Двадцать популярных заблуждений операторов ПДн. Часть 2

13.10.2010

Существенную лепту в сумятицу, связанную с реализацией ФЗ «О персональных данных» вносит «демонизация» проблемы защиты ПДн, подогреваемая сенсационными сообщениями жителей (когда же они работают?) различных тематических форумов и «авторитетными» заключениями безымянных доброхотов.

Огромные затраты, невыполнимые требования, запутанные и противоречивые документы — вот аргументы «экспертов», якобы подтверждающие существование тайного плана, призванного выкачивать (непонятно, правда, как и в чьих интересах) миллиарды из карманов доверчивых операторов. Эти же псевдоэксперты склоняют операторов быть «более отважными» во взаимоотношениях с государством путем построения экзотических политик противодействия надзорным органам. Политик столь же дешевых (в прямом смысле), сколь и сомнительных, суть которых — не выполнять закон, а «аргументировано» торпедировать его требования. Сама постановка вопроса в таком ключе заставляет более пристально приглядеться к «чародеям» с повадками серийных бизнес-самоубийц, но, что более важно — критически воспринимать их советы, руководствуясь законом, здравым смыслом и чувством самосохранения.

Одновременно многим операторам стоит задуматься — а по какой причине флагманы российской экономики и ее отдельных отраслей (СИБУР, Роснефть, РусГидро, Еврохим, Газпром, Северсталь, Сбербанк, Мегафон, МТС, Билайн, и многие, многие другие) уже второй год поступательно и непрерывно реализуют в своих компаниях мероприятия по защите персональных данных? Неужели эти организации испытывают излишек денежных средств и людских ресурсов? Или все же причина лежит на поверхности, и называется она — закон, неукоснительные требования которого подкреплены целенаправленными действиями государственных институтов?

Любые точки зрения на нормы закона и порядок его реализации имеет право на существование. Любые, кроме опасных как для оператора, так и для субъекта ПДн. Рассмотрим вторую десятку популярных заблуждений, которые могут оказаться для оператора весьма дорогостоящими....

Заблуждение № 11

При защите персональных данных нужно руководствоваться ведомственными инструкциями или указаниями вышестоящей организации. Пока их нет, можно ничего не делать. Законы и иные нормативно-правовые акты не играют роли.

Реальность

Такая точка зрения свойственна организациям, входящим в структуры с жестко выстроенной вертикалью управления. Руководители этих организаций, однако, должны помнить, что возглавляемые ими организации являются операторами и несут все бремя ответственности за неисполнение требований по защите ПДн. Именно на операторов (а не на «вышестоящие организации») закон возлагает обязанности по исполнению комплекса мер по защите ПДн и предусматривает ответственность за нарушение порядка обработки. Так, кстати, за нарушение противопожарных норм или условий труда работника ответственность будет нести собственник объекта пожарной опасности или руководитель организации, а не «вышестоящая организация». Здесь — аналогичная ситуация.

Заблуждение № 12

Компьютеры нам переданы вышестоящей организацией (министерством, департаментом и т.п.), значит, она и должна защищать ПДн. Наша же организация не является собственником этих компьютеров, значит, ничего не обязана (или не имеет права) делать.

Реальность

Ст. 3 ФЗ 152 дает определение оператора. При этом закон не увязывает это понятие (а, следовательно, и обязанности оператора) с правом собственности на объекты информатизации (локальные сети, коммутационное оборудование, отдельные компьютеры, серверы и т.п.). Оператор — это тот, кто обрабатывает ПДн, а не тот, кто является собственником. Такое открытие весьма огорчительно для операторов. Но вывод очевиден — пора приступать к реализации мер по защите ПДн. Первоочередные из которых — организационные.

Заблуждение № 13

Хранение персональных данных — это никакая не обработка, на порядок хранения требования ФЗ152 не распространяются.

