• Федеральний закон № 152-ФЗ від 27.07.2006 "Про персональних даних" діє вже чотири роки, однак в частині виконання технічних вимог набуття чинності його постійно відкладається - на цей раз до 1 липня 2011 р. При цьому в повному обсязі до нього не готові ні оператори, ні регулятори. Найближчим часом очікується прийняття поправок, які зроблять його виконання більш реальним. Про те, що вони змінять, у чому основні складнощі, наскільки вони переборні і як компаніям все ж "дотриматися букви закону", говорили учасники круглого столу "Захист персональних даних: чи допоможуть відстрочки, організованого CNews Analytics спільно з CNews Conferences.
    Історія з 152-ФЗ розвивається за класичним сценарієм: "суворість законів Російської Імперії компенсується необов'язковістю їх виконання". У першій редакції вимоги щодо захисту персональних даних за своєю суворістю були порівнянні з захистом держтаємниці. На думку експертів, їх реалізація в масштабах всієї країни могла скласти до декількох відсотків ВВП, що було б явно надмірно. З іншого боку, важливість цього закону очевидна.
    Нікому не хочеться, щоб його персональні дані були доступні будь-кому. У сучасному світі такі ризики занадто високі, щоб можна було їх ігнорувати, вони варіюються від просто отримання небажаної реклами до кримінальних ситуацій.
    Складнощів занадто багато
    На думку аналітиків, основна проблема в області захисту персональних даних (Пп) - це велика кількість операторів ПДн, їх загальне число близько 5-7 млн., а на сьогоднішній день в реєстрі Роскомнадзора зареєстровано всього 190 тис.
    Друга проблема - заплутаність регулювання в області ПДн. У це залучено багато відомств, включаючи ФСБ, ФСТЭК, Роскомнагляд, Роструд, для банків ще і Центробанк, які часто ставлять суперечливі вимоги.
    З іншого боку, відповідальність за недотримання норм 152-ФЗ така, що деякі організації дотримуються позиції, що дешевше буде платити штрафи, ніж реалізувати весь комплекс заходів щодо захисту ПДн згідно із законом.
    Глобалізація ще більше ускладнює ситуацію з персональними даними. Це стосується питань транскордонної передачі даних, що актуально для міжнародних компаній, що ведуть свою діяльність у Росії, а також і для провайдерів хмарних послуг, дата-центри яких можуть розташовуватися і за кордоном.
    Соціальні мережі - це взагалі окрема тема. На сьогодні це найбільш великі сховища персональних даних, причому люди передають їх туди зовсім добровільно. Багато з них, Facebook, LinkedIn і ін. взагалі перебувають поза російською юрисдикції. Інші, наприклад, "ВКонтакте" і "Однокласники", хоч і розміщуються в Росії, не є операторами ПДн, користувачі розміщують інформацію про себе добровільно.
    При цьому саме соціальні мережі практично завжди виявляються в центрі всіх гучних скандалів, пов'язаних з витоком і кримінальним використанням персональних даних, таких як справа з викраденням Івана Касперського.
    Банківські протиріччя
    У банківській сфері до захист таємниці внесків і операцій своїх клієнтів за традицією ставляться дуже серйозно. Тому вимоги 152-ФЗ банкірів не лякають - у чому-то вони навіть м'якше, ніж вимоги "свого" регулятора - Центробанку. Про це і про практичний досвід реалізації положень 152-ФЗ говорив Олег Казакевич, радник президента АРБ з безпеки.
    Банківське співтовариство пропонує закріпити в якості універсальної моделі регулювання галузеві стандарти щодо забезпечення захисту ПДн, які затверджуються галузевими регуляторами або за погодженням з ними; і також закріпити положення, згідно з яким ПДн, на які поширюються режим податкової, банківської, комерційної або іншої таємниці, захищаються в рамках цього режиму і не вимагають додаткових заходів захисту.
    Оскільки не у всіх банках є свої фахівці з інформаційної безпеки, АРБ виступила ініціатором створення консультаційного центру, який допомагає дрібним і середнім банкам забезпечити виконання вимог закону про персональних даних.
    Тему захисту ПДн в банках продовжив Олексій Бабенко, старший аудитор компанії "Інформзахист". Він докладно зупинився на тому, що виконання вимог стандарту Банку Росії з інформаційної безпеки банківських систем (СТО БР ИББС) може також забезпечити дотримання норм 152-ФЗ "ПРО персональних даних". Цей стандарт заснований на стандарті ISO 27000 і пред'являє до інформаційної безпеки навіть жорсткіші вимоги, ніж 152-ФЗ, особливо в частині документування політик та процедур, реалізуючи процесний підхід, заснований на кращі практики.
