Как известно, уже с 1 января 2010 года должны в полном объеме заработать нормы Закона о персональных данных, он же закон № 152ФЗ. Его требования касаются подавляющего большинства российских предприятий, учреждений и организаций. Но в требованиях контролирующих органов, которым предписано следить за соблюдением требований этого закона, масса нестыковок и даже явных противоречий. К тому же регуляторы могут не понимать специфики бизнеса, что также чревато возникновением целого ряда дополнительных сложностей. Это усугубляется еще и тем, что многие положения прописаны недостаточно четко. Плюс ко всему, как признавали и разработчики закона № 152ФЗ, многие из норм были позаимствованы из зарубежных актов напрямую, без их адаптации к нашей специфике и менталитету.

Клубное движение ИТ-директоров и директоров по информационной безопасности проявляет особенный интерес к тому, как предприятия будут приводить свои информационные системы в соответствие с требованиями данного закона*. Естественно, оно не могло остаться в стороне от обсуждения всего комплекса этой действительно непростой задачи. Был выработан целый ряд рекомендаций, касающихся выявления наиболее сложных вопросов и путей их решения. Естественно, рассматриваемые в настоящей статье вопросы и ответы на них не претендуют на полноту истины в последней инстанции.

Почему вокруг норм закона № 152ФЗ столько споров? Вроде бы там все четко прописано, да и требования вполне разумные.

К самому закону действительно претензий не так много. И, как отметил Николай Конопкин, заместитель директора департамента внедрения и консалтинга компании LetaIT, у нас персональные данные трактуются не настолько широко, как это предлагает Страсбургский комитет, разработавший Конвенцию о защите физических лиц при автоматизированной обработке персональных данных. А именно ратификация данной конвенции привела к самому появлению Закона о персональных данных. Нормы из Opinion 4, к примеру, предлагают относить к персональным данным те, что косвенно позволяют сделать те или иные выводы о том или ином лице. Например, данные о годе выпуска и марке его автомобиля или о наличии у него недвижимости.

Основные проблемы связаны с документами ведомств, которые будут контролировать его соблюдение. При этом некоторые руководящие документы долгое время находились в ограниченном доступе, как, к примеру, методические рекомендации ФСТЭК, доступ к которым был открыт лишь в ноябре, и то не в полном объеме. И для их получения требовалось приложить определенные усилия. Возможно, это было сделано потому, что многие из этих документов весьма заметно менялись, и иногда не один раз. К примеру, Николай Конопкин насчитал у пакета документов ФСТЭК не менее трех версий.

Получается, что четкой стратегии нет не только у конечных потребителей, но и у многих интеграторов. Часто в результате класс защиты излишне усиливается, что усложняет и удорожает решение, при этом увеличивая сроки его внедрения. Причем злого умысла самих интеграторов в этом обычно нет. Так составлены методические рекомендации ряда регуляторов, в частности ФСТЭК. И это тоже произошло отнюдь не по злому умыслу, а просто вследствие того, что на этот орган были возложены не вполне свойственные ему функции. Его сотрудники просто не понимают, что меры по защите информации не могут стоить дороже, чем ущерб от ее возможного раскрытия. Будем надеяться, что со временем ситуация изменится. В результате очень многие ИТдиректора отмечали, что стоимость работ у разных компаний могла отличаться раза в три.

Источником дополнительных проблем стал кризис и его последствия, которые, увы, никто не отменял. В результате очень многие бизнес-менеджеры весьма неохотно выделяли финансирование на внедрение мер, необходимых, чтобы привести информационные системы к уровню соответствия нормам данного закона. Тем более что это совсем не дешево. Средневзвешенная стоимость затрат на проведение работ по такому проекту составляет около 3 млн руб. Олег Фофанов, руководитель управления информационных технологий пермского завода «Машиностроитель», оценил минимум в 70 тыс. руб. стоимость защиты одного рабочего места, где обрабатываются персональные данные.

Стоит ли ждать того, что передвинут сроки начала действия в полном объеме Закона о персональных данных? Возможно ли смягчение норм?

Да, были определенные надежды, что сроки введения норм закона в полном объеме в очередной раз отодвинут. Но они не оправдались, что стало ясно уже в начале второго полугодия. В ноябре был отозван последний законопроект вследствие отрицательного заключения Минкомсвязи и профильного комитета Госдумы.