Реальность

Хранение — это одно из действий (операций) по обработке ПДн. Если оператор не выполняет никаких иных действий, кроме хранения (в т.ч. и не в составе ИСПДн, например, в виде бумажных документов) — он, тем не менее, является оператором со всеми вытекающими отсюда обязанностями. Определение обработки дано в ст. 3 ФЗ 152. В то же время, действие ФЗ 152 не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования архивных документов в соответствии с требованиями архивного законодательства РФ. При этом нужно понимать, что недостаточно назвать помещение (шкаф, хранилище) архивом, от этого архив у оператора не появится. Надлежащий порядок организации архивного хранения и перевода документов на архивное хранение может быть описан в результатах обследования, проводимого в интересах оператора специализированными компаниями (лицензиатами). Советуем операторам требовать такое описание при проведении обследования. Благоприятным же фактором является то, что, если оператор (вне архива) только хранит ПДн (даже в электронном виде), то издержки на защиту этих ПДн будут, скорее всего, минимальными.

Заблуждение № 14

Можно купить базу данных с ПДн на рынке, и использовать ее в своих целях. В случае проверки или жалоб — заявить, что ПДн являются общедоступными, подтверждая это фактом свободного обращения базы данных. Желательно еще иметь кассовый чек.

Реальность

Действительно, существуют общедоступные источники ПДн. Однако стихийные рынки, на которых продаются базы данных, к числу таких не относятся. Почему? Общедоступными ПДн могут являться только в двух случаях — либо в силу закона, либо в тех случаях, когда субъект ПДн своей волей сделал (путем совершения каких-либо действий) свои ПДн общедоступными. Первый случай мы не рассматриваем (не существует закона, который именовал бы продающиеся на стихийных рынках базы данных общедоступными источниками). Рассмотрим второй случай. ФЗ 152 (ч. 3 ст.9) возлагает на оператора обязанность доказать факт получения им согласия субъекта на обработку, а в случае обработки общедоступных ПДн — доказать что обрабатываемые ПДн являются общедоступными. В случае приобретения пресловутой БД на рынке оператор лишен такой возможности, т.к. ни один субъект ПДн не подтвердит (тем более, задним числом) своего согласия на обработку таких ПДн. При проведении проверки оператора надзорным органом может быть сделан вывод о незаконности происхождения такой БД, и, следовательно, обработки ПДн. Законодатель же предусмотрел такое поведение оператора и дал ему определение — «недобросовестность» (ст. 5 ФЗ 152). Многие операторы нарушают принцип добросовестности при сборе ПДн — иногда в силу незнания закона, иногда имея прямой умысел, что гораздо опаснее. Таким синдромом «повышенной осведомленности» страдают практически все банки, коллекторские агентства, страховые компании и т.д. Они же проводят и взаимное внутрицеховое «перекрестное опыление» актуальной информацией, содержащей ПДн. Спору нет, для снижения кредитных рисков это важно. Но законно ли? Иногда такие действия оператора содержат состав преступления, предусмотренного ст. 137 УК РФ. Оставляя за рамками статьи методику доказывания противоправных действий (к слову, по данному составу преступления она проста и незамысловата), советуем задуматься о следующем. Готов ли оператор рисковать своей свободой, имиджем, клиентской базой и стабильным бизнесом ради достижения призрачных целей, к тому же противоречащих закону?

Заблуждение № 15

Если ПДн не собраны оператором самостоятельно, а получены на основании договора (с субъектом ПДн или с другим оператором), или, тем более, по указанию вышестоящей организации, то защищать ПДн не нужно.

Реальность

Налицо смешение понятий «право на обработку» и «обязанность по защите». Законные и обоснованные цели обработки не исключают необходимости принятия мер по защите ПДн. Иногда же и передача ПДн от одного оператора к другому неожиданно для обоих участников такого информационного обмена оказывается не основанной на законе!

