Депутаты Государственной Думы прислушались к мнению ИТ-общественности и решили отложить на год полномасштабное вступление в действие норм 152-ФЗ «О персональных данных». Так что проверки на соответствие требованиям 152-му начнутся, видимо, через год. А вот компании МТС уже повезло пройти проверку Роскомнадзора. О своём опыте и впечатлениях рассказывает директор департамента информационной безопасности компании МТС Сергей Прадедов.
— МТС едва ли не единственный крупный оператор персональных данных, который уже прошёл проверку Роскомнадзора по 152-ФЗ. Расскажите о Ваших впечатлениях от проверки.
Прежде всего, надо пояснить, что речь идёт о плановой проверке соответствия операторов персональных данных требованиям закона 152-ФЗ от 27 июля 2006 года. В реестр операторов персональных данных, который опубликован на сайте Роскомнадзора, включено больше 70 тысяч организаций.
Там же можно найти и график плановых проверок ведомства. Поэтому любой оператор персональных данных может посмотреть, есть ли его компания среди объектов плановых проверок, и когда предстоит проверка.
Надо признать, что Роскомнадзор, занимает достаточно конструктивную позицию, направляя усилия не на то, чтобы применить какие-то санкции, а на то, чтобы выявить существующие несоответствия требованиям закона, указать на них оператору, и способствовать их устранению. И судя по опыту общения с представителями ведомства, я думаю, что эта тенденция на ближайшую перспективу сохранится, потому что все понимают: сложно сегодня требовать полного соответствия операторов персональных данных всем техническим регламентациям и букве закона. Практика показывает готовность Роскомнадзора к диалогу в случае наличия у оператора взвешенной аргументированной позиции и стремления выполнять требования законов и подзаконных актов при выявлении несоответствий его практики букве закона.
— О несовершенстве закона и подзаконных нормативных актов сегодня говорят все. Различия — только в степени неудовлетворённости нынешним состоянием дел. К какой категории критиков относитесь Вы? Ваша оценка степени несовершенства этого закона?
Фактически нет оператора персональных данных, который сейчас бы мог однозначно заявить: все требования закона выполнены, мы полностью до мелочей готовы к проверке.
В чем же сложность выполнения требований закона о персональных данных? Дело в том, что к моменту принятия закона уже сложилась определенная практика и структура работы с персональными данными, опирающаяся на существовавшие правовые регламенты. Однако они в полной мере не учитывали особенностей той ситуации, которая стихийно сложилась на рынке в результате развития отраслей, в том числе роста абонентских баз мобильных операторов или пользователей потребительских кредитов.
Поэтому в организациях, работающих с персональными данными (ПД), возникли правовые, финансовые, организационные, методические и технологические проблемы системного характера, которые были выявлены в ходе проведенного операторами персональных данных и консалтинговыми компаниями всестороннего анализа практики выполнения требований по защите персональных данных. Проблемы, в основном, связаны с российскими особенностями в подходе к формированию требований по технической защите информации в информационных системах персональных данных (ИСПДн). К сожалению, они не согласуются с международной практикой, задачами по интеграции России в мировое информационное пространство, целям Конвенции Совета Европы «О защите физических лиц в отношении автоматизированной обработки данных личного характера», для соответствия которой и был принят закон.
