Закон о персональных данных: что делать?

27 марта 2009 17:00

Федеральный закон № 152 «О персональных данных» был подписан Президентом РФ 27 июля 2006 г. и вступил в силу 26 января 2007 г. Законом регулируются отношения, связанные с обработкой персональных данных, в том числе осуществляемой с использованием средств автоматизации.

Цель закона благая — обеспечение защиты прав и свобод граждан. Вместе с тем операторам персональных данных (т. е. всем компаниям, которые осуществляют действия с персональными данными) этот Закон прибавляет головной боли. 

О том, чем грозит банкам вступление в силу Закона “О персональных данных” рассказывает статья Максима Малежина, менеджера отдела по предоставлению услуг в области информационных технологий и IT-рисков компании Ernst&Young.

Законом предусматривается, что все операторы, ведущие обработку персональных данных, должны были не позднее 1 января 2008 г. направить уведомление в уполномоченный орган по защите прав субъектов персональных данных. Этим уполномоченным органом является Федеральная служба по надзору в сфере связи и массовых коммуникаций. В уведомлении необходимо было подробно изложить, что оператор планирует делать с персональными данными.

На момент написания данной статьи список операторов, уведомивших об обработке персональных данных Федеральную службу по надзору в сфере связи и массовых коммуникаций, составлял 41 752 позиции. Если учесть, что число операторов персональных данных, подпадающих под действие Закона, оценивается в 6 млн, эта цифра показывает, что организации не спешат принимать меры по соблюдению положений Закона.

Тому есть немало объяснений, в частности хотя бы то, что операторам необходимо вносить изменения в бизнес-процессы, связанные с взаимодействием с субъектами персональных данных и контролирующими органами. Информационные системы персональных данных, созданные до дня вступления в силу Закона, должны быть приведены в соответствие с требованиями Закона не позднее 1 января 2010 г., поэтому также необходимо внедрение специализированных систем обеспечения безопасности персональных данных или доработка существующих информационных систем.

Между тем уже известно о намерении регулятора осуществить в этом году проверки ведущих банков, более того — первые проверки уже проводятся. Данные проверки пока касаются лишь общих вопросов соблюдения Закона, которые требуют вовлечения различных подразделений банков, включая IТ-службу, службу информационной безопасности, юристов, кадровую службу. Длительность такой проверки может достигать 30—40 дней.

В дополнение к законодательным и нормативноправовым актам Федеральная служба по техническому и экспортному контролю выпустила следующие нормативно-методические документы:

 

 

  • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных»;
  • «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

    Что характерно, в свободном доступе эти документы отсутствуют, а чтобы их получить, надо писать формальные запросы в ФСТЭК, при этом оператору необходимо обладать лицензией на деятельность по технической защите конфиденциальной информации. Зачем большинству организаций — операторов персональных данных такая лицензия, непонятно. При этом нормативнометодические документы, разработанные ФСБ России размещены в свободном доступе.

    Отметим, что проверки проводятся на основании «Приказа с типовой программой проведения мероприятия по контролю и надзору за деятельностью, связанной с обработкой персональных данных». Вопросы в этой типовой программе носят общий характер, а критерии соответствия/несоответствия отсутствуют. Ни о какой отраслевой специфике также речи не идет. Фактически получается, что нет единого документа, в котором были бы сведены все требования и на основании которого можно было бы утверждать, соответствует ли организация тем или иным требованиям или нет.

    Пока не понятно также, какие санкции будут применены к банку в случае обнаружения регулятором каких-либо несоответствий во время проверки. Ясно, что Россвязькомнадзор может угрожать рядом санкций (формально он может направить заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии), но в то, что в реальности лицензию у когото отзовут, верится с трудом.

    Но проблемы законодательства и регуляторов — это их проблемы, между тем компаниям надо в любом случае быть готовыми к выполнению требований, а у самих компаний тоже проблем немало.

    В первую очередь к таким проблемам относится отсутствие на всех уровнях, начиная с руководства, осознания необходимости принятия каких-либо мер внутри организации. Вторая проблема — это отсутствие понимания, что именно нужно делать. Данная проблема тесно связана с отсутствием адекватного кадрового обеспечения (силами только одного подразделения, будь то служба информационной безопасности, экономической безопасности или юридическая служба, задачу соответствия закону не решить). Есть еще одна проблема: обеспечение соответствия закону — мероприятие затратное, что в эпоху экономического кризиса приобретает особенную остроту.

    Следующий пласт потенциальных проблем — отношения с третьими сторонами, в рамках которых происходит обмен персональными данными, в том числе трансграничный (например, с платежными системами), не говоря уже о собственно субъектах персональных данных, чье согласие на обработку данных надо получать.

