Понимая это, федеральные службы разработали ряд нормативных документов, в частности №152-ФЗ, однако этот закон и ряд сопутствующих ему подзаконных актов вызвали неоднозначную реакцию у всех участников рынка информационной безопасности.
Заботясь о соблюдении прав своих граждан, государство требует от организаций и физических лиц обеспечить надежную защиту персональных данных – в январе 2007 года вступил в силу Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных», регулирующий отношения, связанные с обработкой, хранением и передачей сведений, однозначно идентифицирующих личность. Требования этого закона были конкретизированы в подзаконных актах Правительства РФ, Министерства связи и массовых коммуникаций РФ, в нормативно-методических документах ФСТЭК России, ФСБ России и Роскомнадзора.
Документы, разработанные федеральными службами, вызвали неоднозначную реакцию экспертов в области информационной безопасности и юридических лиц, попадающих под действие нового законодательства. По своему отношению к этим документам операторы персональных данных разделились. Часть из них решили к январю 2010 года привести информационные системы в соответствие требованиям законодательства, а другие заняли пассивную позицию, дожидаясь результатов правоприменительной практики. Например, для зарубежных компаний, имеющих представительство в РФ, соответствие местному законодательству является приоритетной задачей. Компании, высоко ценящие свою репутацию, лояльность клиентов и доверие бизнес-партнеров, обращают внимание на противоречивость нормативных актов, не гарантирующих раскрытие информации, пусть даже представителям федеральных ведомств. Операторы персональных данных, изначально уделявшие должное внимание информационной безопасности, со вступлением в силу нового законодательства будут решать исключительно формальные вопросы: регистрация в реестре Роскомнадзора, получение письменных согласий от субъектов персональных данных, рассылка уведомлений об обработке информации.
Детального рассмотрения заслуживают доводы операторов, осознанно не предпринимающих никаких действий по защите обрабатываемых ими персональных данных. Некоторые из них связывают свою позицию с несогласованностью требований ФСТЭК России и законодательства РФ в целом, например, статья 19 Федерального закона «О персональных данных» указывает на необходимость защиты персональных данных (ПДн) от уничтожения, изменения, блокирования, а также от иных неправомерных действий, в то время как подзаконные акты ФСТЭК России содержат методику определения классов типовых информационных систем персональных данных (ИСПДн) и требования к ним по обеспечению лишь конфиденциальности ПДн. Другой характерный довод «пассивных» операторов заключается в том, что подзаконные акты ФСТЭК не имеют юридической силы. Во-первых, они не прошли регистрацию в Министерстве юстиции, а во-вторых, они не только не были опубликованы в открытой печати, но и распространяются с грифом «Для служебного пользования». Кроме того, техническая строгость нормативно-методических документов способствует укреплению мнения о том, что выполнение предписываемых ими требований опустошит бюджеты частных компаний и снизит производительность информационных систем.
После появления постановлений Правительства РФ и нормативно-методических документов ФСТЭК России и ФСБ России компании, предоставляющие услуги в области информационной безопасности, стали активно предлагать свои услуги в построении систем защиты персональных данных. Стоит отметить, что операторы ПДн неохотно начинают проекты по защите персональных данных. Сдерживающим фактором при этом является риск превышения ожидаемых расходов на каждом этапе. Высокие риски проектов сдерживают менеджмент компаний от принятия предложений интеграторов, предлагающих решения в области информационной безопасности.
Подзаконные акты, безусловно, будут приведены в соответствие законодательству – есть все основания полагать, что последние редакции нормативно-методических документов будут подписаны первыми лицами федеральных служб, пройдут регистрацию в Министерстве юстиции и будут опубликованы. Выбор средств защиты на основе анализа рисков, предлагаемый в документах ФСТЭК России, уже давно применяется в зарубежной практике. Так, например, считается, что в США два основных закона (The Privacy Act of 1974 и E-Government Act of 2002) обязывают обеспечивать защиту персональной информации и дополнены требованиями по разработке, документированию и реализации плана защиты информации и информационных систем (Federal Information Security Management Act of 2002, FISMA), включая и информационные системы персональных данных. FISMA ссылается на стандарты, изданные the National Institute of Standards and Technology (NIST), в частности NIST SP 800-122 Guide to Protecting the Confidentiality of Personally Identifiable Information. Подход, предлагаемый американскими стандартами, хорошо вписывается в общую идею защиты информации базовыми средствами безопасности в зависимости от критичности информационных систем и ее данных. Для точной настройки системы защиты предлагается анализ рисков в соответствии с NIST SP 800-30 Risk Management Guide for Information Technology Systems и выбор дополнительных механизмов безопасности из каталога, представленного в NIST SP 800-53 Recommended Security Controls for Federal Information Systems.
