Исполнение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — закон) нередко стоит организациям намного больше, чем они способны заработать, считает руководитель отдела информационных систем компании «Амвэй» Василий Алексеев. На конференции «Бизнес в России: безопасность (не) гарантируется!» он представил подход своей компании к защите персональных данных. Об этом с ним беседует наш корреспондент.
«ЭЖ»: Обычно за комплаенс-риски, к которым можно отнести риски нарушения закона, отвечает юридическая служба. Почему в вашей компании, как, впрочем, и во многих других российских организациях, за исполнение этого закона отвечают ИТ-специалисты?
В.А.: Действительно, эта проблема во всем мире решается с юридической точки зрения. Например, в европейском подразделении компании, частью которого мы являемся, есть data protection officer — менеджер по защите данных, который относится именно к юридическому отделу.
В нашей стране есть специфика. Она обусловлена тем, что наиболее рискованные для компании требования Закона о персональных данных относятся к информационным системам. По сути, закон поставил знак равенства между защитой персональных данных и ее технической реализацией. Поэтому и рынок услуг, связанных с защитой таких данных, в основном формируют компании — системные интеграторы. Мы сначала рассматривали возможность сделать ответственной за защиту персональных данных службу безопасности. Но потом выяснилось, что большинство мероприятий, связанных с исполнением закона, должны выполнять сотрудники отдела информационных систем.
«ЭЖ»: В чем сложность понимания этого закона для компаний?
В.А.: В том, что его приходится толковать. Как точно ему соответствовать, непонятно. Толкования шли до 1 июля, продолжаются и сейчас. Но выводы, к которым пришли компании, пока на практике не подтверждены. Судебной практики нет: отсутствуют примеры привлечения к ответственности в результате проверок организаций за действия, отражающие субъективное видение закона. Осмелюсь предположить, что сами проверяющие до сих пор не знают, что проверять, и занимаются интерпретацией — как тот или иной пункт закона читать и какие действия предпринимать.
«ЭЖ»: Как вы объясните то, что многие участники рынка предпочитают подождать с исполнением требований закона?
В.А.: Во-первых, закон жестко предписывает, как защищать персональные данные. Но при этом он создан на основе положения о защите государственной тайны двадцатилетней давности, требования которого перенесены на частный сектор без учета того, что их исполнение несовместимо с ведением операционной деятельности компаний и противоречит мировым тенденциям в области информационных технологий.
Вот какая ситуация сложилась, например, с программным обеспечением. Сейчас компании — разработчики ПО стараются облегчить жизнь своим клиентам и сертифицируют его на предмет соответствия закону. Но не надо думать, что, приобретая сертифицированное ПО, вы обеспечиваете защиту персональных данных. Это означает только одно: ПО проверено на предмет соответствия закону. Более того, надо внимательно рассматривать, что именно было сертифицировано. Допустим, ПО может получить сертификат соответствия относительно контроля доступа. Соответственно есть возможность применять его только для контроля доступа. Получается, что для полноценной защиты информационной системы, в которой обрабатываются персональные данные, необходимо использовать несколько ПО, каждое из которых будет «закрывать» то или иное требование закона.
Во-вторых, закон имеет явный перекос в сторону прав субъектов. В России около 7 млн операторов персональных данных. И все эти операторы без учета их ресурсов, объема данных, которыми оперируют, и возможной величины ущерба, наносимого разглашением персональных данных, должны защищать такие данные одинаково. Причем в законодательстве нет градации величины ущерба — какой считать минимальным, а какой — существенным.
И, наконец, в-третьих, закон несет угрозу троллинга организаций. Представим, что клиенты компаний начнут с некоторой периодичностью запрашивать справки о том, что происходит с их персональными данными. И им нельзя представить просто отписку: ответ требует серьезной подготовки. И если этих клиентов хотя бы сотни тысяч, то большинству сотрудников компании придется только и делать, что отвечать на запросы. Согласно первоначальной версии закона гражданин мог бесконечно запрашивать информацию о состоянии его персональных данных. После внесения поправок субъект не имеет права делать повторный запрос ранее 30 дней после последнего запроса. Те, кто вчитывается в закон, понимают: исполнение всех его требований — задача неподъемная. И затраты на их исполнение зачастую не соответствуют тому доходу, который бизнес приносит своим владельцам. Ведь защита персональных данных ничего компании не дает, но работать мешает. Государство, возможно, и должно защищать данные именно так. Но у частной компании слишком мало информации, которую имеет смысл беречь от всего арсенала средств, находящихся в распоряжении профессионального шпиона.