Скорее всего, в указанном случае нарушителями будут являться обе организации — оператор, который передал ПДн, и оператор, который их принял в обработку. Первый — за отсутствие в договоре существенного условия (ч.4 ст. 6 ФЗ 152, см выше) и за передачу ПДн без согласия субъекта ПДн. Второй — за нарушение порядка обработки (ст. 13.11 КоАП РФ). Почему? Потому, что закон не делает исключений для тех операторов, которые не осуществляли сбор ПДн непосредственно от субъектов, но получили ПДн от другого оператора (даже во исполнение своих функций и полномочий, закрепленных каким-либо законом). Оператор — тот, кто осуществляет обработку, т.е. любое лицо, осуществляющее хотя бы одно из указанных в ст. 3 ФЗ№ 152 действий (операций) с ПДн. Надзорный же орган (Роскомнадзор), реализуя свои полномочия по защите прав субъектов ПДн и устранению нарушений в этой сфере, вправе запланировать (или провести внеплановые) проверки обоих операторов. О полномочиях Роскомнадзора при проведении проверок подробно указано в Административном Регламенте на официальном сайте Роскомнадзора.

Заблуждение № 16

Будем собирать и использовать любые ПДн из любых источников. В случае проверки — заплатим штраф (он небольшой), и все!

Реальность

Вне всяких сомнений такие действия являются нарушением принципов обработки ПДн (ст. 5 ФЗ№ 152). Такие непродуманные действия могут привести к крайне негативным последствиям для оператора. Штраф — далеко не все меры воздействия, которые предусмотрены законом. Так, в случае выявления нарушений при обработке ПДн оператор обязан или устранить эти нарушения в течение 3 дней, или уничтожить ПДн. Но этим обязанности оператора не исчерпываются. Оператор обязан уведомить субъекта ПДн об устранении (например, путем уничтожения ПДн) выявленных нарушений. Купленные на рынке базы данных могут содержать ПДн десятков, а то и сотен тысяч лиц. В состоянии ли оператор уведомить такое количество граждан об уничтожении их ПДн? Какие последствия будет иметь такое уведомление, как субъекты ПДн воспримут действия оператора? И это еще не все. Роскомнадзор имеет право принимать меры по прекращению обработки ПДн или приостановлению деятельности оператора вплоть до аннулирования лицензии, если обработка ПДн осуществляется (ч.3 ст. 23 ФЗ152) с нарушениями. Готов ли оператор идти на такие риски?

Заблуждение № 17

Если от субъекта ПДн поступило обращение (или жалоба) о порядке обработки его ПДн, но фактов утечки информации наверняка не было, то нужно ответить гражданину, что с конфиденциальностью ПДн в организации все в порядке. Ответы на каверзные вопросы субъекта ПДн не входят в обязанности оператора и раскрывают конфиденциальные сведения (или коммерческую тайну) оператора. Если нет времени или желания, то можно и не отвечать субъекту ПДн.

Реальность

Права субъекта ПДн изложены в ст. 14 ФЗ 152. По мнению многих они избыточны, но именно по этой причине оператор должен быть крайне осмотрителен при рассмотрении обращения (жалобы) субъекта! Оператор обязан дать исчерпывающий и полный ответ субъекту ПДн на все вопросы, предусмотренные ст. 14 ФЗ 152 в течение 10 рабочих дней, а в случае обоснованного отказа в предоставлении информации — в течение 7 рабочих дней. Ответы, не отражающие реального положения дел (либо отсутствие ответа) могут быть истолкованы субъектом как нарушение его прав, что может повлечь для оператора еще более негативные последствия — обращение субъекта ПДн за защитой своих прав в орган по надзору за соблюдением прав субъекта ПДн. Практика же показывает, что оператор, ранее никогда не обращавший внимания на вопросы обработки и защиты ПДн, не в состоянии справиться с подготовкой правильного и всестороннего ответа на запрос субъекта ПДн. В данном случае имеются ввиду правовые основания, цели, способы обработки и многие другие положения, формулировку которых необходимо осуществить заблаговременно.

Заблуждение № 18

Мероприятия по защите ПДн — это очень дорого. Лучше будем платить штрафы, они совсем маленькие.

