Защита персональных данных: время действовать! Руководство для бизнеса по защите персональных данных (часть 1)

С каждым месяцем вопрос защиты персональных данных (ПДн) становится все острее и острее. У организаций, обрабатывающих персональные данные, остается всё меньше времени до 1 января 2010 года, чтобы привести свои информационные системы в соответствие с Федеральным законом №152 (далее – ФЗ №152). То и дело недвусмысленные сигналы поступают от Роскомнадзора по поводу необходимости подачи заявки на регистрацию в качестве оператора ПДн.

Нельзя забывать, что если компания не подала заявление на регистрацию как оператор ПДн, то она формально уже нарушает установленные законом требования. Деятельность её по обработке ПДн может быть приостановлена регулирующим органом. И, судя по действиям Роскомнадзора, подобные массовые проверки уже не за горами.

ФЗ №152 несет в себе еще одну угрозу – дает дополнительный инструмент недобросовестным конкурентам. Что мешает подать заявление от лица субъекта персональных данных (конкретного гражданина) о нарушениях его прав компанией, которой он сообщил личные данные? Конкурента ждет еще одна проверка, отвлекающая силы от основного бизнеса...

Итак, задача построения защиты персональных данных выходят далеко за рамки полномочий департамента информационной безопасности. Ведь невыполнение требований закона несет угрозу не просто информационным ресурсам или интересам отдельных клиентов – возникает угроза нормального функционирования самого бизнеса. Именно поэтому все важнейшие решения по проекту "Построение защиты персональных данных" должны приниматься на уровне высшего менеджмента организации. Главная цель настоящей статьи помочь руководству компании получить необходимые знания, чтобы лучше понимать свои риски и возможные сценарии поведения.

И приступить к конкретным шагам по реализации требований закона, потому что время действовать, как видно, уже пришло.

В чем заключаются требования закона?

Во-первых, надо ясно понимать, что призван защитить ФЗ №152. Это совокупность прав и свобод человека при обработке его личной (персональной) информации, в т.ч. защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Персональные данные – это не только Ф.И.О. человека, но вообще любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу. Его адрес, номер телефона, семейное, социальное, имущественное положение, образование, профессия, размер доходов, отношение к религии, информация о его здоровье, его хобби – перечень поистине нескончаем.

Также в Законе вводится понятие оператора персональных данных – это организация, которой доверил свои персональные данные человек или другая организация, обрабатывающая персональные данные.

По сути, Закон ставит своей целью ввести достаточно жесткие ограничения, которым должен следовать оператор персональных данных. Причем Закон устанавливает дату, к которой информационные системы персональных данных, созданные до дня вступления в силу данного Закона, должны быть приведены в соответствие его требованиям – не позднее 1 января 2010 года. Кроме того оператор персональных данных в большинстве случаев обязан направить в уполномоченный государственный орган соответствующее уведомление.

Каковы роли различных государственных структур?

Теперь давайте разберемся, какие государственные органы могут быть вовлечены в орбиту процессов, связанных с защитой ПДн.

На март 2009 года это три федеральных органа исполнительной власти:

Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности.

ФСБ России.

Федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации – ФСТЭК России.

Уполномоченный орган по защите прав субъектов персональных данных – Роскомнадзор Министерства связи и массовых коммуникаций.

Область ответственности у каждого из этих органов своя.

ФСБ России традиционно курирует вопросы защиты информации с использованием средств шифрования (криптографии).

ФСТЭК России осуществляет контроль защиты информации с использования технических средств. Одна из таких областей контроля, это подтверждение отсутствия в средствах защиты информации недекларируемых ("шпионских") возможностей.

Роскомнадзор является основным исполнительным и надзорным органом по защите прав физических лиц, чьи персональные данные обрабатываются.

Среди прав, предоставленных Роскомнадзору:

проводить проверку сведений, содержащихся в уведомлении, поданном оператором;

привлекать для такой проверки другие государственные органы (ФСБ России, ФСТЭК России);

принимать меры по приостановлению или прекращению обработки ПДн, осуществляемой с нарушением требований Закона;

обращаться в суд с исковыми заявлениями в защиту прав субъектов ПДн и представлять их интересы в суде;

направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия его лицензии;

направлять в правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел в связи с нарушением прав субъектов ПДн;

привлекать к административной ответственности лиц, виновных в нарушении Закона.

