Многое ли изменилось с момента вступления в силу федерального закона «О персональных данных» - закона долгожданного, необходимого, строгого? Первый ответ, который приходит в голову, - нет. Так же работают многочисленные компании, фиксирующие персональные
Прежде всего надо получить ответы на ряд других вопросов, решение которых не кажется совсем очевидным. Но для огромного количества специалистов, которые не хотят нарушать закон, но при этом и не хотят останавливать свою деятельность, поиск этих ответов становится головной болью. Это руководители всех уровней, поскольку персональные данные есть в отделе кадров и бухгалтерии любого предприятия и любой организации. Это сами кадровики, уже и так достаточно жестко ограниченные в работе с персональными данными собственных сотрудников требованиями Трудового кодекса. И это ИТ-директора, для которых выполнение не сформулированных пока требований по обеспечению безопасности обработки персональных данных в информационных системах и приложениях может превратиться в серьезную проблему.
Вопросы понимания
Самая большая сложность состоит в том, что в законе не содержится ответа на главный вопрос: что такое, собственно, персональные данные? Определение, данное в законе, не проясняет ровно ничего: «Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».
Особенно настораживают слова «другая информация». Фамилия, имя и отчество в сочетании с указанием места работы — это персональные данные? Очевидно, что любой гражданин страны на основании этой информации вполне определяем. А номер телефона вместе с ФИО? Тоже — да, потому что другого такого сочетания в стране ни у кого нет. Так что же: любой человек, получивший визитную карточку коллеги в деловых целях (на обработку персональных данных физическими лицами исключительно для личных и семейных нужд закон не распространяется), становится оператором этих самых персональных данных? Абсурд. Визитка была передана в здравом уме и по собственной воле. И целей обработки при ее передаче никто не спрашивал. И согласия на эту самую обработку в письменном виде не давал. Что же получателю с этой самой визиткой делать, чтобы не нарушить закон?
К сожалению, закон не просто не определяет персональных данных. Он еще ничего не говорит о том, что же делать с этой неопределенной категорией. Логично было бы установить, что любое юридическое или физическое лицо, которое обрабатывает персональные данные, определяет и конкретный перечень сведений, к этим данным относящихся, — применительно к особенностям своей деятельности, так, как это определено, скажем, для государственной или коммерческой тайны. Хорош этот перечень или плох, правомерен или нет — это уже при необходимости предмет разбирательства в порядке, установленном законом, а если надо, то и судом. Таким перечнем для касс по продаже билетов могли бы быть ФИО покупателя вместе с фиксируемыми для продажи паспортными данными; для отдела кадров — вся информация, содержащаяся в личных делах и базах данных автоматизированных систем и т.п.
Но, поскольку российское законодательство носит открытый характер и разрешено все, что законом прямо не запрещено, первый шаг для любой организации напрашивается сам собой — необходимо самостоятельно определить перечни персональных данных для различных направлений деятельности и утвердить их в порядке, установленном для принятия внутренних (локальных) нормативных документов организации (предприятия).
Следующая «проблема понимания» — что делать с базами персональных данных, созданными до вступления закона в силу, теми, что имеются у операторов связи, в кадровых агентствах, в компаниях, занимающихся прямым маркетингом или реализующих программы лояльности и т.п. Представляется, что действия, определенные законом, — привести ранее созданные базы в соответствие федеральному закону до 1 января 2010 года, в реальности будут весьма сложно реализуемы.
И это отнюдь не все «темные места» в законе. Может быть, ключевые для понимания, но далеко не все…
Вопросы применения
Чтобы персональные данные обрабатывать и защищать в соответствии с законом (закон жестко предписывает необходимость защиты в статье 19, «Меры по обеспечению безопасности персональных данных при их обработке»), для начала их надо выявить.
А это неминуемо потребует второго шага — инвентаризации информационных систем и приложений на предмет наличия в них персональных данных. В ходе инвентаризации должны быть проанализированы все без исключения информационные ресурсы, а не только те из них, где подобные сведения есть по определению — бухгалтерские системы типа 1С, программное обеспечение для кадровиков, абонентские данные операторов связи и т.п. Вполне вероятно, что в процессе инвентаризации для ИТ-директора и других руководителей компании выявится много нового и неожиданного. Например, что эта категория сведений имеется в CRM-системах — в виде контактных данных представителей клиентов или самих клиентов, если компания работает непосредственно с физическими лицами. Или в системах поддержки функционирования и бизнес-процессов (OSS/BSS) — в виде сведений о специалистах техподдержки, ремонтных организаций, аутсорсеров и т.п. Или в службе безопасности — как сведения о посетителях служебных, административных и производственных зданий, офисов и закрытых территорий предприятия. Этот список можно продолжать долго — в каждой организации или компании своя специфика, свои особенности.
Попутно, как третий шаг, придется решить еще один вопрос — получения согласия субъектов на обработку их персональных данных. Закон определяет конечный перечень случаев, когда согласия субъекта не требуется, в частности: когда обработка персональных данных прямо предусмотрена законодательством (например, обработка работодателем сведений о работниках на основании Трудового кодекса), когда имеется договор с субъектом, для выполнения которого необходима обработка персональных данных (например, об оказании содействия в трудоустройстве кадровым агентством), когда персональные данные необходимы для доставки почтовой корреспонденции и оказания услуг связи (под эту категорию подпадают абонентские базы операторов связи и данные в их биллинговых системах).
