1. ГЛАВНАЯ
  2. АРХИВ НОМЕРОВ ЖУРНАЛА "КЛУБ ГЛАВНЫХ БУХГАЛТЕРОВ"
  3. ЖУРНАЛ "КЛУБ ГЛАВНЫХ БУХГАЛТЕРОВ" N11 2010 ГОД
  4. Маленькие секреты важного Закона

Маленькие секреты важного Закона

Маленькие секреты важного Закона

В июле 2006 года властью был принят Федеральный закон №152 «О персональных данных». Необходимость в принятии этого нового по своей сущности правового акта, вероятнее всего, была продиктована обстоятельствами, связанными с процессом прогрессирующей компьютеризации страны, темпы которой уже в 2006 году выражались в национальных масштабах. Вследствие расширения каналов обмена различной информацией через компьютерные сети повысилась вероятность того, что персональные данные могут быть использованы в несанкционированном порядке, и законодатель решил разработать соответствующий акт, согласно которому предполагалось создание юридических механизмов, способствующей защите персональных данных.

Одним из важнейших условий обеспечения безопасности обработки персональных данных, является наличие средств контроля над легальным доступом к информации. Статья 19 закона гласит, что существует определенные меры по обеспечению безопасности персональных данных при их обработке.

Ответственность за исполнение соответствующих предписаний закона лежит на каждом из субъектов пространства информационного обмена.

Согласно закону, оператор персональных данных при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Переводим на гражданский язык: файлы с персональными данными должны храниться на надежных компьютерах (чтобы файлы не пропали ввиду поломки диска), компьютеры эти должны быть защищены соответствующими антивирусами и прочими средствами защиты от несанкционированного доступа к файлам.

Также, документ гласит, что Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. Здесь все понятно – законодатель разрабатывает специальные стандарты и нормы, которые предписывают необходимый уровень показателей надежности компьютеров и средств информационной защиты.

Дело осталось за практикой реализации положений Закона №152. Принятая в 2009 году поправка к нему дозволила привести все компьютерные системы нашей страны в соответствие Закону №152 к концу 2010 года. Насколько наше сообщество готово к вступлению положений закона в действие? Мы сформировали несколько вопросов в адрес ведущих российских экспертов по проблемам защиты информации на предмет оценки такой подготовленности.

Как вы считаете, Закон №152 сможет себя реализовать в условиях российского информационно-технологического сообщества?

На вопрос отвечает Сердюк Виктор Александрович, генеральный директор ЗАО «ДиалогНаука»

- С нашей точки зрения, достаточно сложно заранее говорить о том, насколько успешно могут быть реализованы положения Федерального закона «О персональных данных». Однако можно с уверенностью утверждать о том, что он смог привлечь внимание большинства руководитель коммерческих и государственных организаций к проблеме защиты информации.
В настоящее время многие критикуют Федеральный закон «О персональных данных» за излишне жесткие требования и рассматривают его как очередной повод для государственных регуляторов по проведению тех или иных проверок. Тем не менее, с нашей точки зрения принятие данного закона было необходимой мерой и позволило создать правовую основу для защиты персональных данных. Здесь можно привести определенную аналогию с правилами дорожного движения. Как хорошо известно, до значительного повышения штрафов, большинство водителей ездило с не пристегнутыми ремнями безопасности. После того как соответствующие изменения были внесены в ПДД ситуация кардинальным образом изменилась.

Безусловно, как в самом законе, так и в нормативных документах, созданных на его основе, все еще остается немало «белых пятен», однако все эти недостатки могут быть доработаны в рабочем порядке. Так, в 2010 году уже вышла новая редакция документов ФСТЭК, которые значительно упрощают процедуру приведения информационных систем в соответствие с требованиями законодательства.

На вопрос отвечает директор по развитию бизнеса компании «Информзащита» Емельянников Михаил Юрьевич.

В нынешнем виде закон вряд ли начнет работать и решать те проблемы, ради которых он принимался. И по духу, и по букве закон значительно отличается от Европейской конвенции, в связи с ратификацией которой он принимался, причем не в лучшую сторону. В то время, как в законе наблюдается явный перекос в сторону субъекта персональных данных (гражданина), у которого декларируется масса прав, практика правоприменения от решения проблем защиты интересов конкретных людей весьма далека. За три с лишним года действия закона нет практически не одного случая привлечения к ответственности виновных в незаконном распространении баз данных, содержащих сведения о гражданах – их доходах, недвижимости, паспортных и контактных данных и т.п. Базы продолжают практически в отрытую продаваться на так называемых «радиорынках» и распространяться через интернет. Весь пыл органов контроля и надзора направлен на проверку выполнения формальных требований операторами персональных данных, причем обоснованность и разумность этих требований представляется весьма спорной.

