По словам старшего консультанта отдела консалтинга «Информзащиты» Дениса Иванова, исключение из 19-й статьи закона слов об обязательном использовании шифровальных средств для защиты персональных данных многие неправильно толкуют как разрешение применять любые средства криптозащиты, в том числе несертифицированные. На самом же деле средства шифрования применять не обязательно, но если они все-таки нужны, то, как определено в документах ФСБ, разрешается использование только сертифицированных средств.
Комментируя приказ ФСТЭК № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных», Иванов отметил повышение роли модели угроз и указал, что отныне полностью стирается грань между типовыми и специальными информационными системами; раньше отнесение информационной системы к категории «специальных» позволяло упростить обеспечение соответствия требованиям (см. также «Права или данные?», Computerworld Россия, № 32, 2009).
«Теперь абсолютно для всех систем нужно строить модель угроз и ‘закрывать’ ее методами защиты, которые могут нейтрализовать все эти угрозы», — заявил Иванов.
Он перечислил обязательные меры по подготовке обеспечения соответствия, которые нужно было реализовать «еще вчера»: выявить все системы, обрабатывающие персональные данные, классифицировать их, подготовить и направить уведомление в Роскомнадзор (если нужно), разработать и ввести в действие нормативно-распорядительные документы по безопасности персональных данных. Говоря о классификации систем, Иванов напомнил, что следует особое внимание обратить на систему контроля доступа, так как представители проверяющего органа столкнутся с этой системой в первую очередь, как только придут с проверкой. Вероятнее всего, у проверяющих попросят паспорт, и нужно, чтобы были соблюдены все формальности, связанные с обработкой персональных данных регулятора, подчеркнул эксперт.
Проводя проверки, Роскомнадзор обращает особое внимание на процедуры удаления персональных данных. «Практически во всех проверках следует замечание, что данные несвоевременно удаляются по достижении целей обработки», — сообщил Иванов и отметил важность документирования этой процедуры. Он порекомендовал включать в договоры с контрагентами соглашение об увеличенном сроке обработки данных, а для данных, сроки обработки которых продлить невозможно, создать архивную базу данных. По словам Иванова, таким образом система выводится из-под действия ФЗ-152 и начинает регулироваться законом № 125 «Об архивном деле в Российской Федерации».
Следует также включить в договоры с субъектами персональных данных пункты об обязанностях сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных, а также об ответственности.
Говоря о порядке уведомления об обработке персональных данных, эксперт заметил, что при автоматизированной обработке данных потенциальных сотрудников, потенциальных клиентов, а также при обработке данных, полученных от третьей стороны, Роскомнадзор придется уведомлять, иначе нужно обрабатывать эти данные на бумаге.
Рассматривая возможности сокращения затрат при создании систем безопасности персональных данных, представитель «Информзащиты» отметил такие способы, как максимальное использование имеющихся в информационной системе средств безопасности, разделение информационных систем сертифицированными межсетевыми экранами на сегменты и классификация каждой информационной системы персональных данных отдельно, укрупнение ИСПД до уровня центра обработки данных, обезличивание части ИСПД (переход на табельные номера, номера счетов, договоров и т. п.), хранение части сведений на бумажных или иных носителях вне системы, перенос технических средств ИСПД за пределы РФ и организация терминального доступа к ИСПД. Он подчеркнул важность четкого определения границ ИСПД.
Общий тон доклада позволил сделать вывод, что большинство предприятий обеспокоены сегодня не столько защитой персональных данных, сколько соответствием формальным требованиям защиты и демонстрацией этого соответствия надзорным органам.