Как видите, список полномочий весьма внушительный и не оставляющий сомнений в том, что у Роскомнадзора достаточно рычагов воздействия практически на любую организацию. На практике непосредственно контроль должен осуществляться именно Роскомнадзором, а ФСБ России и ФСТЭК России будут привлекаться для надзора за реализованными мерами защиты ПДн. Остановимся на этом чуть подробнее.

Дело в том, что организации, эксплуатирующие информационные системы ПДн определенных классов, должны получить лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации. Кроме того, технические средства которые будут использованы для защиты ПДн, должны быть сертифицированы ФСТЭК России. Не будем забывать, что именно методики ФСТЭК России должны быть положены в основу "Модели угроз" для каждой информационной системы, обрабатывающей ПДн. Этот документ предстоит разработать каждому оператору ПДн. Именно на выполнении этих аспектов оператором, скорее всего, и будут сфокусированы сотрудники ФСТЭК России, привлекаемые для проверок.

Закон также требует, чтобы организации, эксплуатирующие информационные системы ПДн определенных классов и передающие ПДн через общедоступные и международные сети обеспечили их защиту с использование криптографических средств. А деятельность по внедрению шифровальных (криптографических средств), как и по разработке телекоммуникационных систем, защищенных с использованием данных средств, подлежит лицензированию в органах ФСБ России. Так что специалисты ФСБ, в первую очередь, уделят внимание наличию необходимых лицензий и использованию средств криптографической защиты информации, перечисленных в реестре ФСБ.

Что такое "категория" персональных данных?

Законодательство о персональных данных вводит новое понятие – "категория" персональных данных. Общее количество категорий ПДн – 4.

К 4-ой категории (наиболее простой) относятся обезличенные и (или) общедоступные персональные данные.

В 3-ю категорию включаются данные, позволяющие идентифицировать субъекта персональных данных.

Во 2-ую категорию входят данные, позволяющие идентифицировать субъекта персональных данных, и получить о нем дополнительную информацию.

И, наконец, самая высокая, требующая наиболее серьезной защиты, 1-ая категория – это данные, в которых отражена расовая, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимной жизни.

В соответствии с достаточно понятными критериями, каждый вид ПДн относится к определенной категории, а каждая система, обрабатывающая ПДн, должна быть отнесена к определенному классу. На класс влияет категория данных и другие признаки (распределённость информационной системы, количество записей ПДн в ней).

Очевидно, что степень защищенности информационной системы должна сопоставляться с критичностью информации. Именно поэтому вводятся различные требования по степени защиты для различных классов.

Итак, чем менее детальную информацию можно получить о субъекте ПДн, чем меньше записей в системе и чем менее распределена система обработки – тем ниже требования к защитным механизмам. С практической точки зрения крайне важно представить систему ПДн как относящуюся к наиболее "слабому" классу. Это позволит минимизировать затраты на обеспечение защиты ПДн.

Какова ответственность за нарушение требований закона?

Ответственность при невыполнении требований закона – увы, достаточно серьезна, чтобы, по крайней мере, принять её к сведению.

Проанализировав КоАП РФ и УК РФ, можно выделить ряд статей, в соответствии с которыми будет определяться ответственность за нарушение требований по защите ПДн:

КоАП (ст.5.39). Отказ в предоставлении гражданину информации. Ответственность – штраф до 1 000 руб., но также это может явиться основанием ответственности по ст.3.12.

КоАП (ст.13.11). Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Ответственность – штраф до 1 000 руб.

КоАП (ст.13.12). Нарушение правил защиты информации. Ответственность может доходить – штраф от 10 000 до 20 000 руб. с конфискацией несертифицированных средств защиты информации или административного приостановления деятельности на срок до 90 суток.

УК (ст.137). Нарушение неприкосновенности частной жизни. Ответственность может доходить до штрафа в размере ЗП осужденного за 18 месяцев или арестом на 6 месяцев.

