных решений успешно проходит действующие системы сертификации. Так что с каждым годом выбор средств все более расширяется. Вполне реальна ситуация, когда в реестре упоминается средство, аналогичное тому, что уже установлено в компании, но не прошло процедуры сертификации. Если так, то это средство не будет рассматриваться проверяющим как надлежащий механизм защиты ПДн. Выходов в такой ситуации два: или переходить на использование сертифицированных средств или подавать на сертификацию уже применяемые. К сожалению, сертификация - очень непростая процедура, требующая вовлечения специализированной аккредитованной тестовой лаборатории, подготовки объемной документации о возможностях системы, предоставления исходных кодов. Кроме того, это может потребовать ощутимых расходов и займет не менее 6 месяцев.
В соответствии с руководящими документами регуляторов для некоторых классов ИСПДн необходимо внедрить систему защиты, которая может состоять из 10 подсистем. Среди них: подсистемы антивирусной защиты; защиты от НСД; анализа защищенности и выявления уязвимостей; криптографической защиты информации; маршрутизации, коммутации и межсетевого экранирования; обнаружения вторжений. В ряде случаев (если это прямо указано в разработанной модели угроз или информационная система ПДн относится к первому классу) предполагается также внедрение и специфических систем, называемых "подсистемами защиты информации от утечки по техническим каналам". Они защищают персональные данные: от утечек по цепям электропитания и заземления; от утечек за счет побочных электромагнитных излучений и наводок; от утечек по акустическому (виброакустическому) каналу; от утечек за счет акустоэлектрических преобразований и высокочастотного навязывания.
В таблице "Перечень подсистем ИБ в зависимости от класса ИСПДн" перечислены классы информационных систем ПДн и показано, какие подсистемы информационной безопасности должны быть внедрены для каждого класса, согласно руководящим документам ФСТЭК.
Перечень подсистем ИБ в зависимости от класса ИСПДн
| Антивирусная защита | Защита от НСД | Анализ защищенности и выявление уязвимостей | Подсистема обнаружения вторжения | Подсистема маршрутизации, коммутации и межсетевого экранирования | Подсистема криптограф. защиты информации | |
| ИСПДн 1 (распред.) | + | + | + | + | + | + |
| ИСПДн 1 (локальн.) | + | + | + | - | - | + |
| ИСПДн 2 (распред.) | + | + | + | + | + | - |
| ИСПДн 2 (локальн.) | + | + | + | - | - | - |
| ИСПДн 3 (распред.) | + | + | + | + | + | - |
| ИСПДн 3 (локальн.) | + | + | + | - | - | - |
Источник: Leta IT-company, 2009
Подсистема криптографической защиты информации необходима только для ИСПДн, удовлетворяющих определенным условиям. В частности, ИСПДн должна быть многопользовательская с равными правами доступа к информации.
В связи с этим можно дать практический совет. Следует рассмотреть возможность максимально полного использования сертифицированных средств защиты. Если же удастся снизить класс системы ПДн, то требования будут значительно скромнее. При этом начать надо с возможного сужения сегмента сети организации, в которой ведется обработка ПДн. Снизили класс системы ПДн, ограничили область обращения ПДн, выбрали оптимальный состав сертифицированных средств для защиты только данной области - и затраты станут значительно ниже.
Встречаются, правда, сложные случаи, когда ПДн используются в рамках многофункциональных информационных систем уровня всей организации, например, банковских АБС. Такие системы, очевидно, не имеют сертификатов ФСТЭК, но даже получение их для одной версии не решит проблемы. Ведь эти ИС постоянно модернизируются - поддержание актуальности сертификатов на них в существующей системе сертификации невозможно. Пожалуй, единственное, что можно посоветовать в таком случае, - это обратиться в регулирующий орган с описанием проблемы. Хочется верить, что требования регуляторов после некоторого периода применения претерпят ряд изменений, которые будут предусматривать какой-то выход из данной ситуации.
Приглашать консультанта или делать самим?