Вместе с тем, похоже, контролирующие и надзорные органы не стремятся карать нарушителей направо и налево. «Масштаб проблемы, умноженный на низкое качество проработки материалов, внушал ужас не только ИТ-директорам, но и самим регуляторам», — так резюмировал данную ситуацию Борис Славин, председатель правления Союза ИТ-директоров России (СоДИТ), директор департамента ИТ НПФ «Благосостояние». Да и контролирующие органы, особенно на местах, это понимают и пока не будут спешить пользоваться своими карательными функциями. В результате, как отметил Олег Фофанов, все противоречия трактуются в пользу оператора персональных данных. И даже если обнаруживаются нарушения, которые тянут на несколько томов уголовных дел, все ограничивается небольшими штрафами.

Также идет активная работа по коррекции Закона о персональных данных. Вот как Елена Волчинская, ведущий советник аппарата Комитета Государственной Думы по безопасности, которая консультирует клубное движение ИТ-директоров, прокомментировала результаты пленарного заседания Госдумы, прошедшего 20 ноября 2009 года: «Проект федерального закона № 284213-5 «О внесении изменений в Федеральный закон “О персональных данных”», предложенный депутатами Государственной Думы В.М. Резником, К.Б. Шипуновым, В.Н. Плигиным, В.С. Груздевым, А.А. Морозовым, принят в первом чтении.

Законопроект предусматривает исключение требования об обязательном использовании криптографических средств защиты персональных данных (ч. 1 ст. 19) и продление на один год срока, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом «О персональных данных» (ч. 3 ст. 25)» (http://www.4cio.ru/glavnaya/entryid/171.aspx). И 23 ноября данный законопроект уже был принят в первом чтении. Так что есть надежда, что к 1 января он будет принят окончательно.

Касаются ли нас требования Закона о персональных данных?

Чтобы ответить на данный вопрос, компания Softline рекомендует собрать ответы на следующие пять вопросов.

  1. Использует ли кадровая служба фамилии, имена, отчества сотрудников?
  2. Подготавливает ли ваша компания информацию о доходах сотрудников для налоговых органов?
  3. Осуществляет ли ваша компания работы с клиентскими базами, содержащими домашние адреса и номера телефонов?
  4. Проводит ли ваша компания программы лояльности и собирает ли контактную информацию лояльных потребителей товаров и услуг?
  5. Используются ли вашей компанией телефонные базы для привлечения новых партнеров, покупателей, заказчиков?

Утвердительный ответ хотя бы на один из этих вопросов означает, что в вашей компании работают с данными, относящимися к персональным, и, следовательно, компания относится к категории операторов персональных данных, и ее касается все сказанное в законе.

Чем может быть опасно несоответствие нормам Закона о персональных данных?

Точка зрения, что проблемы следует решать по мере их поступления, чрезвычайно распространена. В том числе и применительно к соблюдению норм Закона о персональных данных. Вместе с тем, полное пренебрежение заложенными требованиями, как и неоправданное занижение класса защищаемых данных (а это тоже не редкость), может привести к проблемам с контролирующими органами и санкциям с их стороны. Тем более что в случае обнаружения недостатков будет проведена еще одна проверка, связанная с контролем исправления выявленных недочетов. И именно по этой причине очень многие специалисты не рекомендуют тянуть с внедрением мер, связанных с приведением систем в соответствие нормам Закона о персональных данных. Просто потому, что достаточно пяти жалоб в месяц, чтобы полностью парализовать деятельность предприятия. А организовать появление этих самых жалоб для конкурента, рейдеров или просто для того, кто посчитал себя «обиженным», не составит большого труда. И это даже в том случае, если речь идет о данных класса К3 и ниже, разглашение которых не влечет серьезной ответственности.

Особая ситуация на предприятиях, связанных с обслуживанием оборонного заказа. Тут любое несоблюдение норм, связанных с безопасностью, в том числе и персональных данных, может повлечь лишение соответствующих лицензий со всеми вытекающими отсюда последствиями. И у многих есть опасения, что отдельные представители контролирующих органов будут пытаться пользоваться этими рычагами.

