Федеральный закон № 152-ФЗ «О персональных данных» способен оказать очень сильное влияние на практику ведения бизнеса в России. Однако пока заметных изменений нет. Своими наблюдениями о том, что реально происходит в российской деловой практике, делится Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры».
Могу предположить, что закон № 152-ФЗ оказывает влияние не только на ИТ-инфраструктуру, но также и на бизнес-модели и бизнес-процессы операторов персональных данных. На какого рода бизнес-процессы закон влияет в наибольшей степени?
Выполнение норм закона, безусловно, должно было бы сказаться на бизнес-процессах, связанных с обработкой сведений о физических лицах в самых разных сферах деятельности — банковской, страховой, телекоммуникационной, туристической, медицинской и многих других. Требования к обеспечению безопасности информационных систем крайне жесткие. Пожалуй, это первый в России технологический закон, определяющий конкретные процедуры безопасности для всех без исключения организаций и предприятий. Для всех — поскольку персональные данные работников обрабатывают и определяют цели их обработки все юридические лица, индивидуальные предприниматели, использующие наемный персонал, а также некоторые физические лица (нотариусы, адвокаты, журналисты-фрилансеры и другие), обработку которыми сведений о физических лицах нельзя признать осуществляемой в личных или семейных целях.
Закон требует правового обоснования обработки в рамках бизнес-процессов не просто персональных данных, а каждой конкретной их категории, признавая незаконным использование излишних данных по отношению к заявленным целям. Все это должно было бы привести, во-первых, к пересмотру состава обрабатываемых данных в сторону их уменьшения, а во-вторых, к построению надежной системы информационной безопасности, причем у всех операторов без исключения.
На деле этого не происходит. Реально деятельность операторов направлена не на защиту персональных данных, а на защиту от норм закона, ориентированного исключительно на установление и выполнение формальных требований, никак не связанных с реальными инцидентами нарушения безопасности и защитой интересов субъектов. К тому же значительная неоднозначность и неопределенность положений закона, весьма расширительное их толкование надзорными органами фактически позволяют признать нарушителем любую организацию, любое предприятие. А если закон невозможно выполнить в полном объеме, зачем вообще тратить на это деньги и ломать бизнес-процессы? Поэтому влияние закона на бизнес сводится к необходимости разрабатывать ворох бумажных документов, чтобы как-то обосновать стремление к выполнению закона.
«Операторов персональных данных ждут непростые времена», Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» |
Должны ли эксперты по обеспечению требований закона № 152-ФЗ — специалисты по ИБ или юристы — участвовать в планировании и реализации изменений бизнес-процессов в организациях, являющихся операторами персональных данных? Какую роль этим экспертам следует отвести?
Да, конечно, должны — и юристы, и специалисты по ИБ и по ИТ. Модель участия, на мой взгляд, проста. Выявляются все бизнес-процессы, связанные с обработкой персданных или требующие такой обработки. Для каждого процесса юрист оценивает правомерность или возможность обоснования правомерности обработки персональных данных, причем по всем предполагаемым категориям (начиная от ФИО и заканчивая сведениями о доходах, сделках, услугах и т. д.). Затем специалисты по безопасности при участии юристов и ИТ-специалистов оценивают класс (а в ближайшем будущем — уровни защищенности) информационной системы, затраты на выполнение требований, ИТ-специалисты — затраты на встраивание системы защиты в ИТ-инфраструктуру и техническую возможность ее реализации. Просчитываются риски, последствия, деньги, принимается решение, строится информационная система (точнее, подсистема), отвечающая закону. Все, что экономически невыгодно (или нецелесообразно), отвергается.
Можно ли утверждать, что над обеспечением требований закона № 152-ФЗ в организации — операторе персональных данных должны трудиться не только специалисты по ИБ и юристы, но также, например, кадровики?
Безусловно. И не только кадровики, но еще и финансисты, бухгалтеры (поскольку они тоже работают с персданными). Но самое главное — владельцы бизнес-процессов, связанных с обработкой персональных данных. Все они должны оценить, что проще и экономически целесообразнее — выполнить закон, но отказаться от обработки части данных в информационной системе (в первую очередь специальных категорий) или сегментировать систему, обезличить часть подсистем и т. д. А вот доверять инструктаж и обучение персонала по вопросам информационной безопасности кадровикам я бы не стал ни при каких обстоятельствах. Организацию этого процесса — безусловно, им бы передал, но не сам процесс. Инструктирующий по электробезопасности как минимум должен понимать, чем 220 вольт переменного тока отличается от 4,5 вольт постоянного. Так же и с безопасностью.
Как требования закона № 152-ФЗ сказываются на работе HR-службы оператора персональных данных? Следует ли привлекать ее к осуществлению мероприятий, проводимых с бизнес-сотрудниками и нацеленных на обеспечение соблюдения требований этого закона (тренинги, курсы по информационной безопасности и пр.)?
Сказываются самым радикальным образом. Для начала кадровая служба должна навести порядок в собственном хозяйстве и привести процесс обработки персданных в соответствие закону. А это иногда крайне непросто. Приведу всего два примера. Унифицированная форма учета работников Т-2, установленная Госкомстатом, требует обработки персданных о близких родственниках. Закон о персональных данных требует получения на это согласия родственников. Трудовой кодекс требует письменного согласия на обработку сведений о частной жизни (а что-то подсказывает, что сведения о родственниках именно к ней и относятся). И что делать кадровику? Второй пример — сведения о состоянии здоровья работника и особый порядок их обработки. Параллельно с этим существует порядок обязательного медицинского освидетельствования части персонала и проведения профилактических медосмотров. Все эти правила живут своей жизнью и никак друг с другом не увязаны.
Что касается привлечения кадровиков к тренингам, курсам и т. д., то планировать и организовывать такое обучение HR-специалисты, безусловно, должны, а вот учить их надо в большинстве случаев самих, очень уж тема специфическая.
В ряде отраслей, например в финансовой и телекоммуникационной, новые продукты и услуги, вероятно, создаются на основе информационных систем, связанных с хранением и обработкой персональных данных. Что следует учесть при проектировании и создании таких продуктов и услуг?
В идеале информационные системы, связанные с хранением и обработкой персданных, изначально должны создаваться с учетом требований обеспечения безопасности, заложенных в законе. Но, к сожалению, ни сам закон, ни принятые в его развитие постановления Правительства РФ и нормативно-методические документы регуляторов от разработчиков ничего подобного не требуют. А реализация требований безопасности значительно усложняет продукты и удорожает их, поэтому разработчики от этого всячески уклоняются. (Исключений немного — например, защищенная версия «1С».) Поэтому в большинстве случаев вся тяжесть решения проблемы ложится на собственные службы оператора. «Прикрутить» же все то, что требуют статья 19 ФЗ-152, постановление № 781, приказ № 58 ФСТЭК и документы ФСБ, к живой информационной системе иногда очень сложно, иногда очень дорого, а иногда просто невозможно.
Все больше организаций разрешают сотрудникам использовать в работе их собственные мобильные устройства для доступа к корпоративным ИТ-ресурсам. Нужно ли операторам персональных данных запрещать или ограничивать применение таких устройств в служебных целях?
В терминах существующего закона вопрос не имеет внятного и однозначного ответа. Мобильный телефон, и тем более смартфон или планшет, — это информационная система персональных данных в чистом виде, и формально необходимо выполнять все требования безопасности, такие, например, как регистрация действий пользователя, использование средств защиты, прошедших процедуру оценки соответствия, учет магнитных носителей персональных данных. Поэтому вопрос стоит даже не о разрешении или запрете, а о способах решения проблемы. Если совсем коротко — личное устройство надо рассматривать как часть ИСПДн (или самостоятельную ИСПДн, причем сертифицированную!) и выполнить в ее рамках все требования безопасности. Задача, по моему мнению, практически неразрешимая, поэтому все, что делается и будет делаться с личными устройствами, происходит без оглядки на закон, исходя только из бизнес-требований.
Какие основные принципы и правила следует соблюдать операторам персональных данных в отношении ИТ-аутсорсинга, в том числе аутсорсинга отдельных ИТ-процессов, хостинга ИТ-инфраструктуры и пр.?
Операторам персональных данных очень сложно воспользоваться ИТ-аутсорсингом. Аутсорсер (в терминах закона это лицо, осуществляющее обработку персональных данных по поручению оператора) обязан выполнить все требования закона в части безопасности, а оператор — добиться такого выполнения и только в этом случае передавать персональные данные на обработку, в том числе размещать приложение или сервер или арендовать его в ЦОД аутсорсера.