    Какие же выводы следует сделать из всего вышесказанного?

    1. Логично ожидать выпуска документа, содержащего формальные организационные и технические требования к операторам персональных данных, так как без такого документа затруднительно соответствовать Закону.

    2. Учитывая, что на данный момент таких требований не выработано, а Закон предписывает привести информационные системы в соответствие с 1 января 2010 г., можно сделать предположение, что этот срок будет отодвинут.

    3. При этом Закон никто не отменял и сроки пока никто не отодвигал, поэтому организациям так или иначе надо принимать меры по защите персональных данных, хотя бы те, которые очевидны уже сейчас.

    Итак, что же можно сделать?

    В первую очередь необходимо назначить ответственных людей, причем лучше в виде некоего комитета, так как компетенции одного человека может быть недостаточно для рассмотрения вопросов в комплексе. Он должен уведомить Россвязькомнадзор о том, что банк является оператором персональных данных, и в дальнейшем этот комитет будет вести работу с регулятором, в том числе принимать участие в проверках.

    Далее следует определить, где в банке обрабатываются персональные данные и какие именно это данные. Стоит сделать упор на том, для чего информационные системы банка были созданы и как используются, какие персональные данные в них обрабатываются и откуда они получены, кто имеет доступ к персональным данным, возможно ли технически в рамках данных систем реализовать варианты реагирования на запросы субъектов персональных данных.

    Уже на этом этапе можно обнаружить много интересного и, возможно, отказаться от обработки персональных данных в некоторых системах, а также увидеть, что многие персональные данные обрабатываются в системах, где осуществляется обработка информации, составляющей банковскую тайну, в отношении которой уже внедрены соответствующие меры, т. е. комплекс мер по приведению систем в соответствие уже частично реализован. Затем, базируясь на результатах такого анализа, следует классифицировать системы, в которых обрабатываются персональные данные, благо методологические документы ФСТЭК позволяют это сделать.

    Кроме того, для каждой из классифицированных систем необходимо разработать модель угроз, опять же, базируясь на документах ФСТЭК. На этом этапе можно откинуть неактуальные угрозы и, соответственно, снять с себя лишние проблемы, связанные, например, с внедрением средств защиты от утечек информации по техническим каналам связи.

    Из полученных моделей угроз станет ясно, какие меры и средства защиты каждой из систем, а также какие меры общего характера следует принимать, — соответственно, можно разработать требования к системе защиты персональных данных.

    Следующим шагом должно стать уже непосредственно внедрение комплекса мер и средств защиты, т. е. системы защиты персональных данных, которая будет включать в себя как документы, процессы, организационные моменты, так и технические средства. Безусловно, здесь есть ряд пока недостаточно проработанных вопросов, в частности использование криптографии, осуществление трансграничного обмена, защита информации от утечки по техническим каналам и т. д. Тем не менее процессы управления доступом к системам сетевой безопасности, антивирусной защиты, резервного копирования и восстановления после сбоев, а также прочие стандартные процессы вполне могут быть реализованы на практике без обращения за дополнительными разъяснениями.

    Далее необходимо внедрить процедуру постоянного мониторинга системы, а также проводить регулярный аудит ее соответствия изначально заложенным требованиям и вносить изменения, направленные на совершенствование системы. Но это — уже более отдаленная перспектива.

    Для банков задача соответствия упрощается при внедренной согласно требованиям СТО БР ИББС системе обеспечения информационной безопасности (СОИБ) — основные процессы и технические средства, а также философия системы ни в коей мере не противоречат требованиям Закона о персональных данных и могут быть успешно адаптированы для соответствия этим требованиям.

    В целом, несмотря на очевидные проблемы реализации Закона на практике, поводов для паники нет, ведь практически весь мир уже сталкивался с подобными законодательными требованиями и при этом живет и здравствует. Другое дело, что некоторые вещи могли бы быть сделаны по-другому, но в России принято создавать трудности, чтобы потом их успешно преодолевать…

     

     



  • © 2020 БАНКОВСКИЕ ТЕХНОЛОГИИ
    Первое издание на российском рынке, посвященное информационным технологиям для банков.
    Москва, Проспект Мира, д.3, корп. 1
    +7 (495) 120-81-42
    info@int-bank.ru

    Свидетельство СМИ ФС77-39103 от 11 марта 2010 года.
    По вопросам сайта просим обращаться к администрации сайта: info@int-bank.ru.
    При использовании материалов необходимо давать ссылку на www.banktech.ru.