Камо грядеши, закон? Часть 2

29.11.2010

Федеральный закон с порядковым номером 152 породил проблемы не только правовые, о которых говорилось в прошлой публикации. Его влияние гораздо шире и простирается в сферы технические и даже государственные.

Проблемы технические

При определении и реализации защитных мер по охране конфиденциальности персональных данных в информационной системе законодатели пошли по технологическому пути создания обязательных для выполнения требований и системы контроля и надзора за их выполнением. Путь в принципе возможный, но, как оказалось, весьма сложный с точки зрения реализации и очень затратный. Альтернативой ему могло бы быть установление обязанности оператора обеспечивать конфиденциальность и значительное усиление ответственности за инциденты с персональными данными, наносящие ущерб их субъектам. Сама степень ответственности должна в этом случае стимулировать оператора принимать достаточные для избежания инцидентов меры, но выбор их и конкретных средств защиты ложатся целиком на оператора. Таким путем идет практически весь остальной мир. В помощь тем, кто плохо представляет себе, как построить систему защиты, разрабатываются методические документы, носящие, естественно, не обязательный, а рекомендательный характер. Примерами таких документов являются стандарты NIST «Special Publication 800-122 Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)» и BS 10012:2009 «Data protection. Specification for a personal information management system». Следовать им или нет, решает оператор.

Мы пошли другим путем, что породило ряд очевидных проблем

Определение значимости последствий нарушений безопасности при обработке персональных данных в зависимости от формально определяемого класса информационной системы представляется весьма спорным. Если следовать логике регуляторов, утечка номера моего сотового телефона из базы оператора связи (у оператора, имеющего более 100 тыс. абонентов, класс системы — К1) всегда приводит к значительным негативным последствиям для меня как субъекта, а вот попадание в открытый доступ данных о моих доходах за длительный срок из системы расчета заработной платы (класс системы, как правило, К3), имеет для меня незначительные негативные последствия. Я как субъект с этим категорически не согласен, и считаю, что дело обстоит ровно наоборот. Но возможности повлиять на выбор класса, оценку последствий инцидента и выразить по этому поводу свое мнение закон мне не предоставляет. Между тем принимался он, напомню, исключительно с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну — см. ст. 2 ФЗ-152.

Классификация ИСПДн. Предлагаемая методика классификации ИСПДн плохо согласуется с законом, который не содержит, например, такого понятия, как обезличенные персональные данные (представляется, что это вообще не персональные данные), и не позволяет провести грань между данными, идентифицирующими личность, и данными, позволяющими получить о личности дополнительные сведения.

Да и само определение типовой системы как требующей обеспечения только конфиденциальности персональных данных, а специальной — как системы, где требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий), выглядит очень странно. Статья 19 ФЗ-152 четко определяет, что оператор обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. То есть, если следовать закону, типовых систем не должно быть в принципе.

Есть у предлагаемой методики классификации и другие недостатки. Так, любая система, содержащая сведения о состоянии здоровья субъектов, является одновременно и типовой класса К1, и специальной. Мало того, к защите компьютера частнопрактикующего врача, подключенного к Интернету, и сети огромной больницы, имеющей доступ туда же, строго говоря, предъявляются одни и те же требования.

Наконец, так и нет ответа в документах регуляторов о том, как же все-таки классифицируются специальные системы.

Оценка соответствия. Положение Постановления Правительства РФ от 17.11.2007 № 781 о том, что средства защиты информации должны удовлетворять требованиям, устанавливаемым в соответствии с законодательством Российской Федерации, и о прохождении ими процедуры оценки соответствия является одним из камней преткновения при реализации закона. Законодательство никаких требований к СЗИ не устанавливает, существует лишь система обязательной сертификации для средств защиты информации, составляющей государственную тайну. Да и сама сертификация является одним из возможных способов подтверждения соответствия, в то время как способов оценки соответствия закон о техническом регулировании предусматривает гораздо больше.

К сожалению, постановление не определяет, какие способы оценки соответствия допустимы и как эта оценка выполняется. Используя лишь сертификацию, построить действительно надежную систему безопасности невозможно. К средствам защиты некоторых классов нет утвержденных регуляторами требований, как, например, к средствам антивирусной защиты или обнаружения вторжений. Нет и методов оценки соответствия СЗИ для современных технологий, таких как виртуализация, организация терминального доступа и другие, без которых нельзя построить современную высокопроизводительную вычислительную систему. И снова оказывается оператор перед нелегким выбором — обеспечить нужную вычислительную мощность или выполнить некие формальные требования.

