Защита персональных данных: как рынку вырваться из противоречий?

Федеральный закон № 152-ФЗ от 27.07.2006 "О персональных данных" действует уже четыре года, однако в части выполнения технических требований вступление его в силу постоянно откладывается – на сей раз до 1 июля 2011 г. При этом в полном объеме к нему не готовы ни операторы, ни регуляторы. В ближайшее время ожидается принятие поправок, которые сделают его исполнение более реальным. О том, что они изменят, в чем основные сложности, насколько они преодолимы и как компаниям все же "соблюсти букву закона", говорили участники круглого стола "Защита персональных данных: помогут ли отсрочки, организованного CNews Analytics совместно с CNews Conferences.

страницы:

Социальные сети — это вообще отдельная тема. На сегодня это самые большие хранилища персональных данных, причем люди передают их туда совершенно добровольно. Многие из них, Facebook, LinkedIn и др. вообще находятся вне российской юрисдикции. Другие, например, "ВКонтакте" и "Одноклассники", хоть и размещаются в России, не являются операторами ПДн, пользователи размещают информацию о себе добровольно.

При этом именно социальные сети практически всегда оказываются в центре всех громких скандалов, связанных с утечкой и криминальным использованием персональных данных, таких как дело с похищением Ивана Касперского.

Банковские противоречия

В банковской сфере к защите тайны вкладов и операций своих клиентов по традиции относятся очень серьезно. Поэтому требования 152-ФЗ банкиров не пугают – в чем-то они даже мягче, чем требования "своего" регулятора — Центробанка. Об этом и о практическом опыте реализации положений 152-ФЗ говорил Олег Казакевич, советник президента АРБ по безопасности.

Банковское сообщество предлагает закрепить в качестве универсальной модели регулирования отраслевые стандарты по обеспечению защиты ПДн, утверждаемые отраслевыми регуляторами или по согласованию с ними; и также закрепить положение, в соответствии с которым ПДн, на которые распространяются режим налоговой, банковской, коммерческой или иной тайны, защищаются в рамках этого режима и не требуют дополнительных мер защиты.

Поскольку не во всех банках есть свои специалисты по информационной безопасности, АРБ выступила инициатором создания консультационного центра, который помогает мелким и средним банкам обеспечить выполнение требований закона о персональных данных.

Тему защиты ПДн в банках продолжил Алексей Бабенко, старший аудитор компании "Информзащита". Он подробно остановился на том, что выполнение требований стандарта Банка России по информационной безопасности банковских систем (СТО БР ИББС) может также обеспечить соблюдение норм 152-ФЗ "О персональных данных". Этот стандарт основан на стандарте ISO 27000 и предъявляет к информационной безопасности даже более жесткие требования, чем 152-ФЗ, особенно в части документирования политик и процедур, реализуя процессный подход, основанный на лучших практиках.

Защита или просто формальность?

Алексей Страхов, руководитель направления ИБ компании "Ниеншанц", привлек внимание к другому аспекту проблемы персональных данных. Формальное соблюдение требований законодательства в области ПДн и желание отчитаться перед регулятором не должны заслонять истинной цели — обеспечения реальной защиты.

Г-н Страхов остановился на технических и юридических аспектах этой проблематики. По его словам, существуют требования к ИБ-системам, но отсутствуют - к приложениям, например к CRM, которые по своей сути работают с персональными данными. Для обеспечения реальной защиты одной проверки на НДВ недостаточно: должно быть определено и зафиксировано, что приложение может делать, а что - нет. Например, сегодня многие ИС позволяют копировать данные на компьютер пользователя, это очевидная брешь в безопасности.

С юридической стороны, существует ответственность оператора за несоблюдение требований к защите, но отсутствует ответственность за утечку ПДн перед государством и перед их субъектом.

Он также отметил, что многие руководители пренебрегают вопросами ИБ, подобно тому, как некоторое время назад у нас в стране почти все пренебрегали ремнями безопасности. Однако введение штрафов и контроль со стороны государства позволили изменить ситуацию.

Не затраты, а вложения

Александр Вернигора, замдиректора департамента ИТ группы компаний "Маском", предложил рассматривать затраты на защиту ПДн как вложения.

Объем работ по приведению ИС в соответствие с требованиями предполагает закупку и внедрение ряда технических решений, и за последние годы заказчики из различных ведомств и министерств, банковского сектора, профучастники фондового рынка часто озвучивали мысль, что вся деятельность такого рода — это прямые затраты, которые никогда не окупятся.

Внедрение подобных решений необходимо не только для соблюдения требований 152-ФЗ, но также для обеспечения соответствия международным и отраслевым стандартам. Это позволяет говорить о достижении более высокого уровня защищенности системы и показать своим деловым партнерам, инвесторам и клиентам, что в организации вопросы безопасности решаются на должном уровне.

Часто функционал внедряемых систем богаче, чем было бы нужно только для защиты ПДн, и это можно использовать для решения других задач. В частности это относится к внедрению DPL-систем (Data Leak Protection, предотвращения утечек).

Организации должны задать себе вопрос — защищать персональные данные или защищаться от 152-ФЗ? Будут ли это затраты или инвестиции, зависит от целей проекта.

Ожидание бесконечно?

Александр Минченко, начальник отдела техподдержки, "Группа КапиталЪ Управление Активами", рассмотрел вопрос о том, стоит ли ждать или уже нужно действовать в области защиты ПДн. Конечно, на сегодняшний день законодательство еще не гармонизировано, технические требования к защите ПДн, изложенные в приказе ФСТЭК, основаны на РД по защите от НСД двадцатилетней давности и относят системы обработки ПДн к АС первой группы, что фактически приравнивает персональные данные к гостайне.

Стандарт Банка России, о котором уже ранее шла речь, имеет некоторые противоречия с действующим законодательством. На сегодня большая часть кредитных организаций России (75-80%) приняла его либо планирует это сделать. В этой связи, учитывая широкое применение стандарта, эта неоднозначная ситуация должна быть решена отнюдь не на уровне договоренностей между ЦБ и регулятором.

Г-н Минченко выразил надежду, что законопроект №282499-5 депутата ГД В.М. Резника "О внесении изменений в федеральный закон "О персональных данных" (в части уточнения условий и правил обработки персональных данных)" будет способствовать тому, чтобы требования регулятора соотвествовали принципу соразмерности мер защиты размеру ущерба.

страницы: