Не всякий, кто стоит на пороге офиса в фуражке с кокардой, имеет право осуществлять проверки в области ИБ. Для операторов персональных данных наиболее вероятные гости — проверяющие из Роскомнадзора, ФСТЭК и ФСБ. Порядок проведения проверок — как плановых, так и внеплановых — четко указан в Федеральном законе № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». При отсутствии приказа или распоряжения о проведении проверки руководство предприятия имеет право отказать гостю.
Что касается обеспечения ИБ, то регуляторов интересует в первую очередь безопасность информации ограниченного доступа. Помимо сведений, составляющих государственную тайну, существуют иные виды информации, определенные в законе № 149-ФЗ «Об информации, информационных технологиях и защите информации» и подлежащие защите: коммерческая тайна, служебная тайна, профессиональная тайна и персональные данные. Требования по защите перечисленных видов информации регламентированы действующим законодательством, в частности Налоговым кодексом РФ, Гражданским кодексом РФ, законами № 98-ФЗ «О коммерческой тайне», № 395-1-ФЗ «О банках и банковской деятельности», № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», № 152-ФЗ «О персональных данных» и др.
«Если кредит “хороших отношений” с регулятором у интегратора исчерпан, то в крайне затруднительном положении окажется компания, которая доверилась этому интегратору», Денис Шилкин, заместитель руководителя отдела безопасности ИТ-инфраструктуры компании GTS |
«Возможные последствия нарушения режима коммерческой тайны обычно закрепляются на уровне обязательств между обладателями такой информации и контрагентами и разрешаются в суде, — комментирует Наталья Самойлова, аналитик департамента информационной безопасности компании «Ай-Теко». — При нарушении требований законодательства в сфере банковской тайны клиент вправе потребовать от банка возмещения причиненных убытков на основании ст. 857 ГК РФ. Кроме того, Банк России на основании ст. 20 закона № 395-1-ФЗ «О банках и банковской деятельности» вправе отозвать у банка лицензию за неисполнение федеральных законов, регулирующих банковскую деятельность, а также нормативных актов Банка России, если в течение одного года к кредитной организации неоднократно применялись меры, предусмотренные законом № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)». Банк России в процессе надзорных мероприятий проверяет также выполнение отдельных требований по обеспечению безопасности банковской тайны.
Поскольку большинство организаций не являются банками, то они скорее попадут в поле зрения Роскомнадзора, на который возложен контроль за соответствием обработки персональных данных требованиям закона № 152-ФЗ. Ни ФСТЭК, ни ФСБ не наделены полномочиями проверять нелицензиатов, правда, Роскомнадзор нередко привлекает их представителей в качестве экспертов при проверках по линии персональных данных. Иногда Роскомнадзор привлекает в качестве экспертов представителей УСТМ МВД (управление «К»), которые проверяют лицензионность ПО, используемого для обработки персональных данных.
Мотивация проверок
Основания для проведения проверок Роскомнадзора зависят от вида проверки. В частности, Роскомнадзор формирует ежегодный план проведения проверок на текущий календарный год, который утверждается руководителем этого ведомства после его рассмотрения органами прокуратуры. План проверок на 2012 год уже размещен на официальном сайте ведомства (www.rsoc.ru) в разделе «Планирование, отчеты о деятельности». Список компаний, в отношении которых запланирована проверка, можно найти также на официальном сайте Генеральной прокуратуры РФ (www.genproc.gov.ru) в разделе «Сводный план проверок».
Оснований для внеплановых проверок намного больше, и формулировки некоторых из них носят довольно расплывчатый характер. Например, согласно административному регламенту проведения проверок Роскомнадзора, помимо истечения срока исполнения ранее выданного предписания, основанием для внеплановой проверки является нарушение прав и законных интересов граждан действиями (или бездействием) операторов при обработке персональных данных. На практике, чтобы было принято решение о внеплановой проверке, должна накопиться некая критическая масса — скажем, несколько десятков — подобных жалоб.
Четкие правила игры для обеих сторон — проверяемого и проверяющих — устанавливает закон № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». В частности, он определяет не только виды и сроки проверок, но и устанавливает грубые нарушения проверяющих, которые могут повлечь отмену судом результатов проверки в целом. В связи с этим компаниям-операторам, чтобы иметь возможность отстоять свою позицию в суде, очень важно иметь четкое представление о том, что проверяющие не вправе делать.
