Сама по себе тема обсуждения инициатив регулятора по защите персональных данных для компаний восходит к 2008 году, когда в обществе возникла так называемая "информационная лихорадка" об инициативах смещения сроков исполнения ФЗ-152. Результатом этого стало появление у почти каждого ИТ-интегратора предложения услуг по гарантированной подготовке бизнеса к новым реалиям (и даже появление стартапов в этой области ИБ) .
В частности, в ходе проведения круглого стола CNews Conferences обсуждение практически всех докладов выступавших в первой половине мероприятия сопровождалось открытием дискуссии по теме так называемого незарегистрированого в Минюсте приказа ФСТЭК, влекущего переаттестацию и перерегистрацию информационных систем. Согласно ему, все операторы персональных данных должны быть готовыми к самостоятельному выбору защитных мер для всех уровней (согласно вводящемуся принципу экономической целесообразности), возможности их адаптации и наличию компенсирующих мер.
Открытость данных
Тема защиты персональных данных "всплывала" и в другом качестве - в контексте желания госорганов обрабатывать имеющиеся у пользователей госуслуг данные в масштабах всей страны. Иными словами, государство, нацеленное на повышение открытости и прозрачности, претендует на роль супероператора ПДн, который будет знать и раскрывать информацию, полученную от бизнеса и граждан. В этой связи в дискуссии вспомнили опыт Эстонии, которая уже построила подобную систему в рамках информатизации своих органов госвласти, но ограничила "потребление" данных чиновниками - граждане и компании, пользующиеся порталом госуслуг, видят, какое ведомство за последнее время запрашивало те или иные данные. Разумеется, этот процесс не просто информативный, но интерактивный - пользователь может поинтересоваться у чиновников, с какой целью производился запрос и, в случае отсутствия прямой необходимости доступа к личной информации, такие поступки можно оспаривать в суде - в зале приводили в пример несколько подобных дел в отношении органов внутренних дел Эстонии.
Привлек слушателей и доклад Михаила Брауде-Золотарева из центра ИТ-исследований и экспертизы РАНХиГС при президенте РФ. Он заметил, что защищать персональные данные во время их обработки операторами государственных и муниципальных услуг нужно при поддержке и содействии гражданского общества, ратующего за принципы открытости, а не слепо калькировать законы регулятора.
Как выяснилось, представители регулятора и исполнительной власти солидарны в том, что отечественное ИБ-законодательство подлежит реформированию в плане использования лучших практик Запада. Речь шла о том, что за рубежом оператор персональных данных работает в условиях, когда любая утечка информации может привести к крупным штрафам, а также санкциям относительно функционирования бизнеса постфактум. В России же на данный момент регулятор контролирует соответствие требованиям заранее, на упреждение, и заставляет выполнять дорогостоящие процедуры подготовки, а в случае инцидента предъявляет невысокие суммы штрафов без связи с масштабом бизнеса нарушителя. Со стороны бизнес-сообщества телеком-операторов такую инициативу поддержал Андрей Евсюков, руководитель группы по организации обработки ПДн департамента ИБ в МТС. Он рассказал о специфических особенностях этого аспекта на примере своей компании, где создано отдельное подразделение. Согласно существующему ФЗ-126 "О связи", сведения об абонентах и оказываемых им услугах связи являются информацией ограниченного доступа и подлежат защите, а перечень информации об абоненте строго определен. Передача этих данных может быть осуществлена только с письменного согласия абонента.
Подзаконные акты в области связи устанавливают жесткий перечень требований к составу ПДн, обрабатываемых оператором. Подобное "наложение" двух нормативно-правовых актов вызывает проблемы в части организации обработки ПДн - например, сложно без норм и одобренных регулятором решений создавать архивы баз и документов, содержащих личную информацию. О похожих проблемах, но в медицинском секторе, рассказывал Андрей Столбов, заместитель начальника управления информатизации РАМН. Эта же тема получила развитие в выступлении Владимира Поихало, начальника отдела информационной безопасности ФОМС. Последний отметил различия в российском и американском подходе к информированию пациентов о лечащем его медперсонале (статистика врачебных ошибок, квалификация, образование, опыт). Помимо этого, специалист обратил внимание на то, что в связи с постановлением правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" утратило силу постановление правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных". В связи с этим утратили силу ряд практически важных методических документов федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности (ФСБ России), и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), а новых документов нет до сих пор.
