Сегодня и завтра защиты персональных данных

Хотя подзаконные акты и нормативные документы ФСТЭК России и ФСБ России по защите персональных данных появились почти два года назад, большинство российских организаций и предприятий не спешат приводить свои информационные системы в соответствие с законом «О персональных данных», рассчитывая на смягчение требований или перенос сроков. Реальные шаги начали предприниматься лишь во второй половине 2009 года.

Полемика, развернувшаяся вокруг Федерального закона № 152‑ФЗ «О персональных данных», касается в основном его подзаконных актов. К самому закону претензий почти нет — он очень хорошо сформулирован и, безусловно, нужен. О документах ФСТЭК России и ФСБ России, определяющих конкретные требования к защите информационных систем, этого, увы, сказать нельзя. Буква закона расходится с его духом: соответствие информационной системы нормативным требованиям — совсем не то же, что фактическая защищенность хранящихся в ней персональных данных.

В нормативных требованиях вообще не рассматриваются появившиеся современные технологии обеспечения безопасности, мониторинга и управления инцидентами, например, средства контроля и защиты баз данных, которые реально повышают фактическую защищенность данных и могут предотвратить значительные утечки. Зато, например, описанные в требованиях средства защиты от НСД некоторые эксперты рынка оценивают как заметно устаревшие, не отвечающие требованиям современных информационных систем. Действительно, по опыту наших проектов, никто из заказчиков никогда не даст установить на свои продуктивные серверы — на АБС, на биллинг — какие‑либо сторонние средства защиты, а тем более полупромышленные непонятного производства. Очевидно, что защита крупных центров обработки и хранения данных, где предъявляются очень жесткие требования к производительности, надежности и бесперебойности работы, в любом случае представляет серьезную техническую проблему, и далеко не всегда получающееся решение удовлетворяет нормативным требованиям. Последнее время все чаще встречаются примеры таких построенных «потемкинских деревень», которые формально соответствуют всем требованиям, а по сути — являются красивым мыльным пузырем.

Корневая причина

На мой взгляд, фундаментальная проблема, которая касается защиты персональных данных в целом, — это ответственность за утечки персональных данных. Такая ответственность сейчас практически отсутствует. Да, есть статья 137 УК РФ (нарушение неприкосновенности частной жизни), но она еще никогда не применялась по отношению к персональным данным. Ближайшие похожие статьи КоАП РФ 13.14 (разглашение информации с ограниченным доступом) и 13.11 (нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах) предполагают штрафы до 5000 руб. и до 10  000 руб. соответственно. Для организаций-нарушителей это практически ничто.

Однако существуют другие статьи КоАП РФ с гораздо более серьезными штрафами. Они говорят уже о невыполнении нормативных требований, невыполнении требований надзорного органа и пр. И ситуация складывается в корне неправильная. Именно этот перекос и порождает ту самую необходимость защиты не самих персональных данных, а защиты от регуляторов и их проверок. В мировой практике все обстоит по‑другому. Например, за утечки информации о клиентах из международных платежных систем на виновника налагают колоссальные штрафы в сотни тысяч долларов, прямо пропорциональные количеству утерянных данных. И как раз эта ответственность вызывает осознанную необходимость действительно серьезных усилий по защите собственно персональных данных.

Честность — лучшая политика

Какую же защищенность предпочесть — фактическую или формальную?

Сейчас единственно верным путем, на мой взгляд, будет стремление к фактической защищенности, поскольку именно она соответствует духу и целям закона. Разработчики нормативной базы, со своей стороны, понимают ее несовершенство, признают необходимость доработки и предпринимают шаги в этом направлении. Таким образом, происходит встречное движение, и рано или поздно два процесса сойдутся. Конечно, хочется, чтобы это произошло скорее. Тогда персональные данные в информационных системах предприятий и организаций будут надежно защищены в соответствии с нормативными требованиями, согласно духу и букве закона № 152‑ФЗ.

Однако до идеала пока далеко, а дата приведения информационных систем в соответствие с законом уже близка. Как же быть предприятиям, которые по тем или иным причинам не могут выполнить нормативные требования? Что нужно делать в первую очередь, а с чем повременить?

По опыту проверок этого года, Роскомнадзор сейчас в основном обращает внимание на организационные и юридические аспекты, касающиеся персональных данных. Основные замечания — неполучение разрешений на обработку персональных данных от субъектов, передача данных третьим лицам без разрешения, неустановка цели обработки данных и т.д. Практически нет замечаний по защите информационных систем, обрабатывающих персональные данные, и по их аттестации. Поэтому мы рекомендуем своим заказчикам — банкам, телекоммуникационным и страховым компаниям — провести в первую очередь так называемую юридическую подготовку организаций: пересмотреть и доработать договоры и другие документы, подписываемые с клиентами, соглашения с партнерами, так или иначе затрагивающие персональных данные. У достаточно крупного оператора персональных данных количество таких документов обычно приближается к сотне.

Как может выглядеть последовательность действий по приведению организации в соответствие с законом № 152‑ФЗ? Первым шагом должна быть инвентаризация персональных данных, с которыми работает организация, и оценка бизнес-процессов, в которых они фигурируют, причем независимо от того, в каком виде представлены персональные данные — в бумажном или электронном. Затем следует провести определенную оптимизацию процессов работы с персональными данными, которая позволит сократить расходы на их защиту. Обычно удается из части процессов исключить персональные данных или их часть, где‑то обезличить, где‑то сократить круг лиц, имеющих к ним доступ. Далее уже можно переходить к доработке договоров и прочих документов, готовить соответствующую организационно-распорядительную документацию. Этот процесс у нас хорошо освоен — обычно для банка или оператора связи (за исключением, может быть, самых крупных, входящих в первую десятку) мы проводим его за месяц-полтора. Затем (или параллельно) можно вести работы по информационным системам: их классификацию, разработку моделей угроз, разработку технического задания и проектирование системы информационной безопасности. Здесь операторы персональных данных, как правило, и останавливаются — непосредственно к внедрению они не переходят. Изредка защищаются отдельные центры обработки данных, но не более того.

Такой выжидательный подход вполне оправдан. Во-первых, нормативные документы регуляторов в ближайшее время будут меняться, требования к защите информационных систем, с большой долей вероятности, смягчатся. А во‑вторых, сейчас почти все производители средств защиты — и российские, и западные — озаботились сертификацией своих продуктов под персональные данные. За последний год большинство крупных вендоров, включая Oracle, Microsoft и Cisco, сертифицировали свои продукты на соответствие закону № 152‑ФЗ и нормативным документам ФСТЭК России.

Я ожидаю, что все‑таки в первой половине следующего года большинство самых острых вопросов по защите персональных данных снимется, болезненность всей ситуации сойдет на нет, все операторы персональных данных выберут тот или иной путь развития и начнут плановую работу.

Поэтому мы с оптимизмом смотрим в будущее.