    Захист або просто формальність?
    Олексій Страхів, керівник напряму ІБ компанії "Нієншанц", привернув увагу до іншого аспекту проблеми персональних даних. Формальне дотримання вимог законодавства в галузі ПДн і бажання відзвітувати перед регулятором не повинні затуляти справжньої мети - забезпечення реального захисту.
    Р-н Страхів зупинився на технічних і юридичних аспектів цієї проблематики. За його словами, існують вимоги до ІБ-системам, але відсутні - до додатків, наприклад CRM, які по своїй суті працюють з персональними даними. Для забезпечення реальної захисту однієї перевірки на НДВ недостатньо: має бути визначено і зафіксовано, що програма може робити, а що - ні. Наприклад, сьогодні багато ІС дозволяють копіювати дані на комп ’ ютер користувача, це очевидна прогалину у безпеці.
    З юридичного боку, існує відповідальність оператора за недотримання вимог до захисту, але відсутня відповідальність за витік ПДн перед державою і перед їх суб'єктом.
    Він також зазначив, що багато керівників нехтують питаннями ІБ, подібно до того, як деякий час тому у нас в країні майже всі нехтували ременями безпеки. Проте введення штрафів і контроль з боку держави дозволили змінити ситуацію.
    Не витрати, а вкладення
    Олександр Вернигора, заступник директора департаменту ІТ групи компаній "Маском", запропонував розглядати витрати на захист ПДн як вкладення.
    Обсяг робіт по приведенню ІВ у відповідність з вимогами передбачає закупівлю та впровадження технічних рішень, і за останні роки замовники з різних відомств і міністерств, банківського сектора, профучасники фондового ринку часто озвучували думка, що вся діяльність такого роду - це прямі витрати, які ніколи не окупляться.
    Впровадження подібних рішень необхідно не тільки для дотримання вимог 152-ФЗ, але також для забезпечення відповідності міжнародним і галузевим стандартам. Це дозволяє говорити про досягнення більш високого рівня захищеності системи і показати своїм діловим партнерам, інвесторам і клієнтам, що в організації питання безпеки вирішуються на належному рівні.
    Часто функціонал впроваджуваних систем багатшими, ніж було б потрібно тільки для захисту ПДн, і це можна використовувати для вирішення інших завдань. Зокрема це стосується впровадження DPL систем (Data Leak Protection, запобігання витоку).
    Організації повинні задати собі питання - захищати персональні дані або захищатися від 152-ФЗ? Чи будуть це витрати або інвестиції, залежить від цілей проекту.
    Очікування нескінченно?
    Олександр Мінченко, начальник відділу техпідтримки, "Група КапиталЪ Управління Активами", розглянув питання про те, чи варто чекати або вже потрібно діяти в області захисту ПДн. Звичайно, на сьогоднішній день законодавство ще не гармонізовано, технічні вимоги до захисту ПДн, викладені в наказі ФСТЭК, засновані на РД по захисту від НСД двадцятирічної давнини і відносять системи обробки ПДн до АС першої групи, що фактично прирівнює персональні дані до держтаємниці.
    Стандарт Банку Росії, про який вже раніше йшлося, має деякі протиріччя з чинним законодавством. На сьогодні більша частина кредитних організацій Росії (75-80%) прийняла його або планує це зробити. У зв'язку з цим, враховуючи широке застосування стандарту, ця неоднозначна ситуація повинна бути вирішена аж ніяк не на рівні домовленостей між ЦБ і регулятором.
    Р-н Мінченко висловив надію, що законопроект №282499-5 депутата ГД В.М. Резніка "Про внесення змін у федеральний закон "Про персональних даних" (в частині уточнення умов і правил обробки персональних даних)" буде сприяти тому, щоб вимоги регулятора відповідали принципу пропорційності заходів захисту розміру збитку.
    Відстрочення принесли позитивні для операторів ПДн зміни. В опублікованих документах ФСТЭК (порівняно з попередніми версіями ДСП) скасовані вимоги обов'язкової атестації ИСПДн, отримання ліцензії на ТЗКИ і використання сертифікованих СЗІ, що значно спрощує і здешевлює для операторів виконання закону 152-ФЗ.
    Можна заощадити
    Оскільки рано чи пізно відстрочення вичерпають себе, всім операторам ПДн доведеться задуматися про те, як виконати вимоги 152-ФЗ при мінімальних для себе витратах. Своїм досвідом поділився Сергій Миронов, начальник відділу інформаційної безпеки "Акадо-Столиця".