На нашем предприятии работают инвалиды, и упоминание об этом есть в нашей кадровой системе. Позволяет ли это отнести ее к категории К1? Что делать с результатами профилактических осмотров на вредных и опасных производствах? Какие данные не стоит хранить в автоматизированных системах?

В целом момент, связанный с классификацией данных, действительно вызывает целый ряд вопросов. Далеко не всегда понятно, какие данные относятся к К3, а какие к К2. А требования к системам, обрабатывающим эти данные, отличаются весьма существенно. Это изложено в документах ФСТЭК, до недавнего времени имевших гриф «для служебного пользования». К тому же их содержание несколько раз менялось.

Целый ряд положений уточнялся. В результате для предприятий, где среди работников есть инвалиды, следует иметь в виду, что упоминание самого факта и группы инвалидности не относит систему к классу К1, если при этом нет упоминания о заболевании, которое стало причиной инвалидности. То же самое относится к работникам, занятых на вредных и опасных производствах. Важен лишь факт, годен или не годен тот или иной сотрудник к исполнению своих обязанностей, а не конкретный диагноз.

Особенно велик риск, когда данные сохранились еще со времен СССР и в настоящее время просто не требуются. Например, Татьяна Плотникова, начальник отдела информационных технологий КНАУФ ГИПС, приводила пример кадровой системы своей компании, где обнаружилась графа «национальность». Ее наличие автоматически относит систему к К1 и при этом не дает никакой важной информации, поскольку эта графа попросту отсутствует в современных документах, удостоверяющих личность. Такие данные лучше вообще в своих информационных системах не хранить. Причем удалить их надо как можно скорее, после 1 января это уже будет сложно.

Наша компания обрабатывает данные категорий К1 и К2. Такие системы требуют аттестации. Какие требования при этом предъявляются? Как проходит эта процедура?

Требования при этом те же, что и для ИС, в которых обрабатываются данные, содержащие государственную тайну. Тем более что данная процедура регулируется одним-единственным положением, разработанным еще в 1994 году как раз в расчете на сохранение данных, содержащих государственную тайну, а также более поздних документов СТР 1997 года и СТРК 2002 года. По этой причине подходы к разным системам абсолютно одинаковы. Требования к информационным системам, обрабатывающим персональные данные, изложены в документе ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных». И аттестация сводится к проверке требований, изложенных в данном документе. При этом любое внесение изменений в такую систему потребует повторения аттестации.

Пакет документов, необходимых для прохождения аттестации, приведен в методических рекомендациях ФСТЭК и ФСБ, которые находятся в открытом доступе. Они касаются определения перечня обрабатываемых персональных данных, информационных систем, где проводится их обработка, а также защищаемых ресурсов. Необходима разработка положений, методик и инструкций о порядке обработки персональных данных. Также необходима разработка модели угроз. Всего существует шесть типовых моделей угроз, они перечислены в руководящих документах ФСТЭК. Однако для каждой компании модель угроз будет своя. Абсолютно одинаковых не существует, как отметил Николай Конопкин, имеющий весьма богатый многолетний опыт разработки такого рода документов. При разработке этого документа следует учитывать только угрозы, актуальные для данной конкретной организации. Без этого документа пройти аттестацию невозможно. Уже появились программные средства, позволяющие ее создать в интерактивном режиме. При этом отнесение систем к классу специальных не освобождает от присвоения буквенно-цифрового коэффициента.

Классификация систем проводится на базе определенных признаков, и она касается всех систем, а не только типовых.

Оборудование и ПО, с помощью которого производится обработка персональных данных, обязательно требуют сертификации. Можно ли использовать ПО, не имеющее сертификатов?

По мнению подавляющего большинства экспертов, использование сертифицированного ПО необходимо. И выбор его довольно велик. Реестр сертифицированных средств, опубликованный на сайте ФСТЭК, насчитывает около 2000 наименований. Он включает операционные системы, антивирусные средства, межсетевые экраны, средства защиты от несанкционированного доступа, системы защиты от утечек информации (DLP) и многое другое, что относится к классу системного ПО и наложенных средств защиты информации. Этот перечень постоянно обновляется. Хотя органы сертификации не успевают за появлением новых версий, и часто приходится или выбирать устаревшие, но сертифицированные версии того или иного продукта, или ждать, пока будут сертифицированы те, что больше устраивают с точки зрения функциональности.

