Глаза боятся - руки делают
2010 год даст операторам связи еще одну возможность привести свои информационные системы персональных данных в соответствие ФЗ № 152. Отсрочка на год была принята совсем недавно, а ИСПДн компаний, тем не менее, были еще далеки от требований Закона. Хватит ли на все это года, и с чего нужно начинать, рассказал член консультативного совета при Роскомнадзоре Юрий Шойдин.
IP-News: Интернет-провайдеры попадают под определение операторов персональных данных и, соответственно, должны привести свои ИСПДн в соответствие ФЗ № 152. Сейчас все игроки рынка телекоммуникаций находятся в некотором оцепенении. Чем мотивировать самих себя на первичные действия?
Юрий Шойдин: Судя по настрою регуляторов, выполнять требования ФЗ рано или поздно заставят. Одним из хороших мотивирующих факторов можно рассматривать принятые в 3-м чтении поправки к 19 и 22 статьям ФЗ, которые предполагают использование организационно-распорядительных документов, что снижает и в принципе не требует больших финансовых затрат операторов. По технической защите есть еще год, когда можно не торопясь и минимизировав затраты, привести свои ИСПДн в соответствие с требованиями. Ну и самый мотивирующий момент - это соблюдение Конституции РФ.
IP-News: С чего бы Вы порекомендовали начать практически?
Юрий Шойдин: С составления определенных законом документов. Только в этом случае появится понимание того, что и как нужно сделать, чтобы, с одной стороны, выполнить требования закона, а с другой, минимизировать свои расходы.
IP-News: Достаточно много разногласий касается подачи уведомления в Роскомнадзор. В каких случаях это делать необязательно, уместна ли здесь неоднозначная трактовка?
Юрий Шойдин: Статьей 6 ФЗ четко определено, в каких ситуациях подача уведомления не нужна. Если Вы не можете точно отнести себя к приведенным исключениям, то лучше уведомление все же подать. В сомнительной ситуации возможно обращение в соответствующее Вашему расположению территориальное управление Роскомнадзора.
Что касается расхожего мнения о том, что «если подать уведомление, то Вас сразу поставят в план проверок» - это далеко не так. Наоборот, под проверки будут попадать операторы, не подавшие своевременно уведомление.
IP-News: Одним из требований ФЗ также является уведомление субъекта ПД. Как известно, в ряде случаев это сделать невозможно. Как упростить данный процесс с новыми абонентами и что делать со «старыми», данные которых также обрабатываются?
Юрий Шойдин: На самом деле все механизмы известны и изобретать колесо ни к чему. Конечно, для каждой ситуации, наверное, будет необходимо подойти индивидуально, но в целом можно сказать, что использование механизма открытой оферты решает бо́льшую часть проблем.
В случае со «старыми» клиентами можно откорректировать условия предоставления услуги в момент перезаключения договора (они, как правило, годовые). Для бессрочных договоров, конечно, придется индивидуально решать ситуацию, но можно обратиться к опыту, который используют все крупные операторы.
IP-News: Какая информация и на каких носителях будет относиться к персональным данным, безопасность которых необходимо обеспечить?
Юрий Шойдин: Не до конца четкое раскрытие термина «персональные данные», несомненно, дает повод по-разному интерпретировать набор информации, относящейся к ПДн. Но в Законе четко отмечено, что к ПДн относятся данные, по которым можно однозначно идентифицировать личность человека.
Для понимания ситуации в своей компании, прежде всего, необходимо выявить весь перечень ПДн, используемых во всех ИС компании, в том числе, не автоматизированных. Затем следует определить, к какой категории эти ПДн относятся. Вполне вероятно, что Ваша компания обрабатывает только открытые данные.
Что касается носителей, то в данном случае это не важно. Уполномоченный орган (Роскомнадзор) будет проверять правила хранения и обработки на любых носителях, в т.ч. бумажных. В части технической защиты ПДн, обрабатываемых в ИСПДн, проверять будет ФСТЭК РФ. Проверке будут подлежать все технические носители.
IP-News: При определении категории ПД существует ряд неоднозначных формулировок, например «дополнительная информация» или «идентификация субъекта ПД». Что считать дополнительной информацией? Что значит «идентификация субъекта» – в каком случае субъект считается идентифицированным? Могут ли разночтения сыграть на руку или в ущерб оператору персональных данных при проверках?
Юрий Шойдин: Идентификация — установление тождественности неизвестного объекта известному на основании совпадения признаков, опознание.
Если подходить с точки зрения не «указать на конкретного человека», а отнести какие-либо данные к конкретному человеку (определенному или определяемому на основании такой информации), то паспорт не понадобится. Ведь речь идет не о том, чтобы Вы лично могли идентифицировать человека по его собственному желанию, а о том, чтобы конкретная запись в конкретной базе данных была привязана к конкретному человеку, определяемому по конкретным признакам. Например, если необходимо привязать сумму уплаченных налогов в базе данных налоговой службы к конкретному человеку, то одного ФИО будет не достаточно, а вот ФИО + ИНН однозначно укажут на нужного человека.
Если Вам станет доступна такая база данных, то с помощью нее будет возможно организовать поиск данных на нужного человека по известным Вам критериям, и ФИО тут будет также недостаточно. Вряд ли Вы будете требовать паспорт в такой ситуации.