Как это часто бывает, перед руководством встает классическая дилемма: использовать ресурсы собственных сотрудников или привлекать профессиональную компанию-консультанта. Для ее решения можно посоветовать ответить на несколько вопросов. Достаточно ли у сотрудников организации квалификации, чтоб выполнить требования закона № 152-ФЗ? Есть ли у них понимание того, сколько времени займет и каких ресурсов потребует решение задачи по обеспечению соответствия закону №152-ФЗ? Кто из руководителей департаментов готов взять на себя ответственность за эффективный ход проекта по построению системы защиты ПДн? Какие действия должны быть предприняты для подачи уведомления от оператора ПДн? Как выполнить требования по защите ПДн, определенные в руководящих документах регулирующих органов, и не нарушить бизнес-процессы организации? Как минимизировать затраты на решение задач по обеспечению соответствия закону?
Возможно, в компании есть специалисты, которые служили ранее в подразделениях ФСБ или ФСТЭК и знакомы с подходом регуляторов к вопросу защиты конфиденциальной информации. Они знают основные руководящие документы, в которых эти требования определены, им известно, как подаются заявки на лицензии ФСБ и ФСТЭК. Вовлечение таких специалистов, безусловно, окажет огромное содействие ходу проекта. Но надо отдавать себе отчет, что построение системы защиты ПДн - многоплановый проект, он затрагивает различные аспекты деятельности компании. Скорее всего, упомянутый выше специалист будет готов участвовать в нем только как эксперт, но не как руководитель.
Наиболее эффективен подход, при котором для исполнения работ по проекту привлекается внешняя компания - интегратор информационной безопасности, но при этом организуется рабочая группа внутри предприятия. Правда, он, конечно, потребует дополнительных затрат на услуги подрядчика. В рабочую группу включаются следующие сотрудники компании: руководитель высшего звена в качестве спонсора проекта, глава департамента информационной безопасности как руководитель проекта и главный ответственный за его ход, глава или ведущий сотрудник ИТ-департамента, специалисты, имевшие опыт службы в ФСБ и ФСТЭК, юрист компании.
Внутренняя команда будет осуществлять контроль за ходом проекта, привлечением внутренних ресурсов, мотивированием линейных менеджеров к активному содействию процессу и отвечать за эффективное финансирование проекта. А большую часть работ предстоит выполнить команде консультанта. При выборе подрядчика необходимо оценить следующие аспекты: какой опыт работы имеет данная компания на рынке информационной безопасности, обладает ли она необходимым набором лицензий регулирующих органов (ФСТЭК и ФСБ) для выполнения работ по защите ПДн; может ли компания поставить весь спектр необходимых сертифицированных решений и оказать содействие при аттестации ИСПДн (это требуется для определенных классов систем). Основная цель аттестации - подтвердить, что информационная система ПДн соответствует требованиям руководящих документов по безопасности данных, утвержденных ФСТЭК.
Этапы построения системы защиты ПДн
После того, как в организации сформирована рабочая или проектная группа и выбрана сторонняя ИТ-компания, предстоит последовательно реализовать следующие этапы работы. Прежде всего, нужно определить все ситуации, когда требуется проводить сбор, хранение, передачу или обработку ПДн. Затем - выделить бизнес-процессы, связанные с такими ситуациями. Разумно выбрать ограниченное число бизнес-процессов и проанализировать их. В рамках такого исследования формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности. Потом нужно определить круг информационных систем и совокупность обрабатываемых ПДн. Следующий шаг - категорирование ПДн и предварительная классификация ИС. Затем проводится выработка предложений по снижению категорий обрабатываемых ПДн. После этого формируется актуальная модель угроз для каждой ИСПДн, подготавливается задание по созданию требуемой системы защиты. Потом проводится уточнение классов ИС и подготовка рекомендаций по использованию технических средств защиты ПДн. Затем в Роскомнадзор подается уведомление о деятельности в качестве оператора ПДн, а в ФСТЭК - заявка на получение экземпляров руководящих документов по организации системы защиты.
Эти работы предстоит выполнить на первом, начальном этапе. Именно в это время закладывается фундамент успеха всего проекта и делаются основные расходы на консалтинг. Но основанная работа происходит на последующих стадиях. Ведь они включают развертывание полноценной производственной системы обработки ПДн, полномасштабное внедрение средств защиты, аттестацию ИС, приведение всех бизнес-процессов обработки ПДн в соответствие с требованиями закона, реагирование на регулярные проверки и т.д.