Основными проблемами применения положений Федерального закона № 152 и их причинами являются: противоречивость положений закона и действующих подзаконных актов, а также отсутствие согласованности с другими разделами законодательства. Это зачастую приводит к абсурдным, неразрешимым ситуациям во взаимоотношениях субъектов и операторов ПДн, а также регуляторов; несоответствие уровня требований по защите ПДн общему среднему уровню готовности операторов ПДн к их выполнению. Это приводит к тому, что некоторые операторы вынуждены проводить глубокую модернизацию или замену большинства средств защиты информации и информационных систем. При этом затраты, которые на это требуются, не адекватны потенциальному ущербу и рискам безопасности в случаях, когда оборудование не обновляется. — документы регуляторов не учитывают отраслевую специфику, и особенности информационных отношений в негосударственной сфере. В ряде случаев общие положения закона содержат избыточные требования, которые характерны для защиты государственной тайны. В этом российское законодательство невыгодно отличается от аналогичных регламентов, например, в Европе. Там требования к операторам ПД более мягкие, и большинство ИСПДн при классификации попадают в классы с «простыми» рекомендациями (иногда требованиями) по защите данных, тогда как в «российском» подходе большинство ИСПДн попадает в классы с высокими и обязательными требованиями по защите ПДн; в международной и европейской практике, как правило, предусматривается добровольная сертификация информационных систем по требованиям безопасности. Российское же законодательство требует использовать сертифицированные (аттестованные) в России средства защиты информации и информационные системы, что значительно ограничивает возможности по использованию продуктов иностранной разработки. Это положение предполагает проведение сертификации (аттестации) или замены всех уже эксплуатируемых средств защиты и ИСПДн, что приводит к дополнительным, зачастую неоправданным расходам, а также ограничивает возможности операторов ПДн по внедрению новых информационных услуг, технологий и систем; высокий уровень требований по защите ПДн приводит к значительным затратам на их выполнение. В бюджете на 2009 и 2010 годы затраты на защиту ПДн в государственных и муниципальных организациях не предусмотрены. В условиях кризиса затраты негосударственных организаций, в частности, операторов связи, на защиту ПДн также являются значительными, но не оправдывают себя с точки зрения эффективности;
При этом надо понимать, что все — и операторы, и регуляторы, и граждане поддерживают идею закона, регламентирующего использование информации о персональных данных, и понимают необходимость ее защиты. Все мы являемся гражданами и нам это небезразлично. Но, к сожалению, регламентация этой сферы оказалась недоработана. И, в итоге, нормативные документы, которые сейчас существуют, настолько противоречат друг другу и не согласуются между собой, что могут довести ситуацию едва ли не до абсурда.
Регламентация нужна. Но она должна быть более четкой и непротиворечивой. И в законе «О персональных данных» есть очень много разумных, внятных и выполнимых требований. Соответственно, все мы должны стремиться к тому, чтобы эти требования реализовать. В любом случае надо исходить из простого соображения: необходимо защищать конфиденциальную информацию, беречь персональные данные наших клиентов, наших сотрудников. Прежде всего, это понимание должно быть внутри организации, которая является оператором персональных данных. И если защита персональных данных станет одной из внутренних и приоритетных бизнес-задач, если у оператора есть базовые механизмы для этого, то я уверен, он сможет вести дискуссию с проверяющими и убеждать их в том, что имеющихся средств защиты достаточно. Если этого нет — то это проблема оператора ПДн, более того она несет угрозу тем, чьи персональные данные внесены в его базу. И в этом случае санкции могут быть оправданы.
— С какими проблемами Вы столкнулись во время проверки?
Одной из основных проблем, с которой МТС как объекту инспектирования пришлось столкнуться в ходе проверок Роскомнадзора, стало то, что у региональных подразделений ведомства не было единого подхода к проведению оценки и анализа и единой методики проверки. И поскольку взаимодействие между специалистами компании и представителями надзорных органов осуществлялось, главным образом, на региональном уровне, то оно имело региональную специфику. Некоторые региональные отделения Роскомнадзора заняли жесткую позицию.
— И каковы результаты?
В ряде случаев мы отстаивали свою правоту, в части — признали свои недоработки. Вывод один — руководители компаний-операторов персональных данных должны чётко понимать: проблема исполнения требований закона 152-ФЗ — это не только проблема информационной безопасности и ИТ, это проблема всей компании. CIO должны довести до сведения руководства компаний, что к предстоящим проверкам необходимо серьёзно готовиться. Особенно это касается тех компаний, которые обладают крупными инфраструктурами и большими базами персональных данных. Необходимо готовить своих юристов для того, чтобы они могли юридически грамотно сопровождать проверку. Потому что помимо нестыковок самого закона и подзаконных актов, есть ещё и противоречия с другими действующими законами, есть масса юридических коллизий. Ситуация довольно частая: один закон предписывает одно, другой — другое. И всё зависит от того, насколько грамотный и компетентный у вас юрист, который обоснует правоту и соответствие закону работающих в компании систем и регламентов.
Сложно быть законопослушным, когда требования Закона противоречивы и сложно выполнимы. Весьма вероятное участие в проверках с 1 января представителей ФСТЭК (Федеральной службы по техническому и экспортному контролю) и ФСБ, едва ли упростит ситуацию. Учитывая, что пока ещё нет единой практики, нет методик и единого подхода к проверке, в каждом конкретном случае придётся обосновывать свою правоту. Это существенные издержки и риски для любого крупного оператора. Вот, собственно, почему я — апологет того, что необходимо внести изменения в Закон и переработать требования. А для этого нужно время. И мы добиваемся отсрочки вступления в силу технических требований как минимум на два года.