Что касается ФИО + адрес, то, на наш взгляд, этого недостаточно для идентификации. Как минимум, необходима еще дата рождения.
Под дополнительной информацией, на наш взгляд, следует понимать любые сведения о субъекте персональных данных, не используемые для идентификации.
Разночтения в законодательстве, как правило, трактуются в пользу проверяемого. Однако, это правило действует только при защите своих прав в суде.
IP-News: Можно ли спрогнозировать, к какому классу будут относиться ПД оператора связи?
Юрий Шойдин: Не надо прогнозировать - надо прочитать руководящие документы и провести классификацию своей ИСПДн.
IP-News: Исходя из критериев классификации ИСПДн, операторы связи оперируют 3, 4 или 2-м классом. Какие в данном случае предъявляются требования к защите ПД?
Юрий Шойдин: Я бы сказал, что, скорее всего, ИСПДн оператора связи будет 2-го или 3-го класса. Требования формируются в зависимости от сформированной модели угроз. Для разных компаний это могут быть разные угрозы и, соответственно, разные требования к технической защите. Это достаточно индивидуальная работа, поскольку законодатель дал большие права операторам по самостоятельному определению своих систем.
IP-News: Как указано в Законе, операторы, которые располагают ИСПДн, относящейся к 1 и 2 классу должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации. При каких условиях такая лицензия будет получена? И в каких случаях выгоднее отдать эту функцию на аутсорсинг?
Юрий Шойдин: Лицензирование в этой области регулируется постановлением правительства от 2006 года № 504.
Лицензионными требованиями и условиями являются:
а) наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;
б) наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;
в) наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;
г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;
д) использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем;
е) наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю.
Привлечение сторонних организаций к проведению работ не снимает требования с самой организации по, как минимум, пунктам б, г, д. Экономическая выгода привлечения аутсорса рассчитывается в каждом конкретном случае индивидуально. Как правило, для оценки выгоды проводится сравнение суммарной стоимости обучения и содержания 2-ух специалистов в штате организации за определенный период (например год или 3 года) со стоимостью работ сторонней организации. При этом учитываются косвенные факторы, например, содержание специалиста – это не только заработная плата, но и налоги, в т.ч. НДС. Кроме того, НДС сторонней организации предъявляется к зачету, тем самым уменьшается сумма затрат.
Такое сравнение должно проводиться грамотным экономистом, имеющим представление об актуальных сроках окупаемости проектов в конкретной сфере.
IP-News: Можно ли спрогнозировать, будут ли ИСПДн оператора связи типовыми или для них потребуется разработка моделей угроз? Как и кто это определяет?
Опишите сценарии действий в обоих случаях.
Юрий Шойдин: Порядок отнесения систем к типовым регламентирован законодательством. «Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных».
В соответствии со ст. 19 Федерального закона от 2006 года №152-ФЗ: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».
В соответствии со ст. 16 Федерального закона от 2006 года № 149:
«4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации».
В соответствии с требованиями постановлением правительства от 2007 года № 781:
«11. При обработке персональных данных в информационной системе должно быть обеспечено:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности персональных данных».
Ну и с точки зрения здравого смысла, на рабочем месте все равно устанавливается антивирусник. Все это говорит о том, что типовые системы – это как идеальный газ. Теоретически существует, а практически нет.
Но не стоит на этом зацикливаться. Модель угроз должна строиться всеми в соответствии с постановлением правительства от 2007 года № 781: «Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз».
IP-News: Одна из поправок в ФЗ касается применения средств криптозащиты. Во всех ли случаях оператор ПД может исключить обязательное их применение?
Юрий Шойдин: Ответ на этот вопрос достаточно неодназначен. Для ответа на него необходимо строить модель угроз не только в соответствии с нормативными документами ФСТЭК, но и в соответствии с нормативными документами ФСБ.
IP-News: Какие документы оператор ПД должен подготовить в конечном итоге?
Юрий Шойдин: Поражает всегда одно - исчерпывающий перечень документов приведен в нормативных актах, нужно только сесть и их прочитать. Для упрощения доступа к информации на открытом в сентябре 2009 Роскомнадзором «Портале персональных данных» есть все необходимое, но и этого никто не делает. Видимо все ждут прихода Деда Мороза, который в качестве подарка принесет аттестат Вашей ИСПДн.
IP-News: Как бы Вы оценили сегодняшнее состояние ИС операторов связи? Успеют ли они привести их в соответствие к 2011 году?
Юрий Шойдин: С документарной стороны - все необходимое можно было уже сделать, так как эта операция не затратная ни по времени, ни по финансам. Что же касается технической стороны вопроса, то можно с уверенностью сказать, что большая часть ИС компаний создавалась по правильным принципам и на 80% может удовлетворять требованиям, нужно только грамотно ее описать и составить план необходимых дополнений. Надеюсь, что за 2010 год большая часть операторов сможет выполнить требования технической защиты ПДн.
К сожалению, я не знаю истинного положения дел у операторов связи, но, думаю, с началом нового года у меня будет информация по проведенным регуляторами мероприятиям и можно будет обсудить имеющуюся статистику.
Дарья Тренина
Источник: IP News
blog comments powered by Disqus