Однако отсутствие необходимости согласия работника на обработку своих данных работодателем предполагает, во-первых, принятие работодателем за свой счет мер по защите персональных данных работника от неправомерного их использования или утраты, во-вторых, разработку и ознакомление под роспись всех работников с документами работодателя, устанавливающими порядок обработки персональных данных, а также с их правами и обязанностями в этой области (Трудовой кодекс РФ, статья 86, «Общие требования при обработке персональных данных работника и гарантии их защиты»).
Во всех остальных случаях придется или получить согласие субъектов, или уничтожить их персональные данные в автоматизированных системах. В упоминавшихся выше CRM, OSS/BSS — в том числе.
Далее необходим четвертый шаг — соотнесение сведений, хранимых и обрабатываемых на выявленных информационных ресурсах, с перечнями, сформированными в рамках первого шага, и их систематизация.
Но просто выявить информационные ресурсы с персональными данными недостаточно, нужен пятый шаг — идентификация рабочих мест, на которых с этими персональными данными непосредственно работают. И опять: всех без исключения рабочих мест, в том числе — удаленных и мобильных пользователей информационных систем.
Серверами и рабочими станциями дело тоже не ограничится. Если персональными данными обмениваются между собой различные подсистемы информационной системы предприятия, придется проанализировать и каналы передачи данных (связи), которые для этого используются. Internet в качестве транспорта или коммутируемые каналы в этом случае совсем не выглядят надежными, и требования федерального закона — «оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним» явно определены именно на этот случай.
У человека, не читавшего федерального закона «О персональных данных» или читавшего невнимательно, может возникнуть на первый взгляд резонный вопрос: «А к чему все сложности?» Есть ли возможность не делать всей этой сложной и трудоемкой работы?
Но уже совсем скоро, до 1 января 2008 года, все операторы персональных данных, кроме специально перечисленных в законе, обязаны будут представить в уполномоченный орган по защите прав субъектов персональных данных уведомление, содержащее следующие сведения:
1) наименование, адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер по безопасности персональных данных, которые оператор обязуется осуществлять при обработке персональных данных;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных.
А чтобы решить, является ли представление такого уведомления обязанностью организации или предприятия, и если да, то каковы ответы на поставленные в законе вопросы, как раз и надо выполнить всю эту рутинную работу.
Вопросы безопасности
Особое внимание хотелось бы обратить на пункт 7, приведенный выше.
Законом определено, что требования к безопасности персональных данных при их обработке в информационных системах устанавливает Правительство Российской Федерации. Срок выхода соответствующего постановления определен распоряжением Правительства № 1055-Р от 2007 года — третий квартал текущего года. (Квартал закончился, на момент выхода номера постановления еще нет.) До настоящего времени четко не определен даже уполномоченный орган по защите прав субъектов персональных данных, а предполагаемый на роль такового недавно пережил очередную реорганизацию.
Но полагаться на то, что до выхода в свет соответствующего документа правительства можно ничего не делать, было бы легкомысленно.
К этому выводу приводят два положения рассматриваемого закона. В первой части статьи 19 конкретно сформулированы требования к обеспечению безопасности обработки персональных данных: должна обеспечиваться «защита от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». А в третьей части этой же статьи уже определены и «контролеры», следящие за выполнением этих требований, — «федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности (то есть ФСБ России), и федеральный орган исполнительной власти, уполномоченный в области технической защиты информации и противодействия техническим разведкам (то есть ФСТЭК, Федеральная служба по техническому и экспортному контролю), в пределах их полномочий».
Оба указанных органа уже имеют вполне сформированный набор требований к защите конфиденциальных сведений, к которым, в соответствии с указом президента России № 188 от 6 марта 1997 года «Об утверждении перечня сведений конфиденциального характера», относятся и персональные данные.
Поэтому представляется, что шестой шаг — создание подсистемы безопасности в информационных системах, обрабатывающих персональные данные, — надо делать уже сейчас.
Какие же механизмы обеспечения информационной безопасности придется задействовать, чтобы выполнить
установленные законом требования о предотвращении неправомерного или случайного доступа к персональным данным, их уничтожения, изменения, блокирования, копирования или распространения?
Минимально необходимый перечень этих механизмов можно определить следующим образом.
Для предотвращения неправомерного или случайного доступа к персональным данным, в том числе при передаче их по каналам связи, необходимо:
-
создать систему управления идентификацией и доступом пользователей информационных систем, где персональные данные обрабатываются, исключающую получение персональных данных лицами, которым они не требуются для выполнения своих обязанностей, а также возможность работы с ними легитимных пользователей без нарушения установленных мер по обеспечению
безопасности; -
использовать криптографическую защиту данных, передаваемых по незащищенным каналам связи, в том числе Internet. Учитывая особенности российской правовой базы, определяющей условия применения криптографических средств, возможность применения при работе с персональными данными не сертифицированных ФСБ средств шифрования представляется крайне сомнительной.