В силу особенностей закона – обязанности оператора доказывать наличие согласие субъекта на обработку данных – фактически нелегальным стал весь бизнес, связанный с продажей услуг и товаров через сеть интернет, поскольку доказать авторство лица, заполнявшего веб-форму для получения запрашиваемой услуги, в условиях анонимности сети интернет, практически невозможно. Невыполнимыми представляются требования об оповещении оператором лица в случае, если персональные данные получены не от него, а от третьих лиц. Становится невозможной покупка авиабилетов билетов для членов семьи или друзей, отправка денег по почте или в системе мгновенных платежей, страхование в пользу детей или родителей и т.п. действия, поскольку, цитирую закон: «Если ПДн были получены не от субъекта ПДн, оператор до начала их обработки обязан предоставить субъекту ПДн следующую информацию:
1) наименование и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных».

Условия трансграничной передачи персональных данных, определенные законом, полностью игнорирует современные реалии бизнеса, будь то бронирование тех же авиабилетов в международных системах типа Sabre или Gabriel, передача вычислений « в облако» или получение приложения по запросу (SaaS).

Эти и другие особенности закона делают практически каждое юридическое или физическое лицо, обрабатывающее персональные данные, потенциальным нарушителем закона, что неизбежно ведет к избирательности применения как самого закона, так и предусмотренных им санкций.

К сожалению, отрицательный пример правового нигилизма в отношении персональных данных показывают именно органы власти и самоуправления, государственные и бюджетные организации и предприятия. Такая ситуация была заложена уже на этапе подготовке ФЗ-152, в пояснительной записке к проекту которому сообщалось, что бюджетных ассигнований реализация закона не требует. На какие средства в этом случае должны защищать персональные данные органы власти, самоуправления, ЖКХ, учреждения образования и здравоохранения, совершенно не ясно. Где нейти немалые деньги на систему защиты информации и специалистов для ее эксплуатации в ЗАГСах, детских садах, районных больницах и поликлиниках, МРЭУ ГИБДД и огромном количестве других учреждений, закон ответа не дает. А приводит это к созданию сайтов типа gosuslugi.ru или nalog.ru, где требования безопасности и организации обработки персональных данных практически полностью игнорируются.

Пренебрежение нормами закона выражается и в таких фактах, как намерение ГИБДД создать общедоступную базу нарушителей правил дорожного движения, не предусмотренную ни одним федеральным законом, или планы Минобраза по выдаче всем школьникам так называемых «паспортов здоровья», предусматривающих раскрытие самых интимных секретов частной жизни как самого ученика, так и родственников. Такие примеры можно было приводить еще довольно долго.

Все это говорит о необходимости существенной, даже радикальной переработки закона. Признается это и самими законодателями. Так, в пояснительной записке к законопроекту, внесенному депутатом В.М. Резником, и направленному на значительные изменения многих положений ФЗ-152, отмечается, что «Практика реализации Федерального закона позволяет сделать вывод о недостижении цели его принятия, и создает предпосылки для уточнения его отдельных положений. Законопроектом предлагается установить соответствующую систему нормативного правового регулирования, отвечающую требованиям баланса интересов государства, гражданина и оператора, обрабатывающего его персональные данные».

Законопроект принят в первом чтении, нам остается только ждать дальнейшего развития событий. Но даже его принятие, при значительном улучшении качества законодательного регулирования вопросов обработки сведений о гражданах, всех проблем, созданных действующим законом, не решит. Нужны будет и дальнейшие корректировки.

Закон выдвигает требования к операторам персональных данных. Какие практические мероприятия должен провести оператор, чтобы обеспечить выполнение данных требований?

На вопрос отвечает Сердюк Виктор Александрович:

Для реализации требований Федерального закона «О персональных данных» необходимо создание и внедрение комплексной системы защиты. Как правило, процесс создания такой системы защиты включает в себя следующие основные этапы:

  • проведение обследования с целью оценки соответствия организации требованиям Федерального закона о персональных данных;
  • разработка модели угроз безопасности персональных данных (ПДн);
  • разработка модели нарушителя (в случае использования каналов связи для передачи ПДн);
  • проектирование системы защиты ПДн в составе информационной системы, обрабатывающей персональные данные (ИСПДн);
  • разработка комплекта организационно-распорядительных документов по защите персональных данных;
  • внедрение системы защиты персональных данных;
  • оценка соответствия информационной системы персональных данных по требованиям безопасности информации.

Работы по созданию системы защиты персональных данных могут выполняться силами самой организации, либо при помощи компаний, специализирующихся на оказании такого рода услуг.
Как правило, система защиты персональных данных включает в себя следующие основные подсистемы:

  • подсистема антивирусной защиты, предназначенная для выявления и блокирования вредоносного кода;
  • подсистема разграничения доступа, обеспечивающая защиту от несанкционированного доступа к персональным данным. Как правило, данная подсистема также выполняет функции регистрации и учета, а также контроля целостности;
  • подсистема криптографической защиты, предназначенная для обеспечения конфиденциальности персональных данных в процессе их передачи по каналам связи;
  • подсистема межсетевого экранирования, которая устанавливается в точке сопряжения с сетью Интернет, либо между информационными системами разных классов. Подсистема предназначена для фильтрации потенциально опасных пакетов данных, проходящих через межсетевой экран;
  • подсистема обнаружения вторжений, предназначенная для выявления и блокирования сетевых атак в ИСПДн;
  • подсистема анализа уязвимостей, обеспечивающая обнаружение имеющихся уязвимостей в программном, аппаратном и телекоммуникационном обеспечении ИСПДн.

