В процессе подготовки данного номера редакция Intelligent Enterprise сформулировала ряд вопросов, которые имеют явное отношение к Закону о персональных данных (закону № 152-ФЗ) и которые, как нам казалось, могли бы представлять чисто практический интерес для ИТ-директоров и руководителей подразделений информационной безопасности. Эти вопросы были представлены специалистам перечисленных категорий и обсуждены с ними как в очной, так и в заочной форме. В результате какие‑то из наших тезисов оказались менее актуальными, какие‑то, наоборот, были добавлены в наш импровизированный реестр. Обсуждение позволило сформировать окончательный список из 13 наиболее актуальных и требующих практических рекомендаций вопросов, часть которых мы решили обсудить в последующих материалах. Вопросы эти следующие.
1. Само определение персональных данных является юридически неопределенным и может иметь самое широкое толкование. В результате этот закон может стать инструментом давления на бизнес, причем вне зависимости от его размера. Эта ситуация еще более усугубляется тем, что целый ряд организационно-методических документов имеет ограничительные грифы и при этом постоянно меняется, причем кардинально. Насколько оправданны эти опасения?
2. Очень многие организации не торопятся заявлять о себе в качестве операторов ПДн. Чем это может быть опасно для компании? Стоит ли надеяться на то, что закон № 152‑ФЗ просто не будет исполняться ввиду массовости нарушений, как это происходит с парковкой на тротуарах и газонах в крупных городах? Есть ли ситуации, когда не требуется заявлять в «Роскомнадзор» об обработке персональных данных?
3. Всегда ли требуется от операторов получения согласий на обработку ПДн от субъектов ПДн? Как быть в тех случаях, когда затрагиваются ПДн третьих лиц (супругов, других ближайших родственников, бенефициаров, контрагентов)?
4. Документы регуляторов в отношении обязательного использования сертифицированных криптосредств весьма путаны и противоречивы, к тому же, скорее всего, они будут меняться. А раз так, стоит ли вообще использовать сертифицированные криптосредства и получать все необходимые для этого разрешительные документы?
5. Что делать, если региональные регуляторы не согласуют требования с их представителями в центре? Или когда в ходе проверок, проведенных разными регуляторами, были выданы явно противоречащие друг другу предписания?
6. Как создать модель угроз, адекватную реальной ситуации? С одной стороны, многие положения закона № 152‑ФЗ критикуют за явную избыточность, с другой — необоснованное занижение класса защиты может быть чревато санкциями со стороны контролирующих органов. Как найти баланс?
7. Как быть, если персональные данные попадают в системы, где их быть не должно (например, заявка, содержащая избыточные данные, или доверенность попадает в СЭД, или фрагмент базы данных оказывается на локальном диске ПК)?
8. Как соблюсти баланс интересов внутри компании, приводя информационные системы к соответствию нормам закона № 152‑ФЗ? Насколько сильны противоречия между подразделениями ИТ и ИБ?
9. Имеет ли смысл делать быстрый, дешевый, но заведомо некачественный в смысле реальной защиты проект ради формального соответствия нормам закона № 152‑ФЗ?
10. Имеет ли смысл использовать приведение к соответствию нормам закона № 152‑ФЗ в качестве задела для других ИБ-проектов (DLP, IRM, IDM)?
11. Допустим, мы используем оборудование, которое не имеет сертификата ФСТЭК. Оборудование, имеющее такой сертификат, нас не устраивает, в том числе и потому, что не соответствует целому ряду параметров по обеспечению норм ИБ согласно другим обязательным для нас стандартам (например, PCI DSS). Как нам быть?
12. Что делать, когда регулятор требует защищать бизнес-критичные системы (например, биллинговые) какими‑то непонятными средствами? Как нам быть?
13. Стоит ли ждать появления отраслевых стандартов ИБ или типовых решений, учитывающих требования закона № 152‑ФЗ, как это уже сделано, например, для банков? Дает ли появление таких стандартов гарантию от возникновения претензий у регуляторов?
