ЕЖЕГОДНАЯ осенняя конференция Новосибирского клуба ИТ-директоров была впервые в истории посвящена всем аспектам информационной безопасности. Один из основных блоков касался нюансов обработки и защиты персональных данных, операторами которых являются любые организации и ИП, обрабатывающие персональные данные как своих работников, так и клиентов.
Как предварил пленарную часть председатель Новосибирского клуба ИТ-директоров Сергей Голубицкий, тема информационных технологий в ближайшие 10-15 лет будет являться наиболее сильным экономическим трендом. Тогда как сегмент информационной безопасности останется наиболее перспективным направлением рынка ИТ. Такие тревожные слова, как «целевая атака», «киберугроза», «инсайдер» и т. п., сегодня стали актуальны для всей страны. Поскольку хороших «айтишников» мало, а крепких «информационных безопасников» еще меньше, экспертам критически важно иметь возможность своевременно повышать уровень знаний и обмениваться опытом в сфере защиты технологических сетей и систем передачи данных.
Защита с точки зрения государства
Начальник 6-го отдела ФСТЭК (Федеральной службы по техническому и экспортному контролю) по СФО Валентин Селифанов изложил точку зрения на обработку ПДн регулирующего органа. Согласно Федеральному закону № 152 от 27.07.2006 года с изменениями, внесенными в 2015 и 2016 гг., оператор информационной системы берет на себя все риски, связанные с защитой обрабатываемых у него ПДн.
СОГЛАСНО тому же закону, недовольный субъект ПДн, чьи данные хранятся в данной системе, имеет право обращаться с жалобами в регулирующие органы, которые обязаны провести проверку сигнала. Не говоря о том, что такие заявления могут быть инициированы профессиональными жалобщиками или агрессивно настроенными партнерами или конкурентами. В результате бухгалтеры, юристы, менеджеры по персоналу подвергшейся проверке организации могут выпасть из работы на два-три дня.
Предотвратить проверку нельзя. Как хотя бы обезопасить себя от ее последствий?
Для определения уровня защищенности следует провести аудит системы защиты ПДн. А на ее основе сделать оценку возможного ущерба и перечень обязательных и компенсационных мер защиты. Без создания модели угроз, составления технического задания и технического проекта нормальной системы не выстроить и даже нормального интегратора не привлечь.
За защиту ПДн и информационную безопасность рекомендовано назначить два отдельных ответственных лица.
Внутренний регламент защиты информационной системы должен основываться на требованиях к защите ПДн, установленных постановлением правительства РФ № 1119 и приказом ФСТЭК № 21.
До июля 2017 года все средства защиты информации должны сертифицироваться только через лицензионный орган (ФСТЭК). После установка системы может выполняться самостоятельно при условии выполнения определенных требований.
При хранении информации в облаках и использовании SAAS (ПО как услуга) необходимо распределить ответственность с провайдерами. При найме специализированного интегратора также необходимо разграничить уровни ответственности.
Даже если поручить установку системы специализированному интегратору, не контролировать процесс нельзя. Как прокомментировал Валентин Селифанов, «если оператора не контролировать, он начинает наглеть. В крайнем случае, жалуйтесь в ФСТЭК».
Необходимо учитывать, что различные версии антивирусных программ, включая продукты DrWeb и «Лаборатории Касперского», имеют разные классы защищенности.
Таким образом, оператору необходимо обеспечить защиту информации и ограничение доступа в соответствии с законом. Отступление от требований считается административным нарушением, за которое следуют санкции, включая штраф и приостановление работы информационной системы. Не говоря о том, что раз в три года согласно требованиям ФСТЭК уровень угроз должен пересматриваться.
Защита с точки зрения оператора
Начальник отдела по защите информации ТФОМС Свердловской области, член АРСИБ (Ассоциации руководителей информационной безопасности) Константин Саматов поделился опытом подготовки к проверкам регуляторов с точки зрения операторов персональных данных. Он отметил, что законодательные нормы в области защиты ПДн могут трактоваться неоднозначно. В результате есть разрыв между непониманием операторами, что им относить к ПДн, и толкованием этого регуляторами.