Перечень грубых нарушений проверяющих определен в ст. 20 закона № 294-ФЗ, среди которых, например: нарушение сроков уведомления о предстоящей проверке; проведение проверки без распоряжения или приказа руководителя; непредставление акта проверки. «Если в компанию пришли сотрудники Роскомнадзора с плановой проверкой, уведомив компанию, как положено, за три рабочих дня, провели проверку на законных основаниях, но при этом по каким-то причинам отсутствует приказ о проведении проверки, компания — оператор персональных данных, подав в суд иск об отмене результатов такой проверки, вероятнее всего, выиграет судебное разбирательство, даже если в деятельности компании-оператора были выявлены нарушения», — рассказывает Самойлова.
В части проверки порядка обработки персональных данных Роскомнадзор расширил закрытый перечень оснований для плановых и внеплановых проверок из закона № 294-ФЗ и зафиксировал для себя новые основания в своем административном регламенте. По мнению Алексея Лукацкого, бизнес-консультанта по безопасности компании Cisco, это необоснованно, но пока никто не готов опротестовать такое самоуправство Роскомнадзора. В остальном же это ведомство не нарушает сильно положений закона № 293-ФЗ. ФСТЭК и ФСБ тоже руководствуются этим законом, но практика их проверок «рядовых» компаний пока не накопилась, и сейчас сложно судить о правильности трактовки регуляторами этого закона.
Предмет проверки
В законе № 294-ФЗ и Административном регламенте проведения проверок Роскомнадзора определены две формы проверок: документарная и выездная. При документарной проверке, которая проводится по месту нахождения Роскомнадзора, могут проверяться совершенно разные документы — от устанавливающих организационно-правовую форму организации до регламентирующих деятельность по обработке персональных данных, а также документы, подтверждающие выполнение ранее выданных предписаний Роскомнадзора.
Предмет выездной проверки в Административном регламенте проведения проверок Роскомнадзора сформулирован следующим образом: «Сведения и принимаемые меры по исполнению обязательных требований, установленных нормативными правовыми актами в области персональных данных». Документарная проверка компании – оператора персональных данных может «перетечь» в выездную, в частности, если сотрудники Роскомнадзора не смогут удостовериться в полноте тех сведений, которые компания предоставила в ходе документарной проверки.
«Консультанты могут незашоренным взглядом посмотреть на систему и увидеть те дыры, которые администратору неочевидны», Антон Куранда, директор департамента офисных систем и телекоммуникаций компании QIWI |
Конкретные названия документов, которые должны быть в наличии у компании-оператора персональных данных, в действующем законодательстве не установлены, что дает определенную свободу при реализации организационных и правовых мер защиты персональных данных. В Административном регламенте проведения проверок Роскомнадзора представлен примерный перечень документов, больше отражающий их содержание, например:
• документы, необходимые для проверки фактов, содержащих признаки нарушения законодательства РФ в области персональных данных, изложенных в обращениях граждан;
• документы, подтверждающие соблюдение требований законодательства РФ при обработке специальных категорий и биометрических персональных данных;
• документы, подтверждающие уничтожение персональных данных по достижении цели обработки.
«Обычно проверяют внутренние документы общего характера по защите персональных данных, проработанность процедур и учета. С недавних пор есть основания проверять и документы о системе защиты персональных данных, включая специализированные средства защиты, например продукты для шифрования данных», — делится опытом Андрей Волков, директор департамента информационной безопасности компании Oberon, системного интегратора и разработчика решений в области унифицированных коммуникаций.
Те, кто уже имеет опыт проверок, подтверждают, что у Роскомнадзора существует так называемая типовая программа проведения проверки по контролю (надзору) за деятельностью, связанной с обработкой персональных данных с использованием средств автоматизации или без них. В ней прописаны нормативные правовые акты, требования которых подлежат проверке, проверяемые требования и перечень представляемых документов и справок. ФСТЭК и ФСБ проверяют свой набор требований, они, к сожалению, нигде не прописаны, но их перечень можно найти в Интернете — его составили те, кто уже проходил проверки со стороны этих двух регуляторов. Обычно речь идет об организационно-распорядительной документации, регламентирующей защиту конфиденциальной информации на предприятии: различные инструкции и руководства, планы защиты и контроля защищенности, регламенты проведения различных мероприятий, журналы учета и, конечно же, наличие соответствующих лицензий и сертификатов на средства защиты.