    Можливі різні способи зниження витрат. Наприклад, об'єднання всіх серверних систем в одну інформаційну систему - тоді захищати і атестувати доведеться тільки одну.
    Інший метод - мінімізація обсягу персональних даних, що обробляються на робочих місцях, і об'єднання їх у відповідні інформаційні системи. Це дозволяє знизити клас аттестуемой системи. Наприклад, ІВ операторів call центра, ІВ бухгалтерії.
    Зменшити витрати на цю процедуру можна також за рахунок знеособлення відомостей. Наприклад, в особистому кабінеті ПІБ можна замінити на ім'я і по батькові. Тоді система взагалі перестає вважатися обробній персональні дані.
    Слід також приділити увагу більш точному найменуванню інформаційних об'єктів, щоб виключити використання персональних даних. Наприклад, замість адреси абонента використовувати - "адреса установки обладнання", замість мобільного та домашнього телефону - "контактний телефон".
    Кілька спірних здалося пропозицію р-на Миронова укладати і зберігати договори з абонентами тільки у паперовому вигляді. Звичайно, при цьому в системі жодні персональні дані не обробляються, але чи зможе вона адекватно виконувати свої завдання? Бізнес-процес, побудовані на паперових документах не можуть бути досить оперативними.
    ІБ-особливості реєстрації доменів
    Олександр Панов, керуючий партнер компаній Hosting Community, висвітлив специфіку роботи з персональними даними в бізнесі реєстрації доменних імен. Фактично весь цей бізнес побудований на обробки персональних даних, що дозволяє встановити і захистити права фізичних осіб на володіння тими або іншими доменними іменами. Однак це автоматично відносить ІС реєстратора доменних імен до першої категорії.
    Він звернув увагу на проблеми для бізнесу, які виникають внаслідок негармонизированности законодавства. Так, наприклад, згідно з ЦК договір у формі пропозиції укласти можна, однак на обробку персональних даних обов'язково потрібна письмова згода суб'єкта ПДн.
    Треба віддати належне, що цей процес удосконалюється, і нам не будуть потрібні відстрочення тоді, коли кількість невідповідностей у законодавстві буде мінімальним. Крім того, на його думку, деякі протиріччя лежать в самій бізнес-моделі. Наприклад, архівні копії реєстру повинні передаватися на зберігання в американську компанію Iron Mountain, тобто виникає передача ПДн.
    А іноді додаткові персональні дані збираються за ініціативою правоохоронних органів. Зокрема, вони вимагали збирати скани паспортів, що відразу ускладнило завдання захисту.
    На думку р-на Панова, відстрочення дають час законодавцям узгодити вимоги щодо захисту персональних даних з іншими чинними законами. Найменш готові до виконання 152-ФЗ школи, лікарні, державні установи, які не мають в штаті фахівців з ІБ та обмежені в своєму бюджеті.
    Малі компанії, які не зможуть самостійно забезпечити захист ПДн, почнуть користуватися послугами великих, і це логічно, тому що останні вже інвестували значні кошти на захист персональних даний та допоможуть усім іншим.
    Практика покаже
    Наталія Долганова, заст. начальника відділу юридичного департаменту керуючої компанії "КапиталЪ", розповіла про реалізацію організаційних заходів захисту персональних даних у відповідності з вимогами законодавства.
    Адже закон "Про персональних даних" діє з 2006 р., за винятком тільки частині вимог щодо захисту інформаційних систем ПДн, і оператори повинні виконувати його вимоги. Їм слід визначити склад, цілі та умови обробки ПД, повідомити уповноважений орган з захисту прав суб'єктів ПД про свій намір здійснювати обробку ПД.
    Особливу увагу варто звернути на наявність транскордонної передачі ПДн, а також опрацювати всі юридичні питання. Оскільки сам закон "Про персональних даних" з'явився внаслідок ратифікацію Конвенції Ради Європи про захист фізосіб при автоматизованій обробці ПДн, то відносини з європейськими країнами шикуються простіше. А ось американський або канадське законодавство в області ПДн відрізняється сильніше.
    Потрібно врахувати і ряд інших нюансів, пов'язаних з обробкою ПДн, зокрема, провести перевірку наявності обробки спеціальних категорій ПДн, що стосуються расової, національної приналежності, релігійних і філософських переконань, політичних поглядів, стану здоров'я, інтимного життя.
    загалом можна сказати, що виконання організаційних заходів по обробці ПДн і належне документування цієї діяльності значно знижують ризики конфліктів з регулятором і витоку персональних даних.