Реальность

Негативные последствия отсутствия системы защиты (помимо действительно незначительных пока штрафов) приведены выше. Про дороговизну системы защиты можно сказать, что все относительно. Например, затраты на построение такой системы в образовательном учреждении или лечебно-профилактическом учреждении районного уровня на порядок меньше, нежели затраты на создание системы пожарной безопасности или видеонаблюдения. Квалифицированный лицензиат сумеет спроектировать такую систему защиты ПДн, затраты на которую будут оптимальны. Более того, на этапе обследования уполномоченная организация (лицензиат) предложит решения, позволяющие сократить издержки при создании системы защиты. Проведение же первого этапа (обследования) как правило, не превышает 20% от общей стоимости работ по защите ПДн.

Заблуждение № 19

Система защиты персональных данных — это некие технические средства. Нужно их купить и установить. Обследование, аудит, проектирование — это избыточно, это придумано, чтобы побольше заработать на проблемах оператора.

Реальность

Аналогия с лечением пригодится и тут. Любому лечению предшествует диагностика заболевания. Так и этап обследования предшествует организационно-административным и техническим мероприятиям по защите. Обследование помогает не только достоверно выявить слабые места информационных систем и разработать замысел защиты, но и, как ни странно, сэкономить деньги. Каким же образом? Квалифицированное обследование определяет, как именно можно сократить издержки при построении системы защиты. Способов много: оправданное снижение класса ИСПДн, пересмотр перечня ПДн, подлежащих обработке, сегментирование информационных систем, оптимизация топологии сети и т.п. Все эти способы известны специализированным организациям — лицензиатам. Мы не советуем выбрасывать деньги на ветер.

Заблуждение № 20

Уже существующая у оператора мощная система защиты конфиденциальной информации (коммерческой тайны) наверняка решит и проблемы защиты ПДн. Ничего дополнительно делать не нужно.

Реальность

С технической точки зрения — возможно, и решит. Однако есть множество требований, предъявляемых как к способам и методам защиты ИСПДн, так и к техническим средствам защиты информации. Эти требования установлены регуляторами (ФСТЭК России и ФСБ РФ) в пределах их компетенции. Игнорирование этих требований не только является нарушением, но и может привести к наступлению негативных последствий как для оператора, так и для субъекта ПДн. К числу таких требований относится, например, необходимость применения средств защиты информации, прошедших процедуру оценки соответствия. Специфические требования предъявляются и на этапе ввода в эксплуатацию системы защиты персональных данных (процедуры оценки состояния защищенности подсистем). Поэтому, как правило, любую существующую систему защиты (если она строилась не в целях защиты ПДн и не в соответствии с нормативными документами) необходимо пересмотреть и модернизировать. Возможно, затраты при этом могут оказаться незначительными, а выгоды — очевидными. Специализированная организация при проектировании системы защиты обязательно учтет существующие компоненты системы защиты и постарается эффективно их применить.

Что же касается организационной компоненты работ по защите ПДн, то смело можно утверждать, что в подавляющем большинстве организаций, в которых задача по защите ПДн (а не любой иной конфиденциальной информации) не ставилась, состояние этой работы плачевное.

Заблуждение № 21 (бонусное)

Нужно провести предпроектное обследование, руководствуясь только одним критерием для выбора исполнителя — ценой. Все равно все исполнители создают примерно одинаковые документы.

Реальность

Во-первых, цель обследования — вовсе не создание документов, которые ждут своего часа для представления проверяющим органам. В результате правильного и квалифицированного обследования оператор получает в свое распоряжение стратегию защиты.

Во-вторых, результаты обследования, проведенного разными организациями, могут радикально отличаться. Некачественно проведенное обследование вводит в заблуждение оператора относительно существующего и требуемого уровня защищенности ПДн, дезориентирует его при реализации единой технической политики, подвергает опасности возникновения инцидентов информационной безопасности, и, главное, создает предпосылки для нарушения прав субъектов ПДн. А когда такое нарушение произойдет, то результаты некачественного обследования только добавят неприятностей оператору. Порой оператор в качестве результатов обследования получает лишь частную модель угроз, акты классификации ИСПД и некие шаблоны неадаптированных к специфике оператора документов. Впрочем, рынок, как ни странно, приемлет и такой дешевый во всех смыслах подход к проблеме.

Стоит ли экономить на безопасности? Стоит, если Вас не интересует результат.

Источник: ООО "НИЦ "ФОРС"