Бизнес на страже интересов
Все присутствующие на круглом столе отдавали себе отчет в том, что законодательство в области ПДн с прошлого года начало стремительно меняться, а при этом сами технологии ушли еще дальше вперед, что требует адекватного обновления самих подходов к данной проблеме. Так, в докладе Андрея Тимошенко, начальника отдела консалтинга департамента консалтинга и аудита "Информзащиты", обозначались две такие стратегии - защищать оператора ПДн "под ключ" или отталкиваться от конкретных рисков. Вторая из них воспринималась как экономически выгодная, поскольку она имела адекватные сроки, меньшие материальные затраты и более высокий уровень надежности относительно "полного варианта". Вместе с тем, подобный подход требуется очень четкой и взвешенной оценки рисков на основе типологизации проблем оператора персональных данных (например, определение границ ИСПДн и процедуры удаления данных из них). Так, в условиях изменившегося законодательства (имеется в виду постановление правительства РФ ПП-1119), по мнению господина Тимошенко, нужно актуализировать модель угроз, классифицировать ИСПДн и подготовить новую организационно-распорядительную документацию в самую первую очередь, прежде чем выйдет соответствующий приказ ФСТЭК. Спикер отмечает, что подобная деятельность для компаний не пройдет даром, поскольку, по его прогнозам, ослабления требований по техническим мерам защиты ПДн не планируется, а, наоборот, произойдет их усиление. Кроме того, он советует ориентироваться на использование сертифицированных средств защиты.
Качественную оценку существующему положению дел с регуляцией персональных данных в России дал Александр Баранов, заместитель генерального директора ФГУП ГНИВЦ ФНС России. По его мнению, главной заслугой регулятора стало развитие рынка средств ИБ, а также то, что модели классификации защищенности данных можно использовать и в других сферах. Тем не менее, пока сам бизнес не полностью подготовлен к таким реалиям, поэтому возникают коллизии. О них говорил Владимир Меньшаков, генеральный директор Fellowes Russia. По его данным, в 62% российских офисах нет шреддеров, а 75% офисных работников выбрасывают конфиденциальные документы просто в мусорное ведро, не задумываясь о том, что они его не уничтожили таким образом. Как выход из подобного тупика он предложил рассматривать массовое использование уничтожителей бумаги, которые обеспечивают сейчас высокую степень разрушения данных и привел в качестве доказательства исторический факт о шреддерах в Германии в середине 20 века (часть документов "штази" была подвергнута разрушению через уничтожители с меньшей степенью защиты и до сих пор не может быть восстановлена).
Перспективы определены
На круглом столе прозвучали и конкретные пожелания и проекты реформирования законодательства. Так, по мысли Руслана Гаттарова, государство продолжит уточнять сам предмет регулирования - понятие ПДн - и изменит свои требования к операторам (в частности, поднимет в несколько раз штрафы и сделает более логичными с точки зрения мировых практик требования, а также отделит от персональных данных сведения профессиональной тайны, создаст национальный стандарт обеспечения безопасности ПДн). Другой выступающий - Иван Кургузов, исполнительный директор Oborot.ru и исполнительный директор АКРЭТ, отметил, что планирует вместе с несколькими игроками рынка интернет-торговли внести предложения по регулированию сегмента eCommerce в части обработки персональных данных. Для этого, полагает он, надо законодательно исчерпывающе определить сами понятия "интернет-торговля" и "интернет-магазин" (текущее определение неполно), а потом классифицировать информацию, которую ритейлер получает от покупателя, на предмет соответствия ФЗ-152: согласно ФЗ, для выполнения обязательств по договору согласие на обработку персданных не нужно, но момент заключения договора розничной купли-продажи прямо на сайте - продажа дистанционным способом, т.е. оферта, а оферта с "безусловной" продажей для физического товара невозможна. Для этого нужно создать еще одну категорию таких данных, сделать легитимным подтверждение согласия через заполнение формы в Сети, а также видоизменить все разнообразие существующих договоров на сайтах интернет-коммерции. Он также не исключил возможность развития бизнеса аутсорсинговых хостинг-компаний, которые могут взять на себя соблюдение всех формальностей по закону, предоставляя самим мерчантам площадки для работы.
Схема обработки данных при любом обращении в органы ФОМС
Однако подобные инициативы не до конца адаптированы к реалиям бизнеса, о чем шла речь в заключительном докладе независимого эксперта Алексея Волкова. Он привел в качестве примера практики работы компаний по старому ФЗ-152 и спрогнозировал их поведение в возможно измененных условиях. Основными проблемами, которые помешают закону о персональных данных стать "реальным" инструментом информационной безопасности, на его взгляд станут два значимых противоречия - отсутствие наказаний за утечки и отсутствие принципа добросовестности у операторов.