Легальные способы сопротивления ФЗ № 152 "О защите персональных данных"
Закон "О персональных данных" (ФЗ-152) сейчас является горячей темой, поскольку он нов, жесток и недостаточно проработан. Некоторые неоднозначности закона могут трактоваться по-разному, поэтому компании, которые занимаются информационной безопасностью, часто призывают перестраховаться. Их желание получить больше денег понятно, однако неопределенности закона операторы персональных данных могут трактовать и в свою пользу.
В этой статье рассмотрены некоторые несоответствия и обозначены пути их использования для оптимизации затрат на защиту персональных данных.
Способ первый — у семи нянек...
За соблюдением закона ФЗ-152 по закону должны следить несколько ведомств, из которых наиболее активными являются три: Роскомнадзор, ФСТЭК и ФСБ. Роскомнадзор отвечает за проведение проверок, ФСТЭК — за сертификацию средств защиты, не содержащих шифрование (читай для нераспределенных систем), а ФСБ — сертифицирует средства криптографической защиты. Однако известно, что у семи нянек дитя без глазу. Чтобы воспользоваться этой особенностью закона стоит попробовать поссорить проверяющих из разных ведомств.
В частности, с первичной проверкой защиты могут прийти только проверяющие из Роскомнадзора — это ведомство отвечает за контроль операторов персональных данных. При этом само ведомство имеет права проводить лишь проверку документов, описывающих обработку персданных, и их реальное выполнение. Причем первичная проверка может выполняться вообще дистанционно — без выезда и только с пакетом документов. При этом если в документах не будет найдено нарушений, то и выездной проверки может и не быть. А поскольку в 2010 году будет проводиться массовая проверка операторов, то, скорее всего, именно на уровне документальной проверки все и должно остановиться. Поэтому стоит подготовить безупречный набор документов — этого может оказаться достаточно.
Собственно, полномочия проверяющих и процедура проверки должна быть сформулирована в приказе о проведении проверки, который должно прислать проверяющее ведомство. Не стоит выдавать проверяющим документов больше, чем они потребуют, да и те, которые требуют не стоит отдавать безоговорочно. Дело в том, что сам Роскомнадзор может стать причиной утечки персональных данных — кто же его проверит на соответствие требованиям закона? Поэтому передавать проверяющим сами персональные данные нельзя ни при каких условиях. Проверяться должны только документы, описывающие защиту. Если Роскомнадзор будет требовать персональные данные, то это может означать только одно — чиновники хотят стать дилерами по продаже этих данных.
Собственно, у любого оператора должно быть положение об обработке персональных данных с приказами о назначении ответственных и ведомостью об ознакомлению с положением всех сотрудников. Здесь ситуация, скорее всего, будет такая же как в противопожарной безопасности. Разница в том, что в положении должны быть перечислены информационные системы, обрабатывающие персданные, а также зафиксирована их классификация. Дальнейшие проверки уже зависят от этой классификации.
Способ второй — сам себе режиссер
Дело в том, что классификацию персональных данных и информационных систем (ИСПДн) должны проводить сами операторы. Всего классов четыре, причем самый слабый из них — четвертый, который определяет обезличенные или публичные персональные данные. Защита этих данных находится полностью на совести владельца информационной системы — не требуется даже сертификация средств защиты. Под этот тип персональных данных можно подвести практически все справочники и другую контактную информацию, которую можно объявить общедоступной в пределах компании.
Способ третий — разделяй и властвуй
Однако не все данные можно сделать общедоступными, но практически все можно обезличить. Обезличенными данными являются те, по которым невозможно идентифицировать конкретного человека. Некоторые представители Роскомнадзора считают, что фамилия, имя и отчество не являются персональными данными, поскольку им могут соответствовать сразу несколько человек. Персональными данными могут быть только совокупность данных, про которую известно, что она принадлежит одному человеку.
Это свойство персданных и можно использовать для обезличивания - достаточно набор данных расчленить так, чтобы каждая отдельная часть не позволяла идентифицировать человека. Все же данные вместе позволяет собрать только уникальный идентификатор, к которому и привязываются каждые отдельные части. Можно каждую отдельную часть хранить в собственной системе класса четыре, для защиты которой не требуется даже сертифицированных средств защиты. В качестве же обезличенного идентификатора можно использовать номер контракта, лицевой счет, ИНН или любой другой случайный, но уникальный идентификационный номер.
Способ четвертый — не типичный случай
Данные можно расчленить, но уже работающую систему — нельзя. В то же время все российские CRM, ERP, бухгалтерии и кадровые системы проектировались без учета требований закона ФЗ-152 и обезличивания данных. Я бы не рекомендовал переход на иностранные системы, которые в большинстве своем предусматривают обезличивание — у них конвенция о защите персданных существует с 1981 года и ее требования принимались в расчет при проектировании программного обеспечения. Однако переход на эти системы требует времени и определенных вложений. Я же предлагаю использовать другой метод — назвать такие системы специальными.
Дело в том, что классификация систем по уровню необходимой защиты и соответственно необходимый набор средств защиты определена только для так называемых типовых систем, которых по некоторым оценкам всего около 3%. Основная масса систем являются специальными, в том числе и перечисленные выше типы приложений. Выбор средств защиты для ни определяется с помощью так называемой модели угроз, формирование которой также находится на совести оператора. Вполне возможно, что для вашей специальной системы достаточно будет сертифицированного антивируса. Правда для использования этого метода придется написать достаточно много документов, которые должны потребовать проверяющие. Тем не менее это может оказаться дешевле, чем внедрение всех требуемых для типовой системы средств защиты.
Способ пятый — моя хата с краю
В некоторых случаях приложение, которое обрабатывает персональные данные, вообще навязано компании из-вне. Например, налоговая инспекция может потребовать использовать для связи с ней и заполнения налоговой декларации специального приложения. Или в некоторых школах министерство образования требует использования для подготовки отчетов специального программного обеспечения. К таким программам также относятся системы клиент-банк (например, для связи со "Сбербанком") или системы СОРМ у операторов связи.
Здесь следует помнить, что ИСПДн — это все-таки система, то есть по определениям ГОСТов комплекс из аппаратного обеспечения, программы и окружающей среды. Если вы не можете контролировать, например, программное обеспечение, то и вся система является не вашей, а той компании или ведомства, которое эту программу разработало. В то же время именно оператор, то есть владелец системы, должен заботиться о защите обрабатываемых в ИСПДн данных, а не те компании, на компьютерах которых она установлена.
Предупреждение!
Автор не несет ответственности за то, что проверяющие Роскомнадзора и других ведомств не прочитали данной статьи, не согласны с ее положениями или имеют собственное мнение по описанным выше темам. Поэтому рекомендуется обратиться к профессиональным консультантам, которые более корректно проработают основные положения данной статьи. К тому же если в компанию обратиться с жалобой конкретный человек и потребует уничтожения своих персональных данных, то любая компания должна уничтожить данные в трехдневный срок, независимо от требований СОРМ — ФЗ-152 имеет приоритет над любыми требованиями подзаконных актов.
В статье описаны лишь общие принципы оптимизации расходов на удовлетворение требований законодательства, однако они не решают основной проблемы — собственно защиты от утечек. Если в компании произойдет утечка, то предложенные средства, скорее всего, не сработают. Поэтому компании лучше позаботиться о внедрении средств защиты от утечек.