Согласно ст. 25 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» с 1 января 2010 г. все информационные системы организаций должны быть приведены в соответствие с требованиями данного закона. Времени осталось немного, а объем необходимых работ достаточно велик.
Официальная причина появления нового закона — поставить заслон массовому распространению пиратских баз данных, содержащих частные сведения едва ли не о каждом жителе России.
Формальная причина — обеспечить интеграцию с глобальными информационными системами стран Евросоюза. Согласно Директиве 95/46/ЕС Евросоюза персональные данные могут передаваться только в страны, обеспечивающие такой же уровень защиты, как и в Европе.
Европейские страны начали проявлять заботу о нераспространении данных о частной жизни граждан задолго до прихода эпохи глобальных информационных сетей. Франция, например, преследует нарушителей этого правила с 1858 г., Норвегия — с 1889-го. Россия же несколько отстала.
Практически каждая организация в своей деятельности сталкивается с необходимостью хранения и использования персональных данных — будь то паспортные данные клиентов, карточки по учету кадров, анкеты покупателей и т.п. Можно провести несложный эксперимент и проверить, насколько защищены данные. Что для этого нужно? Три минуты и доступ в глобальную сеть Интернет.
Минута первая. Портал одного из системообразующих банков России. Модуль экспресс-аудита утечек специализированной программы Avalanche фиксирует наличие на сервере открытых папок. В одной из них с красноречивым названием «СБ», то есть служба безопасности, сложены отсканированные копии паспортов сотрудников. Неплохо...
Минута вторая. Сайт произвольно взятого агентства по недвижимости. Экспресс-аудит показывает наличие множества электронных таблиц, в которые старательные сотрудники заносят исчерпывающую информацию обо всех потенциальных покупателях и продавцах. При минимальных навыках работы с поисковыми системами такие таблицы можно найти на портале практически каждой риелторской фирмы.
Минута третья. Изучаем сайт одной из многочисленных пиратских баз. (Говорят, с пиратами ведут активную борьбу. Это иллюзия.) Их владельцы не скрываются, охотно раздают свои координаты и годами (!) не меняют номера сотовых телефонов.
В первые же секунды работы в структуре пиратской базы обнаруживается уязвимость. И в руках экспериментаторов — богатый улов.
Утверждение, что в нашей стране защита персональных данных находится в плачевном состоянии, неверное. Она скорее отсутствует. Однако санкции за нарушение Закона о персональных данных предусмотрены вполне ощутимые. И сейчас имеет место традиционная русская ситуация: гром грянул — мужик перекрестился.
Необходимые меры
До 1 января 2010 г. нужно успеть предпринять хотя бы минимальный комплекс мер.
Прежде всего рекомендуем провести комплексную оценку соответствия требованиям Закона о персональных данных. Это актуально для крупных компаний из кредитно-финансовой, страховой и телекоммуникационной сфер деятельности, здравоохранения и транспорта, а также для других государственных и коммерческих структур, заинтересованных в защите персональных данных, обрабатываемых в их информационных системах.
Подобную оценку можно провести собственными силами, но лучше привлечь специалистов, поскольку перечень требуемых действий весьма обширен:
-
разработка регламента (технического задания) на выполнение работ;
-
определение информационных систем, обрабатывающих персональные данные;
-
классификация информационных систем;
-
анализ бизнеспроцессов компании с точки зрения соответствия положениям Закона о персональных данных;
-
разработка частной модели угроз безопасности персональных данных;
-
анализ имеющихся в распоряжении мер и средств защиты;
-
оценка соответствия техническим требованиям ФСТЭК России по защите персональных данных;
-
подготовка рекомендаций по устранению выявленных замечаний (в том числе план первоочередных мероприятий).
Ключевые игроки рынка информационной безопасности уже объявили о готовности проводить аудит соответствия.
Привлекать специалистов целесообразно еще по одной причине. Грамотно составленный отчет об аудите послужит надежным фундаментом при регламентных проверках, проводимых как самой компанией, так и контролирующими организациями.
Соответствие требованиям
Что касается конкретных программно-технических решений по построению систем обеспечения безопасности персональных данных, соответствующих требованиям закона, то они должны базироваться на Технических требованиях по защите персональных данных, разработанных в этом году ФСБ и ФСТЭК России.