Вместе с тем, надо иметь в виду, что целый ряд вендоров используют сертификацию как маркетинговый инструмент. Так что необходимо внимательно следить за функциональностью средств защиты, которые прошли сертификацию. Так, прикладное ПО сертификации не требует. Также можно использовать обычную версию операционной системы, но при этом применять наложенные сертифицированные средства защиты, такие как «Страж» или Secret Net.

Что касается аппаратных средств, то с ними все обстоит почти так же. Хотя чаще возникает проблема с тем, что некоторые средства еще не прошли процедуру сертификации. Особенно это относится к продукции иностранных компаний. Кроме того, есть определенные нюансы, касающиеся использования средств шифрования. Хотя, возможно, отменят требования об обязательной криптозащите данных, передаваемых по сетям.

Наша компания является холдинговой структурой. Требуется ли принимать все меры для обработки персональных данных, связанные с новым законом, в каждой из компаний, представляющих собой самостоятельные юридические лица? Есть ли какието нюансы, связанные с деятельностью филиалов иностранных компаний?

В отношении холдинговых структур действует правило: каждое юридическое лицо — это самостоятельный субъект. Даже если речь идет о юридическом лице со множеством филиалов, как, например, у РЖД. Но в структуре, где несколько юридических лиц, в каждом нужно проводить весь комплекс мер. Из этого могут следовать коллизии, связанные с разным пониманием всяких нормативов на местах. Те аргументы, которые подействовали в одной области (крае, республике), могут не подействовать на сотрудников контролирующих органов в другой. К этому нужно быть готовым.

При этом нормы Закона о персональных данных требуют передавать персональные данные только по защищенным каналам. А это требует получения целого ряда лицензий на использование средств шифрования, причем часто нескольких. И каждое юридическое лицо, входящее в холдинг, обя­зано получать такие лицензии. И избежать этого можно только одним способом: прибегнув к услугам аутсорсинговой компании, у которой лицензия уже есть.

Впрочем, выше было сказано, что данная норма, возможно, будет исключена из требований закона, но пока дело обстоит именно так. Тем более что с соблюдением данных норм есть проблемы. Так, к примеру, оборудование для MPLSсетей еще не прошло сертификацию. Много неясностей связано и с необходимостью получения лицензий на использование криптографических средств. Причем, скажем так, разные мнения на этот счет существуют даже в разных подразделениях одного и того же ведомства, как функциональных, так и территориальных.

При этом требования к трансграничной передаче (при том условии, что речь не идет о государственных учреждениях за границей, например дипломатических) намного более либеральны. Разрешается или не использовать криптосредства вообще, или применять те, что являются корпоративным стандартом в той или иной международной компании.

Как быть, если персональные данные попадают в системы, где их быть не должно?

Тут нет однозначного решения. Действительно, такое вполне может случиться, к примеру, с системами электронного документооборота, не предназначенными для обработки персональных данных. В эти системы могут попасть оцифрованные образы бумажных документов, содержащих персональные данные. Особенно часто это относится ко всяким доверенностям, где фигурируют паспортные данные. Хотя были жалобы и на то, что персональные данные, причем довольно высокого класса, могут встречаться в текстах заявок. Часто советуют относить их к 4й категории, которая практически не требует защиты. Другая возможная рекомендация — не вносить такие документы в систему документооборота, а хранить их бумажные копии. Или не вносить ту информацию, которая может быть отнесена к персональным данным, замазывая ее или заклеивая.

Каким образом регламентирована передача персональных данных третьим лицам — другим компаниям, всяческим фондам, государственным органам?

Тут вопрос в большей степени юридический, чем технический. И к тому же не слишком хорошо проработанный. Причем множество коллизий возникает с другими законодательными актами, в частности, об оперативно-розыскной деятельности, о кредитных историях, о противодействии легализации доходов, полученных преступных путем. Они предусматривают передачу данных третьим лицам без согласия субъектов персональных данных, к примеру, для раскрытия преступления. Хотя каждый такой случай требует консультаций с юристами.