Для компаний, которым предстоит проверка, очень важно внимательнейшим образом ознакомиться с нормативными документами и в той части, в которой они могут быть выполнены — а это, прежде всего, организационная часть, — тут все требования должны быть выполнены. Также полезно иметь квалифицированный штат юристов, которые будут непосредственно работать с представителями Роскомнадзора и аргументировать позицию, доказывать правоту компании.
Такой подход позволяет в значительной степени гарантировать, что проверка будет успешно пройдена. Здесь, правда, есть один момент. С 1 января Роскомнадзор может пригласить в части своих компетенций представителей ФСБ и ФСТЭК. Практики общения с этими структурами у нас нет. Если Роскомнадзор проверяет соответствие организации требованиям закона, то есть, главным образом, юридические моменты, то ФСБ и ФСТЭК будут проверять соответствие техническим требованиям. Тут потребуется аргументировать достаточность технических средств защиты персональных данных при их автоматизированной обработке. 1 января — это дата вступления в силу этих самых технических требований к системам, — обращаю на это внимание! — которые были введены в действие до 2007 года. То есть считается, что системы, которые введены после 2007 года, как бы должны соответствовать требованиям. Думаю, тут могут возникнуть определённые проблемы. Поэтому к юристам, которые будут общаться с представителями надзорных организаций, необходимо будет добавить технически грамотных IT-специалистов, специалистов по информационной безопасности, которые будут доказывать, что созданная в компании система защиты персональных данных позволяет в значительной степени гарантировать защиту информации.
Я думаю, что и ФСБ, и ФСТЭК при проведении проверок, скорее всего, займут взвешенную позицию. Если они будут видеть, что оператор персональных данных стремится выполнять требования закона, у него есть четкая программа, есть понимание того, в каком направлении двигаться, то к нему никаких санкций применяться не будет. Результатом проверки, как мне представляется, выдаваться какие-то рекомендации, как эту программу оптимизировать. Если же надзиратели увидят, что оператор совсем ничего не делает для приведения своей системы обеспечения безопасности в соответствие требованиям закона, а занимает выжидательную позицию, то, наверно, с такими операторами будет более жёсткий разговор. И это, пожалуй, оправдано.
— Какой пакет документов необходимо предъявить проверяющим?
В первую очередь оператору персональных данных необходимо иметь Уведомление об обработке персональных данных, в котором определены цели обработки, перечень персональных данных, а также общие сведения об организации и информационных системах, обрабатывающих ПД. Далее потребуются нормативные документы, устанавливающие порядок получения, обработки, хранения и уничтожения ПД, определяющие ответственность за безопасность ПД, классификацию ИСПДн, описание средств защиты, сертификаты на средства защиты и акты об аттестации ИСПДн и другие.
Отдельно хотел остановиться на классификации ИСПДн. Особенность Технических требований к классификации такова, что информационные системы в большинстве случаев относятся к классу «специальных». Это связано с тем, что базовые классы определяют требования только по конфиденциальности информационной системы. При этом большинство информационных систем, обрабатывающих персональные данные, помимо конфиденциальности, должны также отвечать требованиям по доступности и непрерывности процессов. Таким образом в соответствии с положением о классификации оператор должен под «специальную» систему самостоятельно разработать модель угроз и частные технические требования по обеспечению безопасности. Где необходимо, аргументировано доказать, что методы и механизмы, которые он предлагает, достаточны для того, чтобы обеспечить противодействие угрозам, которые он определил как вероятные в этих системах.
Тут есть тонкость. Дело в том, что по ходу проверки может выясниться, что модель обеспечения безопасности персональных данных, предложенная и используемая оператором, не вполне устраивает представителей ФСТЭК или ФСБ. Она может быть оспорена или вообще отвергнута регуляторами. Тут возникает очень большой соблазн для субъективных решений.
Однако, повторюсь, наличие у оператора базовых регламентов и классификаций ИСПД и понимание способов решения проблем и готовность их решать — повод для лояльного отношения надзорных органов к оператору ПД. Я уверен, что и Роскомнадзор, и ФСБ, и ФСТЭК понимают текущие проблемы. Поэтому при готовности сотрудничать с контролирующими инстанциями в ближайшее время у операторов персональных данных больших проблем, думаю, не будет.
