Защита персональных данных: откладывать больше нельзя
Закон "О персональных данных" (№152-ФЗ) поставил перед большинством российских компаний сложнейшую задачу, которую предстоит решить уже в этом году. Серьезность государства в этом вопросе очевидна: сформирована нормативная база, определена ответственность, контролирующие органы получили соответствующие полномочия, растет количество проверок. Между тем, сегодня далеко не все компании, обрабатывающие персональные данные, осознают необходимость их защиты и до конца понимают реальность и масштаб рисков невыполнения закона.В соответствии с достаточно понятными критериями, каждый вид ПДн относится к определенной категории, а каждая система, обрабатывающая ПДн, должна быть отнесена к конкретному классу. На класс влияет категория данных и другие признаки (распределенность информационной системы, количество записей ПДн в ней и т.д.). Очевидно, что уровень защищенности ИС должен соответствовать критичности данных. Именно поэтому для различных классов вводятся разные требования по степени защиты. Итак, чем менее детальную информацию можно получить о субъекте ПДн, чем меньше записей в системе и чем менее она распределена – тем ниже требования к защитным механизмам. С практической точки зрения крайне важно представить систему ПДн как относящуюся к "низшему" классу. Это позволит минимизировать затраты на обеспечение защиты персональных данных.
Ответственность за нарушение закона
Ответственность при невыполнении требований закона, увы, достаточно серьезна, чтобы, по крайней мере, принять ее к сведению. Проанализировав КоАП РФ и УК РФ, можно выделить ряд статей, в соответствии с которыми будет определяться ответственность за нарушение требований по защите ПДн. КоАП Статья 5.39 – отказ в предоставлении гражданину информации. Ответственность – штраф до 1 000 руб., но также это может явиться основанием для ответственности по статье 3.12 (Административное приостановление деятельности). КоАП Статья 13.11 – нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах. Ответственность – штраф до 1 000 руб.
КоАП Статья 13.12 – нарушение правил защиты данных. Ответственность – штраф от 10 000 до 20 000 руб. с конфискацией несертифицированных средств защиты информации или административное приостановление деятельности на срок до 90 суток. УК Статья 137 – нарушение неприкосновенности частной жизни. Ответственность может доходить до штрафа в размере ЗП осужденного за 18 месяцев или ареста на 6 месяцев. УК Статья 140 –отказ в предоставлении гражданину информации. Ответственность – штраф до ЗП за 18 месяцев либо лишение права занимать ряд должностей или заниматься определенной деятельностью. УК Статья 171 – незаконное предпринимательство. Ответственность – до 5 лет лишения свободы со штрафом в размере ЗП осужденного за 6 месяцев.
Подчас приходится слышать, что пока эти статьи не работают и реального преследования никто осуществлять не собирается. Увы, это не совсем так – правоприменительная надзорная практика уже начинает складываться. Давайте представим несколько типичных ситуаций.
Пример №1. Компания получает письмо от гражданина, данные которого ранее получила и включила в свои базы, с просьбой предоставить ему информацию о том, как ведется обработка его ПДн. Что им движет – непонятно. Возможно, искренний интерес, возможно, природная любовь к конфликтам, а может и недобрый умысел. В любом случае он имеет право на такое обращение в соответствии со статьей 14, частью 4 закона №152-ФЗ. Но компания не готова к тому, чтобы дать исчерпывающий ответ в отведенное время. Она не предоставляет затребованную информацию или предоставляет ее не полностью. Клиент, не получив в указанные в законе сроки ответ, обращается с жалобой в Роскомнадзор. Тот направляет в органы прокуратуры запрос о возбуждении уголовного дела в связи с нарушением прав субъекта персональных данных. Возможная ответственность: по КоАП ст.5.39 или по УК ст.140. И вот у вас под дверью прокурорская проверка.
Пример №2. Компания поспешно регистрируется в качестве оператора персональных данных. При этом многие аспекты опускаются или оставляются на будущее. В определенный момент компания получает предписание из Роскомнадзора о проверке информации, указанной в заявке на регистрацию в качестве оператора. При документальном изучении дополнительных данных Роскомнадзор делает предварительный вывод о недостаточности мер по защите ПДн. Например, сотрудникам Роскомнадзора не предъявляются копии сертификатов на средства защиты информации, не демонстрируются лицензии ФСТЭК, ФСБ или документы, описывающие модель угроз и поведение потенциального нарушителя. После чего Роскомнадзор направляет обращение в ФСТЭК и/или ФСБ по вопросу проведения внеплановой проверки организации с целью выяснения степени выполнения требований по обеспечению защиты ПДн.
