Структура государственного регулирования - январь 2009 г.
Емельянников М.
До 1 января 2010 г. остался один год. Это — срок, установленный Федеральным законом «О персональных данных» для приведения информационных систем персональных данных в соответствие с новым законодательством, в первую очередь их подсистем информационной безопасности, так как именно к ним выдвигаются конкретные требования. Изменений законодательства не предвидится, поэтому времени не осталось совсем. Что нужно сделать?
Структура государственного регулирования
Требования к обеспечению безопасности обработки персональных данных содержатся в значительном количестве документов различного уровня. Федеральный закон от 27.07.06 г. № 152-ФЗ «О персональных данных» ограничивается лишь тем, что ст. 19 устанавливает норму, в соответствии с которой «опера-тор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».
Это означает, что к персональным данным в полном объеме предъявляется классическая триада требований информационной безопасности — обеспечение целостности, доступности и конфиденциальности. Формирование собственно требований к обеспечению безопасности персональных данных Законом № 152-ФЗ возложено на Правительство Российской Федерации, которое уже приняло три постановления по данному вопросу:
— от 17.11.07 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
— от 6.07.08 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
— от 15.09.08 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
В постановлениях даны наиболее общие, на высоком уровне требования, которые затем конкретизируются в нормативно-методических документах ФСТЭК, ФСБ и Мин.информационной связи России.
К последним относятся:
— совместный приказ ФСТЭК, ФСБ и Мин.информационной связи от 13.02.08 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
— нормативно-методические документы ФСТЭК России, определяющие порядок формирования модели актуальных угроз персональным данным и проведения мероприятий по организационному и техническому обеспечению безопасности персональных данных (без использования криптографических средств защиты информации) при их обработке в информационных системах;
— нормативно-методические документы ФСБ России, регламентирующие порядок применения криптографических средств для защиты персональных данных и содержащие рекомендации по выполнению этих работ.
Кроме указанных документов «прямого действия» для осуществления работ по обеспечению безопасности обработки персональных данных должны выполняться положения и других документов, общих как для всей системы регулирования информационной безопасности в нашей стране, так и для работ, касающихся защиты сведений ограниченного доступа. Они имеют примерно такую же иерархическую структуру, как было указано выше. В качестве примеров можно привести федеральные законы «Об информации, информационных технологиях и о защите информации» и «О лицензировании отдельных видов деятельности», указы Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» и «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена», постановления Правительства Российской Федерации «О лицензировании деятельности по технической защите конфиденциальной информации» и «О сертификации средств защиты информации», нормативные документы ФСБ России — «Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» и руководящие документы ФСТЭК России, выдвигающие требования к системам предотвращения несанкционированного доступа и межсетевым экранам. Использование всех этих документов будет необходимо для конкретизации требований к информационным системам персональных данных (ИСПДн) и проектирования их подсистем безопасности.
Необходимые шаги
Для приведения обработки персональных данных в соответствие с требованиями законодательства в первую очередь надо выявить в информационной системе те подсистемы, которые обрабатывают персональные данные. Их окажется гораздо больше, чем могло показаться. Но, безусловно, к ним необходимо будет отнести систему бухгалтерского учета, позволяющую рассчитывать заработную плату и другие доходы работников. Найти сейчас организацию, где это делается вручную, практически невозможно. Это и весьма популярная «1С» практически во всех модификациях, «Турбо Бухгалтер» и «Инфо Бухгалтер» и др. Кроме серверов в ИСПДн будут входить рабочие станции, с которых осуществляется доступ к бухгалтерскому серверу, а также ряд других серверов, обеспечивающих возможность работы с этими приложениями в сети.
В банках к ИСПДн в силу особенностей обработки следует отнести практически все автоматизированные банковские системы (АБС), в страховой компании — базу данных клиентов и договоров страхования. Все эти системы должны быть классифицированы в соответствии с приказом ФСТЭК, ФСБ России, Мин.информационной связи России (ИСПДн, четыре класса, которые устанавливаются в зависимости от количества и категории обрабатываемых персональных данных). Для каждой системы должна быть сформирована актуальная модель угроз информационной безопасности.
Для нейтрализации актуальных угроз необходимо принять контрмеры, выбрать средства защиты информации, реализующие функционал, определенный в нормативных документах ФСТЭК и ФСБ России, причем не просто средства, подходящие по характеристикам, а обязательно сертифицированные по требованиям ФСТЭК или ФСБ России.