Проблемы государственные

Казалось бы, очевидно, что пример выполнения установленных законом и подзаконными актами требований должны показывать органы государственной власти, являющиеся операторами персональных данных. Но никакого другого чувства, кроме недоумения, порталы государственных органов, обрабатывающих сведения о гражданах, у специалистов не вызывают. Для шифрования персональных данных, передаваемых в сети Интернет на портал и с портала государственных услуг www.gosuslugi.ru, применяется протокол https, использующий в свою очередь Open SSL, естественно, никакого сертификата ФСБ не имеющий. А приказ Минэкономразвития вообще запрещает шифровать персональные данные на сайтах госорганов и использовать для доступа к ним дополнительный софт на стороне клиента. На портале ФНС nalog. ru любой человек, знающий ИНН какого-либо гражданина, может получить исчерпывающую информацию о его задолженностях по всем налогам. ИНН никак нельзя считать конфиденциальными сведениями, он доступен из многих источников, поэтому налицо очевидное нарушение права граждан на тайну личной жизни. Аналогичная ситуация и с сайтом службы судебных приставов, охотно делящимся информацией об исполнительных производствах в отношении любого гражданина. ГИБДД и вовсе сообщила о намерении создать общедоступную базу о нарушителях ПДД. Очень хотелось бы знать, нормой какого закона руководствовалась инспекция, намереваясь перевести эти сведения в категорию общедоступных.

Принадлежат все эти сайты неизвестным операторам, отсутствуют предусмотренные законом сведения о целях и способах обработки данных на них, неизвестен класс используемых для этого систем и то, каким способом реализованы на них требования Постановления № 781 в части обеспечения безопасности. Поскольку неизвестен оператор, нельзя узнать, направлял ли он уведомление в Роскомнадзор и что в этом уведомлении указано. Если владельцем портала является не орган власти, который обрабатывает персональные данные, предусмотренные законом (а так обстоит дело с порталом gosuslugi. ru, агрегирующим сведения разных ведомств), очень интересно было бы получить подтверждение согласия граждан на передачу владельцам портала своих персональных данных и порядок отзыва такого согласия.

Ситуация крайне неприятная. После появления этих сайтов очень трудно убедить руководителей коммерческих организаций в необходимости тратить значительные средства на построение подсистемы безопасности, соответствующей взглядам законодателей и регуляторов. Они дружно кивают в сторону государственных порталов и задают естественный вопрос о том, зачем им морочат голову требованиями, если сами госорганы их выполнять не собираются.

Подводя итоги

То, что закон о персональных данных будет меняться, было очевидно всем специалистам с момента его принятия. Да и процесс совершенствования законодательства — естественный и неизбежный. Но уж слишком много в ФЗ-152 нестыковок, недоговоренностей и противоречий. С 2005 г. не может перейти в стадию второго чтения проект закона о внесении изменений в законодательные акты, связанные с ратификацией Европейской конвенции и принятием закона о персональных данных. Предполагалось внести изменения в 23 закона, но вот уже пять лет дело не может сдвинуться с мертвой точки. Давно прошел месяц, отведенный в прошлом году Советом Думы на подготовку новых предложений. Значительно выросло и число законов, нуждающихся в корректировке. В случае принятия законопроекта, внесенного В. М. Резником, придется менять все законы, определяющие случаи обязательной обработки персональных данных, поскольку в законопроекте выдвигаются очень жесткие требования к содержанию таких законов.

Решает этот законопроект далеко не все проблемы закона нынешнего, в том числе затронутые в данной статье. Трудно сказать, как будет выглядеть проект после второго чтения, но его принятие может породить и новые проблемы. Так, предлагаемая в законопроекте формулировка: «При обработке персональных данных на основе согласия перечень мер по обеспечению безопасности персональных данных при их обработке определяется соглашением оператора и субъекта персональных данных» приведет, скорее всего, к тому, что в договоре между оператором и субъектом будет указано, что субъект согласен с уровнем защиты персональных данных, предусмотренным оператором. Как она организована, узнать будет невозможно. Учитывая, что законопроект предполагает выдвижение обязательных требований только для государственных и муниципальных систем в случаях, прямо предусмотренных законом, можно будет поставить крест на теме технической защиты в коммерческих организациях и для удовлетворения собственных нужд органов власти (когда обработка идет не на основании нормы конкретного закона). Такая схема обеспечения безопасности обработки сведений о гражданах могла бы заработать только в случае значительного усиления ответственности за инциденты с данными, наносящие ущерб их владельцам. Но таких изменений в законодательстве пока не предполагается.

И еще. В ситуации постоянных изменений правил игры пострадавшими оказываются наиболее законопослушные операторы. Заменили они свои межсетевые экраны на сертифицированные по третьему классу (дорогие и сложные), провели аттестацию своих информационных систем — но больше этого не требуется. Начальнику подразделения информационной безопасности теперь очень трудно объяснить своему руководству, на что были потрачены деньги. И вряд ли средства будут выделены в следующий раз, когда понадобится выполнить, может быть, очень правильные, но совсем не нужные бизнесу требования государственных органов.

Закон и принятые для его реализации акты менять и совершенствовать, безусловно, нужно. Плохо, если это будет происходить, как и раньше, — келейно, без привлечения специалистов-практиков, без учета баланса интересов всех участников процесса и экономической целесообразности затрат на выполнение требований.

Автор: Михаил Юрьевич Емельянников

Источник: «ИКС-медиа»