• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Под угрозой ФЗ-152

Истекает срок, отпущенный на приведение информационных систем, обрабатывающих персональные данные субъектов, в соответствие с требованиями Федерального закона № 152-ФЗ «О персональных данных» (как известно, он был передвинут с 1 января 2010 г. на 1 января 2011 г.). Этот «дамоклов меч» особенно ощутимо покалывает к концу года.

О карательных мерах, или Земля слухами полнится

За невыполнение требований закона предусмотрена административная и уголовная ответственность, налагаемая как на организации (юридические лица), так и на руководителей и сотрудников компании-нарушителя. По закону деятельность организации по обработке персональных данных может быть приостановлена по требованию Роскомнадзора.

Пока что карательные санкции со стороны регулирующих органов (ФСБ России, ФСТЭК России и Роскомнадзора) выражаются в «страшных» штрафах в размере 3 тыс. рублей, которые, однако, могут существенно возрасти в случае невыполнения предписаний, составленных в ходе предыдущих проверок. Этот момент был отмечен на специальной секции форума Infosecurity Russia «ФЗ-152: что еще будут менять?». Отмечалось также, что карательные меры могут усилить – как говорят, в этом году Роскомнадзор подал в правительство свои предложения по ужесточению наказания за несоблюдение ФЗ-152: повышение штрафов до 2 млн руб., дисквалификация оператора обработки персональных данных на три года, введение уголовной ответственности (до пяти лет лишения свободы). Пройдет ли это предложение в правительстве, и если да, то как скоро, никто не знает. Однако сам по себе тренд «закручивания гаек» радостным для рынка не назовешь.

С другой стороны, обозначилась тенденция либерализации, когда операторам персональных данных дается возможность разрабатывать отраслевые стандарты защиты этих данных и определять необходимую степень защиты своих информационных систем. Если никаких утечек не было и никому вред не нанесен – ради чего, собственно, и создавался закон, – то никаких претензий к оператору персональных данных быть не должно. Но если базы «утекли» и это нанесло кому-то вред, органы государственной власти хотят призвать виновных к ответу «по полной программе». «Может быть, это и правильно, – прокомментировал М. Яценко (Национальная ассоциация дистанционной торговли NAMO). – Законодатель намерен ужесточить наказание за неисполнение. Но видел ли кто-нибудь базы данных коммерческих компаний? Думаю, что никто не видел и никогда не увидит. Потому что если база данных моих клиентов перетечет к конкуренту или вообще окажется на Савеловском рынке – можно закрывать бизнес. Поэтому необходимые меры по защите персональных данных давно существуют в каждой компании. Что касается государственных органов – пожалуйста, на Савеловском рынке можно купить любую базу данных…».

Отраслевые стандарты на подходе

Среди тех, кто разрабатывает собственные отраслевые стандарты защиты персональных данных, как известно, впереди всех банки. Стандарт ЦБ РФ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» и его согласование с Роскомнадзором, ФСБ и ФСТЭК – результат совместной работы ряда общественных организаций и Главного управления безопасности и защиты информации ЦБ (в соответствии с функциями ЦБ, предусмотренными Конституцией РФ и законом о Центробанке).

В телекоме сегодня единого стандарта защиты персональных данных не существует – но работа по его созданию ведется. Так, в соответствии с техническим заданием, согласованным с Минкомсвязи России, ФСБ и ФСТЭК, Инфокоммуникационный союз разработал концепцию защиты персональных данных в информационных системах персональных данных операторов связи (проект «ТРИТОН»). По словам И. Хайрова («Академия информационных систем»), этот проект представляет собой комплекс документов для операторов связи: терминология, анализ законодательства, обобщенная информационная модель – отраслевой классификатор, высокоуровневый анализ рисков, анализ возможностей оптимизации требований по обеспечению безопасности персональных данных, анализ необходимости обеспечения безопасности персональных данных с использованием криптографических средств и др.

«В этих документах действительно учитывается специфика операторов связи», – признал И. Хайров на конференции Infosecurity. Но чуть раньше, на конференции «ИТ-безопасность в телекоме», Д. Костров (МТС) отметил, что принятие отраслевого стандарта только сейчас стало представляться реальным и это связано с возможностью создания саморегулируемой организации (СРО). «На примере ЦБ РФ можно видеть, как саморегулируемая организация способна успешно решать вопросы разработки и согласования с регуляторами отраслевого стандарта по информационной безопасности, проведения аудита ИБ, защиты в суде интересов игроков отрасли и т.п.», – заметил Д. Костров.

