Открытость данных

Тема защиты персональных данных "всплывала" и в другом качестве – в контексте желания госорганов обрабатывать имеющиеся у пользователей госуслуг данные в масштабах всей страны. Иными словами, государство, нацеленное на повышение открытости и прозрачности, претендует на роль супероператора ПДн, который будет знать и раскрывать информацию, полученную от бизнеса и граждан. В этой связи в дискуссии вспомнили опыт Эстонии, которая уже построила подобную систему в рамках информатизации своих органов госвласти, но ограничила "потребление" данных чиновниками – граждане и компании, пользующиеся порталом госуслуг, видят, какое ведомство за последнее время запрашивало те или иные данные. Разумеется, этот процесс не просто информативный, но интерактивный – пользователь может поинтересоваться у чиновников, с какой целью производился запрос и, в случае отсутствия прямой необходимости доступа к личной информации, такие поступки можно оспаривать в суде – в зале приводили в пример несколько подобных дел в отношении органов внутренних дел Эстонии.

Привлек слушателей и доклад Михаила Брауде-Золотарева из центра ИТ-исследований и экспертизы РАНХиГС при президенте РФ. Он заметил, что защищать персональные данные во время их обработки операторами государственных и муниципальных услуг нужно при поддержке и содействии гражданского общества, ратующего за принципы открытости, а не слепо калькировать законы регулятора.

Но подобные действия меркнут на фоне инициатив банков по внесению корректив в законодательство по ПДн, желания стран-партнеров России из Евросоюза получать биометрические данные от туристов, а также активности самого регулятора в лице Роскомнадзора навести порядок в области назначения санкций компаниям-нарушителям. Присутствующие адресовали свои вопросы к докладчикам, среди которых были Андрей Тимошенко, начальник отдела консалтинга департамента консалтинга и аудита ГК "Информзащита", а также к представителям госорганов – Руслану Гаттарову из Совета Федерации РФ и Юрию Кантемирову, начальнику управления по защите прав субъектов персональных данных Роскомнадзора. Последний разъяснил позицию регулятора, отметив, что в ближайшие несколько месяцев в свет выйдут новые "письма по разъяснению законодательства" от Роскомнадзора, посвященные проблеме юридического статуса биометрических данных и фотографий при защите персданных и грядущей легализации приема заявлений на обработку персональных данных путем присоединения к оператору путем заполнения электронной анкеты (например, на сайте интернет-магазина).

Как выяснилось, представители регулятора и исполнительной власти солидарны в том, что отечественное ИБ-законодательство подлежит реформированию в плане использования лучших практик Запада. Речь шла о том, что за рубежом оператор персональных данных работает в условиях, когда любая утечка информации может привести к крупным штрафам, а также санкциям относительно функционирования бизнеса постфактум. В России же на данный момент регулятор контролирует соответствие требованиям заранее, на упреждение, и заставляет выполнять дорогостоящие процедуры подготовки, а в случае инцидента предъявляет невысокие суммы штрафов без связи с масштабом бизнеса нарушителя. Со стороны бизнес-сообщества телеком-операторов такую инициативу поддержал Андрей Евсюков, руководитель группы по организации обработки ПДн департамента ИБ в МТС. Он рассказал о специфических особенностях этого аспекта на примере своей компании, где создано отдельное подразделение. Согласно существующему ФЗ-126 "О связи", сведения об абонентах и оказываемых им услугах связи являются информацией ограниченного доступа и подлежат защите, а перечень информации об абоненте строго определен. Передача этих данных может быть осуществлена только с письменного согласия абонента.

Подзаконные акты в области связи устанавливают жесткий перечень требований к составу ПДн, обрабатываемых оператором. Подобное "наложение" двух нормативно-правовых актов вызывает проблемы в части организации обработки ПДн – например, сложно без норм и одобренных регулятором решений создавать архивы баз и документов, содержащих личную информацию. О похожих проблемах, но в медицинском секторе, рассказывал Андрей Столбов, заместитель начальника управления информатизации РАМН. Эта же тема получила развитие в выступлении Владимира Поихало, начальника отдела информационной безопасности ФОМС. Последний отметил различия в российском и американском подходе к информированию пациентов о лечащем его медперсонале (статистика врачебных ошибок, квалификация, образование, опыт). Помимо этого, специалист обратил внимание на то, что в связи с постановлением правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" утратило силу постановление правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных". В связи с этим утратили силу ряд практически важных методических документов федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности (ФСБ России), и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), а новых документов нет до сих пор.

Бизнес на страже интересов

Все присутствующие на круглом столе отдавали себе отчет в том, что законодательство в области ПДн с прошлого года начало стремительно меняться, а при этом сами технологии ушли еще дальше вперед, что требует адекватного обновления самих подходов к данной проблеме. Так, в докладе Андрея Тимошенко, начальника отдела консалтинга департамента консалтинга и аудита "Информзащиты", обозначались две такие стратегии – защищать оператора ПДн "под ключ" или отталкиваться от конкретных рисков. Вторая из них воспринималась как экономически выгодная, поскольку она имела адекватные сроки, меньшие материальные затраты и более высокий уровень надежности относительно "полного варианта". Вместе с тем, подобный подход требуется очень четкой и взвешенной оценки рисков на основе типологизации проблем оператора персональных данных (например, определение границ ИСПДн и процедуры удаления данных из них). Так, в условиях изменившегося законодательства (имеется в виду постановление правительства РФ ПП-1119), по мнению господина Тимошенко, нужно актуализировать модель угроз, классифицировать ИСПДн и подготовить новую организационно-распорядительную документацию в самую первую очередь, прежде чем выйдет соответствующий приказ ФСТЭК. Спикер отмечает, что подобная деятельность для компаний не пройдет даром, поскольку, по его прогнозам, ослабления требований по техническим мерам защиты ПДн не планируется, а, наоборот, произойдет их усиление. Кроме того, он советует ориентироваться на использование сертифицированных средств защиты.

Качественную оценку существующему положению дел с регуляцией персональных данных в России дал Александр Баранов, заместитель генерального директора ФГУП ГНИВЦ ФНС России. По его мнению, главной заслугой регулятора стало развитие рынка средств ИБ, а также то, что модели классификации защищенности данных можно использовать и в других сферах. Тем не менее, пока сам бизнес не полностью подготовлен к таким реалиям, поэтому возникают коллизии. О них говорил Владимир Меньшаков, генеральный директор Fellowes Russia. По его данным, в 62% российских офисах нет шреддеров, а 75% офисных работников выбрасывают конфиденциальные документы просто в мусорное ведро, не задумываясь о том, что они его не уничтожили таким образом. Как выход из подобного тупика он предложил рассматривать массовое использование уничтожителей бумаги, которые обеспечивают сейчас высокую степень разрушения данных и привел в качестве доказательства исторический факт о шреддерах в Германии в середине 20 века (часть документов "штази" была подвергнута разрушению через уничтожители с меньшей степенью защиты и до сих пор не может быть восстановлена).