На сегодня, с учетом судебной практики, к ПДн относятся такие сведения, как: паспортные данные; адрес электронной почты (если в нем указаны имя и фамилия); данные техпаспорта на жилье; адрес места жительства ИП; сведения о пересечении границы; адрес регистрации должностного лица; данные работника из трудового договора; IP-адрес. А также расовая и национальная принадлежность, состояние здоровья, интимной жизни, наличие судимости и биометрические ПДн, используемые оператором для установления личности.
Нюансы
Прежде чем начать обрабатывать ПДн, нужно получить письменное разрешение субъектов персональных данных или иметь для этого другие установленные законом основания. Даже фото ответственных сотрудников на сайте организации должны быть размещены с их согласия. А субъекты вправе отозвать свое разрешение на обработку ПДн.
Перед началом обработки персональных данных следует направить уведомление об этом в Роскомнадзор. От этого освобождены лишь организации, обрабатывающие данные только своих сотрудников (ч. 2 ст. 22 ФЗ «О защите персональных данных»).
Не допускается объединение систем обработки ПДн для различных целей (например, информационных систем ПДн клиентов и сотрудников). На каждую из информационных систем ПДн должны быть составлены акты определения уровня защищенности и модели угроз.
Политика организации в области защиты ПДн должна быть размещена в открытом доступе (например, на официальном сайте или стенде). С сентября 2016 года требования дополнены необходимостью уведомления о месте обработки ПДн. За нарушение требований по защите персональных данных предусмотрена административная ответственность.
Свои особенности имеет фото- и видеофиксация физических лиц. До момента установления лица по видеозаписи (например, идентификация нарушителя правоохранительными органами) такие данные биометрическими не считаются. Фото без имени или указание фамилии, имени и отчества без фото к биометрическим ПДн не относятся. Так же, как и фото в личном деле и подписи в договорах, предусмотренные Трудовым кодексом РФ. Ответственность за видеонаблюдение должна быть прописана в должностных инструкциях.
Поскольку понятия недостоверных ПДн в законе нет, обязанность их проверки со стороны оператора не установлена. Но от обязанности защиты персональных данных это оператора не освобождает.
О регуляторах и проверках
Как подчеркнул Константин Саматов, основными регуляторами, которые проводят проверки операторов ПДн, являются Роскомнадзор, ФСТЭК и ФСБ. При этом два последних следят лишь за операторами государственных информационных систем. Проверки, как и везде, бывают плановые (проверка документов) и выездные. Планы проверок размещаются на сайтах регуляторов и дублируются на сайте Генеральной прокуратуры РФ.
Если вас включили в план, рекомендуется:
уточнить нюансы у партнеров и коллег, проходивших проверку;
провести внутренний аудит документации и информационных систем на предмет их соответствия требованиям законодательства в данной сфере;
подготовить необходимый комплект документов, включая модели угроз (для ФСБ, ФСТЭК), акты определения уровня защищенности, формуляры и сертификаты на средства защиты информации, документы по обрабатываемым категориям ПДн (уведомления в Роскомнадзор) и политику обработки ПДн. Документы, подтверждающие ознакомление сотрудников с внутренними регламентами защиты ПДн. Перечень лиц, имеющих доступ к ПДн (с уровнем доступа). А также перечень информационных систем ПДн.
По опыту Константина Саматова, объем документов на одну организацию составил около 1000 листов.
О результатах
На сегодня отсутствие штрафа или акт с формулировкой «ведется с отдельными отступлениями» — очень хороший результат. Как показывает практика, проведение любого контрольно-надзорного мероприятия не лишено определенного субъективизма. Поэтому в большинстве случаев, даже при хорошо организованной системе защиты информации, небольшие замечания делаются операторам ПДн достаточно часто.