Если опустить технические детали, участники рынка должны:
-
организовать новый контур документооборота, связанный с получением согласия физических лиц на обработку их персональных данных, регистрацией баз данных в уполномоченном органе, документированием всех операций с персональными данными;
-
организовать отдельный учет (или специальную маркировку — своего рода новый гриф секретности) документов, содержащих персональные данные;
-
ввести (практически впервые в отечественной практике) максимальный срок хранения определенных документов и наладить механизмы отслеживания сроков и гарантированного регламентного уничтожения документов;
-
создать полный комплект внутренних нормативных документов, которые будут служить основой при разрешении спорных ситуаций (ожидаемых в изобилии);
-
обеспечить соблюдение определенных законом (и, кстати, весьма жестких) сроков исполнения всех обращений граждан, связанных с обработкой персональных данных.
Объем работ немалый.
КОММЕНТАРИЙ СПЕЦИАЛИСТА
Евгений Климов, начальник отдела информационной безопасности УК «Металлоинвест»
На текущий момент наиболее актуальной задачей, стоящей перед подразделением информационной безопасности любой коммерческой организации, является обеспечение соответствия требованиям Закона о персональных данных. Во многом это обусловлено решительным настроем регуляторов, что подтверждается недавним отказом Роскомнадзора в ответ на просьбу Ассоциации региональных банков России перенести сроки аудита информационных систем, связанных с обработкой персональных данных (ИСПДн), на соответствие требованиям указанного федерального закона.
Общий порядок действий коммерческих организаций, касающийся защиты персональных данных и обеспечения соответствия названному закону, включает в себя следующие мероприятия:
-
инвентаризация информационных систем, обрабатывающих персональные данные;
-
оценка законности обработки персональных данных и наличия согласий субъектов на такую обработку;
-
корректировка договоров с субъектами, заключение при необходимости дополнительных соглашений;
-
формирование перечней персональных данных;
-
определение предельных сроков и условий прекращения обработки персональных данных;
-
ограничение доступа работников предприятия и пользователей информационной системы к персональным данным;
-
документальное регламентирование работы с персональными данными;
-
формирование модели угроз персональным данным;
-
проведение работы по оптимизации информационных систем, обрабатывающих персональные данные, с целью снижения их классов;
-
классификация информационных систем персональных данных;
-
уведомление уполномоченного органа по защите прав субъектов об обработке персональных данных;
-
выбор консультанта в области защиты персональных данных;
-
приведение системы защиты персональных данных в соответствие с требованиями регуляторов;
-
аттестация (сертификация) информационной системы персональных данных;
-
лицензирование деятельности по технической защите конфиденциальной информации;
-
эксплуатация информационной системы персональных данных, мониторинг, выявление и реагирование на инциденты информационной безопасности.
Следует отметить ряд проблем, возникающих в процессе внедрения комплекса мероприятий по защите персональных данных. Если с разработкой нормативно-распорядительной документации все более-менее понятно, то выбор качественных и сертифицированных средств защиты информации и их интеграция в существующую систему управления информационной безопасностью представляет собой весьма сложную задачу. Во-первых, сертифицированных решений не так уж много, а во-вторых, лишь незначительное их количество подходит для эффективного использования в распределенной корпоративной инфраструктуре. Каким образом обеспечить баланс интересов безопасности, непонятно.
Ввиду закрытости для общего доступа методических рекомендаций ФСТЭК также не ясно, как будут проводиться проверки ИСПДн на соответствие Закону о персональных данных, на каких моментах сконцентрировать внимание при подготовке системы защиты.
Как страховым компаниям, кредитным бюро и другим участникам рынка перестраивать свои внутренние бизнес-процессы в части обмена информацией для ведения единых баз данных?
Кроме того, стоит отметить неоправданно высокую стоимость работ по подготовке компании к соответствию нормам Закона о персональных данных. По оценкам некоторых экспертов, это 2—3 млн руб. (без учета приобретения и внедрения средств защиты).
В уже упомянутом ответе на запрос Ассоциации региональных банков России Роскомнадзор официально признал, что методология сложна и затратна для большинства операторов и для устранения подобных сложностей возможны изменения в законах, касающихся персональных данных. Остается надеяться, что в ближайшее время необходимые изменения будут приняты. В противном случае обеспечить эффективную защиту персональных данных невозможно.