Практически на всех этапах деятельность по построению подсистемы безопасности должна оформляться документально, начиная с классификации и не заканчивая описанием системы защиты, обеспечивающей нейтрализацию угроз для соответствующего класса ИСПДн, и заключением о возможности эксплуатации средств защиты персональных данных. При этом неизбежно встанет вопрос об использовании встроенных в операционные системы и соответствующие приложения механизмов безопасности. Сделать это можно только в том случае, если данные механизмы сертифицированы или готовы к сертификации в системах ФСТЭК (для не криптографических средств) или ФСБ России (для средств криптографической защиты). Учитывая требование об обязательной аттестации (сертификации) ИСПДн первого и второго классов, сертификационные испытания должны быть закончены до представления системы на аттестацию. Следует отметить, что построение системы технической защиты персональных данных — дело очень сложное, дорогостоящее и длительное.
Проблемы не технические
В ходе работ по приведению обработки персональных данных в соответствие с требованиями законодательства неизбежно возникнет ряд проблем, которые не решаются техническими средствами. Ключевым вопросом является оценка наличия предусмотренных законодательством оснований для обработки персональных данных, а в случаях когда они отсутствуют — получение согласия субъекта. При этом согласно Закону № 152-ФЗ обязанность предоставить доказательство о получении согласия субъекта персональных данных на их обработку возлагается на оператора, т.е. в рассматриваемых в статье случаях — на предприятие-работодателя, банк или страховую компанию.
Во многих банках оценили риски, связанные с нарушением законодательства о персональных данных, и в договорах с клиентами — физическими лицами появились положения примерно следующего содержания:
«Настоящим даю свое согласие банку на обработку своих персональных данных в соответствии с требованиями Федерального закона «О персональных данных» и на получение банком необходимой информации из Бюро кредитных историй в соответствии с Федеральным законом от 30.12.04 г. № 218-ФЗ «О кредитных историях». Однако иногда банки толкуют положения данного закона весьма широко и фактически принуждают клиента к согласию на обработку, не предусмотренную законом. Примером может служить выдержка из типового договора одного из банков:
«Банк и Заемщик обязуются не разглашать каким-либо способом третьим лицам информацию, ... включая персональные данные Заемщика, за исключением случаев, предусмотренных законодательством Российской Федерации и настоящим Договором, в том числе иным лицам, в процессе осуществления и защиты Банком своих прав, обязанностей и законных интересов, когда предоставление персональных данных происходит в соответствии со сложившимся обычаем делового оборота». В законе нет такого основания для передачи персональных данных, как обычаи делового оборота, не указаны и третьи стороны, которым персональные данные заемщика предполагается передавать, да и защита своих интересов банком заемщика волновать не должна.
В страховых компаниях проблемы осложняются тем, что в договорах страхования зачастую указываются персональные данные не только страхователя, но и застрахованного лица и выгодоприобретателя, которые согласия на обработку своих данных компании не давали. То же самое касается договоров, которые заключаются работодателями в интересах работников (например, добровольного медицинского и пенсионного страхования, страхования несчастных случаев). При этом согласие работников на передачу персональных данных никак не оформляется, что в случае конфликта может привести к искам субъектов персональных данных как к работодателю, так и к страховой компании.
Особое внимание следует уделить передаче персональных данных третьим лицам как с точки зрения наличия основания для такой передачи, предусмотренного законами Российской Федерации или в виде согласия субъекта (например, закрепленного в договоре на оказание услуг), так и с точки зрения обязательного наличия договора с этим третьим лицом, существенным условием которого должна быть обязанность обеспечения указанным лицом конфиденциальности и безопасности персональных данных при их обработке.
Таким образом, в ходе работ по приведению обработки персональных данных в соответствие требованиям Закона № 152-ФЗ их важными составными частями должны стать анализ договорной работы и, при необходимости, корректировка договоров как с физическими, так и с юридическими лицами в части обработки персональных данных, и особенно их передачи третьим лицам.
Необходимо внимательно подойти и к использованию вэб-форм для сбора персональных данных физических лиц, что активно практикуется банками и страховыми компаниями в целях привлечения клиентов, предварительной оценки возможности кредитования, расчета стоимости страховых премий и т.п. В большинстве случаев доказать наличие согласия субъекта на обработку персональных данных, полученных таким способом, вряд ли удастся.
Заключение
В Законе № 152-ФЗ установлен предельный срок, до которого должна быть завершена работа по приведению информационных систем персональных данных, созданных до дня вступления в силу закона — 1 января 2010 г. В связи с этим предстоит сложная, трудоемкая и недешевая работа. Для страховых компаний и банков, чей бизнес напрямую связан с обработкой персональных данных физических лиц, риск нанесения ущерба в случае санкций регуляторов, осуществляющих государственный контроль и надзор, весьма велик — от привлечения к ответственности организации и ее должностных лиц до требований о приостановке обработки персональных данных или прекращения ее вообще, что фактически означает остановку операционной деятельности.
М.Емельянников, директор по развитию бизнеса компании «Информзащита»
Финансовая газета № 1, 2009 г., c.14-15; № 2, 2009 г., c.14
Обзор страхового рынка 2009 г.