Важно отметить, что все средства защиты, применяемые для обеспечения безопасности персональных данных должны иметь сертификат соответствия ФСТЭК. Для того, чтобы подтвердить факт использования сертифицированного решения в компании должна быть копия сертификата, формуляр и носитель с голографической маркой ФСТЭК. При этом средства криптографической защиты должны иметь сертификат ФСБ на решение в целом, либо заключение ФСБ на корректность встраивания в продукт сертифицированного криптоядра.

Детальный состав подсистем, входящих в состав комплекса защиты персональных данных определяется на основе результатов классификации ИСПДн, модели угроз и модели нарушителя.

На вопрос отвечает Емельянников Михаил Юрьевич:

Давайте попробуем последовательно разобраться в том, что требует в данном случае закон, несмотря на все его недоработки. Статья 19 Закона №152 гласит, что оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

В первую очередь оператор должен провести инвентаризацию своих информационных систем и выявить все, где обрабатываются персональные данные. Для каждой такой системы необходимо сформировать перечень обрабатываемых данных, уточнить обоснованность обработки каждой категории, наличие законного основания обработки данных или согласия субъекта. Возможно, отчасти приложений или обработки отдельных категорий данных придется отказаться, а соответствующую информацию уничтожить.

Далее, надо пересмотреть договорную работку – как с собственным персоналом в части содержания трудовых и гражданско-правовых договоров, так и клиентами-физическим лицами, предусмотрев в них в необходимых случаях явное согласие на обработку персональных данных, в том числе, если это требуется условиями выполнения договора, передачу сведений третьим лицам.

Необходимо разработать пакет внутренних распорядительных документов, предусмотренных нормативно-правовыми актами как в области трудового права, так и регулирующими безопасность обработки персональных данных: положение об обработке персданных, разделы должностных инструкций работников, имеющих доступ к сведениям о гражданах и др., довести эти документы и информацию об ответственности за нарушения установленных требований под роспись до каждого работника.

Необхоимо принять меры по технической защите персональных данных в информационной системе предприятия. Для этого прежде всего необходимо определить класс информационной системы на основании положений совместного приказа ФСТЭК, ФСБ и Мининформсвязи России № 55/86/20 от 13 февраля 2008 года. Как таковых информационных систем на предприятии может быть несколько, причем каждая из них может иметь свой класс, и, следовательно, должна будет соответствовать специфическим для конкретного класса требованиям. Необходимо сформировать модель угроз персональным данным, и, исходя из класса информационной системы и модели угроз, определить методы и способы защиты от тех угроз, которые будут признаны актуальными для конкретных информационных систем, т.е. спроектировать систему защиты. Для реализации определенных таким образом методов и способов защиты должны быть выбраны конкретные средства защиты информации, причем все они должны иметь подтвержденную оценку соответствия требованиям ФСБ и ФСТЭК, предъявляемых к данному классу систем – т.е. сертификат соответствия. Для этих средств надо провести пуско-наладочные работы и ввести систему защиты в эксплуатацию.

Наконец, значительная часть операторов должна уведомить о своей деятельности уполномоченный орган в области защиты прав субъектов персональных данных – Роскомнадзор, для чего составить уведомление по определенной форме и направить его в территориальное подразделение надзорного органа.

Только после этого работу по приведению порядка обработки персональных данных у оператора можно считать законченной. Но не надо забывать, что регулирующие документы требуют постоянного мониторинга за выполнением установленных требований, анализа реального уровня защищенности системы, выявления инцидентов с персональными данными и проведения разбирательства по ним с принятием необходимых мер по недопущению инцидентов впредь и наказанию виновных в произошедшем.

Эксперты в области технологий информационной защиты дали свою оценку текущему положению дел в аспекте практической реализации положений Федерального Закона №152. Обнаружилось, что данный правовой акт имеет ряд особенностей. Прежде всего – это недостаточная проработанность теоретического блока. Законодатель не учел множества нюансов, характерных для текущей стадии информационно-технологического развития российского бизнеса. Следующий важнейший аспект заключается в том, что правовое регулирование процессов, проходящих в рамках функционирования различных информационных систем, осложняется недостаточным уровнем исполнительности конечных объектов регулирования – операторов персональных данных. Но справедливости ради, следует сказать, что данная характеристика напрямую связана с наличием отмеченных недоработок данного закона.

Тем не менее, само по себе подобное действие со стороны законодателя свидетельствует о том, что федеральная власть в целом заинтересована в обеспечении должного уровня регулирования совокупности сложных процессов, проходящих в рамках этапов технологической информатизации бизнеса.

Вернуться в раздел