Также Закон о персональных данных позволяет хранить данные по требованиям других нормативных актов и после завершения их обработки. Это критично для банков и финансовых компаний, которые, по нормам других актов, обязаны хранить информацию о клиенте не меньше определенного срока. В этом случае специалисты советуют включать соответствующий пункт в договоры с клиентами, причем устанавливать максимально возможный срок, которого требуют такого рода нормативные акты.

Больше всего потенциальных проблем может быть связано с передачей данных в Пенсионный фонд, налоговые органы, Фонд социального страхования. Тем более что речь идет о финансовой информации, подпадающей под категорию К2. И часто эти самые организации не идут навстречу, что порождает массу сложностей, в том числе и труднорешаемых. К примеру, Фонд соцстраха запрещает обезличивать данные на детей, когда речь идет об оплате больничных листов по уходу за больными детьми. Тут положение осложняется тем, что речь идет о лицах, не являющихся полностью дееспособными. У них трудно, а то и вовсе невозможно получить согласие на обработку их персональным данных, оформленное должным образом, как того требуют нормы Закона о персональных данных. И на момент написания этих строк данные сложности не были решены.

Источником проблем может и стать то, что у компаний, передающих персональные данные третьим компаниям, нет никаких рычагов влияния на партнеров. На эту недоработку особенно часто сетуют бюро кредитных историй. Они никак не могут повлиять на мелкие и средние банки, где с защитой персональных данных дела обстоят крайне плохо. Специалисты советуют в данном случае все равно требовать при заключении договоров соблюдения норм соответствующих законов, причем максимально настойчиво.

Как происходят проверки, осуществляемые контролирующими органами? Каковы полномочия проверяющих? Могут ли они изымать оборудование?

Проверка может быть плановой, и их перечень на ближайший год обычно публикуют на сайте соответствующего ведомства. В этом случае организация заранее оповещается. Коммерческие компании получают соответствующие уведомления напрямую, государственные и муниципальные учреждения — через вышестоящую организацию. Худшее, что может быть в этом случае, — получение 30 декабря уведомления о том, что проверка будет проведена 10 января следующего года. Но проверка может быть и внеплановой, причиной ее является какоето событие, обычно жалоба. Но и в этом случае речь не идет о «маски-шоу». В целом же проверка сводится к тому, чтобы определить, соответствуют ли установленному классу мероприятия по защите персональных данных. И при такой проверке далеко не лишним будет пакет организационно-методических документов, регламентирующих обработку персональных данных: перечни персональных данных, приказы, запрещающие обрабатывать в информационных системах данные, позволяющие отнести систему к более высокому классу. Одним словом, эти документы должны описывать соответствие тех или иных систем, обрабатывающих персональные данные, заявленному классу. Так что лучше обеспечить, чтобы в демилитаризованной зоне, где не должны обрабатываться персональные данные, их действительно не было. При проведении такой проверки необходимо предоставить всю информацию о системах, обрабатывающих персональные данные. Как отметил Николай Конопкин, проверяется все, от сервера до последней мышки. В первую очередь определяется, какая именно информация обрабатывается и каково количество субъектов персональных данных. Тем самым, контролирующие органы могут оспорить класс системы. Естественно, в сторону его повышения.

По результатам такой проверки определенная опасность возникает и для интеграторов. Если окажется, что компания выдала тот или иной аттестат с нарушениями, то интегратор может лишиться необходимых лицензий и аккредитаций, что чревато потерей бизнеса. Так что партнеров надо выбирать тщательнее.

Контролирующие органы не имеют права какимлибо образом исследовать сами данные, хранящиеся в системах. Однако могут быть проверены с помощью специального ПО те технические средства, где, по словам представителей проверяемой организации, персональные данные не содержатся. Причем данное ПО позволяет выявить даже остаточную информацию.

Изъятие оборудования возможно только в рамках расследования уголовного дела. Из контролирующих органов соответствующие полномочия есть только у ФСБ. ФСТЭК и Роскомнадзор, у которых просто нет своих следственных органов, не имеют такого права в принципе.

* Например, организованные клубом 4CIO специальная секция на CEO&CIO Congress «Подмосковные вечера» и конференция «152 ФЗ — основные ловушки и способы разминирования».