Чем заканчивается проверка?
По результатам проверки должностными лицами Роскомнадзора составляется акт, в нем указываются выявленные нарушения либо фиксируется факт их отсутствия. При выявлении нарушения вместе с актом проверки Роскомнадзором выдается также предписание о его устранении. Если обнаруживается не просто нарушение, а правонарушение, то в зависимости от его сути и серьезности должностные лица Роскомнадзора составляют протокол для рассмотрения вопроса о возбуждении либо административного, либо уголовного дела.
В соответствии со ст. 24 закона № 152-ФЗ «лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность, а именно: штрафные санкции в размере от 1000 до 500 000 руб.; приостановление деятельности компании; дисквалификацию, увольнение, исправительные работы, арест должностного лица, нарушившего те или иные положения Федерального закона».
Кроме того, операторы персональных данных, до сих пор игнорирующие требования закона № 152-ФЗ, серьезно рискуют быть привлеченными к административной ответственности в соответствии с КоАП РФ по ст. 5.27, 5.39, 13.11, чч. 1, 2, 5; ст. 13.12, ч. 1; ст. 13.13, 13.14, 19.5, 19.7 или уголовной ответственности, предусмотренной УК РФ ст. 137, 140, 272. При этом сами субъекты персональных данных (то есть граждане и юридические лица), правовая осведомленность которых повышается с каждым днем, вправе при обращении в суд требовать от оператора, нарушившего его права, возмещения убытков или компенсации морального вреда, что при удачном для субъекта исходе событий повлечет дополнительные расходы компании — оператора персональных данных.
По мнению Самойловой, нельзя забывать и о репутационных рисках компаний, проверки которых завершились выявлением нарушений законодательства в сфере персональных данных. На сайте Роскомнадзора информация о проведенных проверках и их результатах регулярно обновляется, и конкуренты могут ею воспользоваться.
На практике санкции, предусмотренные КоАП, УК, ТК, сводятся к штрафам, которые по нынешним меркам не губительные. Однако если, например, при выявлении недостатков было выдано предписание об их устранении и оно не исполнено до следующей проверки, то руководитель рискует быть дисквалифицированным на срок до трех лет. Стать предметом уголовного процесса могут только злостные нарушения, связанные с причинением реального вреда.
Между информационной безопасностью и соответствием требованиям закона № 152-ФЗ связь не больше, чем между реальным здоровьем человека и тем, что написано, например, в медицинской справке для бассейна. Но если все равно требуют справку о здоровье, почему бы на самом деле не заняться своим здоровьем? Аттестацию информационной системы на соответствие требованиям закона № 152-ФЗ можно рассматривать как хороший повод заняться ИБ, не дожидаясь серьезных инцидентов.
По мнению Романа Карася, управляющего продажами в ретейле компании G Data Software в России и СНГ, благодаря закону № 152-ФЗ операторы персональных данных получили шаблон, стандартизирующий подход к защите данных, методику, помогающую четко проанализировать их защищенность, и набор сертифицированных решений, позволяющий быстро обеспечить минимальный уровень защиты.
Роль интегратора и консультанта
«Я вижу положительную роль консультантов в плане безопасности, когда они могут незашоренным взглядом посмотреть на систему и увидеть те дыры, которые администратору неочевидны, — говорит Антон Куранда, директор департамента офисных систем и телекоммуникаций компании QIWI, работающей на рынке моментальных и электронных платежей. — Как бы там ни было, без штатного специалиста результативность комплексного внедрения систем безопасности будет низкая».
«Интеграторы для подготовки компании к проверке регуляторов необходимы в первую очередь крупным компаниям, чье руководство только начало задумываться об ИБ. Важно, чтобы в данном случае интегратор при проверке был готов брать на себя общение с регулятором», — считает Денис Шилкин, заместитель руководителя отдела безопасности ИТ-инфраструктуры международной финансовой компании GTS (Global Technical Solutions — внутреннее подразделение Societe Generale). Зачастую такое общение предполагает наличие неформальных отношений с представителями регулятора.
Однако в таком подходе есть серьезные риски, поскольку «хорошие отношения» имеют обыкновение заканчиваться, и тогда компания, которая доверилась этому интегратору, окажется в крайне затруднительном положении.