— А каким образом можно устранить избыточность, нечёткости и конкретизировать требования нормативных документов?
Понятно, что у разных держателей и операторов баз персональных данных различные способы использования этих данных и, соответственно, различные подходы к их обработке и хранению. Скажем, для банковских операций и для отрасли связи специфика обработки персональных данных разная. Соответственно, методы защиты тоже должны быть разными и применяться с учетом отраслевой специфики. Безусловно, отраслевые стандарты должны базироваться на нормативных документах ФСТЭК и ФСБ, но их необходимо адаптировать к конкретным отраслевым условиям.
Я думаю, что технические параметры требований должны разрабатываться внутри самого IT-сообщества с учетом специфики каждой отрасли. И назвать их отраслевыми требованиями, отраслевыми стандартами, которые будут, с одной стороны, адекватными и выполнимыми, с другой — позволят обеспечить реализацию цели закона О защите персональных данных — защитить права и интересы наших граждан. Например, в Европе принят подход, когда требования, которые государство разрабатывает для операторов персональных данных, носят скорее рекомендательный характер, а конкретные практические особенности реализации безопасности информационных систем определяются как раз в отраслевых документах.
— Недавно в Госдуме прошли парламентские слушания по закону о персональных данных. Вы возлагаете на эти слушания какие-то надежды?
Мы не ожидаем каких-то экстраординарных решений. Есть Закон, и все мы сейчас движемся в направлении исполнения требований этого Закона. При этом мы все понимаем, что существуют проблемы соблюдения требований этого закона и связанных с ним нормативных документов. Поэтому прошедшие слушания — это нормальное движение, один из этапов процесса совершенствования законодательства.
Радует, что в принципе позиция операторов персональных данных, сформированная в период подготовки парламентских слушаний, была услышана комитетами Госдумы. Не скрою, я был готов к худшему сценарию. Три парламентских комитета поддержали позицию операторов персональных данных. А дальше — «дорогу осилит идущий». Необходимо двигаться и дальше в этом направлении. Операторы персональных данных должны на всех уровнях — в Госдуме, в правительстве, в администрации президента, в профильном Министерстве связи, — четко обозначать свою позицию, обосновывать необходимость внести коррективы и в сам закон, и в подзаконные акты. Нам следует совместными усилиями совершенствовать законодательную базу и доводить её до уровня лучших мировых практик.
— Давайте вернёмся к проблеме защиты персональных данных на уровне компании. По статистике, угроза утечки данных — это на 80% инсайдерская угроза, угроза от собственных сотрудников. В МТС были серьёзные утечки информации?
У нас была довольно серьёзная утечка данных в 2003 году. И это стало сигналом к тому, чтобы уделять существенное внимание вопросам информационной безопасности: было создано подразделение, которое я сейчас возглавляю; были проведены организационные и технические мероприятия для того, чтобы исключить утечки. И нам удалось добиться контроля над потоками информации. С тех пор утечек не случалось.
Но процедура обеспечения контроля над возможными утечками — очень непростая и комплексная: в любой компании масштаба МТС организованы сложные информационные потоки, как внутри компании, так и с партнерами, контрагентами и в т. ч. с правоохранительными органами.
Есть и слабо защищенные места. Ведь источником утечки могут стать не сами операторы персональных данных, а те лица, которые в соответствии с законом могут легально получать доступ к базам данных.
И тут появляется целый ряд очень сложных проблем. Например, существуют противоречия между законом о персональных данных и законами о связи и об оперативно-розыскной деятельности и другими, а также подзаконными актами, которые регламентируют обмен и требования по раскрытию такого рода информации. К сожалению, от этих рисков сегодня не защищены ни мы, операторы персональных данных, ни граждане. И главное, что в нынешней ситуации необходимо сделать для того, чтобы вокруг закона о персональных данных не возникало юридических коллизий — внести изменения ещё примерно в три десятка законодательных актов. Ведь с момента вступления в силу в 2006 году 152-го федерального закона ни в один законодательный акт изменений не внесено. А без этого закон не может нормально полноценно применяться и исполняться.
Источник: CIO-world
Теги: интервью проверки 152-ФЗ