Перед руководством встает классическая дилемма: использовать для защиты ПДн ресурсы собственных сотрудников или привлекать компанию-консультанта
В ходе проверки выявляется, что данная организация эксплуатирует информационную систему определенного класса и в связи с этим должна была получить лицензию на деятельность по технической защите конфиденциальной информации ФСТЭК. Лицензии данная организация не имеет, и работ по ее получению она не начинала. ФСТЭК направляет отчет о проверке в Роскомнадзор, который, в свою очередь, направляет в органы прокуратуры или другие правоохранительные органы материалы для решения вопроса о возбуждении дела. Возможная ответственность: по КоАП ст.13.12 или по УК ст.171.
Необходимо отметить и тот факт, что в УК РФ уже внесены изменения (статья 137), ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни. Они вступят в силу с 1 января 2010 года.
Чем регламентирована защита ПДн
Все законодательные и нормативные акты по защите ПДн можно разбить на две группы: общедоступные и закрытые. Перечень общедоступных правовых актов известен, но и к закрытым документам доступ получить несложно. По сути, это методические рекомендации, которым оператор ПДн должен следовать. Выпустил эти руководящие документы ФСТЭК, они носят гриф "Для служебного пользования", но предоставляются всем заявителям. Так что для их получения достаточно письменно обратиться в подразделение ФСТЭК по месту нахождения организации. Документы следующие: "Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн (информационной системе персональных данных)"; "Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн"; "Базовая модель угроз безопасности ПДн при их обработке в ИСПДн"; "Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн". К открытым специальным актам по данной теме относятся также руководящие документы ФСБ, которые можно найти по ссылке http://www.rsoc.ru/main/directions/874/916.shtml. Там же опубликован ряд открытых актов по ПДн, а также документы Роскомнадзора, регулирующие порядок регистрации оператора персональных данных.
Даже если построением системы занимается сторонняя компания, запрос на получение документов направить нужно. Причина проста – в случае проверки предприятие будет гораздо лучше выглядеть в глазах сотрудников ФСТЭК или ФСБ, если они увидят номерные копии руководящих документов среди прочей документации по проекту построения защиты ПДн. Если даже проверка выявит какие-то огрехи, будет учтено, что вы честно пытались разобраться, привлекали людей, изучали руководящие документы, закупали сертифицированные средства защиты. Все это, безусловно, сгладит возможные последствия.
Требования к средствам защиты ПДн
Закон предполагает, что оператор применяет специализированное программное и аппаратное обеспечение в процессах сбора, обработки, передачи и хранения ПДн. Как уже упоминалось, средства защиты ПДн должны обладать сертификатами ФСТЭК или ФСБ. К счастью, регулярно обновляемые реестры всех этих средств доступны на официальных сайтах ФСТЭК и ФСБ. Государственный реестр сертифицированных средств защиты информации № РОСС RU.0001.01БИ00: http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls. Перечень средств защиты информации, не содержащей сведений, составляющих государственную тайну: http://www.fsb.ru/fsb/supplement/contact/lsz/perechen.htm.
В списках преобладают продукты отечественных производителей, но в последнее время все больше западных решений успешно проходит действующие системы сертификации. Так что с каждым годом выбор средств все более расширяется. Вполне реальна ситуация, когда в реестре упоминается средство, аналогичное тому, что уже установлено в компании, но не прошло процедуры сертификации. Если так, то это средство не будет рассматриваться проверяющим как надлежащий механизм защиты ПДн. Выходов в такой ситуации два: или переходить на использование сертифицированных средств или подавать на сертификацию уже применяемые. К сожалению, сертификация – очень непростая процедура, требующая вовлечения специализированной аккредитованной тестовой лаборатории, подготовки объемной документации о возможностях системы, предоставления исходных кодов. Кроме того, это может потребовать ощутимых расходов и займет не менее 6 месяцев.