«Пассивные» операторы участвуют в заведомо проигрышной лотерее, поскольку в отчете о деятельности уполномоченного органа по защите прав субъектов персональных данных за 2008 год уже имеется рост правоприменительной практики, а приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций «Об утверждении Временного порядка организации взаимодействия по реализации требований законодательства Российской Федерации в области защиты персональных данных» будет способствовать увеличению объемов проверок в свете объединения усилий по надзору со стороны ФСБ и ФСТЭК. Законом предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение его требований. Так, например, Кодекс об административных правонарушениях предусматривает максимальный штраф в 500 тыс. рублей за невыполнение законного предписания ФСТЭК России (ст. 19.5 КоАП). Тот же кодекс предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП). В Уголовном кодексе говорится об аресте до 6 месяцев и лишении права занимать должность на срок до 5 лет при осуществлении защиты персональных данных без лицензии в случаях, если это деяние причинило крупный ущерб гражданам (ст. 171 УК). При всех санкциях и крупных штрафах нельзя забывать о том, что классическое соотношение времени, стоимости и качества выполнения работ остается неизменным. Те риски, от которых стараются уйти «пассивные» операторы, могут многократно возрасти, ведь урезание сроков проекта влечет за собой либо увеличение ресурсов, а с ними и стоимости, либо снижение качества работ.
С каждым днем все меньше компаний сомневаются, нужно ли выполнять требования Федерального закона «О персональных данных», причем интерес в старте достаточно сложных и дорогих проектов подкрепляется тем, что для руководителей подразделений безопасности появились законные основания для пересмотра всей системы обеспечения ИБ предприятия. Информационная безопасность до сих пор считалась исключительно «расходной» статьей бюджетов организаций, но благодаря закону «О персональных данных» может получить дополнительное финансирование и поддержку бизнеса.
Участники рынка консалтинга по информационной безопасности расширили спектр предлагаемых услуг. Так, например, соблюдение закона «О персональных данных» ведет к выстраиванию процесса обработки персональной информации с юридической и организационной точки зрения, и для операторов, заинтересованных в целостных решениях, предлагается анализ и совершенствование бизнес-процессов и сопутствующих массивов документов с целью формирования юридически значимых потоков персональной информации. Стоит отметить, что впервые к работам по проектам стали подключаться профессиональные юристы.
Для соблюдения требований постановления Правительства РФ № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» проводится консалтинг по организации легитимной неавтоматизированной обработки персональной информации.
Операторам уже сейчас могут быть предоставлены услуги по защите обрабатываемых персональных данных, причем стоимость полного комплекса работ точно определяется еще до заключения контракта, исходя из опыта завершенных проектов и ответов на ключевые вопросы об ИТ-инфраструктуре. Например, компания «Инфосистемы Джет» такие работы проводит в два этапа. Первый этап включает в себя оценку обстановки, анализ технологических процессов и неавтоматизированных способов обработки персональных данных, юридическую оценку массивов документов с персональной информацией и разработку технического проекта на систему защиты. Второй этап начинается с закупки и поставки программных, программно-аппаратных и технических средств защиты информации, во время которых совершенствуются бизнес-процессы по выданным организационным и юридическим рекомендациям первого этапа. Затем проводится пусконаладка и опытная эксплуатация средств защиты, аттестация защищаемого помещения и информационных систем. В случае необходимости выдаются направления на курсы повышения квалификации для сотрудников компании – клиентов и оформляется пакет документов для получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации.
Таким образом, соблюдение законодательства в области защиты персональных данных позволяет операторам: снизить риски, связанные с разглашением персональных данных граждан России и возмещением причиненного ущерба; добиться увеличения доверия своих клиентов; защитить репутацию и показать высокий уровень зрелости; избежать наказания за невыполнение требований закона и подзаконных актов. Именно поэтому, несмотря на все трудности, возникающие при выполнении отдельных требований законодательства по защите персональных данных, и на то, что в этой области предстоит еще немало работы, задача соответствия закону «О персональных данных» не является неразрешимой. Особенно при условии объединения усилий участников процесса.
Эльман Бейбутов (elman@jet.msk.su) – сотрудник центра информационной безопасности компании «Инфосистемы Джет» (Москва).