|
|
Обзор
Рынок ИТ: итоги 2007Обзор подготовлен
При поддержке
Под обработкой персональных данных понимается практически все действия, которые можно с ними осуществлять — начиная с собственно получения и заканчивая уничтожением. При этом «Федеральная служба по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия» должна знать, где находятся приватные данные и как их обрабатывают операторы. Для этого была принята специальная форма уведомления и рекомендации по ее составлению. Однако хотя у регулятора появилось понимание требований, которые надо выдвигать к обеспечению безопасности обработки персональных данных, до их конкретизации дело так и не дошло.
К началу второго года действия Федерального закона «О персональных данных», после выхода двух постановлений и одного распоряжения Правительства РФ, стала проясняться картина, что же государственные регуляторы понимают под обработкой этих данных и обеспечением их безопасности.
Выяснилось, что операторами персональных данных являются все-таки все юридические лица России, имеющие, как минимум, кадровую службу. А, как максимум, одну или несколько баз данных физических лиц, не являющихся работниками организации (предприятия), предприниматели, нанимающие рабочую силу, журналисты, ведущие досье на граждан в интересах своей профессиональной деятельности и некоторые другие. Все (пока, во всяком случае) операторы персональных данных должны иметь лицензию на техническую защиту конфиденциальных сведений, выдаваемую в соответствии с положением, утвержденным Постановлением Правительства РФ № 504-2006 года.
Под обработкой персональных данных (ПД), согласно Закону, понимается практически все, что с ними можно сделать — начиная с собственно получения тем или иным способом и заканчивая уничтожением или обезличиванием. А уполномоченным органом по защите прав субъектов персональных данных стала «Федеральная служба по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия» (Россвязьохранкультура). Именно этот государственный орган, а также его подразделения в субъектах Федерации, теперь хотят и должны знать, где находятся приватные данные, а также, что и на каких основаниях обрабатывают эти самые операторы. Для этого была принята специальная форма уведомления и рекомендации по ее составлению.
В государственных регуляторах появилось понимание требований, которые надо выдвигать к обеспечению безопасности обработки персональных данных, но до их конкретизации (в виде утвержденных документов) дело так и не дошло, а когда дойдет — пока не известно.
Постановление Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» определило, что ФСБ России и ФСТЭК должны в трех месячный срок (с момента выхода Постановления) утвердить в пределах своей компетенции нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением.
Прошло 17 февраля 2008 года (дата принятия), потом 25 февраля (дата опубликования), но актов и документов, которые с замиранием сердца ждут операторы, поставщики услуг и отдельные продвинутые граждане, так и не появилось. Что ж, народ у нас в стране терпеливый, будем ждать. А пока можно поразмышлять, что нас, возможно, ждет впереди?
Из текстов Федерального закона и Постановления № 781 уже ясно, что для защиты персональных данных и обеспечения их конфиденциальности операторам, действительно, придется принимать организационные и технические меры, к которым относятся (но которыми не исчерпываются) перечисленные ниже.
Сначала об организационных мерах. Они предусматривают обязательное прохождение средствами защиты ПД процедур оценки соответствия (для не криптографических средств) и тематических исследований (для криптографических). Т.е. сертификации в рамках существующей в стране системы или какой-то новой, которую кто-то должен создать.
Все информационные системы персональных данных (ИСПД) должны быть классифицированы силами самого оператора по правилам, которые совместно будут сформулированы ФСБ, ФСТЭК и Мининформсвязи России. Доступ в помещения, где обрабатываются персональные данные, и к их носителям (в том числе машинным) должен быть ограничен режимными мерами.
Каждому оператору необходимо сформировать модель угроз безопасности ПД на основе некой типовой модели, которую определят регуляторы. После этого, в соответствии с этой моделью, создать и описать систему защиты, обеспечивающую нейтрализацию угроз для соответствующего класса ИСПД.
Затем выбрать для этой системы средства защиты персональных данных (СЗПД), проверить готовность к их использованию и составить заключения о возможности эксплуатации таких средств. Сами же СЗПД, эксплуатационная и техническая документации к ним, носители ПД должны быть учтены (видимо, по формам, которые появятся в методических документах).
Обязательным будет учет лиц, допущенных к работе с персональными данными в ИСПД, организации их доступа к данным должна производиться на основании утвержденного руководителем организации списка, необходимо обучение лиц, использующих СЗПД, правилам работы с ними.
Предусматривается организация контроля над соблюдением условий использования СЗПД, проведение разбирательств и составление заключений по фактам несоблюдения условий хранения носителей ПД и/или использования СЗПД, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
Технические меры защиты должны быть направлены на предотвращение несанкционированного доступа (НСД) к персональным данным в информационных системах и обнаружение попыток такого доступа, а также недопущение воздействия на технические средства автоматизированной обработки ПД, в результате которого может быть нарушено их функционирование.
Должна обеспечиваться возможность незамедлительного восстановления этой информации, модифицированной или уничтоженной вследствие НСД к ним, и регистрация автоматизированными средствами запросов пользователей ИСПД на получение данных, а также предоставление сведений по этим запросам.
Из всего этого кажется очевидным вывод, что тем предприятиям и организациям, которые не готовы принять риски, связанные с санкциями государственных органов, входящих в систему контроля и надзора за обработкой персональных данных, пора незамедлительно принимать неотложные меры, которые схематично можно свести к следующему.
Во-первых, начать надо с выявления наличия информационных систем, обрабатывающих персональные данные и определения оснований для их обработки, особенно в вопросе передачи третьим лицам, если письменное согласие субъектов на это отсутствует. А это так и будет в большинстве случаев!
Для выявленных информационных систем придется определить всех пользователей и документально оформить их допуск к работе с ПД в виде утвержденного руководителем организации (предприятия) списка.
Там, где это требуется (т.е. где нет договора с субъектом и прямого основания для обработки в одном из федеральных законов), придется искать способы получения согласия субъектов, и добывать эти самые письменные согласия.
Во-вторых, весьма целесообразно было бы определить конкретный состав персональных данных для каждой ИСПД, т.е. сформировать перечни ПД применительно к особенностям их обработки каждым оператором.
Следующими шагами должны стать анализ существующих мер защиты, используемых в ИСПД, определение того, что нужно сделать для приведения их в соответствие с требованиями закона и Постановления Правительства, а также практическая реализация таких мер.
Если конкретный оператор не подпадает под исключения, предусмотренные законом, придется подготовить и направить в Россвязьохранкультуру уведомление об обработке персональных данных.
Конечно, можно всего этого не делать и ждать, пока система заработает в полную силу. Но для некоторых операторов это чревато. Чревато санкциями, вплоть до уголовной ответственности. В уполномоченном органе говорят, что жалоб граждан для начала судебного преследования уже накопилось достаточно.
Михаил Емельянников