УК (ст.140). Отказ в предоставлении гражданину информации. Ответственность может доходить до штрафа в размере ЗП осужденного за 18 месяцев, либо лишением права занимать определенные должности или заниматься определенной деятельностью.

УК (ст.171). Незаконное предпринимательство. Ответственность может доходить до 5 лет лишения свободы со штрафом в размере ЗП осужденного за шесть месяцев.

Но подчас приходится слышать, что пока эти статьи не работают и реального преследования никто проводить не собирается. Увы, это не совсем так – правоприменительная надзорная практика уже начинает складываться. Давайте просто представим несколько типичных ситуаций, жизненность которых не вызывает сомнений.

Ситуация №1.

Компания получает в свой адрес письмо с уведомлением от гражданина (данные которого ранее получила и включила в свои базы) с просьбой предоставить ему информацию о том, как ведется обработка его ПДн.

Что им движет – непонятно. Возможно, живой искренний интерес, возможно природная любовь к конфликтам, а может и недобрый умысел. В любом случае возможность такого обращения определена ч.4 ст.14 ФЗ №152.

Но компания не готова к тому, чтобы дать исчерпывающий ответ в отведенное время. Компания не предоставляет затребованную информацию или предоставляет её не полностью. Клиент, получив (не получив в указанные в законе сроки) ответ, обращается с жалобой в Роскомнадзор. Тот направляет в органы прокуратуры запрос по решению вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных. Возможная ответственность: по ст.5.39 КоАП или по ст.140 УК.

И вот у вас под дверью прокурорская проверка! К слову, о случаях подобных проверок уже сегодня можно прочитать в интернете.

Ситуация №2.

Компания поспешно регистрируется в качестве оператора персональных данных. При этом многие аспекты опускаются или оставляются на будущее.

В определенный момент, компания получает предписание из Роскомнадзора о проверке информации, указанной в заявке на регистрацию в качестве оператора. При документальном изучении дополнительных данных Роскомнадзор делает предварительный вывод о недостаточности выполненных мер по защите ПДн.

Например, сотрудникам Роскомнадзора не предъявляются копии сертификатов на средства защиты информации, не демонстрируются лицензии ФСТЭК России, ФСБ России или документы, описывающие модель угроз и поведение потенциального нарушителя. После чего Роскомнадзор направляет обращение в ФСТЭК России и/или ФСБ России по вопросу проведения внеплановой проверки организации с целью выяснения выполнения требований к обеспечению защиты ПДн.

А уже в ходе проверки выясняется, что данная организация эксплуатирует информационную систему определенного класса и организация в связи с этим должна была получить лицензированию на деятельность по технической защите конфиденциальной информации ФСТЭК России. Лицензию данная организация не имеет и работ к ее получению компания не начинала. ФСТЭК России направляет отчет о проверке в Роскомнадзор, который в свою очередь направляет в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении дела. Возможная ответственность: по КоАП (ст.13.12) или по УК (ст.171).

Что в этих историях кажется вам нереальным?

Необходимо отметить и тот факт, что в УК РФ уже внесены изменения (ст.137), ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни. Изменения эти вступают в силу с 1 января 2010 года.

Что включает законодательство о защите ПДн и как получить весь пакет нормативных документов?

Все законодательные и нормативные акты по защите ПДн можно разбить на две группы: общедоступные и закрытые. Перечень общедоступных правовых актов общеизвестен, но и к закрытым документам доступ получить несложно. По сути, это методические рекомендации, которым оператор ПДн должен следовать.

Выпустил эти руководящие документы ФСТЭК России, они носят гриф "Для служебного пользования". Но предоставляются они всем заявителям. Так что для их получения достаточно письменно обратиться по адресу: 105175, г. Москва, ул. Старая Басманная, 17 или в территориальные подразделения ФСТЭК России по месту нахождения организации.

Давайте чуть подробнее остановимся на этих документах. Сокращение ИСПДн означает Информационная Система Персональных Данных.

"Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн", ФСТЭК России, 15.02.2008 г. - содержат полные перечни рекомендуемых для выполнения работ на каждой из стадий создания системы защиты ПДн.

"Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн", ФСТЭК России, 15.02.2008 г. - определяют порядок организации обеспечения безопасности ПДн.

"Базовая модель угроз безопасности ПДн при их обработке в ИСПДн", ФСТЭК России, 15.02.2008 г. - служит базой для разработки модели угроз.

"Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн", ФСТЭК России, 14.02.2008 г. - предназначена для формирования перечня актуальных угроз безопасности ПДн.

К открытым специальным документам по данной теме относятся также руководящие документы ФСБ России.

К слову, по данной ссылке можно также найти ряд открытых документов по ПДн, а также документы Роскомнадзора, регулирующие порядок регистрации оператора персональных данных.

На самом деле, язык, которым написаны руководящие документы по безопасности ПДн – может оказаться довольно сложным для восприятия даже ваших ИТ-специалистов. Однако, если они будут вовлекаться в процесс построения систем защиты ПДн, с руководящими документами ознакомиться придется.

Но даже, если построением системы занимается сторонняя компания, запрос на получение документов направить нужно. Причина проста – в случае проверки ваша компания будет гораздо лучше выглядеть в глазах сотрудников ФСТЭК или ФСБ, если ими будут замечены полученные вами номерные копии руководящих документов среди прочей документации по проекту построения защиты ПДн. Если даже проверка выявит какие-то огрехи, вы честно пытались разобраться, привлекали людей, изучали руководящие документы, закупали сертифицированные средства защиты – всё это, безусловно, сгладит возможные последствия.

Что делать руководителю организации-оператору ПДн?

В своей практике авторы статьи смогли выделить несколько типичных моделей поведения руководителей, перед которыми вставал этот вопрос. Их, этих моделей, не так много и они достойны отдельного обсуждения.

Модель №1. Подождать, пока кого-то накажут, а пока ничего не делать.

Компания не несет пока никаких затрат, не обучает сотрудников и не задумывается об изменении сложившихся процессов обработки ПДн. Кроме того, вполне возможно, что первые же громкие случаи процессов или каких-то санкций заставят регулирующие органы внести существенные коррективы. Например, значительно расширить список средств, разрешенных для использования в системах защиты ПДн или сдвинуть сроки готовности системы защиты ПДн.

Но такая компания, тем не менее, сильно рискует. Санкции, предусмотренные существующим законодательством - существенны. Сценарии, которые могут привести к наложению санкций – вполне реалистичны. Решить весь спектр проблем: от получения лицензии ФСБ до изменения отдельных процессов обработки данных – быстро, находясь под гнетом проверки, попросту невозможно.

Остается лишь удивляться беспечности отдельных руководителей, которые следуют этой позиции. Уже сейчас сотрудники Роскомнадзора сообщают на различных публичных мероприятиях детали и статистику по проведенным проверкам и обращениям в суды.

Модель №2. Действие закона на нашу компанию не распространяется – ничего не делать.

Существует несколько аргументов, которые приводят сторонники этого подхода.

Приведем некоторые из них:

В компании не ведется автоматизированная обработка персональных данных, все на бумаге.

У нас большая компания с иностранным капиталом, базы данных физически находятся на зарубежных площадках. Да и вообще – кто нас тронет?

Наши блестящие юристы докажут, что компания не является оператором ПДн.

Если не подать заявку на оператора ПДн, то с проверкой никто и не придет и т.д.

Увы, в большинстве случаев, регулирующие органы не разделяют подобную позицию. И если компания попадет в поле надзора, санкции окажутся неминуемы. Что же касается "серебряной пули", если бы она существовала, наверняка, об этом уже говорили бы в многочисленных обсуждениях эксперты рынка. Но даже если отдельные лазейки в Законе будут становиться достоянием сообщества, можно не сомневаться – немедленно будут выходить разъяснения по применению Закона или будет меняться сама буква Закона.

Итак, риск оказаться под санкциями у такой компании очень велик. Трудно поддерживать подобную уязвимую позицию. Уже стали достоянием гласности ряд случаев, когда компании были привлечены к административной ответственности за невыполнение требований о регистрации в качестве оператора.