Предотвращение уничтожения и изменения персональных данных, их блокирования может быть достигнуто за счет использования следующих мер.
Ограничение прав пользователей автоматизированных систем, где обрабатываются персональные данные. Особенности реализации подобных мер определяются конкретными приложениями, но можно сформулировать общее правило: права пользователей должны быть минимальны, а их расширение производится для каждого конкретного пользователя (или роли в системе) персонально, исходя из выполняемых функций.
Эффективное резервное копирование. Почему-то значимость этой очевидной меры часто недооценивается, хотя совершенно очевидно, что в большинстве случаев восстановить ценную информацию после падения сервера или системы управления базами данных, кроме как из резервной копии, невозможно. И обходится это не слишком дорого. Важно только помнить, что надежное резервное копирование подразумевает территориально разделенное хранение копий, чтобы, например, пожар в серверной комнате не привел к безвозвратным потерям всей информации. Под эффективным резервированием понимается также наличие жесткого регламента, чтобы пополнение резервной копии данными, поступившими после ее создания, можно было осуществить в приемлемое время.
Создание периметровой системы защиты от внешних вторжений, мониторинг защищенности сети, использование средств выявления и предупреждения вторжений (IDS/IPS). Эти меры должны создать барьер на пути проникновения извне (например, злоумышленников из Internet) в автоматизированные системы обработки персональных данных с целью несанкционированных модификаций, уничтожения охраняемых сведений или завладения ими.
Контроль целостности программных средств и данных. Это наиболее эффективный и простой способ исключить модификацию как самих персональных данных, так и обрабатывающего их программного обеспечения, поскольку несанкционированное изменение программного продукта может привести к уничтожению всей или части информации, ее передаче троянскими программами на сервер злоумышленника и т.п.
Для предотвращения несанкционированного копирования и распространения персональных данных необходимо создать систему защиты от неправомерных действий инсайдеров, предоставляющую как минимум следующие возможности:
-
блокирование (ограничение доступа) к устройствам ввода/вывода информации (USB, CD/DVD, принтеры и т.п.);
-
контентный анализ электронной почты, в том числе WEB-почты на таких общедоступных ресурсах, как AOL.com, Mail.ru и др.
Под инсайдерами здесь понимаются штатные работники предприятия, умышленно или случайно превышающие свои полномочия при работе с информацией, следствием чего является нарушение ее целостности, доступности и/или конфиденциальности.
Проблема противодействия инсайдерам сейчас одна из наиболее обсуждаемых, на эту тему написаны сотни статей, и на актуальности предлагаемых мер останавливаться нет необходимости. Заметим лишь, что реализация механизмов защиты от «внутреннего врага» возможна только при использовании специальных программных средств, которых сейчас на рынке немало, но которые отнюдь не дешевы. А контентный анализ требует проработки не только технических, но и правовых вопросов, связанных с нарушениями права на тайну переписки работников предприятия.
Для реализации описанного выше комплекса мероприятий необходимы значительные материальные и людские ресурсы, а работы будут непросты и недешевы. Можно, конечно, продолжать жить, как раньше, надеясь, что персональных данных, интересующих злоумышленников, на вашем предприятии нет, а проверок государственных регуляторов удастся миновать. Но при этом надо помнить еще и об ответственности за нарушения закона о персональных данных.
Вопросы ответственности
Федеральный закон определяет, что лица, виновные в нарушении его требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
И возможности привлечь к ответственности уже заложены в российском законодательстве. Например, больше десяти лет действует статья 137 Уголовного кодекса «Нарушение неприкосновенности частной жизни», предусматривающая уголовное наказание за «нарушение неприкосновенности частной жизни, незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации». При чем здесь неприкосновенность частной жизни? В законе «О персональных данных» прямо написано, что «целью настоящего федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну».
В Кодексе об административных правонарушениях есть статья 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)». А Трудовой кодекс требует принятия работодателем мер по защите персональных данных работников. Неправомерное обращение с ними влечет дисциплинарную ответственность, а такое грубое нарушение, как разглашение данных других работников, является основанием для расторжения трудового договора (увольнения).
Таким образом, уже сейчас, даже при отсутствии установленных правительством правил технической защиты персональных данных, работу по обеспечению их сохранности надо начинать на каждом предприятии, в каждой организации. В преддверии финансового планирования на новый год — закладывать деньги в будущие бюджеты на построение системы информационной безопасности, перерабатывать внутренние нормативные документы, организовывать работу с персоналом и его обучение. Иначе потери будут значительными и, если закон заработает в полную силу, — не только имиджевыми.
И, наконец, до 1 января нового года надо сделать седьмой шаг — составить и отослать в уполномоченный орган по защите прав физических лиц уведомление об обработке персональных данных, часть содержания которого будет готовить именно ИТ-служба.
Михаил Емельянников — заместитель коммерческого директора НИП «Информ-защита», m.eme@rambler.ru
Шаги по приведению работы с персональными данными в соответствие федеральному закону