При этом в законе имеется ряд подводных камней. Например, классификация системы или определение уровня защищенности — обязанность оператора. К его же исключительной компетенции относится моделирование угроз. Но как может предприятие, передавшее на аутсорсинг бухгалтерский или кадровый учет или воспользовавшееся хостингом для развертывания своей CRM-системы, смоделировать угрозы для ИТ-инфраструктуры, ей не принадлежащей? Оператор персданных, как правило, в ЦОД не допускается. Или другой вариант: у оператора — одна бухгалтерская система, ее класс обычно — К3, а у аутсорсера таких систем — сотня, принадлежат они разным операторам. Как классифицировать совокупную систему? Подчеркиваю, это обязанность не специалиста, осуществляющего обработку персональных данных по поручению оператора, а самого оператора. Это тупик. Поэтому аутсорсинг — это, конечно, очень прогрессивный подход, но в закон он вписывается очень плохо, как и многие другие современные сервисы.
Есть ли у операторов персональных данных возможность разделять ответственность за обеспечение требований закона № 152-ФЗ со своими ИТ-партнерами, в том числе аутсорсерами, интеграторами, вендорами?
С интеграторами и вендорами — никаких вариантов. Можно, конечно, в договоре с интегратором предусмотреть ответственность в случае предъявления претензии к спроектированной и построенной системе со стороны надзорных органов, но это, скорее, из области фантастики. Поскольку доказывать придется вину интегратора, а там очень много других факторов: мнение самого заказчика при проектировании, сознательный отказ заказчика от внедрения дорогостоящих механизмов, которые рекомендовал интегратор, соответствие эксплуатации установленным при проектировании правилам и т. д.
С аутсорсерами ситуация несколько иная. Закон прямо устанавливает, что в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор, а лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором. Но как определить убытки и ущерб, нанесенный действиями аутсорсера, да и просто доказать его вину — вопрос открытый. Если в договоре оператора с аутсорсером не указаны все требования закона, касающиеся передачи обработки, то виноват будет оператор и разделить ответственность вряд ли удастся.
Какую специфику вносит закон № 152-ФЗ в использование публичных облачных услуг операторами персональных данных?
Их, если выполнять требования закона, использовать нельзя вообще. Дело опять-таки в необходимости классификации информационных систем, установления уровней защищенности, моделирования угроз, обязательного применения средств защиты, прошедших процедуру оценки соответствия (читай — сертификацию). Все это для публичного облака представляется полной экзотикой. Так что, как и в остальных случаях, облака будут использоваться (поскольку прогресс невозможно остановить плохим законом), но все будут делать вид, что закона нет. По крайней мере, до первого серьезного ЧП, подобного прошлогодним утечкам в период принятия поправок к закону. А если инцидент произойдет, то вся вина ляжет на оператора, разместившего данные в облаке.
Сможет ли компания избавиться от хлопот по обеспечению требований закона № 152-ФЗ, если заключит контракт с организацией, предоставляющей услуги систем лояльности?
Нет, не сможет, поскольку программа лояльности — одна из не самых больших систем обработки персональных данных в организации. В ведении оператора и в зоне его ответственности останутся проблемы со всеми остальными системами персональных данных, начиная с кадровой и бухгалтерской.
Ожидаете ли вы каких-либо событий, способных заметно повлиять на практику исполнения закона № 152-ФЗ?
Такие изменения произойдут в самое ближайшее время. Ожидаются изменения в КоАП, серьезно ужесточающие ответственность оператора за нарушения. Штрафы могут вырасти в сто раз, поэтому многие операторы встанут перед необходимостью радикально пересмотреть свое отношение к проблеме обработки персданных. Сейчас же у значительного количества организаций и предприятий решение проблемы весьма простое — не делать ровно ничего, а в случае проверки заплатить штраф в 10 тыс. руб. Для предприятий сегмента SMB заложенный в законопроекте штраф в 1 млн руб. может означать смерть бизнеса.
Вторая группа изменений касается расширения полномочий надзорных органов и оснований для проверок, заложенных в проект постановления правительства, подготовленный Минкомсвязью РФ.
Третья группа изменений затрагивает проблему обеспечения информационной безопасности систем обработки персональных данных. Проекты двух соответствующих постановлений правительства в нынешнем виде позволяют говорить о дальнейшем ужесточении требований и увеличении объема защитных мер, а также, соответственно, стоимости работ по обеспечению безопасности. В общем, времена у операторов персональных данных впереди непростые.
Тема настолько горячая, что на предстоящей в Москве в октябре выставке-конференции Infobez-Expo 2012 экспертным советом выставки-конференции, в состав которого я вхожу, планируется провести четыре мероприятия, на которых эта тема будет обсуждаться с разных сторон. На пленарном заседании будет озвучена точка зрения органов власти, на одном из круглых столов — экспертного сообщества, а на двух других круглых столах рассмотрены проблемы облачных вычислений и медицинской отрасли, возникающие при реализации закона.