Когда обсуждались поправки в закон, предполагалось, что в их основу ляжет европейский подход: не создавать помехи развитию рынка и появлению новых технологий, дать оператору право самому определять адекватные меры. Однако революции не произошло. Мы ожидали, что изменится перекос в сторону субъекта, уйдет игнорирование возможностей оператора и появится соразмерность между защитой и риском. Но в законе остались все те же жесткие требования. Из послаблений — увеличены сроки, в которые оператор должен удалить или заблокировать не надлежащим образом защищенные данные и представить ответ субъекту на его запрос.
Большинство предприятий просто не способны потратить столько средств, сколько необходимо для приближения к соответствию с требованиями закона, и предпочитают нарушить его и уплатить штраф.
«ЭЖ»: Почему ваша компания отнеслась к требованиям закона всерьез?
В.А.: На момент начала действия закона был риск, что в случае признания его неисполнения наша деятельность будет приостановлена или мы получим предписание в течение трех дней уничтожить персональные данные. Теперь этот срок увеличен до шести месяцев. Но риск предписания о приостановке обработки или удалении персональных данных остается. Еще одним риском являлось возможное требование внести изменения в систему безопасности. Но с информационной системой связаны многие бизнес-процессы и изменить ее за несколько дней (как было в предыдущей версии закона) невозможно. Реализация приведенных рисков означала бы для нас реальную опасность потерять рынок. Поэтому мы сразу очень серьезно подошли к исполнению его требований.
«ЭЖ»: С чего вы начали работу по подготовке к выполнению требований закона?
В.А.: Первой реакцией в 2006 г. стало желание привлекать экспертизу со стороны. Мы изучили рынок компаний-интеграторов, начавших предлагать услуги по приведению систем в соответствие с законодательством. Составили сравнительную таблицу по всем компаниям на рынке и прорейтинговали их минимум по десяти характеристикам. Сейчас выбрать интегратора намного проще: за пять лет на рынке выработались общие подходы к решению проблемы. И у всех они примерно одинаковые.
Нам показалось разумным провести аудит текущей системы и анализ рисков. Данные для аудита собирала компания-интегратор, наблюдая наши бизнес-процессы, связанные с обработкой данных. Затем приглашенные юристы вместе с технической командой делали выводы, насколько это расходится с законодательством, какие влечет риски и чего они могут компании стоить в случае реализации.
Примерно через месяц получили материал для принятия управленческого решения. Он содержал нормы законодательства, интерпретацию текущего состояния каждого компонента в организации, описание разрыва между текущим положением дел и требованием законодательства и перечень возможных санкций и ущерба. На основе этого материала мы смогли оценить, что реализация необходимых мероприятий будет стоить примерно 100 000—200 000 долл.
Мы потратили достаточно много времени на планирование и задокументировали наш план. Если сейчас к нам придут проверяющие, то мы не только на словах сможем подтвердить, что занимаемся приведением системы защиты в соответствие с законом.
Далее мы начали обучать персонал и пересматривать процессы, связанные с обработкой персональных данных, то есть заниматься теми вещами, которые делаются без информационных систем.
После этого наступил этап планирования технических средств. Замена версий программного обеспечения на сертифицированные. И заключительный этап — внедрение технических средств. К нему мы только сейчас подошли.
«ЭЖ»: Как вы планируете оценивать свою готовность к проверке на соответствие закону?
В.А.: Мы бы хотели, чтобы правильность нашей интерпретации закона была подтверждена (или не подтверждена) еще до проверки.
«ЭЖ»: Как этого можно достичь? Вряд ли, если вы обратитесь со своей конфигурацией защиты персональных данных в контролирующие органы, они в справочном порядке ответят, в правильном ли направлении вы движетесь.
В.А.: Этот вопрос решается с помощью разработки стандарта защиты персональных данных. Он сейчас готовится в Ассоциации компаний прямых продаж. Разработка стандарта — способ спросить еще до внедрения конкретных мер, насколько это правильный или неправильный план по защите. Ведь его создание предполагает, что вы общаетесь с контролирующими органами, которые в том числе ставят резолюцию, что он соответствует закону. Таким образом можно в значительной степени избавиться от сомнений и снизить расходы на приведение систем защиты персональных данных в соответствие с законом.