В СРО есть понятие добровольной сертификации: члены саморегулируемой организации сами создают стандарт, разрабатывают методику и сами проверяют себя по этой методике. Важно лишь, чтобы стандарт был согласован и утвержден «карательными органами». И если в банковской сфере «правит бал» ЦБ, то в телекоме главенствующую роль играет Минкомсвязи. А именно сейчас, по словам Д. Кострова, в министерстве появились конкретные люди, которые отвечают за эту работу – и предлагают операторам свою помощь, поддерживают инициативу создания отраслевого стандарта защиты персональных данных и СРО. «Мы думаем, что создание такой организации назрело, – резюмировал Д. Костров. – В ближайшее время мы намерены организовать Комитет по созданию отраслевого стандарта, собрать юристов наших компаний и министерства. Здесь, на наш взгляд, техническая сторона вторична, основная часть – организационно-правовая. Как только мы сделаем этот первый шаг – дальше все пойдет легче. Раньше, пока в министерстве не было поддержки, и возможности такой не было. Сейчас министерство само идет навстречу».

Первые шаги – это разработка в рамках комитета отраслевого стандарта и передача его в Минкомсвязи. Министерство, в свою очередь, направит его в ФСБ и ФСТЭК, с которыми будет вести работу по согласованию этого документа, после чего закрепит своим приказом. И тогда компании, принявшие отраслевой стандарт, смогут начать по нему работать, не опасаясь проверок.

Из других отраслей, разработавших отраслевые стандарты, можно отметить образование и здравоохранение.

Но отраслевые стандарты не отменяют необходимости знания законодательной базы. Тем более что законы меняются: 10 августа 2010 г. вступили в силу изменения, внесенные в Федеральные законы «О судебных приставах» и «Об исполнительном производстве» с уточнением порядка получения и использования судебными приставами персональных данных граждан. ФЗ-118 «О судебных приставах» дополнен нормой о том, что информация, которую обязаны предоставлять судебному приставу органы, организации, должностные лица и граждане, может содержать сведения о персональных данных физических лиц. В ФЗ-229 «Об исполнительном производстве» внесена норма о том, что полученные судебным приставом в ходе исполнения служебных обязанностей персональные данные физических лиц обрабатываются им исключительно в целях и объемах, необходимых для своевременного исполнения актов судебных и иных органов.

Если к вам пришли с проверкой

Административный регламент проведения проверок при осуществлении государственного контроля и надзора зарегистрирован в Минюсте России в январе этого года. В этом документе, описывающем процедуру проверки операторов обработки персональных данных, Роскомнадзор расширил перечень оснований для проведения внеплановой проверки – в случае выявления факта нарушения прав и законных интересов граждан действиями либо бездействием оператора и в случае нарушения оператором требований ФЗ-152 и других нормативных актов. Кроме того, напомнил И. Хайров, у ФСТЭК России есть общий административный регламент проведения проверки лицензиата, у ФСБ – типовой регламент проведения проверок выполнения требований по защите персональных данных с помощью криптосредств.

Трепет перед проверками, особенно внеплановыми, испытывают все операторы обработки персональных данных. В. Чугунов (Aladdin) провел на Infosecurity Russia мастер-класс по выбору правильной стратегии и тактики в работе с проверяющими. Во-первых, необходимо освежить в памяти все законодательные и нормативные акты, которые имеют отношение к предмету проверки, и особое внимание уделить изменениям, внесенным в нормативно-правовую базу за время, прошедшее после последней проверки. Во-вторых, обязательно отследить выполнение требований и условий, которые предъявляются к лицензиату (в частности, договоры аренды на недвижимость, на оборудование). В-третьих, важно придерживаться собственной жесткой схемы проверки. «Это уже искусство и мастерство, но тем не менее есть ряд приемов, позволяющих это сделать», – заметил В. Чугунов. В частности, необходимо назначить ответственных по направлениям (информационные системы, литература, нормативная база), проанализировать свои «слабые звенья«, предоставлять проверяющим только те документы, которые имеют отношение непосредственно к предмету проверки, – и стремиться к доброжелательному диалогу с контролерами.

Упредить «зловреда» 

Свои услуги по защите персональных данных, долженствующие снизить риски карательных санкций со стороны регулирующих органов, предлагают многие игроки рынка информационной безопасности, вендоры и системные интеграторы. Так, на конференции «ИТ-безопасность в телекоме» была представлена совершенно новая услуга Kaspersky Early Alert (проект IRIS), которая пока не предлагается в коммерческом режиме. Поскольку на организации нередко совершаются регулярные и целенаправленные атаки с целью кражи персональных данных клиентов и/или информации финансового характера, «Лаборатория Касперского» построила специализированную поисковую машину по образцам вредоносного ПО (бот-агенты, спам-письма, фишинговые ссылки). Поиск ведется по ключевым словам либо по ключевым адресам (наименование организации и продуктов, URL), которые предоставляет клиент. Компания конфигурирует алгоритм поиска, выявляет угрозы и тут же уведомляет о них клиента по электронной почте, а также предоставляет ему статистические данные о том или ином «зловреде».

В. Чугунов: «Отстроить процесс проведения проверки по вашему сценарию – это искусство»